承認値の取得元
すべての呼び出し元に対して、呼び出し元のエンドポイントアクセス権を決定する値を保存する必要があります。この値によって、呼び出し元が使用できるエンドポイントと操作が決まります。いくつかの呼び出し元に対しては、呼び出し元のリソースアクセス権を決定する値も保存する必要があります。これらの値によって、呼び出し元が特定リソースで表示や編集ができる特定インスタンスが決まります。ここではこれらをまとめて承認値と呼びます。
IDP
いくつかの認証フローでは、承認値を IDP から取得する必要があるか、IDP でアクセスできる必要があります。これによって、IDP の SAML 応答に含めることができます。以下の Cloud API 認証フローで前述の内容に対応します。
- 内部ユーザー
- 外部ユーザー
呼び出し元アプリケーション自体
他の認証フローでは、承認値は、呼び出し元アプリケーション自体から取得する必要があるか、アクセスできる必要があります。以下の Cloud API 認証フローで前述の内容に対応します。
- スタンドアロン型サービス
- 内部ユーザーのコンテキスト付きサービス
- 外部ユーザーのコンテキスト付きサービス
Guidewire のコンフィギュレーション
サービスアカウントマッピング付きサービスの認証フローでは、呼び出し元アプリケーションがクライアント ID を提供します。この ID は、サービスアカウントにマッピングされ、このサービスアカウントが、承認値の決定に使用されます。この認証フローでは、Guidewire コンフィギュレーション自体に保存されているマッピング情報から承認値を取得します。
動作の概要
以下の表に、これらの動作についてまとめます。
| 内部ユーザー | 外部ユーザー | スタンドアロン型サービス | 内部ユーザーのコンテキスト付きサービス | 外部ユーザーのコンテキスト付きサービス | サービスアカウントマッピング付きサービス | |
|---|---|---|---|---|---|---|
| 承認値の取得元 | IDP | IDP | サービス自体(エンドポイントのアクセスの値のみ。リソースアクセス ID は該当しない) | サービス自体 | サービス自体 | Guidewire のコンフィギュレーション |
すべての考慮事項の概要を 1 つの表で確認する場合、考慮事項の概要を参照してください。