組織のシステム管理者向けの接続アプリケーション

組織のシステム管理者は、[Access Management (アクセス管理)] で接続アプリケーションを表示および管理できる唯一のユーザーです。認証ポリシーを使用して、ユーザーデータへのアクセスを認証できるアプリケーションを指定し、ユーザーが使用するアプリケーションを許可リストに登録できます。 接続アプリケーションを管理するには、​[Access Management (アクセス管理)]​ に移動して ​[Connected Apps (接続アプリケーション)]​ タブを選択します。​[Owned Apps (所有アプリケーション)]​ セクションでアプリケーションを追加し、​[Authorizations (認証)]​ セクションでアプリケーションのアクセスを管理できます。 [Owned Apps (所有アプリケーション)]​ セクションについての詳細は、​アプリケーション開発者​向けのドキュメントを参照してください。

セキュリティを維持するために、[Access Management (アクセス管理)] で接続アプリケーションを表示および管理できるのはルートレベルの組織のシステム管理者のみになっています。

認証

[Authorizations (認証)]​ セクションを使用して、ユーザーのデータへのアクセスが認証されているアプリケーションを管理します。アプリケーションの横にある ​[…​]​ アイコンをクリックして、詳細を表示したり、組織からアプリケーションを削除したります。 アプリケーションのアクセスを取り消すと、アプリケーションの OAuth 2.0 アクセストークンと更新トークンが取り消され、アプリケーションはユーザーデータにアクセスできなくなります。

ユーザーに対して次の 2 種類のうちいずれかの認証ポリシーを設定できます。

  • 無制限

    組織のメンバーは、接続アプリケーションが自分の代わりにアクションを実行することを認証できます。
  • 制限あり

    自分の代わりにアクションを実行することを組織のメンバーが認証できるのは、システム管理者によって許可リストに追加された接続アプリケーションのみです。

デフォルトでは、​[Unrestricted (無制限)]​ ポリシーが有効になっています。ポリシーを ​[Restricted (制限あり)]​ に変更すると、アプリケーションの許可リストが有効になり、既存のすべてのアプリケーション認証が自動的に追加されます。 [Restricted (制限あり)]​ ポリシーを使用する場合、すべての内部アプリケーションの自動承認を無効にすることができます。その場合、他の接続アプリケーションと同様に、各内部アプリケーションを許可リストに追加する必要があります。

アプリケーション許可リスト

許可リストが有効になっている場合、組織のユーザーは許可リストに登録されているアプリケーションのみを使用できます。ユーザーが許可リストに登録されていないアプリケーションを認証しようとすると、組織のシステム管理者に問い合わせるよう求められます。

アプリケーションが許可リストに登録されていない場合にユーザーに表示されるインターフェース

組織のシステム管理者は、エンドユーザーから提供されたリンクを辿ることでアプリケーションを許可リストに追加できます。

システム管理者がアプリケーションを許可リストに追加するときに表示されるインターフェース

場合によっては、アプリケーションから追加スコープが要求されることがあります。これは、アプリケーション開発者が製品に新機能を追加し、組織内のより多くのデータにアクセスする必要がある場合に発生します。 以前許可リストに登録されたアプリケーションにユーザーが新しいセットのスコープを提供するには、それらの追加スコープを使用してそのアプリケーションを再度許可リストに追加する​必要があります​。

システム管理者がアプリケーションを許可リストに再追加するときに表示されるインターフェース

アプリケーションが再度許可リストに追加されない限り、既存の認証が機能し続けます。許可リストにすでに登録されているスコープのセットを使用した新規認証も許可されます。 スコープを削除したアプリケーションを再度許可リストに追加する必要はありません。

同じ組織のユーザーによって作成されたアプリケーションは​内部アプリケーション​としてマークされ、手動で許可リストに登録する必要はありません。

ルート組織とビジネスグループ

デフォルトでは、接続アプリケーションはビジネスグループ (サブ組織) レベルではなくルート組織レベルで設定されます。

クライアントログイン情報を使用して独自に動作する接続アプリケーションを作成する場合、スコープを選択した後で、それを有効にするルート組織またはビジネスグループを選択できます。

ユーザーの代理となる接続アプリケーションは、ユーザーがアクセスできるスコープ、組織、およびビジネスグループに基づいて、独自のアクセスと権限を受け取ります。