このページは Cloud Translation API によって翻訳されました。

JSON ウェブトークンを発行する

このドキュメントでは、ウェブベースとモバイルベースのアプリが Fleet Engine データにアクセスできるようにする際の JSON Web Token の発行方法について説明します。まだ確認していない場合は、Fleet Engine のセキュリティの JSON Web Token をご覧ください。Fleet Engine サービスを使用すると、次のいずれかの方法で JWT を発行できます。

認証ライブラリを使用する - コードベースが Java で記述されている場合は、この方法を使用することをおすすめします。このライブラリは、サービスで必要になる可能性のあるすべてのユースケースシナリオで JWT の発行を処理し、実装を大幅に簡素化します。
独自の JWT を作成する - Google の JWT ライブラリを使用できない場合は、独自のコードベースに JWT をビルドする必要があります。このセクションでは、各シナリオの JWT のさまざまな例を示します。

JWT の仕組み

モバイルスマートフォンやウェブブラウザなどの信頼できない環境では、バックエンドサーバーは次のように動作する JWT を発行します。

低信頼環境で実行されているクライアントコードは、完全な信頼環境で実行されているサーバーコードを呼び出して、Fleet Engine に渡す適切な JWT をリクエストします。
JWT はサービスアカウントに関連付けられているため、Fleet Engine に送信されるリクエストは、JWT に署名したサービスアカウントに暗黙的に関連付けられます。
JWT のクレームは、クライアントが操作できるリソース（特定の車両、ルート、タスクなど）をさらに制限します。

Java の認可ライブラリを使用する

Java 用の Fleet Engine 認可ライブラリを使用するには、GitHub リポジトリをご覧ください。このライブラリを使用すると、Fleet Engine JWT の作成が簡素化され、安全に署名できます。次の機能を提供します。

プロジェクトの依存関係の宣言
オンデマンドのルートまたはスケジュールされたタスクのいずれかに関する、すべてのサービスアカウントのロールの完全なリスト
認証情報ファイルを使用する以外のトークン署名メカニズム（サービスアカウントの権限借用など）
gRPC スタブまたは Google API Codegen（GAPIC）クライアントライブラリから行われたアウトバウンドリクエストに署名付きトークンをアタッチします。
署名者を Fleet Engine クライアントライブラリと統合する手順

コードから JWT を発行する場合

Java 用の認可ライブラリを使用できない場合は、独自のコードベースに JWT を実装する必要があります。このセクションでは、独自のトークンを作成するためのガイドラインをいくつか示します。JWT フィールドとクレームのリストについては、Fleet Engine のセキュリティのJSON Web Token をご覧ください。Fleet Engine で使用されるサービスアカウントのロールについては、サービスアカウントのロールをご覧ください。オンデマンドの旅程または運行スケジュールタスクの JWT の例については、次のセクションをご覧ください。

一般的なガイドライン

適切なサービスアカウントとロールを使用する。サービスアカウントと関連付けられたロールにより、トークンをリクエストするユーザーに、トークンがアクセス権を付与する情報を表示する権限が付与されます。詳細は以下のとおりです。
- モバイルデバイスに渡す JWT に署名する場合は、ドライバまたはコンシューマ SDK のロールのサービスアカウントを使用します。アクセス権がない場合、モバイルデバイスは、アクセス権のないデータを変更したり、アクセスしたりする可能性があります。
- 特権呼び出しに使用する JWT に署名する場合は、ADC または JWT を使用するときに、適切な Fleet Engine 管理者ロールを持つサービスアカウントを使用します。それ以外の場合、オペレーションは失敗します。
作成したトークンのみを共有する。トークンの作成に使用された認証情報は共有しないでください。
gRPC 呼び出しの場合、トークンを関連付けるメカニズムは、呼び出しに使用される言語とフレームワークによって異なります。HTTP 呼び出しにトークンを指定するメカニズムは、値がトークンであるベアラートークンを含む Authorization ヘッダーを含めることです。
有効期限を返します。サーバーは、トークンの有効期限を返す必要があります（通常は秒単位）。
OAuth 2.0 アクセストークンを使用せずに、トークン署名者として JSON を直接作成して署名する必要がある場合は、Identity Developer のドキュメントにある OAuth を使用しないサービスアカウント認証の手順をご覧ください。

オンデマンドの賃走の場合

JWT ペイロードを作成する場合は、キー vehicleid または tripid を、呼び出しを行う車両 ID またはルート ID の値に設定して、認証セクションにクレームを追加します。

スケジュール設定されたタスクの場合

サーバーが他の API を呼び出す場合、トークンには適切なクレームも含まれている必要があります。手順は次のとおりです。
- 各キーの値を * に設定します。
- すべての taskids と deliveryvehicleids へのアクセス権をユーザーに付与します。これを行うには、認証セクションに、キー taskid と deliveryvehicleid を使用してクレームを追加します。
- taskids クレームでアスタリスク（*）を使用する場合は、アスタリスクが配列内の唯一の要素である必要があります。

オンデマンド賃走の JWT の例

このセクションでは、オンデマンドルートを使用する一般的なシナリオの JWT の例を示します。

ドライバーアプリオペレーションのトークンの例

{
  "alg": "RS256",
  "typ": "JWT",
  "kid": "private_key_id_of_driver_service_account"
}
.
{
  "iss": "driver@yourgcpproject.iam.gserviceaccount.com",
  "sub": "driver@yourgcpproject.iam.gserviceaccount.com",
  "aud": "https://fleetengine.googleapis.com/",
  "iat": 1511900000,
  "exp": 1511903600,
  "authorization": {
     "vehicleid": "driver_12345"
   }
}

コンシューマアプリオペレーションのトークンの例

{
  "alg": "RS256",
  "typ": "JWT",
  "kid": "private_key_id_of_consumer_service_account"
}
.
{
  "iss": "consumer@yourgcpproject.iam.gserviceaccount.com",
  "sub": "consumer@yourgcpproject.iam.gserviceaccount.com",
  "aud": "https://fleetengine.googleapis.com/",
  "iat": 1511900000,
  "exp": 1511903600,
  "authorization": {
     "tripid": "trip_54321"
   }
}

スケジュール設定されたタスクの JWT の例

このセクションでは、スケジュールされたタスクを使用する場合の典型的なシナリオで JWT の例を示します。

ドライバアプリのトークンの例

    {
      "alg": "RS256",
      "typ": "JWT",
      "kid": "private_key_id_of_delivery_driver_service_account"
    }
    .
    {
      "iss": "driver@yourgcpproject.iam.gserviceaccount.com",
      "sub": "driver@yourgcpproject.iam.gserviceaccount.com",
      "aud": "https://fleetengine.googleapis.com/",
      "iat": 1511900000,
      "exp": 1511903600,
      "authorization": {
         "deliveryvehicleid": "driver_12345"
       }
    }

コンシューマアプリのトークンの例

    {
      "alg": "RS256",
      "typ": "JWT",
      "kid": "private_key_id_of_delivery_consumer_service_account"
    }
    .
    {
      "iss": "consumer@yourgcpproject.iam.gserviceaccount.com",
      "sub": "consumer@yourgcpproject.iam.gserviceaccount.com",
      "aud": "https://fleetengine.googleapis.com/",
      "iat": 1511900000,
      "exp": 1511903600,
      "authorization": {
         "trackingid": "shipment_12345"
       }
    }

フリートオペレーションの JWT の例

このセクションでは、フリート運用の一般的なシナリオの JWT の例を示します。

フリート内のすべてのタスクと車両を追跡するトークンの例

次の例は、オペレーターが使用するウェブベースのアプリから、フリート内のすべてのタスクと車両を追跡するトークンです。これらのオペレーションに必要な権限は、クライアントアプリケーションよりも大きくなります。このトークンを使用するクライアントサイドの実装については、JavaScript フリートトラッキングライブラリを設定するをご覧ください。

Fleet Engine Delivery Fleet Reader Cloud IAM ロールを使用してトークンに署名します。

注: このロールを使用して作成されたトークンは、Fleet Engine エンティティに一部の権限を付与します。バックエンドが認証済みユーザーのみとトークンを共有するようにしてください。

   {
      "alg": "RS256",
      "typ": "JWT",
      "kid": "private_key_id_of_consumer_service_account"
    }
    .
    {
      "iss": "superuser@yourgcpproject.iam.gserviceaccount.com",
      "sub": "superuser@yourgcpproject.iam.gserviceaccount.com",
      "aud": "https://fleetengine.googleapis.com/",
      "iat": 1511900000,
      "exp": 1511903600,
      "scope": "https://www.googleapis.com/auth/xapi",
      "authorization": {
         "taskid": "*",
         "deliveryvehicleid": "*",
       }
    }

バックエンドサーバーオペレーションの代替認証方法

Google では、ADC を使用してバックエンドサーバーの操作を認証することをおすすめしています。ADC を使用できず、JWT を使用する必要がある場合は、次の例をご覧ください。

オンデマンドバックエンドサーバーオペレーション用のトークンの例

  {
    "alg": "RS256",
    "typ": "JWT",
    "kid": "private_key_id_of_provider_service_account"
  }

  {
    "iss": "provider@yourgcpproject.iam.gserviceaccount.com",
    "sub": "provider@yourgcpproject.iam.gserviceaccount.com",
    "aud": "https://fleetengine.googleapis.com/",
    "iat": 1511900000,
    "exp": 1511903600,
    "authorization": {
       "vehicleid": "*",
       "tripid": "*"
     }
  }

スケジュールされたバックエンドサーバーオペレーションのトークンの例

    {
      "alg": "RS256",
      "typ": "JWT",
      "kid": "private_key_id_of_provider_service_account"
    }
    .
    {
      "iss": "provider@yourgcpproject.iam.gserviceaccount.com",
      "sub": "provider@yourgcpproject.iam.gserviceaccount.com",
      "aud": "https://fleetengine.googleapis.com/",
      "iat": 1511900000,
      "exp": 1511903600,
      "authorization": {
         "taskid": "*"
       }
    }

バックエンドサーバーのスケジュール設定されたバッチ作成タスクオペレーションのトークンの例

    {
      "alg": "RS256",
      "typ": "JWT",
      "kid": "private_key_id_of_provider_service_account"
    }
    .
    {
      "iss": "provider@yourgcpproject.iam.gserviceaccount.com",
      "sub": "provider@yourgcpproject.iam.gserviceaccount.com",
      "aud": "https://fleetengine.googleapis.com/",
      "iat": 1511900000,
      "exp": 1511903600,
      "authorization": {
         "taskids": ["*"]
       }
    }

スケジュールされたバックエンドサーバーの配送車両ごとのオペレーションのトークンの例

    {
      "alg": "RS256",
      "typ": "JWT",
      "kid": "private_key_id_of_provider_service_account"
    }
    .
    {
      "iss": "provider@yourgcpproject.iam.gserviceaccount.com",
      "sub": "provider@yourgcpproject.iam.gserviceaccount.com",
      "aud": "https://fleetengine.googleapis.com/",
      "iat": 1511900000,
      "exp": 1511903600,
      "authorization": {
         "deliveryvehicleid": "*"
       }
    }

次のステップ

設定を確認して、試用車両を作成してトークンが想定どおりに動作していることを確認します。
バックエンドサーバーオペレーションで JWT ではなく ADC を使用する方法については、セキュリティの概要をご覧ください。