『概要』

『概要』

お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。

Zoho Recruit APIは、認証にOAuth 2.0プロトコルを使用します。このグラントタイプは、ユーザー名とパスワードを秘密にしながら、任意のアプリケーションと特定のデータを共有するためのグラントトークン(コード)を取得するのに使用されます。このプロトコルは、ユーザーに安全かつ簡単な認証方法を提供します。

参照

Zoho RecruitのOAuth認証の生成フローには5つのシンプルなステップがあります。以下のリンクを使用して、これらのページ間をナビゲートしてください。
  1. ステップ 1:クライアントの登録
  2. ステップ 2:承認リクエストの作成
  1. ステップ3:トークンの生成

なぜOAuth 2.0を使用するのですか?  

  1. いつでも顧客へのアプリケーションへのアクセスを取り消すことができます
  2. クライアントへのクレデンシャルの公開は必要ありません
  3. クライアント全体ではなく、個々のアプリケーションにアクセストークンが発行されるため、ハッキングされた場合でも情報は明らかになりません
  4. 特定のスコープをクライアントに適用することで、特定のデータへのアクセスを制限または許可することができます(クライアントごとに異なります)

OAuth 2.0がどのように機能するのでしょうか?  

用語  

Zoho Recruit APIを使用する前に知っておく必要がある用語をご紹介します。

保護されたリソース  
Zoho Recruitのリソース(候補者、連絡先、求人など)をご紹介します。

リソースサーバー  
Zoho Recruitのサーバーは、保護されたリソースをホストしています。

リソースオーナー  
アカウントのエンドユーザーで、保護されたリソースへのアクセスを許可できる人。

クライアント  
ユーザーの代わりにリソースサーバーにリクエストを送信して保護されたリソースにアクセスするアプリケーションです。

クライアントID  
接続アプリケーションから生成されたコンシューマーキーです。

クライアント秘密  
接続アプリケーションから生成されたコンシューマーシークレットです。

承認サーバー  
認可サーバーは、クライアントに必要な資格情報(アクセストークンやリフレッシュトークンなど)を提供します。この場合は、Zoho Recruit 認可サーバーとなります。

認証コード  
認証サーバーによって作成され、ブラウザーを介してクライアントに送信される一時的なトークンです。クライアントは、このコードを使用してアクセスおよびリフレッシュトークンを取得するために承認サーバーに送信します。

トークン  

アクセストークン  
ユーザーの保護されたリソースにアクセスするためにリソースサーバーに送信されるトークンです。アクセストークンは、Zoho Recruit APIに安全で一時的なアクセスを提供し、アプリケーションが接続されたアプリに要求を行うのに使用されます。各アクセストークンは1時間のみ有効であり、スコープで説明されている操作にのみ使用できます。

リフレッシュトークン  
新しいアクセストークンを取得するために使用できるトークンです。このトークンは、最終利用者によって廃止されるまで、無制限のライフタイムを持ちます。

スコープ  

Zoho RecruitのAPIは、クライアントアプリケーションがアクセスできるリソースの種類を制御する選択されたスコープを使用します。トークンは通常、改善されたセキュリティを確保するために、さまざまなスコープで作成されます。たとえば、リードの作成または閲覧用のスコープを生成したり、メタデータを閲覧するためのスコープを生成できます。
スコープには、サービス名、スコープ名、操作タイプの3つのパラメータが含まれています。

スコープを定義するフォーマットは、scope=service_name.scope_name.operation_typeです

例:  https://accounts.zoho.com/oauth/v2/auth?scope=ZohoRecruit.modules.ALL
ここでは、ZohoRecruitがサービスAPIの名前、モジュールがスコープの名前、そしてALLが操作タイプです。

利用可能なスコープ

スコープ名

関連メソッド

ユーザー

ユーザー全員

設定

設定.すべて、設定.カスタムビュー、設定.関連リスト、設定.モジュール、設定.フィールド、設定.レイアウト

モジュール

モジュール.all、モジュール.候補者、モジュール.クライアント、モジュール.連絡先、モジュール.求人、モジュール.キャンペーン、モジュール.タスク、モジュール.イベント、モジュール.コール、モジュール.インタビュー、モジュール.ベンダー、モジュール.カスタム、モジュール.ノート、モジュール.アクティビティ、モジュール.評価、モジュール.候補者ステータス、モジュール.求人ステータス

グループスコープ
グループスコープは、ユーザーがレコード上で実行できるすべての機能への完全なアクセスを提供します。たとえば、グループスコープは、すべてのモジュールでのレコードの読み取り、作成、更新、削除をユーザーに許可することができます。

例:  https://accounts.zoho.com/oauth/v2/auth?scope=ZohoRecruit.modules.ALL,ZohoRecruit.settings.ALL&client_id={client_id}&response_type=code&access_type={%22offline%22または%22online%22}&redirect_uri={redirect_uri}
上記の例では、ユーザーにはZoho Recruitアカウントのすべてのモジュールへのアクセスがあります。
他の例としては:
  1. scope=ZohoRecruit.modules.READ (読み取り専用の権限)
  2. scope=ZohoRecruit.modules.CREATE
  3. scope=ZohoRecruit.modules.UPDATE
  4. scope=ZohoRecruit.modules.DELETE
重要なお知らせ:  ユーザーアクセストークンは、それがどのAPIを使用するかを定義するため、機密情報として保管する必要があります。公開フォーラム、公開リポジトリや、HTMLやJavaScriptなどのウェブサイトのクライアント側のコードには、アクセストークンを公開しないでください。公開すると、データの盗難、損失、または破損の原因となる可能性があります。