承認済みのアクセスの仕組み

重要: 2016 年 10 月 20 日をもって、OAuth 1.0(2-Legged OAuth)は完全にサポートを終了しました。新しい規格に移行するには、ドメイン全体へのアクセス権を委任されている OAuth 2.0 のサービス アカウントを使用するのが最も簡単です。

ユーザーが G Suite Marketplace からアプリケーションをインストールすると、アプリケーションの利用規約への同意と、Google サービスのデータへのアプリケーションによるアクセス許可を求めるページが表示されます。ユーザーがアクセスを許可すると、3-Legged OAuth アクセス トークンで記録されます。承認済みのアクセスが G Suite でどのように機能するかについて詳しくは、G Suite での 3-Legged OAuth の動作の仕組みの図をご覧ください。

特定のユーザーのアプリケーションの 3-Legged OAuth 2.0 トークンが無効になると、このユーザーがアプリケーションを再インストールして 3-Legged OAuth 2.0 トークンを再承認しない限り、アプリケーションはユーザーの情報にアクセスできません。[セキュリティ] タブで、特定のユーザーの特定のアプリケーションに対して有効になっている 3-Legged OAuth 2.0 トークンをすべて確認できます。トークンは、アプリケーションごとにユーザー単位で一覧表示したり、取り消したりできます。

Google サービスのユーザー アカウントのセキュリティ強化のため、ユーザーのパスワードが変更されると、特定のサービスにアクセスするために発行された OAuth 2.0トークンは取り消されます。

ユーザーのパスワードが再設定されると、特定のサービスへのアクセスに OAuth 2.0 認証方式を使用するアプリケーションは、データにアクセスできなくなる場合があります。

2-Legged OAuth と 3-Legged OAuth の違い

2-Legged OAuth は、従来 Google で管理者用アプリケーションの認証に利用されている方式で、管理者が Tripit などのアプリケーションに、ドメイン内のすべてのユーザーの Google サービスのデータへのアクセス権を与える場合などに使われます。アクセスを要求されるデータは一般的に、グループ プロビジョニング、ユーザー プロビジョニング、カレンダー、連絡先です。

3-Legged OAuth は通常、ユーザーが管理するアプリケーション向けです。これにより、ドメイン内のユーザーは G Suite Marketplace からアプリケーションを個別にダウンロードし、自分の管理対象の Google アカウントにインストールできるようになります。なお、管理コンソールの [セキュリティ] の設定で、ユーザーが Google データへのアクセスを許可したサードパーティ アプリケーションを確認したり、3-Legged OAuth 2.0 トークンを無効にしたりできます。

詳しくは、2-Legged OAuth3-Legged OAuth の図をご覧ください。

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。