このガイドでは、OAuth 2.0 を使用して他者の販売アカウントへのアクセスをリクエストする方法について説明します。第三者プロバイダは、このワークフローを使用して、アプリがクライアントの販売アカウントへのアクセスをリクエストできるようにします。
販売アカウントのみにアクセスする必要がある自社アプリを開発している場合は、アカウントにアクセスする方法をご覧ください。
アプリの確認をリクエストする
Merchant API にアクセスするアプリは、OAuth 認証審査プロセスを受ける必要があります。未確認のアプリには警告が表示され、機能が制限されます。
アプリとは、Google Cloud で一意の OAuth 2.0 クライアント ID を持つものです。
通常、確認プロセスには 3 ~ 5 営業日かかります。詳細や確認のリクエストを送信する方法については、アプリの確認についての記事をご覧ください。
このポリシーは、すべてのアプリに適用されます。ビジネスに支障が生じないよう、すべてのアプリについてできるだけ早く確認プロセスを受けることをおすすめします。
OAuth スコープを取得する
スコープの選択に関する問題を回避するには、段階的な承認を設定します。
すべての OAuth スコープは、複数リクエストした場合、アプリの同意画面ではデフォルトでオフになっています。アプリが同意画面をユーザーに表示する場合、ユーザーはアクセスを承認するために各スコープを手動で選択する必要があります。
OAuth リクエストからのレスポンスを調べて、アプリが適切なスコープを受け取ったことを確認します。
詳細については、OAuth 2.0 ポリシーをご覧ください。
リクエストの承認
アプリケーションから Merchant API に送信するすべてのリクエストには、認証トークンが含まれている必要があります。このトークンは Google でアプリケーションを識別するためにも使用されます。
認証プロトコルについて
リクエストを承認するために、アプリケーションは OAuth 2.0 を使用する必要があります。これ以外の認証プロトコルには対応していません。アプリケーションで「Google でログイン」を使用している場合、承認手続きの一部が自動化されます。
OAuth 2.0 を使用したリクエストの承認
Merchant API へのすべてのリクエストは、認証済みユーザーによって承認される必要があります。
OAuth 2.0 の承認プロセス(「フロー」)の詳細は開発するアプリケーションの種類によって若干異なりますが、次の一般的なプロセスはすべての種類のアプリケーションに当てはまります。
- アプリケーションの作成時に、Google API Console を使用してアプリケーションを登録します。登録すると、後で必要になるクライアント ID やクライアント シークレットなどの情報が Google から提供されます。
- Google API Console で Merchant API を有効にします(Indexing API が API Console に表示されない場合は、この手順をスキップしてください)。
- アプリケーションでユーザーデータにアクセスする必要がある場合は、特定のアクセスのスコープを Google にリクエストします。
- データをリクエストするアプリケーションの承認を求める Google の同意画面がユーザーに表示されます。
- ユーザーが承認すると、有効期間の短いアクセス トークンがアプリケーションに付与されます。
- アプリケーションは、リクエストにそのアクセス トークンを付与してユーザーデータをリクエストします。
- Google がそのリクエストとトークンが有効であると判断すると、リクエストされたデータが返されます。
プロセスによっては、更新トークンを使用して新しいアクセス トークンを取得するなど、追加の手順が必要になる場合もあります。各種アプリケーションのフローについて詳しくは、Google の OAuth 2.0 ドキュメントをご覧ください。
Merchant API で使用される OAuth 2.0 のスコープ情報は次のとおりです。
| 範囲 | 意味 |
|---|---|
https://www.googleapis.com/auth/content |
読み取り / 書き込みアクセス。 |
OAuth 2.0 を使用してアクセスをリクエストする場合、アプリケーションを登録したときに Google から提供された情報(クライアント ID やクライアント シークレットなど)に加えて、スコープ情報が必要になります。
承認に使用できるサンプルをご確認ください。