3
目次 1. DIPS API..................................................................................................................................................................... 4
1.1 DIPS API とは ....................................................................................................................................................... 4
1.2 利用にあたって ................................................................................................................................................. 4
1.3 クライアント ID 発行手続き ............................................................................................................................ 4
1.4 利用イメージ ..................................................................................................................................................... 5
1.5 提供するデータ項目 ......................................................................................................................................... 5
2. 提供機能 .................................................................................................................................................................. 6
2.1 システム機能概要 ............................................................................................................................................ 6
2.2 RP 設計のポイント ............................................................................................................................................ 7
2.3 API 詳細 ............................................................................................................................................................... 8
2.3.1 全体シーケンス .......................................................................................................................................... 8
2.3.2 ユーザー認可リクエスト ........................................................................................................................ 10
2.3.3 アクセストークン取得リクエスト ........................................................................................................ 15
2.3.4 属性取得リクエスト ................................................................................................................................ 18
2.3.5 各リクエスト検証方法 ............................................................................................................................ 20
2.3.6 許可・認証情報取得 API .......................................................................................................................... 22
3. リリースに向けた作業について ........................................................................................................................ 27
3.1 各環境概要 ....................................................................................................................................................... 27
3.2 検証の流れ ....................................................................................................................................................... 27
3.3 検証での確認ポイント ................................................................................................................................... 28
4
1. DIPS API 1.1 DIPS API とは
DIPS API は、利用者が保有するシステム(以下「接続システム」という)からリクエストを送信することで、指定したドローン情報基盤システム(以下「DIPS」という)の申請者 ID に係る無人航空機の飛行に関する許可・承認の情報を提供するサービスである。
1.2 利用にあたって DIPS API の利用にあたっては、「DIPS の利用規約」に同意いただいた上で、ご利用ください。 なお、DIPS API を利用するためには、クライアント ID が必要となります。クライアント ID をお持ちでない方は、クライアント ID の発行手続きを行ってください。 DIPS の利用規約はこちら https://www.dips.mlit.go.jp/portal/usedpolicy
1.3 クライアント ID 発行手続き DIPS API 利用申請書に必要事項を記入の上、下記申請窓口へ電子メールにより提出してください。申請情報の確認完了後、電子メールによりクライアント ID をお知らせします。なお、申請からお知らせまで最大1か月程度要することがありますので、余裕をもって申請してください。 また、申請書の確認に当たって、申請内容に関する問い合わせをさせていただく場合がありますので、あらかじめご了承ください。
【申請窓口】
国土交通省 航空局 安全部 運航安全課 Email:[email protected]
DIPS API 利用申請書の様式はこちら https://www.dips.mlit.go.jp/portal/file̲download
5
1.4 利用イメージ 利用イメージは以下のとおり。
① 利用したいシステムにログインし、DIPS API を呼び出すボタンを押下する。 ② DIPS の ID/パスワード入力画面に遷移するので、申請者 ID 及びパスワードを入力する。 ③ 認証結果を接続システムに返す。 ④ 接続システムは認証結果をもとに DIPS API を利用し情報を取得する。
1.5 提供するデータ項目 DIPS API において提供する情報は以下のとおり。
許可・承認書の記載内容の一部及びこれらに関連する情報
6
2. 提供機能 2.1 システム機能概要
DIPS API のシステム概要図を以下に示す。
主に以下の機能を提供する。
機能 内容
認証
・パスワードによる認証方式を提供する。 ・認証結果を OpenIDConnect の Authorization Code Flow の仕組み にて接続システムに提供する。
情報問い合わせ ・DIPS の各種情報への問い合わせを行う API を提供する。
7
2.2 RP 設計のポイント RP(接続システム)設計時の設計ポイントについて以下にまとめる。 RP 経由での認証に関する処理概要
No 処理者 処理 説明
① 利用者 RP にアクセス ・利用者はまず RP にアクセスする ・RP は DIPS の ID/パスワード入力画面に遷移するためのボタンまたはリンクを配置すること。
② RP 認証リクエスト ・OpenIDConnect の認証リクエストを呼び出す 詳細については「2.3.1 OpenIDConnect について」参照のこと
③ DIPS ログインに必要な認証画面を出力する
・OpenIDConnect フローに従い処理 ・ID/パスワード画面を出力 ・同一ブラウザで既に認証済みで有効期限が切れていない場合、③~⑤の処理はスキップされる
④ 利用者 ID/パスワード入力処理 ・DIPS から出力された ID/パスワード入力画面に入力する
⑤ DIPS 認証結果を確認 ・認証結果を確認する
⑥ DIPS 認証レスポンス ・RP に認証レスポンスを返し、リダイレクトする
8
⑦ RP 認証結果の検証 ・認証レスポンスで受け取った内容を検証
⑧ RP アクセストークン取得リクエスト、属性取得リクエスト
・アクセストークン取得リクエストによりアクセストークンを取得し ID トークンを検証する ・必要に応じアクセストークンをもとに属性取得リクエストを実施、属性情報を取得する 詳細については「2.3 API 詳細」参照のこと
⑨ RP DIPS API 呼び出し ・アクセストークンをもとに DIPS API を呼び出し、DIPS の各種情報にアクセスする
2.3 API 詳細
DIPS との認証は、一般的な OpenIDConnect のシーケンスに則って行う。
2.3.1 全体シーケンス
9
なお OpenIDConnect に関する用語は以下の通り。 用語 説明
OpenID Provider (OP)
ユーザーの認証を行う機能を有するサーバー。また、ユーザーの認証時に Relying Party から要求されたアイデンティティ情報を供給することができる REST エンドポイントを有するサーバー。 ※DIPS のこと。
Relying Party (RP) OpenID Provider に ID Token とアイデンティティ情報を要求するサーバー。シングルサインオン対象のアプリケーションを指す。 ※接続システムのこと。
ID Token 認証と認可の情報を含む JWT(JSON Web Token)形式のトークン。
Access Token UserInfo エンドポイント、許可・承認情報取得エンドポイントにアクセスするためのトークン
UserInfo Access Token を提示するクライアントに対して、アイデンティティ情報を提供する。
10
ログインフロー 赤字は RP に関連するフロー
2.3.2 ユーザー認可リクエスト (1)認証リクエスト Authorization エンドポイント(ユーザーの認可を得るためのエンドポイント)へ以下リクエストを発行することで、ユーザーの認証状態・認可状態を判定し、適切なページへリダイレクトさせ、認可コードを返します。 ①リクエスト
リクエスト URL
メソッド GET
URL(本番)
https://www.dipsauth.mlit.go.jp/auth/realms/openauth/protocol/openid-connect/auth
11
リクエストヘッダ
ヘッダ名 設定値 備考
- - - リクエストコンテント
パラメータ名 必須 備考
response̲type 〇 「code」固定
client̲id 〇 RP 毎に予め定義する[Client ID]
redirect̲uri 〇 RP 毎に予め定義する[ログイン成功時等にリダイレクトする
URL]
scope 〇 「openid」固定
state 〇 リクエストとそれに対するコールバックとの間の状態を保守するために使用されるパラメータ
リクエストサンプル https://www.dipsauth.mlit.go.jp/auth/realms/openauth/protocol/openid-connect/auth?client_id=sample&redirect_uri= http%3A%2F%2Fxxxxx%2Ftop &response_type=code&scope=openid&state=77fFs23rt02
13
③レスポンス(エラー時) エラー発生時は、システムエラー画面に遷移します。
一部のエラーについては、以下の URL にリダイレクトされます、 リダイレクト URL (エラー時)
URL(本番) RP 毎に予め定義する[ログイン成功時等にリダイレクトする URL] クエリパラメータ(エラー時)
パラメータ名 必須 備考
error 〇 エラーコード
error̲description エラー内容の詳細な説明
state 〇 リクエスト時に保存していた値をコールバック時の値が一致するか確認してください。一致しない場合には CSRF の可能性があります。
代表的なエラーコード
値 説明
unsupported̲response̲type パラメータ「response̲type」 が不正
リダイレクトリクエストサンプル(エラー時) [ログイン成功時等にリダイレクトする URL]?error=unsupported̲response̲type&state=QJFnyhLBzI
14
(2)ログイン成功後の URL アクセスリクエスト (1)の認証リクエストの結果ユーザーがログイン操作を実施すると、リダイレクトにより認可コード送信リクエストが発行されます。 ①レスポンス
リダイレクト URL
URL RP 毎に予め定義する[ログイン成功時等にリダイレクトする URL] クエリパラメータ(正常時)
パラメータ名 必須 備考
code 〇 認可コード
session̲state 〇 セッション状態
state 〇 リクエスト時に保存していた値とコールバック時の値が一致するか確認してください。一致しない場合には CSRF の可能性があるため Token エンドポイントへのリクエストは実行しないでください。
リダイレクト URL サンプル(正常時) [ログイン成功時にリダイレクトする URL]/callback?state=77fFs23rt02&session̲state=3eaa6c9d-10d4-408a-a5ab-28519f33c1df&code=f9f4・・・(省略)・・・f5dd
15
2.3.3 アクセストークン取得リクエスト (1)アクセストークン取得リクエスト Token エンドポイントへ以下リクエストを発行することで、アクセストークンとリフレッシュトークン(アクセストークン更新用)を返却します。 ① リクエスト
リクエスト URL
メソッド POST
URL https://www.dipsauth.mlit.go.jp/auth/realms/openauth/protocol/openid-connect/token リクエストヘッダ
ヘッダ名 設定値 備考
Content-Type "application/x-www-form-urlencoded;charset=UTF-8"固定 - リクエストパラメータ
パラメータ名 必須 備考
grant̲type 〇 「authorization̲code」固定
code 〇 ユーザー認可リクエストで返却された認可コード
redirect̲uri 〇 RP 毎に予め定義する[ログイン成功時等にリダイレクトする URL]
client̲id 〇 RP 毎に予め定義する[Client ID]
client̲secret 〇 RP 毎に予め定義する[Client Secret]
16
② レスポンス(正常時)
レスポンスボディ(※JSON 形式)
パラメータ名 データ型 必須 説明
access̲token 文字列 〇 userinfo リクエスト発行時に必要な token
expires̲in 数値 〇 access̲token の有効時間(秒) ※5 分間
refresh̲expires̲in 数値 〇 refresh̲token の有効時間(秒) ※5 分間
refresh̲token 文字列 ○ access̲token の更新時に必要な token
token̲type 文字列 〇 「bearer」固定
id̲token 文字列 ○ ID トークン(JWT(JSON Web Token)
not-before-policy 数値 ○ アクセストークンの有効性確認のための値
session̲state 文字列 ○ セッション状態
scope 文字列 〇 「openeid profile」固定
レスポンスボディサンプル {
access_token:"eyJh…(省略)・・・40V3g", expires_in:300, refresh_expires_in:300, refresh_token:"eyJ...BoU", token_type:"bearer", id_token:"eyJ...dgg", not-before-policy:0, session_state:"3eaa6c9d-10d4-408a-a5ab-28519f33c1df", scope:"openid profile" }
17
③ レスポンス(エラー時) レスポンスボディ(エラー時)
パラメータ名 データ型 必須 備考
error 文字列 ○ エラーコード
error̲description 文字列 ○ エラー内容の詳細な説明 代表的なエラーコード
値 HTTP ステータスコード 説明
unauthorized̲client 400 パラメータ「client̲id」「client̲secret」が不正
invalid̲request 400 パラメータ「grant̲type」が不正
invalid̲grant 400 認可コードが不正、期限切れ、無効 パラメータ「redirect̲uri」が不正
レスポンスボディサンプル(エラー時) { "error": "invalid_grant", "error_description": "JpaAuthorizationCodeRepository: no authorization code found for value SCmPT6NE7jUIUHyi533tP4" }
18
2.3.4 属性取得リクエスト (1)属性取得リクエスト UserInfo エンドポイントへ以下リクエストを発行することで、ユーザーの属性情報を返却します。 ① リクエスト
リクエスト URL
メソッド GET
URL https://www.dipsauth.mlit.go.jp/auth/realms/openauth/protocol/openid-connect/userinfo
リクエストヘッダ
ヘッダ名 設定値 備考
Authorization Bearer [access̲token] Token エンドポイントで返却される access̲token
19
② レスポンス レスポンスボディ (※JSON 形式)
scope パラメータ名 データ型 必須 説明
openeid sub 文字列 ○ アカウント管理番号(内部的な ID を返却)
profile linkage̲id 文字列 ○ 連携 ID レスポンスボディサンプル
{ "sub": "f:0ee2d184-99ec-443f-b738-f393451aef4c:18000021", "linkage_id": "18000021" }
③ レスポンス(エラー時)
レスポンスボディ(エラー時)
パラメータ名 データ型 必須 備考
error 文字列 ○ エラーコード
error̲description 文字列 ○ エラー内容の詳細な説明 代表的なエラーコード
値 HTTP ステータスコード 説明
invalid̲token 401 アクセストークン不正、期限切れ、無効
invalid̲request 400 アクセストークンなし レスポンスボディサンプル(エラー時) { "error": "invalid_token",
"error_description": "Invalid access token: eyJraWQ(・・・省略・・・)ZiPw" }
20
2.3.5 各リクエスト検証方法 (1) state 検証 State の検証は以下のように実施します。
No 検証方法
1 ユーザー認可のレスポンスで取得した state の値が、リクエストで送信した値と同じであること。 (2) ID トークン検証 id̲token は、JSON Web Token (JWT)形式となっており、「.」(ピリオド)区切りで、ヘッダ部、ペイロード部、署名部に分かれています。nonce はペイロード部に含まれています。 ヘッダ部、ペイロード部は Base64 でエンコードされており、以下のような値が設定されています。 ※ id̲token の検証で使用する主要なものを記載しています。実際には他の値も含まれています。
分類 パラメータ名 説明
ヘッダ部 alg id̲token の署名に使用されるハッシュアルゴリズム。
ペイロード部
iss id̲token の発行者。 「 https://www.dipsauth.mlit.go.jp/auth/realms/openauth/protocol/openid-connect/auth」となる。
aud id̲token の受け取り者。 RP の client̲id が設定される。
exp id̲token の有効期限。 UNIX タイム(UTC の 1970/1/1 00:00:00 からの経過秒数)となる。
iat id̲token の発行時刻。 UNIX タイム(UTC の 1970/1/1 00:00:00 からの経過秒数)となる。
auth̲time ユーザーの認証が行われた時刻。 UNIX タイム(UTC の 1970/1/1 00:00:00 からの経過秒数)となる。
21
ID トークンの検証は以下のように実施します。 No 検証方法
1 iss(id̲token の発行者)の値が「https://www.dipsauth.mlit.go.jp/auth/realms/openauth/protocol/openid-connect/auth」と 一致することを確認する。
2 aud(id̲token の受け取り者)の値が認証リクエストで送信した client̲id と一致することを確認する。
3 exp(id̲token の有効期限)が現在時刻より後であることを確認する。
4 iat(id̲token の発行時刻)が現在時刻より前で、古すぎないことを確認する。 ※どのくらい古い id̲token を許容するかは、RP 側の判断とする。
5 auth̲time(ユーザーの認証が行われた時刻)が現在時刻より前で、古すぎないことを確認する。 ※どのくらい古いユーザーの認証時刻を許容するかは、RP 側の判断とする。
22
2.3.6 許可・認証情報取得 API 認証された申請者の許可・承認情報を取得します。
① リクエスト
リクエスト URL
メソッド GET
API パス https://www.dipsauth.mlit.go.jp/api/v1/appliers/me/permissions
リクエストヘッダ
ヘッダ名 設定値 備考
Authorization Bearer [access̲token] Token エンドポイントで返却される access̲token
23
② レスポンス(正常時)
レスポンスコンテント
No 項目名 パラメータ名 データ型 必須 備考
1 許可・承認情報 permissions 配列 ○ 配列指定。 0 件~N 件
2 許可番号
permissionNumber
文字列 ○ 最大 19 文字
3
許可番号 2
permissionNumber2
文字列 最大 19 文字
4 申請受付番号
receptionNumber 文字列 ○ 最大 10 文字 英字(A~Z・a~z)、数字(0~9)
5 許可日
permissionDate 文字列 ○ YYYY-MM-DD 形式。
6 許可期間(自)
permissionPeriodStart
文字列 ○ YYYY-MM-DD 形式。
許可期間(至)
permissionPeriodEnd
文字列 ○ YYYY-MM-DD 形式。
7 飛行場所
flightLocation 文字列 ○ 最大 600 文字
8 飛行経路 flightRoutes 配列 ○ 配列指定。 0 件~5 件
9 飛行経路名称 routeName 文字列 ○ 最大 30 文字
10 飛行経路の緯度経度 routeLatlons 配列 (文字列)
○ 配列指定 0 件∼3 件 1件最大 600 文字 数字(0~9)
11 人・家屋の密集地域の上空
aboveDenselyInhabitedDistricts
真偽値 ○ true:該当、false:該当なし
12 地表・水面から 150m 以上の高さの空域
moreThan150mAboveTheGround
真偽値 ○ true:該当、false:該当なし
13 空港周辺 aroundAirports 真偽値 ○ true:該当、false:該当なし
14 人・物件から 30m 未満の距離
lessThan30m 真偽値 ○ true:該当、false:該当なし
15 催し物上空の飛行 overEventSites 真偽値 ○ true:該当、false:該当なし
16 夜間の飛行 nightOperation 真偽値 ○ true:該当、false:該当なし
24
17
目視外での飛行 beyondVisualLineOfSight
真偽値 ○ true:該当、false:該当なし
18 危険物の輸送 transportHazardousMaterials
真偽値 ○ true:該当、false:該当なし
19 物件投下 dropObjects 真偽値 ○ true:該当、false:該当なし
20 機体情報 uaInfos 配列 ○ 1 件∼300 件
21 製造者名 uaMaker 文字列 ○ 最大 100 文字
22 機体名称 uaName 文字列 ○ 最大 100 文字
23
製造番号等 uaSerialNumber 文字列 ○ 最大 300 文字
レスポンスサンプル(正常時)
{ permissions: [ { permissionNumber: "東空運1", permissionNumber2: "東空検2", receptionNumber: "P190500011", permissionDate: "2019-05-29", permissionPeriodStart: "2019-05-29", permissionPeriodEnd: "2020-05-28", flightLocation: "東京都千代田区", flightRoutes: [ { routeName: "name1", routeLatlons: [ "354200 1394737 353638 1394545 353019 1395413 353038 1400045", "354200 1394737 353638 1394545 353019 1395413" ] }, { routeName: "name2", routeLatlons: [ "354200 1394737 353638 1394545 353019 1395413", "353638 1394545 353019 1395413 353038 1400045" ] }, {
25
routeName: "name3", routeLatlons: [] } ], aboveDenselyInhabitedDistricts: true, moreThan150mAboveTheGround: false, aroundAirports: false, lessThan30m: false, overEventSites: false, nightOperation: true, beyondVisualLineOfSight: false, transportHazardousMaterials: false, dropObjects: false, uaInfos: [ { uaMaker: "DJI", uaName: "PHANTOM 4 RTK", uaSerialNumber: "123456789ABCDE" }, { uaMaker: "DJI", uaName: "MATRICE 200 V2", uaSerialNumber: "123456789FGHIJ" } ] } ] }
レスポンスサンプル(検索結果 0 件)
{ permissions :[]
}
26
③ レスポンス(エラー時)
レスポンス コード(エラー時)
HTTP ステータス 意味 説明
400 リクエストパラメータエラー 処理失敗(パラメータ不正)
500 API 内システムエラー 予期しないシステムエラーが発生した場合 レスポンスコンテント(エラー時)
パラメータ名 データ型 必須 備考
errorCode String エラーコード
errorMessage String エラー内容の詳細な説明 レスポンスサンプル(エラー時) { "errorCode": "ERROR001", "errorMessage": "システムエラーが発生しました。" }
27
3. リリースに向けた作業について
3.1 利用環境概要
DIPS API では以下環境を用意する。
項目 環境
URL のドメイン部分 www.dipsauth.mlit.go.jp
環境利用方法 DIPS API 利用申請書を DIPS API 申請窓口へ提出する
制限事項 ・性能負荷試験や異常系試験など、本番運用に影響をきたす作業は禁止。
3.2 検証の流れ
以下の流れに沿って、動作確認を実施のこと。
28
3.3 検証での確認ポイント RP の動作確認においては、以下に示す OpenIDConnect に関する各種リクエストの動作確認を行い、RP と DIPS API が
正常に連携されていることを確認すること。
○ OpenIDConnect に関連した確認ポイント
OpenIDConnect リクエスト 確認内容
ユーザー認可リクエスト
認可リクエストでログイン成功後に、リダイレクト URL で指定している URL にリダイレクトされること。
ユーザー認可のレスポンスで取得した state の値が、リクエストで送信した値と同じであること。
アクセストークン取得リクエスト
ログイン成功後のリダイレクトで取得した認可コードで、アクセストークンの取得が可能なこと。
id̲token の検証が正常に行えること。
属性取得リクエスト アクセストークンを使用して、属性情報の取得が可能なこと。
○ その他確認ポイント
確認観点 確認内容 認証実施時の挙動 パスワードによる認証が要求されること。