OIDCを使用した委任
2017年6月8日より、アドオンを使用していないテナントに対しては、デフォルトで委任が無効になります。委任を必要とするアドオンを使用中のレガシーテナントは、引き続きこの機能を使用できます。今後、委任機能が変更されるか、サービスから削除されることがあれば、使用中のお客様が余裕を持って移行できるよう、あらかじめお知らせします。
従来的には、委任は次の目的で使用されます。
1つのアプリケーションに発行されたIDトークンを、別のアプリケーションに発行された新しいIDトークンと交換する。
リフレッシュトークンを使用して新しいIDトークンを取得する。
IDトークンをサードパーティ(例:Firebase、AWS)のAPIトークンに交換する。
OIDC準拠のパイプラインでは、IDトークンをAPIのセキュリティ保護に使用することができず、リフレッシュトークンは/oauth/tokenエンドポイントで使用する必要があるため、/delegationエンドポイントは廃止されました。
OIDC準拠のアプリケーションは、委任要求のソースまたはターゲットとなることはできません。
サードパーティーのAPI
サードパーティ(例:Firebase、AWS)のAPIトークンを取得するためのOIDC準拠のメカニズムが存在しないため、委任はサードパーティAPIトークンを取得するために引き続き使用できます。