認証と認可は、それぞれ ID の検証とリソースへのアクセスに使用されるメカニズムです。このドキュメントでは、Google Meet REST API リクエストでの認証と認可の仕組みについて概説します。
このガイドでは、OAuth 2.0 とユーザーの Google 認証情報を使用して、Meet REST API にアクセスする方法について説明します。ユーザー認証情報を使用して認証と承認を行うと、Meet アプリはユーザーデータにアクセスし、認証されたユーザーの代わりにオペレーションを実行できます。ユーザーに代わって認証を行うことで、アプリはそのユーザーと同じ権限を持ち、そのユーザーが実行したかのようにアクションを実行できます。
重要な用語
認証と認可に関連する用語のリストは次のとおりです。
- 認証
ユーザーである場合もあるプリンシパルが、
またはユーザーに代わって動作するアプリが、そのように主張している人物であるかどうかを判断します。Google Workspace アプリを作成する場合は、ユーザー認証とアプリ認証の 2 種類の認証に注意する必要があります。Meet REST API では、ユーザー認証を使用してのみ認証できます。
- 認可
プリンシパルがアクセスするために必要な権限または「権限」
データにアクセスしたり、オペレーションを実行したりします。認証は、アプリで記述するコードによって行われます。このコードは、アプリがユーザーに代わって操作することをユーザーに通知し、許可されている場合は、アプリの一意の認証情報を使用して Google からアクセス トークンを取得し、データにアクセスしたりオペレーションを実行したりします。
REST API スコープを満たす
認可スコープは、アプリが会議コンテンツにアクセスできるようにユーザーに承認を求める権限です。ユーザーがアプリをインストールすると、これらのスコープを検証するよう求められます。一般的に、できる限り範囲を絞ったスコープを選択し、アプリで必要のないスコープはリクエストしないようにする必要があります。ユーザーは、明確に説明された限定的なスコープに対してアクセス権限を付与する傾向があります。
Meet REST API は、次の OAuth 2.0 スコープをサポートしています。
| スコープコード | 説明 | 用途 |
|---|---|---|
https://www.googleapis.com/auth/meetings.space.readonly |
ユーザーがアクセスできる会議スペースに関するメタデータをアプリが読み取ることを許可します。 | デリケートなコンテンツ |
https://www.googleapis.com/auth/meetings.space.created |
アプリが作成した会議スペースに関するメタデータの作成、変更、読み取りをアプリに許可します。 | デリケートなコンテンツ |
https://www.googleapis.com/auth/drive.readonly |
Google Drive API から録画ファイルと文字起こしファイルをダウンロードすることをアプリに許可します。 | 制限付き |
Meet に関連する次の OAuth 2.0 スコープは、 Google Drive API スコープのリストにあります。
| スコープコード | 説明 | 用途 |
|---|---|---|
https://www.googleapis.com/auth/drive.meet.readonly |
Google Meet で作成または編集されたドライブ ファイルの参照。 | 制限付き |
テーブルの使用状況の列は、次の定義に従って各スコープの機密性を示しています。
Sensitive: これらのスコープは、アプリについてユーザーによって承認された特定の Google ユーザーデータへのアクセスを許可します。追加のアプリ確認を行う必要があります。この要件については、機密スコープと制限付きスコープの要件をご覧ください。
制限付き: これらのスコープは、Google のユーザーデータへの幅広いアクセスを可能にします。制限付きスコープの確認プロセスを完了する必要があります。この要件について詳しくは、Google API サービスのユーザーデータ ポリシーと特定の API スコープの追加要件をご覧ください。制限付きスコープのデータをサーバーに保存(または送信)する場合は、セキュリティ評価を受ける必要があります。
アプリが他の Google API へのアクセスを必要とする場合は、それらのスコープも追加できます。Google API スコープの詳細については、OAuth 2.0 を使用した Google API へのアクセスをご覧ください。
ユーザーとアプリの審査担当者に表示する情報を定義するには、OAuth 同意画面を構成し、スコープを選択するをご覧ください。
特定の OAuth 2.0 スコープの詳細については、Google API の OAuth 2.0 スコープをご覧ください。
ドメイン全体の委任を使用して認証と承認を行う
ドメイン管理者は、ドメイン全体の権限委任を付与して、各ユーザーの同意を必要とせずに、アプリケーションのサービス アカウントがユーザーのデータにアクセスできるようにすることができます。ドメイン全体の委任を構成すると、サービス アカウントはユーザー アカウントの権限借用が可能になります。認証にはサービス アカウントが使用されますが、ドメイン全体の委任はユーザーの権限を借用するため、ユーザー認証とみなされます。ユーザー認証が必要なすべての機能で、ドメイン全体の委任を使用できます。
関連トピック
Google Workspace での認証と承認の概要については、認証と承認についてをご覧ください。
Google Cloud での認証と認可の概要については、Google での認証方法をご覧ください。