OAuth と Google ログイン（Dialogflow）によるアカウント リンク

OAuth と Google ログインのリンクタイプは、OAuth ベースのアカウント リンクの上層に Google ログインを追加します。これにより、Google ユーザーには音声によるシームレスなリンクを提供し、Google 以外の ID でサービスに登録したユーザーにはアカウント リンクを有効にします。

このリンクの種類は Google ログインから始まります。Google ログインを使用すると、 Google プロフィール情報がシステム内に存在する。お客様の情報が が見つからない場合は、標準の OAuth フローが開始されます。ユーザーは Google プロフィール情報を使って新しいアカウントを作成すること。

</ph>

OAuth と Google ログインを使用してアカウント リンクを行うには、次の一般的な手順に従います。

1. まず、ユーザーの Google プロフィールにアクセスすることについてユーザーに同意を求めます。
2. プロフィールの情報を使用してユーザーを識別します。
3. 一致する Google ユーザーが認証システムで見つからなかった場合は、 Actions プロジェクトを構成しているかどうかに応じて、フローが進行します。 ] で、音声によるユーザー アカウントの作成を許可するか、 測定します
   • 音声によるアカウントの作成を許可する場合は、身分証明書の確認を行ってください トークンを渡します。次に、IP アドレスに基づいてユーザーを作成できます。 ID トークンに含まれるプロフィール情報。
   • 音声によるアカウントの作成を許可しない場合、ユーザーは次のサービスに転送されます。 認証ページを読み込んでユーザーの入力を完了できるブラウザ 作成フローを実行します。

音声によるアカウント作成を許可する

音声によるユーザー アカウントの作成を許可した場合、ユーザーは次のどちらを行うか選択するよう求められます。

• Google アカウント情報を使用してシステムに新しいアカウントを作成する。
• Google 以外のアカウントがすでにある場合は、別のアカウントで認証システムにログインする。

アカウント作成フローをスムーズに進めたい場合は、音声によるアカウント作成を許可することをおすすめします。ユーザーは Google 以外の既存のアカウントを使用してログインする場合のみ、音声フローから離れます。

音声によるアカウント作成を許可しない

音声によるユーザー アカウントの作成を許可していない場合は、ユーザー認証のために指定しておいたウェブサイトの URL が開きます。この動作が画面のないデバイスで起こった場合は、ユーザーをスマートフォンに誘導してアカウント リンクフローを続行します。

次の場合はアカウント作成を許可しないことをおすすめします。

• Google 以外のアカウントを持つユーザーが新しいユーザー アカウントを作成することを許可せず、代わりにそのユーザーを認証システム内の既存のユーザー アカウントにリンクさせる場合。たとえば、ポイント プログラムを提供していて、ユーザーが既存のアカウントで獲得したポイントを失わないように配慮する必要がある場合などです。

• アカウント作成フローを完全に制御する場合。たとえば、アカウントの作成中に利用規約をユーザーに表示する必要がある場合に、アカウントの作成を許可しないようにできます。

OAuth と Google ログインによるアカウント リンクを実装する

アカウントは業界標準の OAuth 2.0 フローでリンクされます。 Actions on Google は、暗黙的なコードフローと認可コードフローをサポートしています。

インプリシット コードフローでは、Google がユーザーのブラウザで認可エンドポイントを開きます。ログインに成功すると、長期間有効なアクセス トークンが Google に返されます。このアクセス トークンは、アシスタントからアクションに送信されるすべてのリクエストに含まれるようになりました。

認可コードフローでは、次の 2 つのエンドポイントが必要になります。

• 認可エンドポイント。まだログインしていないユーザーにログイン用の UI を表示し、リクエストされたアクセスへの同意を短期の認可コードの形式で記録します。
• トークン交換エンドポイント。次の 2 種類の交換を行います。
  1. 長期の更新トークンと短期のアクセス トークンの認可コードを交換します。この処理は、ユーザーがアカウントのリンクフローを行ったときに発生します。
  2. 長期の更新トークンを短期のアクセス トークンと交換します。この処理は、トークンが期限切れになり、新しいアクセス トークンが必要になった場合に発生します。

暗黙的コードフローは実装が簡単ですが、暗黙的フローで発行されたアクセス トークンに有効期限を設定しないことをおすすめします。暗黙的フローでトークンの有効期限を設定すると、ユーザーは再びアカウントをリンクする必要があります。セキュリティ上の理由によりトークンの有効期限が必要な場合は、代わりに認証コードフローの使用を検討してください。

プロジェクトを構成する

プロジェクトで OAuth と Google ログインによるアカウント リンクを使用するよう構成するには、次の手順に従います。

1. Actions Console を開き、使用するプロジェクトを選択します。
2. [Develop]（開発）タブをクリックして、[Account linking]（アカウント リンク）を選択します。
3. [アカウントのリンク] の横にあるスイッチを有効にします。
4. [アカウントの作成] セクションで、[はい] を選択します。

5. [リンクタイプ] で [OAuth とGoogle ログインと暗黙的です。

   

6. [クライアント情報] で、次の操作を行います。

   • [Client ID created by your Actions to Google]（アクションが Google に発行したクライアント ID）に値を割り当てます。 リクエストの数を減らします。
   • 認可エンドポイントとトークン交換エンドポイントの URL を挿入します。

7. [Save]（保存）をクリックします。

OAuth サーバーを実装する

OAuth 2.0 暗黙的フローをサポートするために、サービスは 使用できます。このエンドポイントは、認証と認可を担当します。 データアクセスについてユーザーから同意を得る。認可エンドポイントは、ログインしていないユーザーにログイン用の UI を表示し、リクエストされたアクセスへの同意を記録します。

アクションからサービスの API を呼び出す必要がある場合、Google はこのエンドポイントを使用して、API の呼び出し許可をユーザーから取得します。

通常、Google が開始する OAuth 2.0 インプリシット フローのセッションは次のような流れになります。

1. Google がユーザーのブラウザで認可エンドポイントを開きます。ユーザーがログインし（ログインしていない場合）、Google が API を使用してデータにアクセスすることを承諾します（まだ許可していない場合）。
2. サービスがアクセス トークンを作成します。そのトークンを含むリクエストを送信して、ユーザーのブラウザを Google にリダイレクトし、Google にアクセス トークンを返します。
3. Google がサービスの API を呼び出し、リクエストごとにアクセス トークンを関連付けます。サービスは、アクセス トークンによって API へのアクセスが Google に許可されていることを確認し、API 呼び出しを完了します。

認可リクエストの処理

アクションで OAuth2 インプリシット フローを介してアカウント リンクを行う必要がある場合、Google は、次のパラメータを含むリクエストを使用して、ユーザーを認可エンドポイントに送信します。

たとえば、認可エンドポイントが https://myservice.example.com/auth にある場合、 次のようなリクエストになります。

GET https://myservice.example.com/auth?client_id=GOOGLE_CLIENT_ID&redirect_uri=REDIRECT_URI&state=STATE_STRING&response_type=token

認可エンドポイントでログイン リクエストを処理する場合は、次の手順に従います。

1. client_id と redirect_uri の値を検証する 意図しないクライアント アプリへのアクセスや構成ミスのあるクライアント アプリ

   • client_id が、指定したクライアント ID と一致することを確認します。 割り当てられています
   • redirect_uri で指定された URL を確認します。 パラメータの形式は次のとおりです。

     https://oauth-redirect.googleusercontent.com/r/YOUR_PROJECT_ID

     YOUR_PROJECT_ID は、[プロジェクトの設定] ページにある ID です。 確認できます。

2. ユーザーがサービスにログインしているかどうか確認します。ユーザーがログインしていない場合は、サービスのログインまたは登録フローを完了します。

3. Google が API へのアクセスで使用するアクセス トークンを生成します。アクセス トークンには任意の文字列値を設定できますが、トークンを使用するユーザーとクライアントを一意に表し、簡単に推測されない文字列にする必要があります。

4. ユーザーのブラウザを URL にリダイレクトする HTTP レスポンスを送信する redirect_uri パラメータで指定します。URL フラグメントに次のパラメータをすべて含めます。

   • access_token: 生成したアクセス トークン
   • token_type: 文字列 bearer
   • state: 元の状態から変更されていない状態の値 リクエスト 結果の URL の例を次に示します。

     https://oauth-redirect.googleusercontent.com/r/YOUR_PROJECT_ID#access_token=ACCESS_TOKEN&token_type=bearer&state=STATE_STRING

Google の OAuth 2.0 リダイレクト ハンドラがアクセス トークンを受け取り、 state 値が変更されていないことを確認します。Google は、 そのトークンを後続の呼び出しにアタッチします。 AppRequest の一部としてアクションに渡します。

自動リンクの処理

ユーザーがアクションから Google プロフィールへのアクセスに同意すると、Google は Google ユーザー ID の署名付きアサーションを含むリクエストを送信します。 このアサーションには、ユーザーの Google アカウント ID、名前、 入力します。このリクエストは、プロジェクトに構成されているトークン交換エンドポイントで処理されます。

対応する Google アカウントが認証システムにすでに存在する場合、トークン交換エンドポイントはユーザーのトークンを返します。Google アカウントが 一致すると、トークン交換エンドポイントから user_not_found エラーが返されます。

リクエストは次のようになります。

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&intent=get&assertion=JWT&consent_code=CONSENT_CODE&scope=SCOPES

トークン交換エンドポイントでは、以下のパラメータを処理する必要があります。

リンク リクエストを受信すると、トークン交換エンドポイントは次の処理を行います。

JWT アサーションを検証してデコードする

JWT アサーションを検証してデコードするには、お使いの言語の JWT デコード ライブラリを使用します。 Google の公開鍵（JWK または PEM 形式など）を使用して、トークンの できます。

デコードされた場合、JWT アサーションは次の例のようになります。

{
  "sub": 1234567890,        // The unique ID of the user's Google Account
  "iss": "https://accounts.google.com",        // The assertion's issuer
  "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID
  "iat": 233366400,         // Unix timestamp of the assertion's creation time
  "exp": 233370000,         // Unix timestamp of the assertion's expiration time
  "name": "Jan Jansen",
  "given_name": "Jan",
  "family_name": "Jansen",
  "email": "jan@gmail.com", // If present, the user's email address
  "locale": "en_US"
}

トークンの署名を検証するだけでなく、アサーションの発行者が、 （iss フィールド）が https://accounts.google.com であり、オーディエンス（aud フィールド）である アクションに割り当てられたクライアント ID です。

Google アカウントが認証システムに存在するかどうかの確認

次のいずれかの条件を満たしていることを確認します。

• Google アカウント ID（アサーションの sub フィールドにあります）は、ユーザー データベースにあります。
• アサーションに含まれているメールアドレスが、ユーザーのデータベースに登録されているユーザーと一致している。

いずれかの条件も満たしていない場合は、このユーザーはすでに登録済みで、アクセス トークンを発行できます。

Google アカウント ID もアサーションのメールアドレスもユーザーのデータベースに登録されているユーザーと一致しない場合、ユーザーはまだ登録されていません。この場合、 トークン交換エンドポイントから、error=user_not_found を指定した HTTP 401 エラーが返されます。 次に例を示します。

HTTP/1.1 401 Unauthorized
Content-Type: application/json;charset=UTF-8

{
  "error":"user_not_found",
}

Google ログインによるアカウントの作成

ユーザーがサービスのアカウントを作成する必要がある場合、Google は トークン交換エンドポイントに送信します。 intent=create。次の例のようになります。

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

response_type=token&grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&scope=SCOPES&intent=create&consent_code=CONSENT_CODE&assertion=JWT[&NEW_ACCOUNT_INFO]

assertion パラメータには、次のトークンを提供する JSON Web Token（JWT）が含まれます。 Google ユーザーの ID に関する署名付きのアサーションです。JWT には、ユーザーの Google アカウント ID、名前、メールアドレスなどの情報が含まれます。これらの情報は、サービスに新しいアカウントを作成する際に使用できます。

アカウント作成リクエストに応答するには、トークン交換エンドポイントで次の処理を行う必要があります。

JWT アサーションを検証してデコードする

JWT アサーションを検証してデコードするには、お使いの言語の JWT デコード ライブラリを使用します。 Google の公開鍵（JWK または PEM 形式など）を使用して、トークンの できます。

デコードされた場合、JWT アサーションは次の例のようになります。

{
  "sub": 1234567890,        // The unique ID of the user's Google Account
  "iss": "https://accounts.google.com",        // The assertion's issuer
  "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID
  "iat": 233366400,         // Unix timestamp of the assertion's creation time
  "exp": 233370000,         // Unix timestamp of the assertion's expiration time
  "name": "Jan Jansen",
  "given_name": "Jan",
  "family_name": "Jansen",
  "email": "jan@gmail.com", // If present, the user's email address
  "locale": "en_US"
}

トークンの署名を検証するだけでなく、アサーションの発行者が、 （iss フィールド）が https://accounts.google.com であり、オーディエンス（aud フィールド）である アクションに割り当てられたクライアント ID です。

ユーザー情報を検証して新しいアカウントを作成する

次のいずれかの条件を満たしていることを確認します。

• Google アカウント ID（アサーションの sub フィールドにあります）は、ユーザー データベースにあります。
• アサーションに含まれているメールアドレスが、ユーザーのデータベースに登録されているユーザーと一致している。

いずれかの条件が true の場合、ユーザーに既存のアカウントをリンクするよう促す そのリクエストに対して HTTP 401 エラーを返し、Google アカウント error=linking_error とユーザーのメールアドレス（login_hint を参照）。 次の例をご覧ください。

HTTP/1.1 401 Unauthorized
Content-Type: application/json;charset=UTF-8

{
  "error":"linking_error",
  "login_hint":"foo@bar.com"
}

どちらの条件も true でない場合は、その情報を使用して新しいユーザー アカウントを作成します。 JWT で提供します。通常、新しいアカウントにはパスワードが設定されていません。ユーザーがアプリケーションから Google にログインできるように、他のプラットフォームに Google ログインを追加することをおすすめします。また、他のプラットフォームでログイン パスワードを設定できるように、パスワード再設定フローを開始するリンクをメールで送信することもできます。

作成が完了したら、アクセス トークンを発行します。 JSON オブジェクトで値を HTTPS レスポンスの本文に URL を付加します。

{
  "token_type": "Bearer",
  "access_token": "ACCESS_TOKEN",
  
  "expires_in": SECONDS_TO_EXPIRATION
}

認証フローを開始する

アカウント ログイン ヘルパー インテントを使用して認証フローを開始します。

const app = dialogflow({
  // REPLACE THE PLACEHOLDER WITH THE CLIENT_ID OF YOUR ACTIONS PROJECT
  clientId: CLIENT_ID,
})

// Intent that starts the account linking flow.
app.intent('Start Signin', conv => {
  conv.ask(new SignIn('To get your account details'))
})

private String clientId = "<your_client_id>";

@ForIntent("Start Signin")
public ActionResponse text(ActionRequest request) {
  ResponseBuilder rb = getResponseBuilder(request);
  return rb.add(new SignIn().setContext("To get your account details")).build();
}

const app = actionssdk({
  clientId: CLIENT_ID,
})

app.intent('Start Signin', conv => {
  conv.ask(new SignIn('To get your account details'))
})

private String clientId = "<your_client_id>";

@ForIntent("actions.intent.TEXT")
public ActionResponse text(ActionRequest request) {
  ResponseBuilder rb = getResponseBuilder(request);
  return rb.add(new SignIn().setContext("To get your account details")).build();
}

データアクセス リクエストを処理する

アシスタントのリクエストにアクセス トークンが含まれている場合は、まずそのアクセス トークンが有効で期限切れになっていないことを確認してから、そのトークンに関連付けられているユーザー アカウントをユーザー アカウント データベースから取得します。