SLAS 信頼できる代理システムの認可

• TSOB は OAuth および OIDC 標準の範囲外であるため、買い物客の認証フローには推奨されない方法です。最も安全な認証メカニズムを実現するには、Shopper Login のパブリックとプライベートのユースケースで説明されているワークフローのいずれかを使用します。買い物客の情報が頻繁に変更される場合、および idp_origin=ecom の場合は、TSOB が B2C Commerce から最新の顧客情報を取得しないため、TSOB を使用しないでください。

• 今後のホリデーシーズンに向けたボット軽減戦略の一環として、SLAS Trusted System on Behalf (TSOB) ログインには 3 秒間のサービス保護ウィンドウがあります。
• AP-Northeast-1 リージョンでは 2024 年 10 月 2 日以降、US-East-1 リージョンでは 2024 年 10 月 9 日以降、顧客が 3 秒間に TSOB を介して複数回ログインしようとすると、409 HTTP エラーが発生します。顧客への影響は予想されていません。409 HTTP エラーが増加している場合は、サポートケースを開いてください。
• すでに 3 秒間に設定されている SLAS AP-Southeast-2 および EU-Central-1 リージョンについては、変更は予定されていません。 :::

各買い物客は固有の login_id に関連付けられています。買い物客とのやり取りごとに、その買い物客固有の login_id を使用する必要があります。そうしないと、SLAS と B2C Commerce で複数の買い物客レコードが作成されます。IDP を使用して TSOB に新しい login_id が渡されると、新しい買い物客が作成されます。

各 USID は、特定の買い物客のセッションに対して作成される一意の買い物客 ID です。USID を作成したら、その買い物客のインタラクション全体でその USID を使用できます。SLAS クライアント API アプリケーション (SPA、モバイル、コンポーザブルなど) が USID を処理しますが、これはクライアント API アプリで保存し、SLAS API 呼び出しを行うときに必要に応じて使用する必要があります。

IDP を使用する TSOB (例: Google) は、SLAS がユーザーの有効性を検証するためのチェックを実行するため、ユーザー検証のために IDP を呼び出すことは ありません。SLAS の /authorize エンドポイントを使用すると、IDP による最も強力な検証が提供されます。

すべての TSOB フローでは、SLAS プライベートクライアント ID とシークレットを Authorization ヘッダーに含める必要があります。

ゲスト買い物客の TSOB トークンをリクエストするには、次のようにします。

ボディパラメーター idp_origin=ecom と login_id=guest を指定します。

登録済み買い物客の TSOB トークンをリクエストするには、次のようにします。

ボディパラメーター idp_origin=ecom と login_id を指定します。この値は既存の登録済み買い物客のログインです。

買い物客が存在しない場合、SLAS は HTTP 400 を返します。

外部 IDP を通じて登録された買い物客の TSOB トークンをリクエストするには、次のようにします。

ボディパラメーター idp_origin (値は IDP の ID) と login_id (値は買い物客のログイン) を指定します。

買い物客レコードが存在しない場合は、SLAS によって作成されます。買い物客のlogin_id、first_name、および last_name は、指定した値に設定されます。SLAS は、買い物客情報を取得するために IDP と通信しません。

TSOB は、買い物客の SLAS TSOB アクセストークンとリフレッシュトークンを含む TokenResponse を返します。リフレッシュトークンを getAccessToken エンドポイントで使用して、新しい TSOB アクセストークンを取得できます。