この記事の目次
OAuthとは?
OAuthとは、さまざまなWebサービスやアプリケーションなどを、安全に連動させるための仕組みのことをいいます。
複数のWebサービスやアプリケーションを連動させて利用しようとすると、普通であれば、それぞれに個別のユーザーIDとパスワードなどを入力してユーザー認証を行わなければなりません。
しかし、それでは何度もユーザー認証を行わなければならないことになり、大きな手間となってしまいます。
OAuthを利用することで、IDやパスワードなどを何度も入力することなく、Webサービスやアプリケーション間の連動ができるようになるのです。
Salesforceでは、「Pardot」や「Chatter」など様々なアプリケーションがありますが、OAuthを利用することで、これらのSalesforce関連のアプリケーションに何度もユーザー認証を行うことなく、スムーズに連携させて利用することが可能になります。
OAuthの仕組み
OAuthは、様々なWebサービスやアプリケーションを利用する際の、面倒なユーザー認証を簡略化してくれる仕組みですが、どのような方法でこれを行っているのでしょうか。少々複雑ですが、順に説明していきます。
通常、何かのWebサービスやアプリケーション間の連動、SalesforceであればChatterとPardotなどを連動させる際、安全性を維持するため、両方のアプリでユーザー認証が必要となります。
OAuthでは、ユーザー認証を必要としませんが、このユーザー認証の代わりに「アクセストークン」を使用して、悪質な利用を防ごうとします。
アクセストークンとは、認可証のようなもので、これを持ったアプリ同士であれば、ユーザー認証をすることなく、連動させることができるのです。
クライアントアプリからアクセストークンを、認可サーバーへ要求し、要求してきたクライアントアプリに権限を与えるかユーザーに確認します。
これに対し、ユーザーが承認すれば、クライアントアプリへアクセストークンが渡され、別のアプリケーションなどと連動できるようになります。
OAuthのリスク
OAuthは、一度アクセストークンが提供されてしまえば、それを削除されるまでユーザーが操作することなく連携が認証されてしまいます。これを一般的なアプリである、「Twitter」と「偽の画像共有サービス」で考えてみましょう。 まずは、普通の画像共有サービスとして、Twitterの利用者にサービスに登録させ、画像共有サービスと連携するためにアクセストークンを要求します。 ユーザーは、画像共有サービスとTwitterが連携することで、画像共有サービスへ画像をアップするだけでTwitterへの投稿もできることになる利便性を受けるため、アクセストークンを承認します。 すると、そこからはアクセストークンを受け取っているため、勝手にメッセージを送信したり、ウィルスをダウンロードするページへのリンクをつぶやいたりできるようになります。 こういった事態を防ぐためにも、簡単にOAuthを許可してはいけないのです。サービスの内容を理解し、何の許可を求められているのか理解できない場合は、リスクを考えて拒否しなければなりません。SalesforceでのOAuthの範囲
これから説明するOAuth範囲を接続アプリケーションに割り当てることで、クライアントがアクセスできる保護されたリソースの種別を定義できるようになります。
Pardot(pardot_api)
ユーザーの代理となり、Pardot APIサービスへのアクセスを許可し、サービスを管理します。Chatter フィードへのアクセスと管理 (chatter_api)
ユーザーの代理となり、Connect REST APIリソースへのアクセスを許可します。フルアクセス(full)
ログインユーザーがアクセスできるすべてのデータへのアクセスを許可します。 これは、その他全ての範囲が対象となるため注意が必要です。SalesforceでのOAuth認証フロー
ここでは、クライアントアプリケーションにリソースサーバーの保護されたリソースへの制限付きアクセス権を付与する方法を解説します。
OAuth認証フロー
Salesforceモバイルアプリケーションを開き、ユーザー名とパスワードを入力する認証プロンプトを表示させます。すると、Salesforceモバイルアプリケーションがログイン情報をSalesforceに送信し、OAuth認証フローを始めます。 Salesforceは、ユーザーとモバイルアプリケーションの検証成功を確認するために、アクセストークンと更新トークンをモバイルアプリケーションへ送信します。 その後、モバイルアプリケーションにアクセス権を付与する要求を承認し、モバイルアプリケーションを起動することで終了します。 これらの操作からも分かるように、クライアントアプリケーションに対し、ユーザー名とパスワードを指定して、代わりにリソースサーバーにアクセスさせる方法よりも、OAuth認証の方がリスクは少なく、利便性も高いのです。OAuthでアプリケーションを連携させて効率化を!
今回はOAuthについて紹介しました。ユーザー認証を何度もすることなくWebサービスやアプリケーションを連携させることができる、非常に利便性の高いものです。
しかし、その分リスクも存在するため、これをしっかりと理解した上で利用するようにしましょう。]]>
