認証と認可は、それぞれ ID とリソースへのアクセスを検証するために使用されるメカニズムです。このドキュメントでは、Google Meet REST API リクエストの認証と認可の仕組みについて説明します。
このガイドでは、ユーザーの Google 認証情報で OAuth 2.0 を使用して Meet REST API にアクセスする方法について説明します。ユーザー認証情報を使用して認証と認可を行うと、Meet 用アプリはユーザーデータにアクセスし、認証されたユーザーの代わりにオペレーションを実行できます。ユーザーの代わりに認証を行うことで、アプリはユーザーと同じ権限を持ち、ユーザーが実行したかのようにアクションを実行できます。
重要な用語
認証と認可に関連する用語の一覧は次のとおりです。
- 認証
ユーザーなどのプリンシパルが、
またはユーザーに代わって動作するアプリが、そのユーザーであるかどうかを確認します。Google Workspace アプリを作成する際は、ユーザー認証とアプリ認証という 2 種類の認証について理解しておく必要があります。Meet REST API の場合、ユーザー認証を使用してのみ認証できます。
- 認可
プリンシパルがアクセスできる権限または「権限」
データを取得したり、オペレーションを実行したりできます。認証は、アプリで記述したコードを通じて行われます。このコードは、アプリがユーザーに代わって操作を行うことをユーザーに通知し、許可された場合は、アプリの一意の認証情報を使用して Google からアクセス トークンを取得し、データにアクセスしたりオペレーションを実行したりします。
REST API スコープについて
認可スコープは、会議のコンテンツにアクセスするためにアプリの認可をユーザーにリクエストする権限です。アプリをインストールする際に、ユーザーはこれらのスコープを検証するよう求められます。一般的に、できる限り狭い範囲のスコープを選択し、アプリで必要ないスコープはリクエストしないようにします。ユーザーは、明確に説明された限定的なスコープに対してアクセス権限を付与する傾向があります。
Meet REST API は、次の OAuth 2.0 スコープをサポートしています。
| スコープコード | 説明 | 用途 |
|---|---|---|
https://www.googleapis.com/auth/meetings.space.settings |
編集および Google Meet 通話すべての設定の表示。 | 機密情報ではない |
https://www.googleapis.com/auth/meetings.space.created |
アプリで作成した会議スペースに関するメタデータの作成、変更、読み取りをアプリに許可します。 | デリケートなコンテンツ |
https://www.googleapis.com/auth/meetings.space.readonly |
ユーザーがアクセスできる会議スペースに関するメタデータをアプリが読み取れるようにします。 | デリケートなコンテンツ |
https://www.googleapis.com/auth/drive.readonly |
アプリが Google Drive API から録音ファイルと文字起こしファイルをダウンロードできるようにします。 | 制限付き |
次の Meet 関連の OAuth 2.0 スコープは、 Google Drive API スコープのリストにあります。
| スコープコード | 説明 | 用途 |
|---|---|---|
https://www.googleapis.com/auth/drive.meet.readonly |
Google Meet で作成または編集されたドライブ ファイルの参照。 | 制限付き |
表の [使用状況] 列は、次の定義に従って、各スコープの機密性を示します。
センシティブでない: これらのスコープは、最小限の認可アクセスを提供し、基本的なアプリの確認のみを必要とします。詳しくは、確認の要件をご覧ください。
機密情報: これらのスコープは、ユーザーがアプリに対して承認した特定の Google ユーザーデータへのアクセスを提供します。追加のアプリ検証を受ける必要があります。詳しくは、機密情報と制限付きスコープの要件をご覧ください。
制限付き: これらのスコープは Google ユーザーデータへの広範なアクセスを提供するため、制限付きスコープの確認プロセスを完了する必要があります。詳しくは、Google API サービスのユーザーデータに関するポリシーと特定の API スコープの追加要件をご覧ください。制限付きスコープのデータをサーバーに保存(または送信)する場合は、セキュリティ評価を受ける必要があります。
アプリが他の Google API へのアクセスを必要とする場合は、それらのスコープも追加できます。Google API スコープの詳細については、OAuth 2.0 を使用した Google API へのアクセスをご覧ください。
ユーザーとアプリの審査担当者に表示する情報を定義するには、OAuth 同意画面を構成し、スコープを選択するをご覧ください。
特定の OAuth 2.0 スコープの詳細については、Google API の OAuth 2.0 スコープをご覧ください。
ドメイン全体の委任を使用して認証と認可を行う
ドメイン管理者は、ドメイン全体の権限委任を付与して、アプリケーションのサービス アカウントがユーザーの同意を必要とせずにユーザーのデータにアクセスできるようにすることができます。ドメイン全体の委任を構成すると、サービス アカウントはユーザー アカウントの権限を借用できます。サービス アカウントは認証に使用されますが、ドメイン全体の委任はユーザーを偽装するため、ユーザー認証と見なされます。ユーザー認証を必要とする機能は、ドメイン全体の委任を使用できます。
関連トピック
Google Workspace での認証と認可の概要については、認証と認可についてをご覧ください。
Google Cloud での認証と認可の概要については、Google での認証方法をご覧ください。