OAuthクライアントを作成する

特集の延期:組み込みクライアントでの Proof Key for Code Exchange (PKCE) 付与タイプの承認は一時的に延期されました。チェックしてくださいGenesys Cloud - 近日公開予定の機能最新の空き状況情報については、こちらをご覧ください。

機能の廃止:Genesys は、OAuth 認証のトークン暗黙的付与 (ブラウザ) オプションを廃止します。 既存のすべてのお客様は、OAuth 2 認証の Proof Key for Code Exchange (PKCE) 付与タイプに移行することをお勧めします。この廃止の詳細については、以下を参照してください。非推奨:OAuth 認証のトークン暗黙的付与(ブラウザ)オプション

前提条件
  • OAuth > クライアント > 追加する 許可

OAuthクライアントでは、プラットフォームAPIへのリクエスト、Genesys Cloudに対する認証、またはGenesys Cloudとサードパーティシステム間のエンティティの同期を行うことができます。

この手順は、Genesys Cloudへのリクエストを可能にするトークンをアプリに取得させたいアプリケーションプロバイダー向けです。プラットフォームAPI。トークンは、アプリがGenesys Cloudデータにアクセスするためのユーザーの権限を表し、アプリがAPIエンドポイントへのリクエストを承認する必要がある場合に使用されます。Genesys Cloud Platform APIのリストについては、 APIリソースGenesys Cloud 開発者センターで。 

  1. 管理をクリックします。
  2. 統合の下でクリックOAuth
  3. クリックメニュー> ITと統合> OAuth
  4. OAuthページで、クライアントを追加。 「新しいクライアントの追加」ページが表示されます。
  5. の中でアプリ名フィールドにアプリケーションの名前を入力します。
  6. (オプション)説明フィールドに説明を入力します。
  7. の中で助成金の種類フィールドで、許可の種類を選択します。許可タイプは、アプリケーションがアクセス トークンを取得する方法を設定します。Genesys Cloudは、以下にリストされているOAuth2認証付与タイプをサポートしています。付与タイプの名前をクリックすると、Genesys Cloud Developer Center からその付与タイプに関する詳細情報が表示されます。
    • クライアント資格情報:非ユーザー アプリケーション (Windows サービスや cron ジョブなど) 専用の 1 ステップ認証プロセス。クライアントアプリケーションは、アクセストークンと引き換えにOAuthクライアントの認証情報を提供します。この認証タイプはユーザーのコンテキストではないため、ユーザー固有の API (たとえば、GET /v2/users/me) にアクセスできません。Salesforce用Genesys Cloudの役割を割り当てる場合は、以下も参照してください。 Genesys Cloud for SalesforceのOAuthクライアント権限
    • コード認証/ PKCE :
    • ユーザーが Genesys Cloud で認証し、クライアント アプリケーションに認証コードが返される 2 段階の認証プロセス。クライアントアプリケーションはOAuthクライアントの認証情報を提供し、認証コードを使用してアクセストークンを取得します。認証されたAPI呼び出しを行うときにアクセストークンを使用できます。このオプションは最も安全で、次のような Web サイトに最適です。
      • API リクエストはサーバー側 (ASP.NET や PHP など) で行われます。
      • 一部のデスクトップ アプリケーションのシン クライアントは、ユーザーを認証し、認証コードをバックエンド サーバーに渡して認証トークンと交換し、API リクエストを行います。
    • トークンの暗黙的な付与(ブラウザ) :ユーザーがGenesys Cloudで認証し、クライアントアプリケーションがアクセストークンを直接返す、1ステップ認証プロセス。このオプションでは、アクセス トークンのセキュリティは認証コードの付与よりも低くなりますが、クライアント側のブラウザー アプリケーション (JavaScript など) やほとんどのデスクトップ アプリケーション (.NET WPF/WinForms や Java デスクトップ プログラムなど) に最適です。
    • SAML2 ベアラー:クライアント アプリケーションが Security Assertion Markup Language (SAML2) アサーションを使用してベアラー トークンを要求できる認証プロセス。詳細については、 Genesys Cloud シングルサインオンおよび ID プロバイダーソリューション
       メモ:   単一のコード認証または暗黙の付与タイプをすべてのリージョンで使用できます。
  8. をクリックします。
  9. (クライアント資格情報付与タイプのみ) 適用する必要があるロールを選択する必要があります。他の付与タイプがアクセス制御の影響を受けることはありません。このアクションにより、選択できるロールのリストが開きます。「ロールの割り当て」テーブルの「割り当て済み」列で、各ロールで使用可能な切り替えを有効にします。OAuth クライアント統合で何ができるかを決定するために、最小限のロール セットを割り当てます。
     メモ:   OAuthクライアントに役割を付与するには、それらの役割をプロファイルに割り当てる必要があります。
    また、各役割を 部門.クライアント資格情報付与のロールに関連付ける部門を決定します。すべてのClient Credential付与役割は、デフォルトでHome Divisionにスコープされています。適切な部門で更新して、それらの助成金を使用するアプリケーションとシステムが適切なデータにアクセスできるようにします。クライアント資格情報の付与がサードパーティによって提供される場合は、サードパーティに確認して付与の使用を理解し、ロールの部門を適切に更新します。クリック
  10. クライアント資格情報の付与タイプについては、次の情報を入力します。  
    • トークンの有効期間(秒):Eトークンに必要な期間を入力します。このクライアントで作成されたトークンが期限切れになるまでの期間を設定します。デフォルトの期間を受け入れるか、300から172800秒の間の値を入力します。これにより、トークンの有効期間が最大 2 日以下に設定されます。
      注意: お客様の組織でHIPAAコンプライアンスが有効な場合、Genesys Cloudは15分のアイドルタイムアウトを強制し、このアイドルタイムアウトはOAuthクライアントが発行するトークンにも適用されます。 詳細については、 HIPAAコンプライアンス

    その他の助成金の種類については、次の詳細を入力します。

    • トークンの有効期間(秒):Eトークンに必要な期間を入力します。このクライアントで作成されたトークンが期限切れになるまでの期間を設定します。デフォルトの期間を受け入れるか、300から172800秒の間の値を入力します。これにより、トークンの有効期間が最大 2 日以下に設定されます。
      注意: お客様の組織でHIPAAコンプライアンスが有効な場合、Genesys Cloudは15分のアイドルタイムアウトを強制し、このアイドルタイムアウトはOAuthクライアントが発行するトークンにも適用されます。 詳細については、 HIPAAコンプライアンス
    • 承認されたリダイレクト URI (1 行に 1 つ、最大 125 個) :認証コードはこれらの URI に投稿され、後続の API 呼び出しを認証するために使用するアクセス トークンと交換されます。
    • 範囲:クライアント資格情報を除くすべての許可の種類には、スコープ設定があります。[スコープ] ボックスをクリックすると、アプリで使用できるスコープのリストが表示されます。ベストプラクティスとして、アプリに必要な最小限の範囲のみを選択してください。スコープの詳細については、以下を参照してください。 OAuthスコープ開発者センターで。

    をクリックします。

  11. クリック保存。クライアントが作成されたことを確認するメッセージが表示されます。 
  12. [新しいクライアントの追加] ページに、[クライアント シークレット] セクションが表示されます。「クライアント シークレット」フィールドには、ユーザーがトークンを要求したときにアプリケーションが ID を証明するために使用する秘密の文字列が表示されます。このシークレットは、アプリケーション パスワードとも呼ばれます。
    注記:このシークレットはセットアップ時に 1 回だけ表示できます。
    このフィールドでは次のアクションを実行できます。
    • パスワードの詳細を表示するには、見せる
    • パスワードをコピーするには、コピー
    • 新しい秘密コードを生成するには、新しいシークレットを生成する。[新しいクライアント シークレットを生成しますか?] ダイアログ ボックスが表示されます。
      • 確認するをクリックします。
      • パスワードが変更されたことを確認するメッセージが表示されます。  
  13. クリック仕上げる。 [クライアント シークレットのコピーと保存] ダイアログ ボックスが表示されます。
  14. クリック確認する。作成したアプリが、ページの下部に次のセクションとともに表示されます。
    • 作成者:クライアントを作成したユーザーの名前を表示します。
    • 日付:新しいクライアントの作成日を表示します。
    • 更新者:クライアントの詳細を変更したユーザーの名前を表示します。
    • 日付:クライアントの変更日を表示します。

    Genesys Cloud OAuth クライアントが使用できるようになりました。 

    前提条件
    • OAuth > クライアント > 追加する 許可

    どちらの状況でも該当する場合は、Genesys Cloud Embeddable Framework用のOAuthクライアントを作成します。

    • パブリック展開を実装したいと考えています。
    • アクセスするプライベートデプロイメントを実装したい場合認証トークンを取得するframework.js ファイルのメソッド。詳細については、 User.getAuthToken Genesys Cloud 開発者センターで。

    OAuthクライアントは、開発者が使用できるクライアントIDを生成します。クライアントID framework.js ファイル内。詳細については、クライアントID Genesys Cloud 開発者センターで。

    1. 管理をクリックします。
    2. 統合の下でクリックOAuth
    3. クリックメニュー> ITと統合> OAuth
    4. クリッククライアントを追加。 「新しいクライアントの追加」ページが表示されます。
    5. の中でアプリ名フィールドにアプリケーションの名前を入力します。
    6. (オプション)説明フィールドに説明を入力します。
    7. の中で助成金の種類フィールドでは、次のいずれかのオプションを選択できます。
      • コード認証/ PKCE :ユーザーが Genesys Cloud で認証し、クライアント アプリケーションに認証コードが返される 2 段階の認証プロセス。クライアントアプリケーションはOAuthクライアントの認証情報を提供し、認証コードを使用してアクセストークンを取得します。認証されたAPI呼び出しを行うときにアクセストークンを使用できます。このオプションは最も安全で、次のような Web サイトに最適です。
        • API リクエストはサーバー側 (ASP.NET や PHP など) で行われます。
        • 一部のデスクトップ アプリケーションのシン クライアントは、ユーザーを認証し、認証コードをバックエンド サーバーに渡して認証トークンと交換し、API リクエストを行います。
        • PKCE 付与は、パブリック クライアントが使用するための認証コード フローの拡張です。
      • トークンの暗黙的な付与(ブラウザ) :ユーザーがGenesys Cloudで認証し、クライアントアプリケーションがアクセストークンを直接返す、1ステップ認証プロセス。このオプションでは、アクセス トークンのセキュリティは認証コードの付与よりも低くなりますが、クライアント側のブラウザー アプリケーション (JavaScript など) やほとんどのデスクトップ アプリケーション (.NET WPF/WinForms や Java デスクトップ プログラムなど) に最適です。
        注記:新しい OAuth クライアントの作成における Token Implicit Grant (Browser) が廃止されたため、コンプライアンスと中断のないアクセスを確保するには、すでにサポートされており、OAuth 2.0 に準拠したより強力なセキュリティを提供する PKCE フローを使用した認証コードに移行する必要があります。詳細については、暗黙的付与から PKCE 認証に移行するにはどうすればよいですか?
    8. をクリックします。
    9. の中でトークンの有効期間(秒)フィールドに、トークンに必要な期間を入力します。デフォルトの期間を受け入れるか、300から172800秒の間の値を入力します。この期間により、トークンの有効期間が最大 2 日以下に設定されます。
      注記:Genesys では、トークンの有効期間を 18 時間 (64,800 秒) に設定することをお勧めします。この期間により、通常、エージェントの通常の勤務時間外にトークンの有効期限が切れます。
    10. の中で承認されたリダイレクト URI (1 行に 1 つ)ボックスに、Genesys Cloud リージョンに応じてカスタマイズされた https://apps.mypurecloud.com/crm/index.html を追加します。
      メモ: 
      • 使用 AWSリージョン 展開に応じて。
      • 設定した場合専用ログインウィンドウframework.jsファイルでtrueに設定し、https://apps.mypurecloud.com/crm/authWindow.htmlの下に承認されたリダイレクトURI 。詳細については、専用ログインウィンドウ設定開発者センターで。
      • Genesysが一般公開を公開した後、Genesysは使用する新しいURIを提供します。
    11. 「スコープ」フィールドで、必要なスコープを選択します。さらにスコープを追加することもできます。必要なスコープのリストについては、以下を参照してください。 Genesys Cloud組み込みクライアントの管理者要件.スコープの詳細については、以下を参照してください。 OAuthスコープ開発者センターで。
    12. クリック保存。 [新しいクライアントの追加] ページに、[クライアント シークレット] セクションが表示されます。「クライアント シークレット」フィールドには、ユーザーがトークンを要求したときにアプリケーションが ID を証明するために使用する秘密の文字列が表示されます。このシークレットは、アプリケーション パスワードとも呼ばれます。
      注記:このシークレットはセットアップ時に 1 回だけ表示できます。
      このフィールドでは次のアクションを実行できます。
      • パスワードの詳細を表示するには、見せる
      • パスワードをコピーするには、コピー
      • 新しい秘密コードを生成するには、新しいシークレットを生成する。「新しいクライアントシークレットを生成しますか?」ダイアログボックスが表示されます
        • [新しいクライアント シークレットを生成しますか?] ダイアログ ボックスが表示されます。クリック確認する
        • パスワードが変更されたことを確認するメッセージが表示されます。  
    13. 終了をクリックします。
    14. [クライアント シークレットのコピーと保存] ダイアログ ボックスが表示されます。パスワードをコピーして保存したことを確認するには、チェックボックスを選択します。続行すると、このパスワードを再度表示できなくなります。 
    15. クリック確認する。作成したアプリが、ページの下部に次のセクションとともに表示されます。
      • 作成者:クライアントを作成したユーザーの名前を表示します。
      • 日付:新しいクライアントの作成日を表示します。
      • 更新者:クライアントの詳細を変更したユーザーの名前を表示します。
      • 日付:クライアントの変更日を表示します。

    開発者にクライアントIDを提供し、開発者はクライアントIDをclientIdsframework.js ファイル内。詳細については、クライアントID開発者センターで。

    統合の詳細については、以下を参照してください。 Genesys Cloud Embeddable Frameworkについて.

    前提条件
    • OAuth > クライアント > 追加する 許可
    • ユーザーに割り当てられた SCIM 統合ロール
    • SCIM 統合が表示されない場合は、Genesys Cloud 組織にデフォルトの役割を復元します。API Explorerを使用してAPI呼び出しを行います POST / api / v2 / authorization / roles / デフォルト.詳細については、以下を参照してください。 開発者ツールのクイックスタート 開発者センターでアクセスAPIエクスプローラー開発者センターで。

    Genesys Cloud SCIM (Identity Management) を使用するには、Genesys Cloud OAuth クライアントを作成します。OAuth クライアントは、ID 管理システムに追加するクライアント ID とクライアント シークレットを生成します。 

    1. 管理をクリックします。
    2. 統合の下でクリックOAuth
    3. クリックメニュー> ITと統合> OAuth
    4. クリッククライアントを追加。 「新しいクライアントの追加」ページが表示されます。
    5. の中でアプリ名フィールドにアプリケーションの名前を入力します。
    6. (オプション)説明フィールドに説明を入力します。
    7. の中で助成金の種類フィールドで、クライアント資格情報を選択します。各許可の詳細については、「プラットフォーム API」タブの手順 8 を参照してください。
    8. をクリックします。
    9. 「ロールの割り当て」テーブルの「割り当て済み」列で、SCIM 統合ロールを割り当てます。
      注記:このロールを OAuth クライアントに付与するには、このロールをプロファイルに割り当てる必要があります。OAuth クライアントに他のロールを割り当てたり、SCIM 統合ロールに他の権限を割り当てたりしないでください。他の役割や権限を割り当てない場合は、トークンの有効期間(秒)フィールドはデフォルト値の 86,400 秒に戻ります。また、SCIM で管理するすべての部門を含めます。
    10. をクリックします。
    11. の中でトークンの有効期間(秒)フィールドに、トークンに必要な期間を入力します。トークンの有効期間は、このクライアントで作成されたトークンの有効期限が切れるまでの期間です。86,400 というデフォルトの継続時間を受け入れるか、300 ~ 38,880,000 秒の値を入力します。これにより、トークンの有効期間は最大 450 日に設定されます。
      注記:SCIM 統合ロールまたは同じ権限を持つカスタム ロールを使用する場合にのみ、最大値を 38,880,000 秒に設定できます。
    12. クリック保存。クライアントが作成されたことを確認するメッセージが表示されます。[新しいクライアントの追加] ページに、[クライアント シークレット] セクションが表示されます。「クライアント シークレット」フィールドには、ユーザーがトークンを要求したときにアプリケーションが ID を証明するために使用する秘密の文字列が表示されます。このシークレットは、アプリケーション パスワードとも呼ばれます。
      注記:このシークレットはセットアップ時に 1 回だけ表示できます。
      このフィールドでは次のアクションを実行できます。
      • パスワードの詳細を表示するには、見せる
      • パスワードをコピーするには、コピー
      • 新しい秘密コードを生成するには、新しいシークレットを生成する。「新しいクライアントシークレットを生成しますか?」ダイアログボックスが表示されます
        • [新しいクライアント シークレットを生成しますか?] ダイアログ ボックスが表示されます。クリック確認する
        • パスワードが変更されたことを確認するメッセージが表示されます。  
    13. 終了をクリックします。
    14. [クライアント シークレットのコピーと保存] ダイアログ ボックスが表示されます。パスワードをコピーして保存したことを確認するには、チェックボックスを選択します。続行すると、このパスワードを再度表示できなくなります。 
    15. クリック確認する。作成したアプリが、ページの下部に次のセクションとともに表示されます。
      • 作成者:クライアントを作成したユーザーの名前を表示します。
      • 日付:新しいクライアントの作成日を表示します。
      • 更新者:クライアントの詳細を変更したユーザーの名前を表示します。
      • 日付:クライアントの変更日を表示します。

    このページではさらに次のアクションを実行できます。

    • クライアントの詳細を編集するには、クライアントを編集ボタン。
    • 作成したクライアントを削除するには、クライアントを削除ボタン。

    Genesys Cloud SCIM(ID管理)の詳細については、以下を参照してください。 Genesys Cloud SCIM(ID管理)についておよび Genesys Cloud SCIM(ID管理)の概要 (Genesys Cloud Developer Center)。