パスワード認証とは、ユーザーのログイン名とパスワードを使って認証する方法です。

パスワード認証では、リクエストヘッダーに「X-Cybozu-Authorization」ヘッダーを指定します。
ヘッダーの値はログイン名:パスワードをBase64エンコードした値です。

たとえば、ログイン名が「Administrator」でパスワードが「cybozu」の場合、リクエストヘッダーには次の値を指定します。

1
2
3

{
  "X-Cybozu-Authorization": "QWRtaW5pc3RyYXRvcjpjeWJvenU="
}

kintoneやGaroonからパスワード認証を使ってGaroon REST APIを実行した後は、再度ログインを求められます。 kintoneやGaroonのJavaScriptカスタマイズで、 XMLHttpRequest や Fetch API などを使ってGaroon REST APIを実行するときは、 リクエストトークンを利用してください。

kintoneやGaroonのカスタマイズファイルにパスワードなどの認証情報をハードコーディングすることは、認証情報の漏洩の恐れがあるため、推奨していません。 詳しくは、 セキュアコーディングガイドラインを確認してください。

セッション認証とは、Webブラウザーでcybozu.comにログインしたときのセッションを使って認証する方法です。
Garoonやkintoneに適用したJavaScriptファイルからGaroon REST APIを実行する場合には、セッションによる認証を利用できます。

ブラウザーの Fetch API や XMLHttpRequest を使って、POST／PATCH／PUT／DELETEメソッドのAPIを実行する場合は、 CSRF トークンを付与してください。
詳細は、 Garoon CSRFトークンの利用例を参照してください。

OAuth クライアントを参照してください。

パスワード認証とセッション認証を同時に利用した場合の優先順位は、次のとおりです。

1. パスワード認証
2. OAuthクライアントを利用した認証
3. セッション認証

IP アドレス制限 を設定している場合、次のいずれかの方法で実行します。

• 「IPアドレス制限」の設定で、REST APIを実行する環境のIPアドレスを許可する。
• 有効期限の過ぎていないクライアント証明書を使う。

Basic 認証

Basic 認証 を設定している場合、リクエストヘッダーに「Authorization」ヘッダーを指定します。
ヘッダーの値は「Basic 」と「Basic 認証のユーザー名:Basic 認証のパスワードをBase64エンコードした値」を結合した値です。
たとえば、ログイン名が「cybozu」でパスワードが「password」の場合、リクエストヘッダーには次の値を指定します。

1
2
3

{
  "Authorization": "Basic Y3lib3p1OnBhc3N3b3Jk"
}

クライアント証明書

クライアント証明書は、セキュアアクセスの利用を許可することで発行できます。
セキュアアクセスの利用を許可し、クライアント証明書を発行する方法は、 セキュアアクセスを設定する を参照してください。

クライアント証明書を使って実行する場合、URLのサブドメインの後に.sを付ける必要があります。
たとえば「sample.cybozu.com」の場合、URLは「https://sample.s.cybozu.com」です。

SAML 認証 を設定している環境でも、このページで案内している認証方式を使ってGaroon REST APIを利用できます。

ただし、パスワード認証を使う場合には、cybozu.comのログイン名とパスワードを指定してください。
.com 共通管理で ログイン時に SAML 認証だけを使うように制限する 設定を有効にしている場合には、パスワード認証で実行できるユーザーは、cybozu.com共通管理者のみに制限されます。
その他の認証方式では、この制限を受けません。

2 要素認証 を有効にしたユーザーでは、パスワード認証でREST APIを実行できません。

パスワード認証以外の認証方式で実行するか、2要素認証を無効にした連携用ユーザーを用意してください。