OpenID Connect を使用してユーザーのアクセスを制御する

標準の OpenID Connect プロトコルをサポートしている任意の認証プロバイダを使用して、アプリの認証とユーザー アクセス制御を制御できます。

OpenId Connect は本質的に OAuth2 プロトコルで、スコープと動作について標準化された定義があります。Okta など現代のほとんどの認証プロバイダは、このプロトコルをサポートしています。プロバイダの管理コンソールでいくつかの標準的な手順を実行してアプリを定義し（プロバイダに対して、AppSheet がアプリにアクセスすることを通知します）、アプリのキーとシークレットを入手する必要があります。AppSheet のアカウントにこれらを入力してください。

ステップ 1: OpenID Connect プロバイダでアプリを登録する

具体的な手順はプロバイダによって異なります。一般に、プロバイダには新しいアプリを作成するための管理コンソールがあります。

• アプリに、AppSheet Access や Acme Corp Field Service のような用途がわかる名前を付けます。
• コールバック URL の指定を求められます。コールバック URL は、サポートされているリージョンに基づいて次のいずれかの値と、http://localhost:53519/Account/ELC を、カンマとスペースで区切った形式で設定してください。
  • グローバル リージョン: https://www.appsheet.com/Account/ELC
  • 欧州連合（EU）リージョン: https://eu.appsheet.com/Account/ELC
    欧州連合などの特定のリージョンにコールバック URL を使用するには、AppSheet Enterprise アカウントでそのリージョンを有効にする必要があります。詳しくは、AppSheet のデータの所在地を管理するをご覧ください。
  注: 大文字と小文字の区別を含め、指定された URL を正確に入力する必要があります。また、2 番目のコールバック URL（localhost）は厳密には必須ではありません。これは、将来に AppSheet でアプリケーションのデバッグを行う必要がある場合にのみ必要となります。

• [scope] オプションがあるなら、値は [openid] にします。

プロバイダから、このアプリ用のキー（またはクライアント ID）とシークレットが与えられるはずです。これらは次のステップで必要になるため、必ず記録してください。

ステップ 2: AppSheet アカウントを設定する

プロバイダを設定したので、AppSheet アカウントにプロバイダを登録する必要があります。

1. AppSheet にログインします。
2. [My account] > [Integrations] > [Auth Domains] に移動します。
3. [+ New Auth Domain] をクリックします。 
   [Add a new authentication domain] ダイアログが表示されます。
4. 認証ソースの名前を入力します。
5. [OpenID Connect] を選択します。次の情報を入力するよう求められます。
   • [App/client key/id]: ステップ 1 で記録したクライアント ID の値。
   • [App/client secret]: ステップ 1 で記録したクライアント シークレットの値。
   • [Auth endpoint]: プロバイダによって異なります。たとえば、Okta なら https://{yourOktaDomain}/oauth2/v1/authorize です。
   • [Token endpoint]: プロバイダによって異なります。たとえば、Okta なら https://{yourOktaDomain}/oauth2/v1/token です。
   • [Scope]: ほとんどの場合、[openid profile email] に設定します。

ステップ 3: アプリで新しい認証ドメインを使用する

これで、アプリからこのドメイン認証ソースを使えるようになります。アプリでドメイン認証を設定するをご覧ください。