Strategy Library OAuth2 の設定

Strategy One（2025年5月）より、環境をOAuth 2.0を使用してLibraryにログインするように設定できます。このオプションを使用して、Library サーバーで有効になっている認証モードに関係なく、Library サーバーを通じて Intelligence Server への認証方法を統合します。

この機能は Managed Cloud Enterprise でのみサポートされています。

Library OAuth2 を設定するには、次のトピックを参照してください：

前提条件
OAuth2 クライアントの設定
トラブルシューティング

前提条件

最新バージョンの Workstation がインストールされていることを確認してください。
環境の管理権限が必要です。
OAuth2 機能が有効になっていることを確認してください。WEB-INF/classes/config/configOverride.properties ファイルを確認し、auth.oauth2.server.enabled = true が設定されていることを確認します。

OAuth2 クライアントの設定

Workstation ウィンドウを開きます。
ナビゲーションペインで、環境を選択して利用可能な環境を表示します。環境が接続されていることを確認してください。
環境を右クリックして プロパティ を選択します。
左ペインで Library をクリックします。
OAuth2 設定 のサーバーの下に、次のフィールドが表示されます：
- 認証エンドポイント：ユーザーがアプリケーションを認証するためにリダイレクトされる URL。
- トークンエンドポイント：アプリケーションが認証コードをアクセストークンと交換する URL。
OAuth 設定 で、クライアント の下の作成をクリックします。
表示名 にクライアントの名前を入力します。
クライアントタイプ ドロップダウンリストを展開してオプションを選択します。

シングルページアプリケーション または ネイティブアプリケーション を選択した場合、Proof Key for Code Exchange (PKCE) が必要です。
コピー をクリックして、クライアント ID と クライアントシークレット をコピーします。

クライアントシークレット は一度だけ表示されます。
リダイレクト URI を入力します。URI を追加するには、新規作成 をクリックします。

例：https://example.com/oauth2/callback、http://localhost:8080/oauth2/callback、または custom.scheme://auth。

非localhost URI には HTTPS が必要です。
オプションで リフレッシュトークン の横のチェックボックスを選択して、ユーザーの操作なしで新しいアクセストークンを取得するリフレッシュトークンを追加し、次のフィールドを設定します：
- リフレッシュトークンの再利用：このチェックボックスを選択すると、リフレッシュトークンを再利用して新しいアクセストークンを取得します。このチェックボックスを選択しない場合、新しいアクセストークンを取得するたびに新しいリフレッシュトークンが発行されます。
- リフレッシュトークンの有効期間：リフレッシュトークンの期間を分単位で値を入力します。
OK をクリックします。
設定が保存されたことを確認するには：
1. 環境を右クリックして プロパティ を選択します。
2. Library をクリックして OAuth2 設定 セクションを確認します。
3. さらにクライアントを追加するには、追加をクリックして手順 6 から 11 を繰り返します。
4. クライアントシークレット を再生成するには、再生成 をクリックします。
5. OK をクリックします。

トラブルシューティング

/oauth2/authorize エンドポイントが 404 エラーを返す

WEB-INF/classes/config/configOverride.properties ファイルを確認し、auth.oauth2.server.enabled = true が設定されていることを確認してください。

/oauth2/authorize エンドポイントが HTTP ステータス 400 - Bad Request を返す

Workstation の OAuth2 クライアント設定を確認し、/oauth2/authorize リクエストのパラメータが次のパラメータを含めて一致していることを確認してください：

client_id：クライアント ID が一致していることを確認してください。
redirect_uri：リダイレクト URI が一致していることを確認してください。
response_type：レスポンスタイプは code です。
scope：scope パラメータが offline_access の場合、リフレッシュトークン が選択されていることを確認してください。
code_challenge：クライアントタイプが シングルページアプリケーション または ネイティブアプリケーション の場合、このフィールドにエントリがあることを確認してください。
code_challenge_method：クライアントタイプが シングルページアプリケーション または ネイティブアプリケーション の場合、このフィールドにエントリがあることを確認してください。

/oauth2/token レスポンスでリフレッシュトークンが返されない

/oauth2/authorize リクエストに offline_access スコープがあり、クライアント設定で リフレッシュトークン オプションが選択されていることを確認してください。

OAuth2 クライアントタイプが シングルページアプリケーション または ネイティブアプリケーション として設定されている場合でも、トークン交換リクエストに client_secret が含まれていることを確認してください。このような場合、client_secret はもはや機密ではありません。コードが侵害されるリスクを軽減するための追加のセキュリティ対策として、Proof Key for Code Exchange (PKCE) が実装されています。

/oauth2/token エンドポイントで {error: 'server_error'} が返される

Library サーバーと Intelligence Server の間で信頼関係が確立されていることを確認してください。これを行うには、WEB-INF/classes/config/configOverride.properties ファイルを確認し、iserver.trustToken フィールドに有効な値があることを確認してください。

信頼トークンが存在する場合は、Library Web 管理ページまたは Workstation で再生成してください。

信頼トークンを再生成した後、Library サーバーを再起動する必要があります。

リフレッシュトークンを使用してアクセストークンを交換すると 400 エラー：{"error" : "invalid_grant} が返される

リフレッシュトークンが期限切れになっているか、OAuth2 サーバーが再利用しないように設定されている可能性があります。Workstation OAuth2 設定ページで リフレッシュトークンの再利用 が選択されていることを確認してください。

Library OAuth2 サーバーが In-Memory トークンストアを使用するように設定され、サーバーが再起動された可能性があります。サーバーが再起動されると、リフレッシュトークンが失われます。WEB-INF/classes/config/configOverride.properties ファイルの auth.oauth2.server.storage フィールドを確認し、redis に設定されていることを確認してください。