呼び出し元アプリケーションが使用する必要がある OAuth フロー
Cloud API は、2 つの OAuth フロー(承認コードフローとクライアント認証情報フロー)をサポートしています。
承認コードフロー
承認コードフローは、ブラウザベースのアプリケーション向けに設計されており、一般的にユーザーインターフェイスを持ちユーザーと対話して処理を行います。
承認コードフロー内の流れ:
- 呼び出し元アプリケーションが Guidewire Hub に JWT を要求します。
- Guidewire Hub は、ユーザーからユーザー名とパスワードを取得します。そして、この情報を適切な IDP に送信します。
- IDP がユーザーを認証します。
- IDP は、ユーザー権限の定義情報とともに SAML 応答を渡します。これには、エンドポイントアクセスの役割名およびリソースアクセス ID が含まれる場合があります。
- Guidewire Hub が、コードを呼び出し元アプリケーションに送信します。呼び出し元アプリケーションは、このコードを使用して JWT を要求します。
- Guidewire Hub は、JWT を呼び出し元アプリケーションに送信します。
呼び出し元アプリケーションは JWT を入手すると、API 要求を ClaimCenter に送信でき(7)、そこで要求が処理されて返信が送信されます(8)。
承認コードフローは、以下の Cloud API 認証フローで使用できます。
- 内部ユーザー
- 外部ユーザー
クライアント認証情報フロー
クライアント認証情報フローはサービス向けに設計されており、一般的にユーザーインターフェイスがなく、同期的なユーザー入力なしでアクションを実行します。
クライアント認証情報フロー内の流れ:
- 呼び出し元が Guidewire Hub に JWT を要求します。
- Guidewire Hub が呼び出し元を認証します。
- Guidewire Hub は、JWT を呼び出し元アプリケーションに送信します。
呼び出し元アプリケーションは JWT を入手すると、API 要求を ClaimCenter に送信でき(4)、そこで要求が処理されて返信が送信されます(5)。
クライアント認証情報コードフローは、以下の Cloud API 認証フローで使用できます。
- スタンドアロン型サービス
- 内部ユーザーのコンテキスト付きサービス
- 外部ユーザーのコンテキスト付きサービス
- サービスアカウントマッピング付きサービス
動作の概要
以下の表に、これらの動作についてまとめます。
| 内部ユーザー | 外部ユーザー | スタンドアロン型サービス | 内部ユーザーのコンテキスト付きサービス | 外部ユーザーのコンテキスト付きサービス | サービスアカウントマッピング付きサービス | |
|---|---|---|---|---|---|---|
| OAuth フロー | 承認コードフロー | 承認コードフロー | クライアント認証情報フロー | クライアント認証情報フロー | クライアント認証情報フロー | クライアント認証情報フロー |
すべての考慮事項の概要を 1 つの表で確認する場合、考慮事項の概要を参照してください。