ビジネスサポートのAPI実行までの流れ#
はじめに#
ビジネスサポートが提供するAPIを利用するためにはAPI認証サービスが発行するトークンが必要です。
トークン取得からAPI実行までの流れ#
1. トークンリクエストの提示#
お客様システムがAPI認証サービスに対してトークンリクエスト(クライアントIDとクライアントシークレット)を提示し、アクセストークンを取得するAPIを呼び出します。
2. API認証とアクセストークンの取得#
API認証サービスはお客様システムから受け取ったトークンリクエストの認証を行い、アクセストークンを発行します。
3. APIの呼び出し#
お客様システムは取得したアクセストークンをHTTPヘッダに追加し、ビジネスサポートのAPIを実行します。
4. アクセストークンの検証#
ビジネスサポートは設定されたアクセストークンの検証を行い、機能実行の認可を行います。
5. 機能実行#
認可された場合はそのまま各APIに応じた処理が実行されます。認可されなかった場合はHTTPステータスコード403が返却されます。
403が返却された場合はトークンが無効である可能性があるため、再度「1. トークンリクエストの提示」から実施してください。
6. 結果返却#
API実行結果をお客様システムに返却します。
API認証とビジネスサポートのシステム構成図#
API認証とは#
API認証はFUJITSU Hybrid IT Service FJcloud-Oで公開されるREST APIの一部で使用される認証方式です。OAuth2.0のクライアントクレデンシャルグラントを使用して認証を行います。
(一般的な)WEB画面を持つアプリケーションでは、ログインID(以降、クライアントID)・ログインパスワード(以降、クライアントシークレット)を使用してログインし、そのログイン状態をSessionで保持してアプリケーションをセキュアに実行します。しかしREST APIではAPIを連続して呼び出すだけであり、画面もSessionも存在しません。
API呼び出しの度にHTTPリクエストパラメータでクライアントID・クライアントシークレットを指定してAPIを実行することも可能ではありますが、パスワードであるクライアントシークレットを常時送信することはセキュリティ上懸念があります。
API認証ではクライアントID・クライアントシークレットの組み合わせによりアクセストークンを払い出します。認証方式にAPI認証を使用するサービスでは、API実行時に指定されるアクセストークンの妥当性を確認します。
確認の結果、有効なアクセストークン(ログインに成功しており、トークンの有効期間が切れていない)である場合は要求されたAPIを実行して処理結果を返却しますが、無効であった場合はビジネスサポート(顧客管理・契約管理・料金計算)ではHTTPステータスコード403を返却します。
API認証のAPI仕様#
API認証のAPIリファレンスについてはこちらを参照してください。