この記事では、kintone連携サービスの企画者／開発者向けに、外部連携サービスを開発する前の確認項目を紹介します。
連携サービス認定を取得するために必要な対応や、開発時の注意事項を事前に理解することは、よりよい連携製品の開発につながります。

kintone連携サービスの認定取得に必要な対応の一部を紹介します。
詳細は kintone連携サービス認定基準 を確認してください。

認定を取得しない場合も連携サービスの品質向上のために確認してください。

kintoneには制限値があります。
また、製品の特性を理解して設計しないとトラブルにつながる可能性が高まります。
次に記載した内容に配慮して設計してください。

• kintoneの制限値一覧
• kintoneの性能

cybozu developer networkで公開していない非公開（内部）APIの利用はできません。

cybozu.comやkintoneは脆弱性対応や不具合改修のために緊急リリースを実施することがあります。
また、cybozu developer networkで公開していない内容は予告なく変更する可能性があります。
そのため、DOMを参照および操作する場合はトラブル発生時の対応方針や体制の用意をお願いします。

セキュアコーディングガイドラインの内容を遵守してください。

kintone外にデータを送信する場合は、利用者のセキュリティポリシー上の問題となる可能性があります。
製品機能上明らかに利用者が認識している場合は問題ありませんが、実態としては外部に送信している、という状態は認められません。
（プラグイン設定やライセンス認証のしくみに必要な情報（ドメイン名やアプリID）は該当しません）

利用者が登録したデータ（アプリのレコードデータ）を外部に送信もしくは外部から取得する場合、その旨を利用者に公開してください。
（製品機能上明らかな場合を除きます）

kintone連携サービスの開発に役立つものを紹介します。

複数のJavaScriptやCSSを1つにパッケージングした「プラグイン」を作成することで機能拡張や他サービス連携を実現できます。
開発手順や効率的にプラグインを開発するための情報については kintoneプラグインの開発手順や プラグイン開発支援ツール群の案内を確認してください。

ブラウザー（kintoneではないドメイン）のJavaScriptからkintone REST APIを実行する場合はクロスドメイン制約を考慮する必要があります。
ブラウザー（kintoneドメイン）のJavaScript（kintone JavaScriptカスタマイズ）から外部のAPIを実行する場合はkintone.proxyを利用することでクロスドメイン制約を回避できます。

詳細は 外部のAPIの実行を確認してください。

kintone JavaScriptカスタマイズから外部のAPIを実行する場合はkintoneプラグインにすることで次の2つに対応できます。

• 認証情報を隠匿して外部のAPIを実行
• クロスドメイン制約

詳細は kintoneプラグインで秘匿情報を隠す〜隠蔽方法編〜を確認してください。

kintone REST APIでは複数の認証を利用できます。（参考： kintone REST APIの認証）
kintone JavaScript APIからkintone REST APIを利用する場合、セッション認証の利用を検討してください。
外部からkintone REST APIを利用する場合は、権限を限定しやすいAPIトークンの利用をおすすめします。

kintoneアプリはルックアップ機能によってアプリ間で連携できます。
ルックアップ機能を利用したアプリを操作する場合はAPIトークンをカンマ区切りで複数指定する必要があります。

詳細は 複数APIトークンを使ってできることを確認してください。

複数のレコードを取得するAPIのoffsetに指定可能な上限は、1万です。
1万件を超えるレコードを取得する場合は、 カーソルAPIを利用する必要があります。

詳細は offsetの制限値を考慮したkintoneのレコード一括取得についてを確認してください。

開発言語がJavaScript（TypeScript）やJavaの場合はサイボウズ株式会社が開発、提供しているライブラリがあります。

詳細は いろいろなプログラミング言語でkintone REST APIを実行するを確認してください。

ゲストスペース配下のアプリと連携する場合はREST APIエンドポイントが変わります。
変わるのはエンドポイントのみでリクエスト内容やレスポンスは変わりません。（参考： 1件のレコードを取得する）

レコード詳細画面で編集や削除などを制御するJavaScriptカスタマイズを実装する場合は、PC用一覧画面のカスタマイズも必要になる可能性があります。
要件から漏れやすい箇所なのでご注意ください。

PC用画面でカスタマイズを実装する場合は、モバイル画面（モバイル用のブラウザー画面/アプリ画面）用のカスタマイズも必要になる可能性があります。
要件から漏れやすい箇所なのでご注意ください。

詳細は kintoneカスタマイズにおけるPCとモバイルの違いを確認してください。

cybozu.comではリクエスト元のIPアドレスを制限できます。（参考： IPアドレス制限 ）
連携サービスからのリクエストが固定IPアドレスとなっていれば利用者はより導入しやすくなります。

kintone REST APIをブラウザー外から実行する場合は、トラブル発生時の調査のためにユーザーエージェント（「User-Agent」ヘッダー）を設定してください。
設定内容は貴社製品と特定できれば良く、フォーマットの指定はありません。
ユーザーエージェントのガイドラインは、RFC 9110の「User-Agent」の項を参照してください。
10.1.5. User-Agent | RFC 9110

Webhookにはドメインあたり分間60回という制限があり、超過分はエラーになります。
エラー発生時は利用者では把握・対処できず、管理者対応を必要とする可能性があります。
そのため、重要な処理にWebhookを利用することはおすすめしません。

日本時間の毎月第2日曜日、午前1時～7時の間に定期メンテナンスを実施するため、リクエストを受け付けられない時間があります。
6時間のうち、メンテナンスに必要な作業時間分サービスが停止します。
そのため、リトライ機能の実装や運用による対応を必要とするケースがあります。

kintoneは海外でも展開しており、日本はsample.cybozu.com、海外はsample.kintone.comというドメインを利用します。
ドメイン全体を入力する設計にしておくと汎用性が高くなります。

プラグイン製品の場合、利用者が画面上から問い合わせ先を容易に認識できるよう設計してください。
具体的な対応の例は次のとおりです。

• プラグインの外部リンク設定（manifest.jsonのhomepage_urlパラメーター）に開発元や製品ページのURLを設定する。
  （参考： kintoneプラグイン開発手順）
• プラグインの設定画面内に問い合わせの導線を設置する。