セキュリティサードパーティ製アプリケーションサードパーティアプリケーションの登録

注: 以下の翻訳の正確性は検証されていません。AIPを利用して英語版の原文から機械的に翻訳されたものです。

サードパーティアプリケーションの登録

サードパーティアプリケーションを Foundry に接続する前に、Foundry プラットフォームで登録する必要があります。最初の登録プロセスでは、サードパーティアプリケーションの名前、クライアント ID、クライアントシークレットが作成されます。クライアント ID とクライアントシークレットについては、OAuth.com のドキュメントで詳細情報をご覧ください。これらは認証ワークフローで使用されます。次に、サードパーティアプリケーションには、認証プロセスのためのリダイレクト URL、およびプラットフォーム内でのサードパーティアプリケーションの表現に使用される名前、説明、アイコンを設定する必要があります。

登録

  1. 新しいアプリケーションの登録プロセスを開始するには、コントロールパネルサードパーティアプリケーション タブに移動し、新規アプリケーション をクリックします。

新しいサードパーティアプリケーションの登録

  1. これにより、新規アプリケーションの登録 ウィザードが開きます。次の順序で4つのステップがあります。詳細クライアントタイプ認証付与タイプサマリー

アプリケーション作成ウィザード

  1. 詳細 ステップでは、アプリケーションに名前、説明(任意)、ロゴ(任意)を設定します。
  2. クライアントタイプ ステップでは、アプリケーションのクライアントタイプを指定します。クライアントタイプとは、クライアントアプリケーションがシークレットを安全に保管できるかどうかに関する OAuth2 の標準です。クライアントタイプには次の2つのオプションがあります。
    • 機密クライアント:これは、クライアント資格情報へのアクセスが制限されたセキュアなサーバーで実装されたクライアントなど、資格情報を安全に保持できるクライアントを対象としています。このクライアントタイプは、認証に 承認コードグラントクライアント資格情報グラント の両方のオプションをサポートしています。
    • パブリッククライアント:これは、資格情報を安全に保持できないクライアントを対象としています。たとえば、認証クライアントが Web ブラウザ自体で実行されるブラウザベースのアプリケーションです。このクライアントタイプは、PKCE を使用した 承認コードグラント をサポートしており、code_verifier および code_challenge パラメーターの使用が必要です。クライアント資格情報グラントサポートされていません

      これらのクライアントタイプに関する詳細情報は、OAuth2 クライアントの作成に関するドキュメントを参照してください。
警告

ネイティブアプリケーションやシングルページアプリケーション(モバイルアプリなど)は、ユーザーに配布され、デプロイされます。そのため、アプリケーションのバイナリが利用可能であり、クライアントシークレットを抽出するために解析することができます。クライアントシークレットは、攻撃で承認されたユーザーをなりすまして使用することができます。コード交換用証明キー(PKCE)は、このような攻撃を防ぐために使用されます。

  1. 認証付与タイプ ステップでは、前のステップで選択したクライアントタイプがサポートする付与タイプが表示されます。承認コードグラント を有効にすることを選択した場合、少なくとも 1 つの リダイレクト URL を指定するよう求められます。

    • 認証プロセスでは、OAuth2 はブラウザのリダイレクトを使用して、ユーザーを認証プロバイダー(この場合は Foundry)から、ユーザーが承認しようとしているクライアント(この場合はサードパーティアプリケーション)に送ります。したがって、リダイレクト URL を指定することで、サードパーティアプリケーションが Foundry リソースへのアクセス許可を求める際に、追加のセキュリティが提供されます。
    • リダイレクト URL は、後で アプリケーションの管理 画面で更新できることに注意してください。

    クライアント資格情報グラント を有効にすることを選択した場合(これは機密クライアントにのみ利用可能です)、アプリケーションのサービスユーザーが作成されます。サービスユーザーは、アプリケーションを代表して Foundry リソースにアクセスするために許可されます。

  2. サマリー ステップでは、提供されたすべての情報の概要と、まだ提供されていない欠落している部分が表示されます。必須フィールドがすべて記入されたら、画面の右下にある アプリケーションを登録 をクリックできます。

  3. 送信後、新しく作成されたクライアントの ID とシークレット(該当する場合)が表示されます。

アプリケーションが正常に登録されました

警告

機密クライアント を使用している場合、この時点でクライアントシークレットをコピーする必要があります。シークレットは、このページを離れた後に再度利用できません。クライアントシークレットにアクセスできなくなった場合は、シークレットをローテーションする必要があります。