すべてのリソースへのアクセス

アプリケーションが、スコープurn:opc:resource:consumer::allを使用して信頼できるクライアントまたは機密クライアントのアクセス・トークンをリクエストできるようにするには、「すべて」を選択します。このオプションは、広範囲にわたるスコープを提供します。レスポンスのアクセス・トークンには、オーディエンスurn:opc:resource:scope:accountおよびスコープurn:opc:resource:consumer::allが含まれており、ターゲット・サービスとの明示的な関連付けを必要とせずに、同じドメイン内の任意のサービスにアクセスできます。

リクエストではurn:opc:resource:consumer::allスコープのみを使用します。urn:opc:resource:consumer::allスコープと別のスコープの両方を同じリクエストに含めようとすると(urn:opc:idm:__myscopes__など)、無効なスコープ・エラーが返されます。

アカウント・モードでは、クライアントは、許可されたスコープにurn:opc:resource:consumer::allまたは特定のリソースが追加されていれば、特定のリソースのトークンを取得できます。

前述の定義されたスコープとは別に、次のように詳細なスコープを指定することもできます:

• urn:opc:resource:consumer:paas::read

• urn:opc:resource:consumer:paas:stack::all

• urn:opc:resource:consumer:paas:analytics::read

たとえば、クライアントがリクエストでurn:opc:resource:consumer:paas:analytics::readスコープを使用してリソースにアクセスします。このスコープが許可された定義済スコープと直接的に一致する場合、返されたアクセス・トークンで、オーディエンスはurn:opc:resource:scope:accountで、スコープはurn:opc:resource:consumer:paas:analytics::readです。

クライアント定義による許可されたスコープがurn:opc:resource:consumer:paas::readの場合、クライアントは、次のスコープのいずれかをリクエストすると、階層的なリソースへのアクセスを許可されます:

• urn:opc:resource:consumer:paas::read

• urn:opc:resource:consumer:paas:analytics::read

ただし、リクエストされたスコープが異なる修飾子を持つurn:opc:resource:consumer:paas:analytics::writeの場合、クライアントは、リソースへのアクセスを許可されません。

アクセス・トークンに加えてリフレッシュ・トークンを生成するには、リクエストでスコープurn:opc:resource:consumer::all offline_accessを使用します。