# コネクション コネクションを使用すると、Treasure AI Studio のエージェントがチャット中に外部サービス(例: Databricks レイクハウス)のデータを扱えるようになります。管理者が組織向けに**コネクタ**を有効化し、各ユーザーが安全な OAuth サインインを通じて自分の**コネクション**を認可します。接続が完了すると、エージェントは生の認証情報を誰も扱うことなく、あなたの代わりにそのサービスへアクセスできます。 コネクタとコネクションの違い **コネクタ**は、あるベンダー(例: Databricks)との連携そのものです。管理者が **[コネクタ設定]** で組織向けに一度設定・有効化します。**コネクション**は、有効化されたコネクタに対する個々のユーザーの認可で、**[コネクション]** タブから作成します。1 つのコネクタは多数のコネクション(ユーザーごとに 1 つ)を持てます。 ## 目的 コネクションとは何か、管理者とユーザーの役割の違い、認可の仕組み、そしてエージェントがチャット中にコネクションをどのように使用するかを理解します。 ## 前提条件 - Treasure AI Studio にサインインしている([はじめに](/ja/products/ai-studio/getting-started)) - コネクタを設定・有効化するためのアカウント管理者権限(管理者のみ) - 外部サービスの OAuth アプリケーションの認証情報(管理者 — 各コネクタのページを参照。例: [Databricks への接続](/ja/products/ai-studio/connections/databricks)) ## コネクションの仕組み コネクションは **OAuth 2.0** を使用するため、エージェントがサービスのパスワードを保存したり参照したりすることはありません。フローには 3 つの役割があります。 1. **管理者がコネクタを設定する。** **[コネクタ設定]** で、管理者がベンダーの OAuth アプリケーション情報(ワークスペース URL、クライアント ID、クライアントシークレットなど)を登録し、組織向けにコネクタを有効化します。 2. **ユーザーがコネクションを認可する。** **[コネクション]** タブからユーザーが **[接続]** をクリックし、ポップアップでベンダーにサインインします。ベンダーが返した認可情報を Treasure AI がそのユーザーにスコープを限定して安全に保存します。 3. **エージェントがコネクションを使用する。** チャット中、エージェントがあなたの代わりに接続先サービスへアクセスします。サンドボックスにはプレースホルダ(ダミー)のトークンのみが置かれ、サービスへリクエストを送る際に、プラットフォームがネットワークの境界で本物のアクセストークンへ差し替えます(期限切れに合わせて自動更新)。本物の認証情報がエージェントから見えることはありません。 エージェントは本物の認証情報を見ません エージェントの環境には常にプレースホルダ(ダミー)のトークンだけが置かれ、本物の認証情報は渡されません。エージェントが接続先サービスを呼び出すと、プラットフォームがネットワークの境界で本物のアクセストークンに差し替えるため、シークレットがエージェントやチャットに露出することはありません。トークンは自動的に更新されるため、コネクションを削除するかベンダー側で認可を取り消すまで、セッションをまたいで動作し続けます。 ## 場所 コネクションは Web と Desktop の **[設定]** で管理します。 - **[設定] → [コネクション]** — 自分用のビューで、自分のコネクションを認可・削除します。 - **[設定] → [コネクタ設定]** — **[組織]** セクションにアカウント管理者向けに表示され、全員のためにコネクタを設定・有効化します。 ## ユーザー向け: 自分のコネクションを管理する **[設定] → [コネクション]** を開きます。このページには、管理者が有効化したコネクタと、すでに作成したコネクションが一覧表示されます。 [利用可能] の下に Databricks が表示され、[接続] ボタンがある [コネクション] ページ ### サービスを接続する 1. **[利用可能]** の下で接続したいコネクタを見つけ、**[接続]** をクリックします。 2. ポップアップでベンダーのサインインページが開きます。サインインして、要求されたアクセスを許可します。 3. ポップアップが閉じると、接続済みの一覧に接続日とともにそのサービスが表示されます。 ### サービスを切断する 接続済みサービスの横にある削除(ゴミ箱)アイコンをクリックすると削除されます。そのコネクション経由のエージェントのアクセスは即座に失われますが、いつでも再接続できます。 利用可能なコネクタがない場合 コネクションページに「このアカウントで有効化されたコネクタはありません。」と表示される場合は、管理者に **[コネクタ設定]** でコネクタを設定・有効化するよう依頼してください。 ## 管理者向け: コネクタを設定する **[設定] → [コネクタ設定]**(**[組織]** の下)を開きます。このページには、アカウント用に設定済みのコネクタが一覧表示され、追加・有効化・削除ができます。 コネクタが未設定の状態で [最初のコネクタを追加] ボタンが表示された [コネクタ設定] ページ ### コネクタを追加・設定する 1. **[コネクタを追加]**(または **[最初のコネクタを追加]**)をクリックします。 2. **[コネクタを選択]** で、設定したいコネクタを選びます。 3. 設定フォームに入力します。フィールドはコネクタごとに異なり、通常はサービスの URL と OAuth アプリケーションのクライアント ID・クライアントシークレットです。必須フィールドにはアスタリスクが付き、シークレットはマスクされたパスワードフィールドとして入力します。 4. フォームに表示される **[セットアップガイド]** に従って、ベンダー側で OAuth アプリケーションを作成し、これらの値を取得します。詳細は各コネクタのページを参照してください(例: [Databricks への接続](/ja/products/ai-studio/connections/databricks))。 5. **[保存]** をクリックします。 ### 有効化・無効化・削除 - 設定済みの各コネクタには**有効化/無効化**のトグルがあります。有効化されたコネクタのみがコネクションタブでユーザーに表示されます。 - コネクタを無効化すると、ユーザーから見えなくなり、新規の認可ができなくなります。既存のコネクションは保持され、引き続き動作します。失効させるにはコネクタを削除してください。 - コネクタを展開すると設定値を確認できます(シークレットはマスクされたまま)。削除(ゴミ箱)アイコンで削除します。コネクタを削除すると、ユーザーが作成したコネクションも削除されます。 無効化はキルスイッチではありません コネクタを無効化しても、新規の認可が止まるだけで、既存のコネクションは**中断されません**(エージェントは引き続き使用できます)。アクセスを直ちに遮断するには、**コネクタを削除してください**(そのコネクタへのすべてのコネクションが削除されます)。または、ベンダー側で認可を取り消すこともできます。 ネットワークポリシーで egress を許可する コネクタは、到達する必要のある外部の **egress ドメイン**を提示します。アカウントでネットワークポリシーを使用している場合は、これらのドメインを許可して、エージェントのサンドボックスがサービスに到達できるようにしてください。許可しないと、実行時にコネクションが失敗します。必要なドメインは、設定済みの各コネクタの横に表示されます。 ## 利用可能なコネクタ | コネクタ | できること | | --- | --- | | [Databricks](/ja/products/ai-studio/connections/databricks) | エージェントが Databricks レイクハウスのデータを探索・可視化します。 | 今後、さらにコネクタが追加される予定です。まだ利用できないコネクタはカタログに表示されません。 ## 知っておくべきこと - **1 ユーザーにつき、1 コネクタあたり 1 コネクション。** 各ユーザーは、あるコネクタに対して同時に 1 つのコネクションのみ保持できます。アカウントやワークスペースを切り替えるには、切断して再接続します。 - **コネクタの設定はアカウント単位。** 管理者が組織向けにコネクタを一度設定し、すべてのユーザーが同じ設定に対して認可します。 - **トークンは自動更新。** コネクションはセッションをまたいで動作し続けます。ベンダー側で認可が取り消された場合のみ再接続が必要です。 - **無効化しても既存のコネクションは保持。** コネクタをオフにすると新規の認可からは隠れますが、ユーザーがすでに持っているコネクションは削除されません。 ## 確認 このガイドを読むことで、次のことができるようになります。 - [ ] コネクタとコネクションの違いを説明できる - [ ] ユーザーとして、**[設定] → [コネクション]** からコネクションを認可・削除できる - [ ] 管理者として、**[設定] → [コネクタ設定]** でコネクタを追加・設定・有効化・削除できる - [ ] エージェントがチャット中にコネクションをどう使うか、そしてなぜ生の認証情報が露出しないかを説明できる ## トラブルシューティング | 問題 | 解決策 | | --- | --- | | コネクションページにコネクタが表示されない | 管理者に **[コネクタ設定]** でコネクタを設定・有効化するよう依頼してください。 | | エージェントがコネクションを使用するときに失敗する | コネクタの egress ドメインがネットワークポリシーで許可されていること、およびコネクションがベンダー側でまだ認可されていることを確認してください。 | | コネクションタブからコネクタが消えた | 管理者が無効化した可能性があります。既存のコネクションは保持され、引き続き動作します。再度有効化すると、コネクタが再表示されます。 | ## 次のステップ - [Databricks への接続](/ja/products/ai-studio/connections/databricks) — Databricks コネクションの設定と認可 - [スキルとマーケットプレイス](/ja/products/ai-studio/skills/skills) — スキルがエージェントにドメイン専門知識を与える仕組み - [セキュリティと権限](/ja/products/ai-studio/security) — Studio でのアクセス制御の仕組み