OAuth 2.0 Token Introspection認証
Workatoでは、OAuth 2.0 Token Introspection標準を使用して認証できます。 この方法により、外部認可サーバーが発行したアクセストークンを検証し、認可されたクライアントのみがAPIにアクセスできるようにします。
Workatoは、受信する各APIリクエストのアクセストークンを検証するために、Identity Provider(IdP)にトークンイントロスペクションリクエストを送信します。
動的クライアント登録
DCRプロバイダーを使用して、複数のAPIクライアント間でトークンイントロスペクション設定を再利用できます。 詳細については、動的クライアント登録を参照してください。
OAuth 2.0 Token Introspectionを設定する
OAuth 2.0 Token Introspection認証を使用するAPIクライアントを設定するには、次の手順を実行します:
OAuth 2.0 Token introspectionを認証方法として選択します。
Identity Provider(IdP)へのHTTPコネクションを選択または作成します。 Workatoは、no-auth、query、basic、header、またはOAuth 2.0認証を使用するHTTPコネクションをサポートしています。
イントロスペクションエンドポイントのEndpoint path(/oauth2/introspectなど)を指定します。 Workatoは、このパスをコネクションのベースURLに追加します。 URL previewには、完全に構築されたエンドポイントが表示されます。
イントロスペクションエンドポイントの設定
APIクライアントを作成すると、クライアント詳細ページに、選択した認証方法、関連付けられたHTTPコネクション、設定済みのトークンイントロスペクションエンドポイントURLが表示されます。
クライアント詳細ページ
トークンイントロスペクションレスポンスを検証する
API呼び出しでOAuth 2.0 Token Introspectionを使用すると、Workatoは設定済みのトークンイントロスペクションエンドポイントにトークン検証リクエストを送信します。
リクエストを検証するには、トークンにWorkatoのAPIクライアントにマッピングされるクレームが含まれている必要があります。 このクレームをIdentity Provider(IdP)で設定する必要があります。
トークンを設定してAPIクライアントにマッピングするには、次の手順を実行します:
クライアントを表すために、Workatoで新しいAPIキーを作成します。
発行されたトークンにこのキーをクレームとして含めるようにIdPを設定します。 Workatoはこのクレームを使用して、トークンを識別し、正しいAPIクライアントと照合します。
Workatoはクレーム値を使用して一致するAPIクライアントを識別し、トークンがアクティブな場合のみ受け入れます。 イントロスペクションレスポンスでトークンが非アクティブであることが示される場合、または必要な形式を満たしていない場合、Workatoは401 Unauthorizedエラーでリクエストを拒否します。
APIでトークンイントロスペクションデータを使用する
Workatoは、APIレシピおよびAPIプロキシでイントロスペクションレスポンスデータを公開します。 レスポンスヘッダーと本文の両方のフィールドには、APIリクエスト出力のIntrospection responseセクションからアクセスできます。
これらのデータピルは、APIレシピの後続ステップ、APIプロキシのリクエストおよびレスポンス変換、またはカスタム認可ロジックで使用します。
Last updated: