認証と認可は、それぞれ ID とリソースへのアクセスを確認するために使用されるメカニズムです。このドキュメントでは、Google Meet REST API リクエストの認証と認可の仕組みについて説明します。
このガイドでは、ユーザーの Google 認証情報を使用して Meet REST API にアクセスする方法について説明します。ユーザー認証情報を使用して認証と認可を行うことで、Meet アプリはユーザーデータにアクセスし、認証済みユーザーに代わってオペレーションを実行できます。ユーザーに代わって認証を行うことで、アプリはそのユーザーと同じ権限を持ち、そのユーザーが実行したかのようにアクションを実行できます。
重要な用語
認証と認可に関連する用語を以下に示します。
- 認証
ユーザーまたはユーザーに代わって動作するアプリであるプリンシパル
が、そのユーザーまたはアプリであることを確認する行為。Google Workspace アプリを作成する場合は、ユーザー認証とアプリ認証という 2 種類の認証に注意する必要があります。Meet REST API の場合、認証にはユーザー認証のみを使用できます。
- 認可
プリンシパルが
データにアクセスしたり、オペレーションを実行したりするために持つ権限または「権限」。認可は、アプリに記述したコードを通じて行われます。このコードは、アプリがユーザーに代わって動作することをユーザーに通知し、許可された場合は、アプリの一意の認証情報を使用して Google からアクセス トークンを取得し、データにアクセスしたり、オペレーションを実行したりします。
Meet REST API スコープ
認可スコープは、アプリが会議コンテンツにアクセスするためにユーザーに認可をリクエストする権限です。ユーザーがアプリをインストールすると、これらのスコープの検証が求められます。通常は、できる限り絞り込んだスコープを選択し、アプリで必要ないスコープはリクエストしないようにします。ユーザーは、明確に説明された限定的なスコープに対してアクセス権限を付与する傾向があります。
Meet REST API は、次の OAuth 2.0 スコープをサポートしています。
| スコープコード | 説明 | 用途 |
|---|---|---|
https://www.googleapis.com/auth/meetings.space.settings |
すべての Google Meet 通話の設定を編集および表示します。 | センシティブではない |
https://www.googleapis.com/auth/meetings.space.created |
アプリで作成した会議スペースに関するメタデータの作成、変更、読み取りをアプリに許可します。 | デリケートなコンテンツ |
https://www.googleapis.com/auth/meetings.space.readonly |
ユーザーがアクセスできる会議スペースに関するメタデータの読み取りをアプリに許可します。 | デリケートなコンテンツ |
https://www.googleapis.com/auth/drive.readonly |
Google Drive API から録音と文字起こしファイルをダウンロードすることをアプリに許可します。 | 制限付き |
Meet に隣接する次の OAuth 2.0 スコープは、 Google Drive API スコープのリストにあります。
| スコープコード | 説明 | 用途 |
|---|---|---|
https://www.googleapis.com/auth/drive.meet.readonly |
Google Meet で作成または編集されたドライブ ファイルを表示します。 | 制限付き |
表の [用途] 列は、次の定義に従って、各スコープの機密性を示しています。
センシティブではない: これらのスコープは、認可アクセス権の最小スコープを提供し、基本的なアプリの確認のみを必要とします。詳しくは、 確認の要件 をご覧ください。
機密: これらのスコープは、ユーザーがアプリに認可した特定の Google ユーザーデータへのアクセスを提供します。追加のアプリの確認を行う必要があります。詳しくは、デリケートなコンテンツと制限付き スコープ の要件をご覧ください。
制限付き: これらのスコープは、Google ユーザーデータへの広範なアクセスを提供し、 制限付きスコープの検証プロセスを行う必要があります。詳しくは、Google API サービスのユーザーデータに関するポリシーと特定の API スコープの追加要件をご覧ください。制限付きスコープのデータをサーバーに保存(または送信)する場合は、セキュリティ評価を受ける必要があります。
アプリが他の Google API へのアクセスを必要とする場合は、それらのスコープも追加できます。Google API スコープの詳細については、OAuth 2.0 を使用して Google API にアクセスするをご覧ください。
ユーザーとアプリの審査担当者に表示される情報を定義するには、 OAuth 同意画面を設定し、スコープを選択するをご覧ください。
特定の OAuth 2.0 スコープの詳細については、Google API の OAuth 2.0 スコープをご覧ください。
ドメイン全体の委任を使用して認証と認可を行う
ドメイン管理者は、ドメイン全体の権限の 委任を付与して、 アプリケーションのサービス アカウントがユーザーのデータにアクセスできるようにすることができます。ユーザーごとに 同意を求める必要はありません。ドメイン全体の委任を構成すると、サービス アカウントはユーザー アカウントの権限を借用できます。 サービス アカウントは認証に使用されますが、ドメイン全体の委任はユーザーの権限を借用するため、ユーザー認証 と見なされます。ユーザー認証を必要とする機能では、ドメイン全体の委任を使用できます。
関連トピック
Google Workspace での認証と認可の概要については、 認証と 認可についてをご覧ください。
Google Cloud での認証と認可の概要については、 Google での認証方法 をご覧ください。