カスタムOAuth アプリケーションの作成

CData はOAuth アプリケーション認証情報を製品に組み込んでおり、デスクトップアプリケーションまたはヘッドレスマシン経由でJSON に接続する際に使用できます。

（OAuthAccessToken およびその他の設定パラメータを取得および設定する方法についての情報は、「JSON への接続」の デスクトップ認証セクションを参照してください。）

ただし、Web 経由で接続するには、カスタムOAuth アプリケーションの作成が必要です。また、カスタムOAuth アプリケーションは、一般的に使用される3つの認証フローをすべてシームレスにサポートするため、これらの認証フロー用にカスタムOAuth アプリケーションを作成（独自のOAuth アプリケーションクレデンシャルを使用）することもできます。

カスタムOAuth アプリケーションは、次のような場合に有用です。

• 認証ダイアログのブランディングをコントロールしたいとき
• ユーザー認証後にアプリケーションがユーザーをリダイレクトするためのリダイレクトURI をコントロールしたいとき
• ユーザーからのリクエストに対する許可をカスタマイズしたいとき

以下のセクションでは、Directory API を有効化し、ユーザーアカウント（OAuth）およびサービスアカウント（OAuth / JWT）用のカスタムOAuth アプリケーションを作成する方法について説明します。

Cloud Storage API を有効化

次の手順に従いCloud Storage API を有効化します。

1. Google Cloud Console に移動します。
2. 左側のナビゲーションメニューからライブラリを選択します。API ライブラリページが開きます。
3. 検索ボックスに、"Cloud Storage API" と入力し、検索結果からCloud Storage API を選択します。
4. Cloud Storage API ページで、有効にするをクリックします。

OAuth アプリケーションの作成

カスタムOAuth アプリケーションを作成して必要なOAuth 接続プロパティを取得するには、以下の手順に従ってください。

ユーザーアカウント（OAuth）

AuthScheme がOAuth であり、Web アプリケーション上で認証する必要があるユーザーの場合は、必ずカスタムOAuth アプリケーションを作成する必要があります。 （デスクトップおよびヘッドレスフローでのカスタムOAuth アプリケーションの作成は任意です。）

以下の手順に従います。

1. Google Cloud コンソールに移動します。
2. 新しいプロジェクトを作成するか、既存のプロジェクトを選択します。
3. 左側のナビゲーションメニューで、認証情報を選択します。
4. このプロジェクトに同意画面がまだ設定されていない場合は、同意画面を設定 をクリックして作成します。Google Workspace アカウントを使用しない場合、User Type が外部の同意画面の作成に制限され、ユーザーサポートメールとデベロッパーの連絡先情報を指定する必要があります。 追加情報は任意です。
5. 認証情報ページで認証情報を作成 -> OAuth クライアントID を選択します。
6. アプリケーションの種類メニューでウェブアプリケーションを選択します。
7. カスタムOAuth アプリケーションの名前を指定します。
8. 承認済みのリダイレクトURI の下にあるURI を追加をクリックし、リダイレクトURI を入力します。
9. Enter をクリックし、続けて作成をクリックします。Cloud コンソールは認証情報ページに戻ります。
   ウィンドウが開き、クライアントId とクライアントシークレットが表示されます。
10. 後でOAuthClientId とOAuthClientSecret として使用するために、クライアントId とクライアントシークレットを記録しておきます。

Note： クライアントシークレットはGoogle Cloud コンソールからアクセス可能です。

サービスアカウント（OAuthJWT）

サービスアカウント（AuthScheme OAuthJWT）をOAuth フローで使用することで、ドメイン内のユーザーの代わりにGoogle API にアクセスすることができます。 ドメイン管理者はドメイン全体のアクセスをサービスアカウントに委任することができます。

新しいサービスアカウントを作成するには：

1. Google Cloud コンソールに移動します。
2. 新しいプロジェクトを作成するか、既存のプロジェクトを選択します。
3. 左側のナビゲーションメニューで、認証情報を選択します。
4. 認証情報を作成 -> サービスアカウントを選択します。
5. サービスアカウントの作成ページで、サービスアカウント名、ID、およびオプションの説明を入力します。
6. 完了をクリックします。Cloud コンソールは認証情報ページを再表示します。
7. サービスアカウントセクションで、作成したサービスアカウントを選択します。
8. 詳細設定セクションをクリックし、ドメイン全体の委任を有効にします。
9. メイン全体の委任用に表示されるクライアントID を記録します。これは管理コンソールで使用します。
10. 新しいタブで、Google Admin コンソールに移動します。
11. セキュリティ -> API の制御 -> ドメイン全体の委任に移動します。
12. ドメイン全体の委任を管理をクリックし、次に新しく追加をクリックします。
13. 記録したクライアントID と必要なスコープのリストを入力します。詳しくは、OAuth スコープとエンドポイント を参照してください。
14. Cloud コンソールに戻り、サービスアカウントのキータブを選択します。
15. 鍵を追加 -> 新しい鍵を作成 をクリックします。
16. サポートされているキータイプを選択します（OAuthJWTCert およびOAuthJWTCertType を参照）。
17. 作成をクリックします。キーは自動的にデバイスにダウンロードされます。
18. 後で使用するために追加情報を記録します。

サービスアカウントフローでは、本製品 はJSON Web Token（JWT）をOAuthAccessToken と交換します。 上記の手順でダウンロードした秘密鍵は、JWT に署名するために使用されます。 本製品 は、ドメイン全体の委任を通じて設定されたスコープを含む、サービスアカウントに付与された権限を継承します。