クライアント資格情報許可

JWTアプリケーションの新しい認証方法としてクライアント資格情報許可がリリースされました。これまで、アプリケーションのIDを確認してアクセストークンを取得するには、公開/秘密キーペアとアサーションが必要でしたが、このオープンスタンダードにより、クライアントIDとクライアントシークレットだけでトークンをリクエストできるようになりました。

この認証方法を使用できるのは、アプリの種類としてカスタムアプリケーションを使用する新しいアプリケーションのみで、この認証方法による既存のアプリケーションへの影響はありません。また、認証方法を選択できるのは、アプリケーションの新規作成時のみです。作成後に別の認証方法に切り替えることはできません。Box管理者が自分で承認したアプリの可視性や制御を強化できるように、選択した認証方法がEnterpriseの承認要求に含まれるようになります。

Box開発者コンソールでキーペアを生成する場合と同様、アプリケーションのクライアントシークレットを表示またはコピーするには、Boxアカウントで2要素認証を有効にしておくことが必要になります。これまでどおり、クライアントシークレットは機密情報であり、保護する必要がありますが、ボタンをクリックすればいつでもリセットできます。

クライアント資格情報許可タイプは、エンドユーザーの認証が不要なマシン間の統合を作成する場合に最適です。この許可タイプを使用すると、Box Enterpriseに対するプロトタイプやスクリプトを最も短時間で簡単に作成でき、ほとんどの場合、サーバーをBoxアプリケーションの代わりとして機能させることができます。クライアント資格情報許可タイプを利用するすべてのアプリケーションには、サービスアカウントが関連付けられています。このサービスアカウントは、アプリケーションを表す、管理者に似たユーザーです。そのため、これらのアプリケーションでは使用前にBox管理者による明示的な承認が必要です。承認されると、アプリケーションはデフォルトでサービスアカウントユーザーとしてリクエストを行います。

クライアント資格情報許可タイプの詳細については、SDKを使用しないJWT認証に関するガイドを参照してください。

For an English translation of this release, please see this post.