Vantage API を使用したクライアントの作成

プロビジョニングを自動化する必要がある場合は、API クライアントをプログラムで作成します。たとえば、infrastructure-as-code の一環として行う場合や、複数のアプリを大規模に統合する場合です。クライアントを作成する前に、Vantage API で認証を行ってください。詳細は、Authentication を参照してください。

クライアントの作成

次のリクエスト本文パラメーターを指定して、Authorization: Bearer <access token> ヘッダー付きの POST リクエストを {baseUrl}/api/adminapi2/v1/tenants/{tenantId}/clients/ に送信します。

Parameter	Description
`clientId`	クライアントの識別子です。
`clientName`	クライアント名です (たとえば、アプリ名) 。
`allowOfflineAccess`	access token とともに refresh token も生成するかどうかを指定します。アプリケーションは refresh token を使用して、ユーザーの操作なしで access token を更新できます。デフォルト: false。
`allowRememberConsent`	ユーザーが同意に関する選択を保存できるかどうかを指定します。デフォルト: true。
`backChannelLogoutSessionRequired`	Backchannel Logout のメカニズムを必須にするかどうかを指定します。デフォルト: true。
`requireClientSecret`	クライアントシークレットを必須にするかどうかを指定します。デフォルト: true。
`requireConsent`	同意画面を必須にするかどうかを指定します。デフォルト: false。
`allowNoPkce`	Proof Key for Code Exchange (PKCE) なしの認可コードフローを許可するかどうかを指定します。デフォルト: false。つまり、PKCE ありの認可コードフローのみが許可されます。
`allowedGrantTypes`	クライアントが使用できる grant type です。
`allowedCorsOrigins`	デフォルトの cross-origin resource sharing (CORS) メカニズムを使用するかどうかを指定します。
`allowedScopes`	トークンで渡される scope です。`"openid"`、`"permissions"`、`"publicapi.all"` を正確に含む array である必要があります。
`postLogoutRedirectUris`	ログアウト後のリダイレクト先として許可される URI の一覧です。
`redirectUris`	認可トークンのリダイレクト先として許可リストに登録する Web サイトまたはアプリの URL の一覧です。プレフィックスも指定できます。プレフィックスが一致した場合、その配下の任意の URL が許可されます。例: `["https://myDomain.", "https://myApp.myDomain.com/oauth-signin.html"]`。
`accessTokenLifetime`	発行された access token によって Vantage へのアクセスが許可される期間です。デフォルト: 24 時間。
`refreshTokenLifetime`	最初の access token の発行時点から始まる絶対期間で、この期間中は refresh token を使用して access token を更新できます。デフォルト: 30 日。

Resource Owner Password Credentials (ROPC) を使用して認証する場合は、allowRopc を true に設定します。ROPC では、ユーザーが認証情報をアプリケーションに直接送信する必要があるため、信頼できる機密クライアントに対してのみ使用してください。

リクエスト例

Linux または macOS
Windows (cmd)

curl --location --request POST '{baseUrl}/api/adminapi2/v1/tenants/{tenantId}/clients/' \
  -H 'accept: application/json' \
  -H 'Authorization: Bearer {token}' \
  -H 'Content-Type: application/json' \
  -d '{
    "clientId": "{clientId}",
    "clientName": "{clientName}",
    "allowOfflineAccess": true,
    "allowRememberConsent": true,
    "backChannelLogoutSessionRequired": true,
    "requireClientSecret": true,
    "requireConsent": false,
    "allowNoPkce": true,
    "allowedGrantTypes": ["{allowedGrantTypes}"],
    "allowedCorsOrigins": ["{allowedCorsOrigins}"],
    "allowedScopes": ["openid", "permissions", "publicapi.all"],
    "postLogoutRedirectUris": ["{postLogoutRedirectUris}"],
    "redirectUris": ["{redirectUris}"]
  }'

curl --location --request POST "{baseUrl}/api/adminapi2/v1/tenants/{tenantId}/clients/" ^
  -H "accept: application/json" ^
  -H "Authorization: Bearer {token}" ^
  -H "Content-Type: application/json" ^
  -d "{\"clientId\":\"{clientId}\",\"clientName\":\"{clientName}\",\"allowOfflineAccess\":true,\"allowRememberConsent\":true,\"backChannelLogoutSessionRequired\":true,\"requireClientSecret\":true,\"requireConsent\":false,\"allowNoPkce\":true,\"allowedGrantTypes\":[\"{allowedGrantTypes}\"],\"allowedCorsOrigins\":[\"{allowedCorsOrigins}\"],\"allowedScopes\":[\"openid\",\"permissions\",\"publicapi.all\"],\"postLogoutRedirectUris\":[\"{postLogoutRedirectUris}\"],\"redirectUris\":[\"{redirectUris}\"]}"

レスポンスには、作成されたクライアントの情報が含まれます。

シークレットの作成

各クライアントは複数のシークレットを持つことができます。これにより、現在のシークレットの有効期限が切れた際に、古いシークレットを削除することなく新しいシークレットを使い始めることができます。デフォルトでは、クライアントシークレットの有効期限は6か月です。 Authorization: Bearer <access token> ヘッダーを付けた POST リクエストを {baseUrl}/api/adminapi2/v1/tenants/{tenantId}/clients/{clientId}/secrets/ に送信し、以下のリクエスト本文のパラメーターを指定します。

Parameter	Description
`description`	シークレットを区別しやすくするための短い説明です。省略可能です。
`startTime`	シークレットの有効開始日です。
`expiration`	シークレットの有効期限 (1日以上3年以内) です。たとえば、`2021-09-07T13:03:38.380Z` です。デフォルトでは、シークレット作成日からちょうど6か月後に設定されます。

リクエスト例

Linux または macOS
Windows (cmd)

curl --location --request POST '{baseUrl}/api/adminapi2/v1/tenants/{tenantId}/clients/{clientId}/secrets/' \
  -H 'accept: application/json' \
  -H 'Authorization: Bearer {token}' \
  -H 'Content-Type: application/json-patch+json' \
  -d '{
    "description": "{description}",
    "startTime": "{startTime}",
    "expiration": "{expiration}"
  }'

curl --location --request POST "{baseUrl}/api/adminapi2/v1/tenants/{tenantId}/clients/{clientId}/secrets/" ^
  -H "accept: application/json" ^
  -H "Authorization: Bearer {token}" ^
  -H "Content-Type: application/json-patch+json" ^
  -d "{\"description\":\"{description}\",\"startTime\":\"{startTime}\",\"expiration\":\"{expiration}\"}"

レスポンスには、クライアントシークレット (value) とその有効期間 (startTime、expiration) が含まれます。

クライアントシークレットの値は作成時にのみ取得できます。安全な場所に保存してください。後から確認できるのは、値の先頭3文字 (valueDisplay) のみです。

Vantage API クライアントの管理

テナント内の API クライアント管理の概要

公開 API クライアントの作成、設定、削除

UI での代替方法 — Vantage UI でクライアントを作成および設定する

Vantage API を使用したテナントの作成

プログラムによるテナントのプロビジョニング

認証

サインインフローと OAuth 2.0 / SAML 2.0 のオプション

Documentation Index

​クライアントの作成

​リクエスト例

​シークレットの作成

​リクエスト例

​関連トピック

Vantage API クライアントの管理

公開 API クライアントの作成、設定、削除

Vantage API を使用したテナントの作成

認証

クライアントの作成

リクエスト例

シークレットの作成

リクエスト例

関連トピック