OAuth Scopes

    OAuth Scope(以降、Scope)とは、アプリが利用するリソース(resource)と、その操作権限(operation)です。
    Developers Console でアプリを登録する際に、アプリのScopeを設定する必要があります。
    設定したScopeは、アプリのAccess Tokenに反映されます。

    APIの呼び出しには、1つ以上のScopeを指定する必要があります。詳細は各APIドキュメントを参照してください。

    Scopeの形式

    Scope名は「resource.operation」の形式で表現します。

    resouceとは、LINE WOKRSが提供する機能や管理データを意味します。例えば、ユーザー情報はuser、グループ情報はgroup、Bot機能はbot。
    operationとは、該当するresourceの操作権限です。例えば、user resourceは2つのoperationを選択することが可能です。

    • user : Read / Write
    • user.read : Read

    user Scopeは、ユーザーリソースの Read / Write APIを呼び出すことが可能です。しかし、user.read ScopeはユーザーリソースのRead APIをコールすることは可能ですが、新規ユーザーを追加したり、既存ユーザーを削除するWrite APIを利用することはできません。これにより、アプリに対する操作権限を制御することが可能です。アプリに対して、必要のない操作権限を付与しないことを推奨します。

    アプリ単位で利用するScopeを設定することが可能です。設定したScopeは、アプリ側のログイン画面で表示されます。利用プランにより、表示されないScopeがあります。
    なお、HTTPメソッドで該当するAPIのScopeを推測することが可能です。例えば、user resourceに関するScopeによるHTTPメソッドは以下の通りです。

    • user : GET / POST / PUT / PATCH / DELETE
    • user.read : GET

    Scopeリスト

    Developers Console のアプリ設定で提供するScopeと、利用可能なプランは以下のとおりです。

    Scope Resource Operation フリープラン ライトプラン スタンダードプラン ベーシック・プレミアム・アドバンストプラン
    audit.read 監査ログ Read     
    board 掲示板 Read / Write
    board.read 掲示板 Read
    bot Bot Read / Write
    bot.read Bot Read
    calendar カレンダー Read / Write
    calendar.read カレンダー Read
    contact アドレス帳 Read / Write
    contact.read アドレス帳 Read
    file マイドライブ
    共有ドライブ
    チーム/グループフォルダ
    Read / Write
    file.read マイドライブ
    共有ドライブ
    チーム/グループフォルダ
    Read
    group グループ Read / Write
    group.read グループ Read
    group.folder チーム/グループフォルダ Read / Write
    group.folder.read チーム/グループフォルダ Read
    mail メール Read / Write
    mail.read メール Read
    orgunit 組織 Read / Write
    orgunit.read 組織 Read
    directory 組織
    ユーザー
    役職
    職級
    利用権限タイプ
    グループ
    Read / Write
    directory.read 組織
    ユーザー
    役職
    職級
    利用権限タイプ
    グループ
    Read
    partner パートナー Read / Write
    partner.read パートナー Read
    security.external-browser 外部ブラウザ設定 Read / Write
    security.external-browser.read 外部ブラウザ設定 Read
    user ユーザー Read / Write
    user.read ユーザー Read
    user.email.read ユーザー(emailのみ) Read
    user.profile.read ユーザー(プロフィール情報のみ) Read

    ※ パートナードメインでのみ利用可能