認証プロファイルを管理する

Apigee Integration のタスクでは、外部アプリケーション、サービス、データソースへの接続が必要になる場合があります。認証プロファイルを使用すると、Apigee Integration で接続に関する認証の詳細を構成および保存できます。保存された認証プロファイルを使用するようにタスクを構成できます。認証プロファイルの作成は 1 回限りのアクティビティであり、同じプロファイルを複数の統合で再利用できます。

OAuth 2.0 クライアント ID を作成する

クライアント ID は、Google の OAuth サーバーで個々のアプリを識別するために使用します。アプリケーションが複数のプラットフォームで実行されている場合は、それぞれに独自のクライアント ID が必要です。OAuth 2.0 をアプリケーションで使用するには OAuth 2.0 クライアント ID が必要です。アプリケーションは OAuth 2.0 アクセス トークンを要求するときにこの ID を使用します。

OAuth 2.0 クライアント ID を作成するには、次の手順を実施します。

1. Google Cloud コンソールで、[API とサービス] の [認証情報] に移動します。

   認証情報に進む

2. [+ 認証情報の作成] をクリックし、使用可能なオプションのリストから [OAuth クライアント ID] を選択します。

   [OAuth クライアント ID の作成] ページが表示されます。

3. アプリケーションの種類: プルダウン リストから [ウェブ アプリケーション] を選択します。
4. 名前: OAuth 2.0 クライアントの名前を入力して、Google Cloud コンソールでクライアントを識別します。
5. [承認済みのリダイレクト URI] で、[+ URI を追加] をクリックして次のように入力します。

   https://apigee.google.com/organizations/GOOGLE_CLOUD_PROJECT_NAME/integrations/callback/locations/AUTH_PROFILE_REGION

6. [作成] をクリックします。

   OAuth 2.0 クライアント ID が正常に作成されました。

新しい認証プロファイルの作成

新しい認証プロファイルを作成する手順は、次のとおりです。

1. Apigee UI で、Apigee 組織を選択します。
2. [Develop] > [Integrations] の順にクリックします。
3. 認証プロファイルを作成する既存の統合を選択します。

   統合エディタで統合が開きます。

4. 統合エディタのツールバーで、 lock（Manage Authentication Profiles）をクリックします。

   [Authentication Profiles] ページが表示されます。

5. [Authentication Profiles] ページのプルダウン メニューを使用して、認証プロファイルの [Region] を選択します。
6. [Create] をクリックして、次の詳細を入力します。
   • Authentication profile name: 統合エディタに表示する認証プロファイルの名前を入力します。
   • Authentication profile description: プロファイルの説明を入力します。
   • Authentication profile visibility: 次のいずれかのプロファイル公開設定オプションを選択します。
     • Visible to all the users in the client: 作成された認証プロファイルは、組織内のすべてのユーザーが使用できます。

     • Only visible to you: 作成した認証プロファイルは、組織内の他のユーザーには表示されません。
   • Authentication type: プルダウン リストから認証タイプを選択し、必要な詳細を入力します。選択した内容に基づいて、認証情報に必要な追加フィールドがダイアログに表示されます。次の認証タイプのいずれかを選択できます。
     • 認証トークン
     • Google OIDC ID トークン
     • JSON Web Token（JWT）
     • OAuth 2.0 認証コード
     • OAuth 2.0 クライアントの認証情報
     • OAuth 2.0 リソース オーナー パスワード認証情報
     • SSL/TLS クライアント証明書のみ
     • サービス アカウント
7. [保存] をクリックします。

保存すると、新しい認証プロファイルは、認証が必要なタスクの [Authorization profile to use] プルダウンのオプションとして使用できるようになります。

（省略可）統合タスクを構成する前に認証プロファイルを作成していない場合は、タスク構成ペインで、[Authorization profile to use] プルダウンから [+ Add new authentication profile] を選択して、プロファイル作成ダイアログにアクセスできます。前述の手順で新しい認証プロファイルを作成します。

認証プロファイルを編集する

認証プロファイルを編集する手順は次のとおりです。

1. Apigee UI で、Apigee 組織を選択します。
2. [Develop] > [Integrations] の順にクリックします。
3. 認証プロファイルを作成する既存の統合を選択します。

   統合エディタで統合が開きます。

4. 統合エディタのツールバーで、 lock（Manage Authentication Profiles）をクリックします。

   [Authentication Profiles] ページが表示されます。

5. [Authentication Profiles] ページのプルダウン メニューを使用して、認証プロファイルの [Region] を選択します。
6. more_vert （Actions menu）をクリックし、[編集] をクリックします。

   [Authentication Profiles] ダイアログが表示されます。

7. 詳細を編集し、[保存] をクリックします。

認証プロファイルを削除する

認証プロファイルを削除する手順は次のとおりです。

1. Apigee UI で、Apigee 組織を選択します。
2. [Develop] > [Integrations] の順にクリックします。
3. 認証プロファイルを作成する既存の統合を選択します。

   統合エディタで統合が開きます。

4. 統合エディタのツールバーで、 lock（Manage Authentication Profiles）をクリックします。

   [Authentication Profiles] ページが表示されます。

5. [Authentication Profiles] ページのプルダウン メニューを使用して、認証プロファイルの [Region] を選択します。
6. [削除] をクリックします。

認証の種類

統合タスクを完了するために必要な認証タイプは、認可サーバーで構成された認証によって異なります。認可サーバーには、スタンドアロン サーバー、または呼び出し元クライアントに認証情報を発行する API を使用できます。Apigee Integration では、次の認証タイプがサポートされています。

• 認証トークン
• Google OIDC ID トークン
• JSON Web Token（JWT）
• OAuth 2.0 認証コード
• OAuth 2.0 クライアントの認証情報
• OAuth 2.0 リソース オーナー パスワード認証情報
• SSL/TLS クライアント証明書のみ
• サービス アカウント

以降のセクションでは、認証タイプの構成プロパティについて説明します。

認証トークン

認証トークンでは、トークン（認証情報）が使用されます。認証情報は、Authorization: TYPE CREDENTIALS 形式の HTTP Authorization リクエスト ヘッダーでサーバーに送信されます。この認証タイプを構成するには、次のプロパティを設定します。

• タイプ: 認証タイプ（Basic、Bearer、MAC など）。
• トークン: 認証タイプの認証情報。

認証サーバーで SSL/TLS 証明書が必要な場合は、証明書と秘密鍵をアップロードします。

この認証タイプをサポートするタスクを確認するには、タスクと認証タイプの互換性をご覧ください。

Google OIDC ID トークン

Google OIDC ID トークン認証タイプでは、認証に JSON Web Token（JWT）が使用されます。Google OpenID Connect（OIDC）プロバイダ accounts.google.com が、サービス アカウントを使用して認証を行うために、署名してこれらの JWT を発行します。この認証タイプを構成するには、次のプロパティを設定します。

• サービス アカウント: API にアクセスするための権限を持つ Google Cloud プロジェクトのサービス アカウント（プリンシパル）。
• 対象: OIDC トークンのオーディエンス（JWT が対象とする受信者を識別します）。たとえば、トリガー URL は、Cloud Functions タスクのオーディエンスです。

この認証タイプをサポートするタスクを確認するには、タスクと認証タイプの互換性をご覧ください。

JSON Web Token（JWT）

JWT 認証タイプでは、認証に JSON Web Token（JWT）が使用されます。JWT の詳細については、RFC7519 をご覧ください。この認証タイプを構成するには、次のプロパティを設定します。

• JWT ヘッダー: 署名を生成するアルゴリズム。

  注: HS256 アルゴリズムのみを指定できます。

• JWT ペイロード: 一連のクレーム。登録済みクレーム、一般公開クレーム、カスタム クレームを使用できます。
• シークレット: クライアントと認証サーバー間の共有キー。

認証サーバーで SSL 証明書が必要な場合は、ファイル選択ツールを使用して証明書と秘密鍵をアップロードします。秘密鍵のパスフレーズを入力します。

この認証タイプをサポートするタスクを確認するには、タスクと認証タイプの互換性をご覧ください。

OAuth 2.0 認証コード

OAuth 2.0 認証コードの認証タイプでは、認証に OAuth 2.0 認可トークンを使用します。この認証タイプを構成するには、次のプロパティを設定します。

• 認証エンドポイント: アプリケーションの認証エンドポイントに対するエンドポイント。アプリケーションのアクセス権限を確認するため、この URL にリダイレクトされます。トークンは、アクセス権が付与された後にのみ生成されます。
• トークン エンドポイント: アクセス トークンを付与または更新するエンドポイント URL。
• クライアント ID: 認証サーバーによって登録されたクライアントに提供される一意の文字列。クライアント ID はシークレットではなく、リソース オーナーに公開されます。この項目をクライアント シークレットとともに使用します。
• シークレット: クライアント（統合）と認証サーバー間の共有シークレット キー。
• スコープ: アクセス トークンのスコープ。スコープを使用すると、ユーザーのアクセス権限を指定できます。スペース 1 つ（「 」）で区切られた複数のスコープを指定できます。詳細については、Google API の OAuth 2.0 スコープをご覧ください。

認証サーバーで SSL 証明書が必要な場合は、ファイル選択ツールを使用して証明書と秘密鍵をアップロードします。必要に応じて、表示される項目に秘密鍵パスフレーズを入力します。

この認証タイプをサポートするタスクを確認するには、タスクと認証タイプの互換性をご覧ください。

OAuth 2.0 クライアントの認証情報

OAuth 2.0 クライアント認証情報の認証タイプでは、認証に OAuth 2.0 認証トークンを使用します。この認証では、まずクライアント認証情報を使用してアクセス トークンをリクエストしてから、トークンを使用して保護されたリソースにアクセスします。この認証タイプを構成するには、次のプロパティを設定します。

• トークン エンドポイント: アクセス トークンを付与または更新するエンドポイント URL。
• クライアント ID: 認証サーバーによって登録されたクライアントに提供される一意の文字列。クライアント ID はシークレットではなく、リソース オーナーに公開されます。この項目をクライアント シークレットとともに使用します。
• シークレット: クライアント（統合）と認証サーバー間の共有シークレット キー。
• スコープ: アクセス トークンのスコープ。スコープを使用すると、ユーザーのアクセス権限を指定できます。スペース 1 つ（「 」）で区切られた複数のスコープを指定できます。詳細については、Google API の OAuth 2.0 スコープをご覧ください。
• リクエスト タイプ: アクセス トークンを取得するためにリクエスト パラメータを認証サーバーに送信するメカニズム。次のいずれかのリクエスト タイプを指定できます。
  • エンコーダ ヘッダー: CLIENT ID と CLIENT SECRET を Base64 形式でエンコードし、エンコードされた文字列を HTTP 認証ヘッダーで送信します。残りのリクエスト パラメータは、HTTP リクエストの本文で送信されます。
  • クエリ パラメータ: クエリ文字列でリクエスト パラメータを送信します。
  • リクエスト本文: HTTP リクエストの entity-body で application/x-www-form-urlencoded コンテンツ タイプと UTF-8 文字セットを使用して、リクエスト パラメータを送信します。
  • 指定なし
• トークン パラメータ: トークンの取得に必要なリクエスト パラメータ。Key-Value 形式の値を指定します。Key はパラメータ名、Value は対応するパラメータ値です。

認証サーバーで SSL 証明書が必要な場合は、ファイル選択ツールを使用して証明書と秘密鍵をアップロードします。必要に応じて、表示される項目に秘密鍵パスフレーズを入力します。

この認証タイプをサポートするタスクを確認するには、タスクと認証タイプの互換性をご覧ください。

OAuth 2.0 リソース オーナー パスワード認証情報

OAuth 2.0 リソース オーナー パスワード認証情報。認証タイプでは、認証に OAuth 2.0 認可トークンを使用します。この認証では、まずリソース オーナーの認証情報（ユーザー名とパスワード）を使用してアクセス トークンをリクエストしてから、トークンを使用して保護されたリソースにアクセスします。この認証タイプを構成するには、次のプロパティを設定します。

• トークン エンドポイント: アクセス トークンを付与または更新するエンドポイント URL。
• クライアント ID: 認証サーバーによって登録されたクライアントに提供される一意の文字列。クライアント ID はシークレットではなく、リソース オーナーに公開されます。この項目をクライアント シークレットとともに使用します。
• シークレット: クライアント（統合）と認証サーバー間の共有シークレット キー。
• スコープ: アクセス トークンのスコープ。スコープを使用すると、ユーザーのアクセス権限を指定できます。スペース 1 つ（「 」）で区切られた複数のスコープを指定できます。詳細については、Google API の OAuth 2.0 スコープをご覧ください。
• ユーザー名: リソース所有者のユーザー名。
• パスワード: ユーザーのパスワード。
• リクエスト タイプ: アクセス トークンを取得するためにリクエスト パラメータを認証サーバーに送信するメカニズム。次のいずれかのリクエスト タイプを指定できます。
  • エンコーダ ヘッダー: CLIENT ID と CLIENT SECRET を Base64 形式でエンコードし、エンコードされた文字列を HTTP 認証ヘッダーで送信します。HTTP リクエストの本文で残りのリクエスト パラメータを送信します。
  • クエリ パラメータ: クエリ文字列でリクエスト パラメータを送信します。
  • リクエスト本文: HTTP リクエストの entity-body で application/x-www-form-urlencoded コンテンツ タイプと UTF-8 文字セットを使用して、リクエスト パラメータを送信します。
• トークン パラメータ: トークンの取得に必要なリクエスト パラメータ。Key-Value 形式の値を指定します。Key はパラメータ名、Value は対応するパラメータ値です。

認証サーバーで SSL 証明書が必要な場合は、ファイル選択ツールを使用して証明書と秘密鍵をアップロードします。必要に応じて、表示される項目に秘密鍵パスフレーズを入力します。

この認証タイプをサポートするタスクを確認するには、タスクと認証タイプの互換性をご覧ください。

SSL / TLS クライアント証明書のみ

[SSL/TLS クライアント証明書のみ] 認証タイプでは、SSL/TLS 証明書のみが認証に使用されます。必要な証明書と秘密鍵をアップロードします。この認証タイプを構成するには、次のファイルをアップロードします。

• SSL 証明書: PEM 形式でエンコードされた証明書。
• 秘密鍵: PEM 形式でエンコードされた証明書の秘密鍵ファイル。

  秘密鍵に passphrase が必要な場合は、秘密鍵のパスフレーズを入力します。

この認証タイプをサポートするタスクを確認するには、タスクと認証タイプの互換性をご覧ください。

サービス アカウント

サービス アカウント認証タイプでは、認証に Google Cloud プロジェクトのサービス アカウントの認証情報を使用します。この認証タイプを構成するには、次のプロパティを設定します。

• サービス アカウント: API にアクセスする権限を持つ Google Cloud プロジェクトのサービス アカウント（プリンシパル）。
• スコープ: ユーザーに付与されるアクセス権限のスコープ。スペース 1 つ（「 」）で区切られた複数のスコープを指定できます。詳細については、Google API の OAuth 2.0 スコープをご覧ください。

サービス アカウントの作成と管理に関するベスト プラクティスについては、サービス アカウントを操作するためのベスト プラクティスのドキュメントをご覧ください。

認証サーバーで SSL 証明書が必要な場合は、ファイル選択ツールを使用して証明書と秘密鍵をアップロードします。必要に応じて、表示される項目に秘密鍵パスフレーズを入力します。

この認証タイプをサポートするタスクを確認するには、タスクと認証タイプの互換性をご覧ください。

タスクと認証タイプの互換性

次の表に、認証タイプに対応する互換性のあるタスクを示します。この情報を使用して、タスクに使用する認証タイプを決定できます。

認証の種類	互換性のあるタスクとトリガー
認証トークン	REST エンドポイントの呼び出し
Google OIDC ID トークン	REST エンドポイントの呼び出し Cloud Functions
JSON Web Token（JWT）	REST エンドポイントの呼び出し
OAuth 2.0 認証コード	REST エンドポイントの呼び出し Apps Script を実行する Cloud Functions タスク
OAuth 2.0 クライアントの認証情報	REST エンドポイントの呼び出し
OAuth 2.0 リソース オーナー パスワード認証情報	REST エンドポイントの呼び出し Salesforce トリガー
SSL / TLS クライアント証明書のみ	REST エンドポイントの呼び出し
サービス アカウント	REST エンドポイントの呼び出し コネクタタスク 統合の呼び出しタスク Cloud Functions タスク

認証のルール

統合に OAuth 2.0 プロファイルとユーザー管理のサービス アカウントの両方が構成されている場合は、デフォルトで OAuth 2.0 プロファイルが認証に使用されます。OAuth 2.0 プロファイルとユーザー管理のサービス アカウントのどちらも構成されていない場合は、デフォルトのサービス アカウント（service-PROJECT_NUMBER@gcp-sa-apigee.iam.gserviceaccount.com）が使用されます。タスクがデフォルトのサービス アカウントを使用しない場合、実行は失敗します。