アクセス・トークンには、特定のスコープの許可が含まれています。
このタスクについて
クライアント・アプリケーションで要求できるのは、ここに定義されたスコープまたはスコープのサブセットのみです。 これらのスコープは、プロバイダーから生成されるアクセス・トークンに組み込まれます。 OAuth で保護された API が呼び出されると、アクセス・トークン内に設定されたスコープが、ゲートウェイにより、その API に対するセキュリティー定義内の許可スコープのリストと照らして検査され、アクセス権を付与するかどうかが決定されます。
さらに、拡張スコープ検査も適用できます。 拡張スコープ検査の URL は、アプリケーション認証の後またはユーザー認証の後に、どちらの URL が構成されているかに基づいて呼び出されます。 すべてのスコープ検査の結果、アクセス・トークンによって最終的なスコープの権限が付与されます。
IETF RFC 6749 に従って、スコープ・パラメーターの値は、スペースで区切られ、大文字と小文字が区別されるストリングのリストです。 詳しくは、 The OAuth 2.0 Authorization Frameworkを参照してください。
ネイティブ OAuth プロバイダーのスコープを構成するには、以下のいずれかのロールが必要です。
「 ネイティブ OAuth プロバイダーの構成」で詳述されている作成操作の完了時に、ネイティブ OAuth プロバイダーのスコープ設定ページを即時に選択することも、既存のネイティブ OAuth プロバイダーのスコープ設定を更新することもできます。 既存のネイティブ OAuth プロバイダーのスコープ設定を更新する場合は、このトピックで説明する手順に従う前に、以下のステップを実行してください。
- をクリックします。
- 必要なネイティブ OAuth プロバイダーを選択します。
手順
- サイドバー・メニューの 「スコープ」 をクリックします。 現在構成されているスコープがリストされます。 スコープを確認し、必要に応じて更新します。
| フィールド |
説明 |
| sample_scope_1 |
トークンのスコープ |
| 追加のスコープ (additional scopes) |
トークンのスコープ |
「デフォルト・スコープ」セクションで、API 要求にスコープが含まれていない場合に使用するデフォルト・スコープを選択します。 デフォルト・スコープが定義されておらず、要求にスコープが含まれていない場合、要求に対して無効なスコープ・エラーが返されます。
「ユーザー・セキュリティー」設定で、ユーザー許可方式が「デフォルトの HTML フォーム」に設定されている場合は、ここで指定したすべてのスコープが自動的に許可同意フォームに追加されます。
- トークン生成前の拡張スコープ検査。 この設定は、基本スコープに加えて追加のスコープ検査が実行されるスコープ検査エンドポイントを指定します。 高度なスコープチェックURLは、どのURLが設定されているかに基づいて、アプリケーション認証後または所有者認証後に開始されます。 スコープはトークンに含まれ、以前のスコープを上書きする。
| フィールド |
説明 |
| アプリケーション・スコープ検査 |
エンドポイントからスコープ検査を実行することによって、追加の検証を可能にします。 アプリケーション・スコープ検査に使用するエンドポイントおよびオプションの TLS プロファイルを入力します。 |
| 所有者スコープ検査 |
追加の検査でスコープをさらに絞り込みます。 所有者スコープ検査に使用するエンドポイントおよびオプションの TLS プロファイルを入力します。 |
スコープについて詳しくは、
スコープ を参照してください。
- トークン生成後の拡張スコープ検査。 この設定は、API コンシューマー・レベルの追加のスコープ検査を指定して、API のスコープ要件に準拠していることを確認します。
| フィールド |
説明 |
| 有効 |
トークン検証後の拡張スコープ検査を有効にするには、このチェック・ボックスを選択します。 オプションのデフォルト・バリデーター・エンドポイントを入力します。 |
| API からのエンドポイントを使用 |
APIからのエンドポイントを使用する場合はチェックボックスを選択し、APIからのエンドポイントを上書きする場合はチェックボックスをオフにします。 |
スコープについて詳しくは、
スコープ を参照してください。
- 完了したら、 「保存」 をクリックします。
結果
これらのスコープがある OAuth プロバイダーを使用して、カタログ内の API を保護できます。
「リソース」 > 「OAuth プロバイダー」をクリックします。