スコープ
スコープ
開発者コンソールでアプリケーションが作成されると、ユーザーはアプリケーションのスコープを設定する必要があります。ユーザーにBox内のファイルやフォルダへのアクセス権限が付与されるしくみと同様、アプリケーションにも、BoxユーザーやBoxを使用する企業に代わって特定のアクションを実行するための独自の権限が付与されます。アプリケーションに対する権限セットの名前を「スコープ」と言います。つまり、アプリケーションのスコープにより、アプリケーションから呼び出すことのできるエンドポイントが決まります。また、このスコープは、アプリケーションのアクセストークンが提供するアクセス権限に反映されます。
ユーザー権限とスコープ
アクションを実行するための適切なスコープがアプリケーションに設定されている場合でも、アクセストークンと関連付けられた、呼び出しを実行するユーザーにはそのアクションを実行するための権限が必要であり、逆の場合も同様であることを理解することが重要です。
たとえば、ファイルを読み取るようにアプリケーションが設定されている場合、アクセスしようとするファイルの読み取り権限が認証済みユーザーにも必要です。
スコープ、トークンの権限、ユーザー権限がどのように連携しているかの詳細については、Boxのセキュリティガイドを参照してください。
スコープとOAuth 2承認
アプリケーションを承認するためにクライアント側のOAuth 2フローを介してユーザーを送信する際は、承認URLに一連のスコープを追加してユーザーのアクセストークンをさらに制限できます。
たとえば、アプリケーションでroot_readonlyおよびroot_readwriteスコープが有効になっている場合は、ユーザーのリダイレクト時にこのスコープを指定することで、ユーザーのアクセストークンをroot_readonlyに制限できます。
GET https://account.box.com/api/oauth2/authorize?scope=root_readonly&client_id=....
スコープパラメータが省略されている場合、アプリケーションでは、そのアプリケーションの作成時に設定されたスコープが使用されます。
セルフサービススコープ
これらのスコープは、アプリケーションの設定時に開発者コンソールから使用できます。[構成] タブの [アプリケーションスコープ] セクションに移動して、以下のスコープから1つ以上を選択します。
すべてのファイルとフォルダの読み取り
| OAuthスコープ | root_readonly |
| アプリケーションスコープ | Boxに格納されているすべてのファイルとフォルダの読み取り |
アプリケーションで、認証済みユーザーはすべてのファイル/フォルダを読み取ることができるようになります。
これにより、アプリケーションにはファイルとフォルダに対する読み取り権限が付与されますが、APIコールを実行するユーザーには、アクセス対象の項目に対するアクセス権限が必要です。
つまり、JWTアプリケーションが管理対象ユーザーの項目にアクセスする場合、サービスアカウントのトークンは、そのコンテンツにアクセスできるユーザーとして直接認証されるように、as-userヘッダーを使用するか、ユーザーアクセストークンを作成する必要があります。
すべてのファイルとフォルダの読み取りと書き込み
| OAuthスコープ | root_readwrite |
| アプリケーションスコープ | Boxに格納されているすべてのファイルとフォルダの読み取りと書き込み |
アプリケーションには、認証済みユーザーの書き込みアクセス権限が付与されます。これにより、アプリケーションでは、ファイルまたは新しいファイルバージョンのアップロード、コンテンツのダウンロード、新しいフォルダの作成、コラボレーションの更新または削除、コメントまたはタスクの作成などを実行できるようになります。
これにより、アプリケーションには項目に対する読み取り/書き込みアクセス権限が付与されますが、APIコールを行うユーザーには、コンテンツに対するアクセス権限が必要です。
ユーザーを管理する
開発者コンソールにある「ユーザーを管理する」スコープは、2つのOAuthスコープにマップされます。
| OAuthスコープ | manage_managed_users |
| アプリケーションスコープ | ユーザーを管理する |
アプリケーションには、管理対象ユーザーを管理するための権限が付与されます。これにより、このアプリでは、ユーザーのプライマリログインの変更、ユーザーのパスワードのリセット、管理対象ユーザーのロールの変更を実行できます。
| OAuthスコープ | manage_app_users |
| アプリケーションスコープ | ユーザーを管理する |
アプリケーションには、App Userを管理するための権限が付与されます。つまり、このスコープは、サーバー側で認証されている (JWT) アプリケーションのみに適用されます。
グループを管理する
| OAuthスコープ | manage_groups |
| アプリケーションスコープ | グループを管理する |
アプリケーションには、企業のグループを管理するための権限が付与されます。これにより、このアプリでは、グループの作成、更新、削除のほか、グループメンバーシップの管理を実行できます。
Webhookを管理する
| OAuthスコープ | manage_webhook |
| アプリケーションスコープ | Webhookを管理する |
アプリケーションには、ユーザーのWebhookを作成するための権限が付与されます。Webhookの制限を確認してください。注目すべきは、1ユーザーにつき1つのアプリケーションあたりWebhookは1,000個までという制限があることです。
Enterpriseのプロパティを管理する
| OAuthスコープ | manage_enterprise_properties |
| アプリケーションスコープ | Enterpriseのプロパティを管理する |
アプリケーションには、Enterprise Event Streamを表示するための権限に加え、Enterpriseの属性とレポートを表示および編集するための権限が付与されます。さらに、アプリケーションでは、デバイスピンの編集と削除も実行できます。
リテンションポリシーを管理する
| OAuthスコープ | manage_data_retention |
| アプリケーションスコープ | リテンションポリシーを管理する |
| 依存先 | enterprise_contentスコープ |
アプリケーションには、Box Governanceでリテンションポリシーを表示および作成するための権限が付与されます。そのため、企業ではBox Governanceを購入しておく必要があります。
署名リクエストを管理する
| OAuthスコープ | sign_requests.readwrite |
| アプリケーションスコープ | 署名リクエストを管理する |
アプリケーションには、署名リクエストを取得、作成、キャンセル、および再送信するための権限が付与されます。
このスコープでは、アプリケーションに読み取り/書き込みスコープも設定する必要があります。これらのスコープは、有効にしたときに自動的に選択されます。さらに、企業ではSignが有効になっている必要があります。
Box AI APIを管理する
| OAuthスコープ | AI.readwrite |
| アプリケーションスコープ | AIを管理する |
アプリケーションには、Box AI APIにリクエストを送信するための権限が付与されます。
Box Relayを管理する
| OAuthスコープ | manage_triggers |
| アプリケーションスコープ | Box Relayを管理する |
アプリケーションには、ワークフローを取得し、WORKFLOW_MANUAL_STARTタイプのフローを開始するための権限が付与されます。
このスコープでは、アプリケーションに読み取り/書き込みスコープも設定する必要があります。
リクエストに応じて使用可能
リクエスト時にのみ使用できる追加のスコープがいくつかあります。これを使用するには、Boxのサポートチームにチケットを送信してください。サポートチームは、個別にリクエストを確認し、ユースケースにスコープが必要な場合にのみ承認を行います。
リーガルホールドを管理する
| OAuthスコープ | manage_legal_holds |
| アプリケーションスコープ | リテンションポリシーを管理する |
| 依存先 | enterprise_contentスコープ |
アプリケーションには、Box Governanceでリテンションポリシーを表示および作成するための権限が付与されます。そのため、会社ではBox Governanceを購入しておく必要があります。
メール通知を抑制する
| アプリケーションスコープ | APIコールからメール通知を抑制する |
APIコールが行われるときに、一部の種類のメール通知を抑制できます。
グローバルコンテンツマネージャ (GCM)
| OAuthスコープ | enterprise_content |
| アプリケーションスコープ | グローバルコンテンツマネージャ |
管理者とサービスアカウントは、明示的な所有権やコラボレーション権限がなくても、社内のすべてのコンテンツを取得できます。このスコープは、リテンションポリシーとリーガルホールドを管理する場合にも必要です。
ダウンスコープ用のスコープ
特にトークンをクライアント側 (ブラウザなどの公開された環境) に公開する必要がある場合など、アクセストークンをより厳格な権限レベルにダウンスコープしなければならないことがあります。その主な例として、ユーザーのブラウザでアクセストークンが必要となるBox UI Elementsを使用する場合が挙げられます。
既存のアクセストークンをダウンスコープするためにPOST /oauth2/tokenエンドポイントで使用できる追加のスコープのリストを以下に示します。
| OAuthスコープ | 影響を受けるUI Element | 説明 |
|---|---|---|
annotation_edit | プレビュー | 注釈の編集と削除をユーザーに許可します。 |
annotation_view_all | プレビュー | すべてのユーザーによる注釈の表示をユーザーに許可します。 |
annotation_view_self | プレビュー | ユーザーに自分の注釈のみの表示を許可します。 |
base_explorer | Explorer | ユーザー/ファイル/トークンの権限に基づいて、フォルダツリー内のコンテンツへのアクセスを許可します。 |
base_picker | Picker | ユーザー/ファイル/トークンの権限に基づいて、フォルダツリー内のコンテンツへのアクセスを許可します。 |
base_preview | プレビュー | ファイルのプレビューのみをユーザーに許可します。 |
base_sidebar | Sidebar | サイドバーUI Elementに必要なファイルの基本情報の取得をユーザーに許可します。 |
base_upload | Uploader | トークンのダウンスコープ時に、resourceの下で指定されたフォルダへのアップロードを許可します。 |
item_delete | Explorer | ファイルとフォルダの削除を許可します。 |
item_download | Explorer、Preview | ファイルまたはフォルダのコンテンツのダウンロードを許可します。 |
item_preview | Explorer | ファイルのプレビューを有効にします。 |
item_rename | Explorer | ファイルとフォルダの名前変更を許可します。 |
item_share | Explorer、Picker | トークン交換のresourceで指定された項目の共有を許可します。 |
item_upload | Picker | Content Pickerでのアップロードを許可します。 |
また、ダウンスコープ時には標準OAuthスコープもサポートされます。
| OAuthスコープ | 説明 |
|---|---|
root_readonly | Boxに格納されているすべてのファイルとフォルダの読み取り |
root_readwrite | Boxに格納されているすべてのファイルとフォルダの読み取りと書き込み |
manage_managed_users | 管理対象ユーザーを管理する |
manage_app_users | App Userを管理 |
manage_groups | グループを管理する |
manage_webhook | Webhookを管理する |
manage_enterprise_properties | Enterpriseのプロパティを管理する |
manage_data_retention | リテンションポリシーを管理する |
sign_requests.readwrite | 署名リクエストを管理する |