セッションにアタッチされるユーザー
アタッチされたユーザーがすべてのセッションに存在する必要があります。このユーザーは以下のように使用されます。
- 呼び出しによってデータが作成または変更される場合、ユーザー名は
CreateUserまたはUpdateUserとして記録されます。 - 呼び出しによって履歴イベントが作成される場合、ユーザーはそのイベントにアタッチされます。
- 呼び出しによってオブジェクトが割り当てられる場合、そのユーザー名が assigned by user 情報に使用されます。
また、特定のエンドポイントを使用して特定のリソースを表示するのに十分な権限があることが Cloud API で確認された場合、以下のようになります。
- 呼び出しによって権限制限チェックもトリガされる場合、ユーザーの権限プロファイルが確認されます。
- 呼び出しによってドメインレベルの権限チェックもトリガされる場合、ユーザーの権限も確認されます。
すべての呼び出し元が独自のユーザーアカウントを持つことができる
いくつかの認証フローでは、すべての呼び出し元が独自のユーザーアカウントを持つことができます。これらの状況では、セッションユーザーは呼び出し元ごとに割り当てられます。これらの動作は、呼び出し元ごとに個別に制御することもできます。以下の Cloud API 認証フローで前述の内容に対応します。
- 内部ユーザー
- 内部ユーザーのコンテキスト付きサービス
- サービスアカウントマッピング付きサービス
複数の呼び出し元が 1 つのプロキシユーザーアカウントを共有する
他の認証フローでは、複数の呼び出し元が 1 つのプロキシユーザーアカウントを共有します。個々の呼び出し元が ClaimCenter データベースにリストされてないためにセッションユーザーを呼び出し元ごとに変更できない状況で行われます。これらの状況では、単一のプロキシユーザーが、すべての種類の呼び出し元に割り当てられます(外部ユーザーまたはサービス)。以下の Cloud API 認証フローで前述の内容に対応します。
- 外部ユーザー
- スタンドアロン型サービス
- 外部ユーザーのコンテキスト付きサービス
動作の概要
以下の表に、これらの動作についてまとめます。
| 内部ユーザー | 外部ユーザー | スタンドアロン型サービス | 内部ユーザーのコンテキスト付きサービス | 外部ユーザーのコンテキスト付きサービス | サービスアカウントマッピング付きサービス | |
|---|---|---|---|---|---|---|
| 呼び出しごとにユーザーをセッションにアタッチできるかどうか | はい |
いいえ (すべての関連する呼び出しに、単一の「外部プロキシユーザー」が使用されます) |
いいえ (すべての関連する呼び出しに、単一の「サービスプロキシユーザー」が使用されます) |
はい |
いいえ (すべての関連する呼び出しに、単一の「サービスプロキシユーザー」が使用されます) |
はい |
すべての考慮事項の概要を 1 つの表で確認する場合、考慮事項の概要を参照してください。