HTTP エンドポイントで構築された Google Chat アプリの場合、このセクションでは、エンドポイントへのリクエストが Chat から送信されたことを確認する方法について説明します。
インタラクション イベントを Chat アプリのエンドポイントに送信するため、Google はサービスにリクエストを送信します。リクエストが Google から送信されたことを確認するため、Chat では、エンドポイントへのすべての HTTPS リクエストの Authorization
ヘッダーにベアラ トークンが含まれています。次に例を示します。
POST
Host: yourappurl.com
Authorization: Bearer AbCdEf123456
Content-Type: application/json
User-Agent: Google-Dynamite
上の例の文字列 AbCdEf123456
は、ベアラ認可トークンです。これは Google が生成した暗号トークンです。ベアラ トークンのタイプと audience
フィールドの値は、Chat アプリの構成時に選択した認証オーディエンスのタイプによって異なります。
Cloud Functions または Cloud Run を使用して Chat アプリを実装している場合、Cloud IAM がトークン検証を自動的に処理します。承認済み呼び出し元として Google Chat サービス アカウントを追加するだけです。アプリが独自の HTTP サーバーを実装している場合は、オープンソースの Google API クライアント ライブラリを使用して署名なしトークンを検証できます。
- Java: https://github.com/google/google-api-java-client
- Python: https://github.com/google/google-api-python-client
- Node.js: https://github.com/google/google-api-nodejs-client
- .NET: https://github.com/google/google-api-dotnet-client
トークンが Chat アプリの確認に合格しなかった場合、サービスは HTTPS レスポンス コード 401 (Unauthorized)
でリクエストに応答する必要があります。
Cloud Functions または Cloud Run を使用してリクエストを認証する
関数ロジックが Cloud Functions または Cloud Run を使用して実装されている場合は、Chat アプリの接続設定の [認証対象] フィールドで [HTTP エンドポイント URL] を選択し、構成の HTTP エンドポイント URL が Cloud Functions または Cloud Run エンドポイントの URL に対応していることを確認する必要があります。
次に、Google Chat サービス アカウント chat@system.gserviceaccount.com
を呼び出し元として承認する必要があります。
Cloud Functions(第 1 世代)を使用する手順は次のとおりです。
Console
関数を Google Cloud にデプロイした後:
Google Cloud コンソールで、[Cloud Functions] ページに移動します。
Cloud Functions リストで、受信側関数の横にあるチェックボックスをオンにします。(関数自体はクリックしないでください)。
画面の上部の [権限] をクリックします。[権限] パネルが開きます。
[プリンシパルを追加] をクリックします。
[新しいプリンシパル] フィールドに「
chat@system.gserviceaccount.com
」と入力します。[ロールを選択] プルダウン メニューから、Cloud Functions > Cloud Functions 起動元 ロールを選択します。
[保存] をクリックします。
gcloud
gcloud functions add-iam-policy-binding
コマンドを使用します。
gcloud functions add-iam-policy-binding RECEIVING_FUNCTION \
--member='serviceAccount:chat@system.gserviceaccount.com' \
--role='roles/cloudfunctions.invoker'
RECEIVING_FUNCTION
は、Chat アプリの関数の名前に置き換えます。
次の手順では、Cloud Functions(第 2 世代)または Cloud Run サービスを使用します。
Console
関数またはサービスを Google Cloud にデプロイした後:
Google Cloud コンソールで [Cloud Run] ページに移動します。
Cloud Run サービスリストで、受信側関数の横にあるチェックボックスをオンにします(関数自体はクリックしないでください)。
画面の上部の [権限] をクリックします。[権限] パネルが開きます。
[プリンシパルを追加] をクリックします。
[新しいプリンシパル] フィールドに「
chat@system.gserviceaccount.com
」と入力します。[ロールを選択] プルダウン メニューから、Cloud Run > Cloud Run 起動元 ロールを選択します。
[保存] をクリックします。
gcloud
gcloud functions add-invoker-policy-binding
コマンドを使用します。
gcloud functions add-invoker-policy-binding RECEIVING_FUNCTION \
--member='serviceAccount:chat@system.gserviceaccount.com'
RECEIVING_FUNCTION
は、Chat アプリの関数の名前に置き換えます。
ID トークンを使用して HTTP リクエストを認証する
Chat アプリの接続設定の認証オーディエンス フィールドが HTTP エンドポイント URL に設定されている場合、リクエスト内のベアラ認可トークンは、Google 署名付き OpenID Connect(OIDC)ID トークンです。email
フィールドは chat@system.gserviceaccount.com
に設定されています。[Authentication Audience] フィールドは、Chat アプリにリクエストを送信するように Google Chat で構成した URL に設定します。たとえば、Chat アプリの構成済みエンドポイントが https://example.com/app/
の場合、ID トークンの [Authentication Audience] フィールドは https://example.com/app/
になります。
これは、HTTP エンドポイントが IAM ベースの認証をサポートするサービス(Cloud Functions や Cloud Run など)でホストされていない場合に推奨される認証方法です。この方法では、HTTP サービスは実行されているエンドポイントの URL に関する情報が必要ですが、Cloud プロジェクト番号に関する情報は必要ありません。
次のサンプルは、Google OAuth クライアント ライブラリを使用して、ベアラ トークンが Google Chat によって発行され、アプリを対象としていることを検証する方法を示しています。
Java
Python
Node.js
プロジェクト番号 JWT でリクエストを認証する
Chat アプリの接続設定の Authentication Audience フィールドが Project
Number
に設定されている場合、リクエスト内のベアラ認可トークンは、chat@system.gserviceaccount.com
によって発行および署名された自己署名 JSON Web Token(JWT)です。audience
フィールドは、Chat アプリの作成に使用した Google Cloud プロジェクト番号に設定します。たとえば、Chat アプリの Cloud プロジェクト番号が 1234567890
の場合、JWT の audience
フィールドは 1234567890
です。
この認証方法は、HTTP エンドポイント URL ではなく Cloud プロジェクト番号を使用してリクエストを検証する場合にのみ推奨されます。たとえば、Cloud プロジェクト番号を変更せずにエンドポイント URL を変更する場合や、複数の Cloud プロジェクト番号に同じエンドポイントを使用し、audience
フィールドを Cloud プロジェクト番号のリストと比較する場合などです。
次のサンプルは、Google OAuth クライアント ライブラリを使用して、ベアラ トークンが Google Chat によって発行され、プロジェクトを対象としていることを検証する方法を示しています。
Java
Python
Node.js
関連トピック
- Google Workspace での認証と認可の概要については、認証と認可についてをご覧ください。
- Chat での認証と認可の概要については、認証の概要をご覧ください。
- ユーザー認証情報またはサービス アカウントを使用して認証と承認を設定します。