カスタムアプリケーションの管理の概要の動画は、英語版のブログでご覧いただけます。

Box管理コンソールのカスタムアプリケーション管理プロセスの更新をリリースしました。この記事では、リリースされた更新について確認いただき、Box Enterprise内で使用するカスタムアプリケーションを承認または有効化のリクエストをするための準備方法を説明しています。この記事を読み終えると、以下についての基本を理解できるようになります。

· 認証

· 承認

· アクセストークン

· アプリケーションスコープ

最初に、認証と承認の違いを理解することが重要です。認証とは、ユーザーが本人であることを確認するものです。たとえば、Boxにログインする際はユーザー名とパスワードを使用して認証を行います。認証後、リソースにアクセスしようとすると承認が行われます。承認とは、リクエストしたコンテンツに対するアクセス権限があるかどうかを確認するものです。

Boxでは、業界標準のAPI経由の認証として、標準のOAuth 2.0、サーバー認証 (JWT使用)、サーバー認証 (クライアント資格情報許可)、アプリトークン認証の4種類をサポートしています。

各認証タイプには、アクセストークンの取得のために安全な方法がそれぞれ用意されています。アクセストークンとは、開発者がAPI呼び出しを実行するために使用するキーです。

· 標準のOAuth 2.0では、ユーザーの本人確認にBoxを使用します。つまり、ユーザーがアプリケーションにアクセスしようとすると、ユーザー名とパスワードを入力するためにBoxのログイン画面にリダイレクトされます。ログインに成功すると、ユーザーは、自分の代わりに操作を実行するためのアクセス権限をアプリケーションに付与することができます。

· サーバー認証 (JWT使用) およびサーバー認証 (クライアント資格情報許可) では、開発者が独自のID管理システムを使用します。この2つの認証タイプを使用するアプリケーションでは、自動的にサービスアカウントが生成され、これは「アプリの管理者」と考えることができます。適切なスコープを有効にしたサービスアカウントは、多くの管理操作を実行できるため、使用前には必ず管理者の承認が必要になります。

· アプリトークン認証はJWTのサブセットであり、一部のAPI機能へのアクセスのみを許可します。このアプリの種類は、Box Viewを利用したプレビューを使用する場合のみ選択します。

承認のためにアプリケーションをレビューする際は、リクエストされたアプリスコープの確認が必要になります。アクセス権限を付与しすぎないようにするため、最初は不安に感じるかもしれませんが、原則として、APIはウェブアプリケーションと同じ制限に従います。つまり、ユーザーがウェブアプリケーションで実行できない操作は、API経由でも実行することができません。

アプリケーションスコープにより、アプリケーションが問題なく操作できるAPIエンドポイントが決まります。たとえば、「ユーザーを管理する」スコープが選択されていない場合、アプリケーションは、ユーザーの管理に関するAPI呼び出しを正常に実行することができません。

スコープはユーザーの権限と連動しているため、「Boxに格納されているすべてのファイルとフォルダの読み取りと書き込み」スコープを付与しても、Box Enterprise内のすべてのコンテンツに対するAPIアクセスが自動的にユーザーに許可されるわけではありません。認証済みユーザーが、所有またはコラボレーションしていて、編集するのに十分な権限レベルを持っているコンテンツに対して書き込み呼び出しを実行したときに、成功を示すAPIレスポンスを受け取れるようになります。

開発者コンソールに表示されるオプションを以下に示します。

新しくなったリダイレクトURIの設定

OAuth 2.0アプリケーション向けの新機能をリリースしました。開発者は、この機能を使用して、アプリケーションの構成に複数のリダイレクトURIを追加できるようになります。

また、Boxアプリのセキュリティをさらに強化するために、APIを介して送信されるURIを、開発者コンソールの [構成] タブに表示されているURIのいずれかと厳密に一致させることが必須となりました。完全に一致しているかどうかがチェックされるため、URIはまったく同じである必要があります。localhostおよびループバックアドレスのリダイレクトURIは、どのポートへのリダイレクトも許可されますが、スキーム、ドメイン、パス、およびクエリパラメータは、設定されているURIのいずれかと一致する必要があります。

日本時間2021年11月16日以降、OAuth 2.0を使用する新規のアプリケーションはすべて、上記の厳密な一致要件を満たす必要があります。既存のアプリケーションは、サービスの中断を回避するために、日本時間2022年5月14日までに変更してください。

詳細については、ガイドまたはAPIリファレンスを参照してください。

この新機能をぜひご利用ください。質問がある場合は、Boxの開発者向けフォーラムに英語で投稿してください。また、機能に関するリクエストがある場合は、Box Pulseに英語で投稿してください。

Box Developers

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store