このページは Cloud Translation API によって翻訳されました。

OAuth による Google アカウントのリンク

アカウントは、業界標準の OAuth 2.0 の暗黙的フローと認証コードフローを使用してリンクされます。サービスが OAuth 2.0 準拠の承認とトークン交換のエンドポイントをサポートしている必要があります。

In the implicit flow, Google opens your authorization endpoint in the user's browser. After successful sign in, you return a long-lived access token to Google. This access token is now included in every request sent from Google.

In the authorization code flow, you need two endpoints:

The authorization endpoint, which presents the sign-in UI to your users that aren't already signed in. The authorization endpoint also creates a short-lived authorization code to record users' consent to the requested access.
The token exchange endpoint, which is responsible for two types of exchanges:
1. Exchanges an authorization code for a long-lived refresh token and a short-lived access token. This exchange happens when the user goes through the account linking flow.
2. Exchanges a long-lived refresh token for a short-lived access token. This exchange happens when Google needs a new access token because the one it had expired.

Choose an OAuth 2.0 flow

Although the implicit flow is simpler to implement, Google recommends that access tokens issued by the implicit flow never expire. This is because the user is forced to link their account again after a token expires with the implicit flow. If you need token expiration for security reasons, we strongly recommend that you use the authorization code flow instead.

Design guidelines

This section describes the design requirements and recommendations for the user screen that you host for OAuth linking flows. After it's called by Google's app, your platform displays a sign in to Google page and account linking consent screen to the user. The user is directed back to Google's app after giving their consent to link accounts.

This figure shows the steps for a user to link their Google account
to your authentication system. The first screenshot shows
user-initiated linking from your platform. The second image shows
user sign-in to Google, while the third shows the user consent and
confirmation for linking their Google account with your app. The
final screenshot shows a successfully linked user account in the
Google app. — **Figure 1.** Account linking user sign in to Google and consent screens.

Requirements

You must communicate that the user’s account will be linked to Google, not a specific Google product like Google Home or Google Assistant.

Recommendations

We recommend that you do the following:

Display Google's Privacy Policy. Include a link to Google’s Privacy Policy on the consent screen.
Data to be shared. Use clear and concise language to tell the user what data of theirs Google requires and why.
Clear call-to-action. State a clear call-to-action on your consent screen, such as “Agree and link.” This is because users need to understand what data they're required to share with Google to link their accounts.
Ability to cancel. Provide a way for users to go back or cancel, if they choose not to link.
Clear sign-in process. Ensure that users have clear method for signing in to their Google account, such as fields for their username and password or Sign in with Google.
Ability to unlink. Offer a mechanism for users to unlink, such as a URL to their account settings on your platform. Alternatively, you can include a link to Google Account where users can manage their linked account.
Ability to change user account. Suggest a method for users to switch their account(s). This is especially beneficial if users tend to have multiple accounts.
- If a user must close the consent screen to switch accounts, send a recoverable error to Google so the user can sign in to the desired account with OAuth linking and the implicit flow.
Include your logo. Display your company logo on the consent screen. Use your style guidelines to place your logo. If you wish to also display Google's logo, see Logos and trademarks.

プロジェクトを作成する

プロジェクトを作成してアカウントリンクを使用するには:

Go to the Google API Console.
[ プロジェクトを作成]をクリックします。
名前を入力するか、生成された提案を受け入れます。
残りのフィールドを確認または編集します。
作成をクリックします。

プロジェクトIDを表示するには：

Go to the Google API Console.
ランディングページの表でプロジェクトを見つけます。 ID列にプロジェクトIDが表示されます。

OAuth 同意画面を設定する

Google アカウントリンクのプロセスには同意画面が含まれます。この画面では、データへのアクセスをリクエストしているユーザーのアプリケーション、リクエストしているデータの種類、適用される規約を確認できます。Google API クライアント ID を生成する前に、OAuth 同意画面を設定する必要があります。

Google API コンソールの OAuth 同意画面ページを開きます。
プロンプトが表示されたら、作成したプロジェクトを選択します。
[OAuth 同意画面] ページでフォームに記入し、[保存] ボタンをクリックします。

アプリケーション名: 同意を求めるアプリケーションの名前。この名前は、アプリケーションを正確に反映し、ユーザーが他の部分で目にするアプリケーション名と一致する必要があります。アプリ名は、アカウントリンクの同意画面に表示されます。

アプリケーションのロゴ: ユーザーがアプリを認識できるよう、同意画面に表示する画像です。ロゴは、アカウントのリンクの同意画面とアカウント設定に表示されます。

サポートメール: ユーザーからの同意に関する問い合わせ先です。

Google API のスコープ: スコープを使用すると、アプリケーションがユーザーの限定公開の Google データにアクセスできるようになります。Google アカウントリンクのユースケースでは、デフォルトのスコープ（メール、プロファイル、openid）で十分です。機密性の高いスコープを追加する必要はありません。通常は、事前にアクセスするのではなく、アクセスが必要になったときに段階的にスコープをリクエストすることをおすすめします。詳しくはこちらをご覧ください。

承認済みドメイン: 管理者とユーザーを保護するため、Google では、OAuth を使用して認証を行うアプリケーションのみに承認済みドメインの使用を許可します。アプリケーションのリンクは承認済みドメインでホストする必要があります。詳しくはこちらをご覧ください。

Application Homepage リンク: アプリケーションのホームページ。承認済みドメインでホストされている必要があります。

アプリのプライバシーポリシーへのリンク: Google アカウントリンクの同意画面に表示されます。承認済みドメインでホストされている必要があります。

お申し込みの利用規約へのリンク（省略可）: 承認済みドメインでホストされている必要があります。

図 1. 架空のアプリケーション（Tunery）の Google アカウントリンクの同意画面
[Verification Status] をオンにします。申請に確認が必要な場合は、[Submit For Verification] ボタンをクリックして、確認の申請を送信します。詳しくは、OAuth 検証の要件をご覧ください。

OAuth サーバーを実装する

为了支持OAuth 2.0已隐含流，你的服务使可通过HTTPS授权端点。此端点负责身份验证并获得用户对数据访问的同意。授权端点向尚未登录的用户显示登录 UI，并记录对请求访问的同意。

当 Google 应用程序需要调用您的服务的授权 API 之一时，Google 会使用此端点来获得您的用户的许可，以代表他们调用这些 API。

一个典型的由 Google 发起的 OAuth 2.0 隐式流会话具有以下流程：

Google 在用户的浏览器中打开您的授权端点。用户登录（如果尚未登录）并授予 Google 使用您的 API 访问其数据的权限（如果他们尚未授予权限）。
您的服务创建的访问令牌并将其返回给谷歌。为此，请使用附加到请求的访问令牌将用户的浏览器重定向回 Google。
Google 会调用您服务的 API 并在每个请求中附加访问令牌。您的服务会验证访问令牌是否授予 Google 访问 API 的授权，然后完成 API 调用。

处理授权请求

当 Google 应用程序需要通过 OAuth 2.0 隐式流执行帐户链接时，Google 会将用户发送到您的授权端点，并包含以下参数的请求：

授权端点参数
`client_id`	您分配给 Google 的客户端 ID。
`redirect_uri`	您向其发送对此请求的响应的 URL。
`state`	传递回 Google 的簿记值在重定向 URI 中保持不变。
`response_type`	要在响应中返回的值的类型。对于的OAuth 2.0隐式流程中，响应类型总是`token` 。
`user_locale`	在谷歌帐户语言设置RFC5646格式用于本地化用户的首选语言内容。

例如，如果您的授权端点可在https://myservice.example.com/auth ，请求看起来像下面这样：

GET https://myservice.example.com/auth?client_id=GOOGLE_CLIENT_ID&redirect_uri=REDIRECT_URI&state=STATE_STRING&response_type=token&user_locale=LOCALE

对于处理登录请求的授权端点，请执行以下步骤：

验证client_id和redirect_uri值，以防止授权访问意外或错误配置的客户端应用程序：
- 确认该client_id你分配给谷歌的客户ID相匹配。
- 确认URL指定由redirect_uri参数有以下形式：
```
https://oauth-redirect.googleusercontent.com/r/YOUR_PROJECT_ID
https://oauth-redirect-sandbox.googleusercontent.com/r/YOUR_PROJECT_ID
```
检查用户是否已登录您的服务。如果用户未登录，请完成服务的登录或注册流程。
生成供 Google 用来访问您的 API 的访问令牌。访问令牌可以是任何字符串值，但它必须唯一地代表用户和令牌所针对的客户端，并且不能被猜测。
发送用户的浏览器重定向到被指定的URL的HTTP响应redirect_uri参数。在 URL 片段中包含以下所有参数：
- access_token ：刚才生成的令牌，你的访问
- token_type ：字符串bearer
- state ：从原始请求的未修改的状态值
以下是所得的URL的一个示例：
```
https://oauth-redirect.googleusercontent.com/r/YOUR_PROJECT_ID#access_token=ACCESS_TOKEN&token_type=bearer&state=STATE_STRING
```

谷歌的OAuth 2.0重定向处理接收的令牌的访问并确认state的值并没有改变。在 Google 为您的服务获取访问令牌后，Google 会将令牌附加到对您的服务 API 的后续调用中。

Handle userinfo requests

The userinfo endpoint is an OAuth 2.0 protected resource that return claims about the linked user. Implementing and hosting the userinfo endpoint is optional, except for the following use cases:

Linked Account Sign-In with Google One Tap.
Frictionless subscription on AndroidTV.

After the access token has been successfully retrieved from your token endpoint, Google sends a request to your userinfo endpoint to retrieve basic profile information about the linked user.

userinfo endpoint request headers
`Authorization header`	The access token of type Bearer.

For example, if your userinfo endpoint is available at https://myservice.example.com/userinfo, a request might look like the following:

GET /userinfo HTTP/1.1
Host: myservice.example.com
Authorization: Bearer ACCESS_TOKEN

For your userinfo endpoint to handle requests, do the following steps:

Extract access token from the Authorization header and return information for the user associated with the access token.
If the access token is invalid, return an HTTP 401 Unauthorized error with using the WWW-Authenticate Response Header. Below is an example of a userinfo error response:
```
HTTP/1.1 401 Unauthorized
WWW-Authenticate: error="invalid_token",
error_description="The Access Token expired"
```
If a 401 Unauthorized, or any other unsuccessful error response is returned during the linking process, the error will be non-recoverable, the retrieved token will be discarded and the user will have to initiate the linking process again.

If the access token is valid, return and HTTP 200 response with the following JSON object in the body of the HTTPS response:

{
"sub": "USER_UUID",
"email": "EMAIL_ADDRESS",
"given_name": "FIRST_NAME",
"family_name": "LAST_NAME",
"name": "FULL_NAME",
"picture": "PROFILE_PICTURE",
}

If your userinfo endpoint returns an HTTP 200 success response, the retrieved token and claims are registered against the user's Google account.

userinfo endpoint response
`sub`	A unique ID that identifies the user in your system.
`email`	Email address of the user.
`given_name`	Optional: First name of the user.
`family_name`	Optional: Last name of the user.
`name`	Optional: Full name of the user.
`picture`	Optional: Profile picture of the user.

実装の検証

あなたは使用して実装を検証することができOAuth 2.0の遊び場のツールを。

ツールで、次の手順を実行します。

設定をクリックし OAuth 2.0の設定]ウィンドウを開きます。
OAuthの流れ場では、クライアント側を選択します。
OAuthのエンドポイント]フィールドで、[カスタム]を選択します。
OAuth2.0エンドポイントとGoogleに割り当てたクライアントIDを対応するフィールドに指定します。
ステップ1セクションでは、すべてのGoogleサービスのスコープを選択しないでください。代わりに、このフィールドを空白のままにするか、サーバーに有効なスコープ（または、OAuthスコープを使用しない場合は任意の文字列）を入力してください。設定が完了したら、承認のAPIをクリックします。
ステップ2とステップ3のセクションでは、OAuth 2.0のフローを通過し、意図したように各ステップが動作することを確認。

あなたは使用して実装を検証することができ、Googleアカウントのリンクデモツールを。

ツールで、次の手順を実行します。

Googleのボタンでサインインしをクリックしてください。
リンクするアカウントを選択してください。
サービスIDを入力します。
オプションで、アクセスを要求する1つ以上のスコープを入力します。
スタートデモをクリックしてください。
プロンプトが表示されたら、リンク要求に同意して拒否できることを確認します。
プラットフォームにリダイレクトされていることを確認します。