リソース所有者のパスワード認証情報の付与
OAuth リソース所有者パスワード認証情報 (ROPC) 権限許可を設定すると、アプリケーションは認証情報を直接使用してアクセストークンを取得してユーザーを認証できます。
- 理想的な用途:
- アプリがユーザーの認証情報を直接収集する、制御された環境にある、信頼性の高い内部クライアントアプリケーション。
- 仕組み:
- クライアントアプリケーションは、ユーザーのユーザー名とパスワードを収集し、それらを ServiceNow インスタンスに直接送信してアクセストークンを取得します。このフローはリダイレクト画面と同意画面をバイパスしますが、ユーザーの認証情報をクライアントアプリケーションに公開するため、より安全な代替手段が実行不可能な従来の環境または厳しく制御された環境でのみ使用する必要があります。
セキュリティに関する考慮事項
ROPC フローは、ユーザー認証情報をクライアントアプリケーションに直接公開するため、最新の代替手段よりも本質的に安全性が低くなります。クライアントが完全に信頼され、厳密に制御され、安全に管理されているシナリオでのみ使用する必要があります。
絶対に必要な場合を除き、最新のアプリケーションでこの権限許可を使用しないでください。安全なユーザーベースのアクセスのために、PKCE を使用した認証コードフローを使用することを強くお勧めします。これにより、認証情報がクライアントから保護され、安全なリダイレクトとトークン処理のプラクティスが活用されます。