2022年9月:OAuth認証がすべてのDocuSign APIアプリで必要になります
DocuSignは、セキュリティと信頼性に対する継続的なコミットメントの一環として、製品とAPIが情報セキュリティの最新基準を満たしているかどうかを定期的にレビューを行っています。DocuSignのレガシー認証および古いOAuth APIは、現在の情報セキュリティ基準を満たしていないため、以下のスケジュールでサポートを終了する予定です。
OAuth 2.0は最新の認証技術を使用しており、パスワードがRelying Party(RP, アプリケーション)から見えることはありません。さらに、OAuth 2.0のユーザー提示型認証のフロー(Authorization Code GrantとImplicit Grant)は、自動的にシングルサインオン(SSO)をサポートします。SSOはユーザーにとって大きなメリットがあり、SSOを使ったOAuth認証のサポートは必須と言えます。
独立系ソフトウェアベンダー(ISV)にとって、OAuth 2.0のさらなる利点は、OAuth 2.0を使用した場合、ユーザーの認証情報がISVのソフトウェアで処理されることがないため、ISVが情報セキュリティ問題にさらされる可能性が低くなることです。
スケジュール
2021年7月、DocuSignはSOAPアプリケーションのOAuth 2.0サポートを発表し、開発者がこの新しい認証機能をご利用いただけるようにします。
2021年8月16日以降、すべての新規APIアプリケーションは、認証にOAuth 2.0フローを使用する必要があります。DocuSignのレガシー認証およびOAuth 1.0は、新規のアプリケーションにご利用いただけません。
今から1年以上後の2022年9月までに、すべてのDocuSignのお客様、ISV、およびパートナーのAPIアプリケーションは、OAuth 2.0を使用しなければなりません。すでに本稼働中のアプリケーションは、それまでにOAuth 2.0を使用するようにアップグレードをお願いいたします。
このスケジュールと関連するリリースについては、2022年9月までの製品リリースノートに掲載されます。
Go-Liveプロセスのアップデート
この新しい認証要件を実施するために、2021年8月16日にGo-Liveプロセスが更新され、アプリケーションの認証にOAuth v2.0を使用することが義務付けられます。この要件は、SOAPおよびRESTアプリケーションに適用されます。
どのような認証ができなくなりますか?
OAuth 2.0のAuthorization Code、JWT、Implicit grantのフローのみがサポートされます。結果として得られるBearerアクセストークンは、Authorizationリクエストヘッダーフィールドを使って送信されます。RFC6750の§2.1を参照してください。SOAP APIの場合、アクセストークンはSOAPヘッダー内の要素を使って送信することもできます。詳細は、7月のOAuth for SOAPの発表時にお知らせします。
レガシー認証のX-DocuSign-Authenticationヘッダーは、XML、JSON、SOBO、OAuth v1のトークン形式など、いかなる形式でもサポートされません。
SOAP APIについては、既存のWS-Security UsernameToken SOAPヘッダーやX-DocuSign-Authentication HTTPヘッダーはサポートされません。
Send On Behalf Of(SOBO)
eSignature SOAPおよびREST API は、レガシー認証システムを介して SOBO(Send on behalf of)機能をサポートしていました。SOBOに相当するOAuthは、JWT Grantフローを使用することです。JWT認証は、SOBO機能と同様、アカウント上のユーザーとしてAPIを実行する際に使用されます。JWT Grantフローでは、ユーザーの GUID ID(API ユーザー名)が必要になるという違いがあります。Users:list APIメソッドは、ユーザーのメールアドレスからユーザーのGUID IDを調べるために使用できます。ユーザーのメールアドレスとGUID IDのマッピングは固定されているため、プログラム側でキャッシュしておく必要があります。
他に必要な変更点はありますか?
はい: アプリケーションが認証されたユーザーの名前、電子メール、アカウントID、ベースURI、または関連情報を必要とする場合は、廃止されたlogin_information APIコールの代わりに/oauth/userinfo APIメソッドを使用するように更新する必要があります。
運用済みのアプリケーションはOAuth 2.0へのアップデートが必要ですか?
はい、2022年9月までにOAuth 2.0認証フローを使用するように更新する必要があります。
SOAPアプリケーションもOAuth 2.0を使用する必要がありますか?
はい、RESTまたはSOAPを使用するすべてのアプリケーションは、上記のスケジュールに従ってOAuth v2.0を使用する必要があります。SOAPアプリケーションのOAuth 2.0サポートは2021年7月にリリースされる予定です。
例外はありますか?
この新しいポリシーには例外はないと考えています。アプリケーションのセキュリティを保証するために必要なものです。DocuSignは、3年以上にわたってOAuth 2.0をサポートしてきました。デベロッパーサポートとプロフェッショナルサービスチームが、お客様をサポートする準備ができています。また、豊富なOAuth 2.0のドキュメントとコード例を用意していますので、ぜひご利用ください。
ISVベンダーですが、新しいお客様のために、OAuth 2.0を必要としない新しいインテグレーターキーが必要です
もし御社がDocuSignパートナープログラムのメンバーであれば、partners@docusign.comにメールをお送りいただければ、本件について一緒に検討をさせてください。同時に、予定通りDocuSign認証にOAuth 2.0を使用するようにアプリケーションを更新することを今からご計画をお願いいたします。OAuth 2.0は、御社と弊社のお客様にとって、セキュリティとログインオプションが大幅に改善され、ISVにとっては情報セキュリティ上のリスクが軽減されます。
まだ御社がDocuSignパートナープログラムに参加されていない場合は、こちらのフォームからご参加ください(無料)。その後、お客様のアプリケーションのインテグレーターキーについてお問い合わせください。
DocuSignは、ISVが可能な限りすべての顧客に対して単一のインテグレーターキーを使用することを推奨します。このガイドをご覧ください。
開発者向けのOAuthにアップグレードするためのリソースはありますか?
はい、以下のリソースをご覧ください。
- デベロッパーセンターの記事
- OAuthのご紹介ビデオ
- インテグレーターキーのご紹介ビデオ
※本ブログはドキュサイン本社のブログ「September 2022: OAuth 2.0 required for all DocuSign API applications」の抄訳になります。