ホーム > ドキュメント > 認証・認可

認証・認可

概要

『奉行クラウド』に接続するアプリケーションを認証し、『奉行クラウド』の環境への接続を許可することで、奉行クラウド API を利用できます。

奉行クラウド API の認証・認可フロー

開発するアプリケーションによって認証・認可のフローが異なります。

Web アプリケーション

OAuth2.0 認可コードフローを利用できます。
OAuth2.0 とは、サードパーティのサービス/アプリケーションへ、Web サービスへのアクセス権限を安全に付与するための API 認可フレームワークです。
アプリケーションは『奉行クラウド』のユーザー秘匿情報(例えば、パスワード)を管理する必要がなく、発行されたアクセストークンを使用して安全に接続できます。

Web アプリケーション以外

『管理ポータル』で固定のアクセストークンを発行するフローを利用できます。
『管理ポータル』で発行したアクセストークンをアプリケーションで使用して、奉行クラウド API を呼び出すことができます。
ただし、発行された固定のアクセストークンを保管する必要があるため、漏洩する危険を考慮して、厳重に管理する必要があります。

参考
『奉行クラウド』に残るログなどの情報は、アクセストークンを取得したOBCiD(利用者)になります。
また、アクセストークンを取得したOBCiD(利用者)に対して、『奉行クラウド』で設定した業務の権限は API では適用されません。

アクセストークンの取得(Web アプリケーション)

OAuth 2.0 認可コードフローで、 token API を使用してアクセストークン、リフレッシュトークンを取得します。

アクセストークンの取得

アプリケーションから、API の使用を開始するために、以下の認可フロー開始要求(GET)を発行します。

https://id-demo.obc.jp/oauth2/authorizerequest/?response_type=code&client_id={クライアントID}&redirect_uri={https%3a%2f%2flocalhost%2f}&state={sample}

参考
クエリストリングの各パラメータの値は、URL エンコーディングしてください。

『奉行クラウド』は、上記要求によりブラウザ上にお客様利用環境の確認画面を表示します。
お客様は、『奉行クラウド』の環境のURLを入力します。

ブラウザ上にログイン画面が表示されます。お客様が、ログインします。

認可画面が表示されます。
アプリケーションからお客様の『奉行クラウド』の環境への接続を、お客様が許可します。

『奉行クラウド』は、アクセストークンを取得するための認可コードを発行します。
「奉行クラウド ConnectPartner」のご契約時に記載したアプリケーションの「認可フローリダイレクトURI」に、認可コードを指定してリダイレクト(GET)をします。

https://localhost/?code={認可コード}&state={sample}

token API を実行し、アクセストークンを取得します。
API のレスポンスの Response Body からアクセストークンを取得できます。

Response Body

{ 
    "access_token": "string",
    "refresh_token": "string",
    "expires_in": "string",
    "token_type": "string"
}

取得したアクセストークンを使用して API を呼び出します。
API のリクエストヘッダーに「6. アクセストークンの取得」で取得したアクセストークンを指定します。

Request Header

Authorization: Bearer アクセストークン

アクセストークンのリフレッシュ

アクセストークンと一緒に取得できるリフレッシュトークンを使用すると、アクセストークンの有効期限が切れた後でも、アクセストークンを再発行できます。
リフレッシュトークンは、一度しか使用できません。
アクセストークンを再発行すると、新しいリフレッシュトークンも再発行されるため、次回利用する際には、新しいリフレッシュトークンを使用する必要があります。

以前取得したアクセストークンを使用して API を呼び出します。

アクセストークンの有効期限が過ぎている場合、ステータスコード「401 Unauthorized」が返されます。
次の手順をすることで、処理を中断せずにアクセストークンを再発行できます。

リフレッシュトークンを指定して、token API を実行し、アクセストークンを再発行します。
API のレスポンスの Response Body からアクセストークン、リフレッシュトークンを取得できます。

Response Body

{
    "access_token": "string",
    "refresh_token": "string",
    "expires_in": "string",
    "token_type": "string"
}

更新したアクセストークンを使用して、改めて API を呼び出します。
API のリクエストヘッダーに「3. アクセストークンの更新」で取得したアクセストークンを指定します。

Request Header

Authorization: Bearer アクセストークン

アクセストークンの取得(Web アプリケーション以外)

『管理ポータル』から固定のアクセストークンを取得します。

『管理ポータル』へログインし、[連携アプリケーション]メニューを選択します。

[アクセストークンの発行]ボタンをクリックし、連携アプリケーション名を入力し、[登録]ボタンをクリックします。

[発行する]ボタンをクリックし、アクセストークンを発行すると画面上にアクセストークンが表示されます。

アクセストークン:***********************************************


[情報のコピー]ボタンをクリックすると、クリップボードにコピーできます。
発行したアクセストークンを API のリクエストヘッダーに設定することで、奉行クラウド API を実行できます。

取得したアクセストークンを使用してAPIを呼び出します。
API のリクエストヘッダーに「2. アクセストークンの発行」で取得したアクセストークンを指定します。

Request Header

Authorization: Bearer アクセストークン