APIトークンの管理

APIページを使用して、すべてのOkta APIトークンを管理および作成し、オリジンのURLを追加します。Okta APIの追加情報については、Okta開発者向けサイトを参照してください。

APIトークンは、ブラウザーでHTTPクッキーがOktaアプリケーションへのリクエストを認証するのと同じように、Okta APIへのリクエストを認証するために使用されます。APIトークンは特定のユーザーに対して発行され、そのトークンを含むリクエストは、ユーザーの代理として動作します。APIトークンはシークレットであり、パスワードと同様に扱う必要があります。

APIトークンには、生成時にトークンの作成者であるユーザーと同じ権限が付与されます。ユーザーの権限が変更されると、トークンの権限も変更されます。スーパー管理者、org管理者、グループ管理者、グループメンバーシップ管理者、および読み取り専用管理者がトークンを作成できます。

重要事項。

トークンは、トークンを作成したユーザーがアクティブな場合にのみ有効です。非アクティブ化されたユーザーが発行したトークンは拒否されます。Oktaでは、サービスの中断を避けるために、変更されることのないスーパー管理者権限を持った、非アクティブ化されることのないサービスアカウントを使用してAPIトークンを生成することを推奨しています。

APIトークンは30日間有効で、APIリクエストで使用されるたびに自動的に更新されます。トークンが30日以上非アクティブである場合、そのトークンは取り消され、再度使用することはできません。

Oktaエージェントには、インストール時に、Okta organizationへのアクセスに使用するAPIトークンも発行されます。このトークンは標準のAPIトークンと似ていますが、Oktaによって管理されます。

[API Token(APIトークン)]ページで、すべてのOkta APIトークンを管理します。エージェント・トークンは、エージェントをアクティブ化、非アクティブ化、または再アクティブ化するときに管理されます。

エージェントトークンは、確認のために、また、トークンに発生したセキュリティ上の問題への注意を促す目的でこのページに表示されます。ほとんどのエージェントはトークンを使用します。トークンの設定は、エージェントをアクティブ化または再アクティブ化する際に自動的に処理されます。このトークンのリストには、OrganizationでのOktaトークンの使用情報が含まれています。

Okta APIトークンを作成する

Okta APIで認証するための独自のトークンを作成するには:

  1. Admin Consoleで、[Security(セキュリティ)][API]に移動します。

  2. [Tokens(トークン)]をクリックし、[Create Token(トークンを作成)]をクリックします。

  3. トークンの名前を入力し、[トークンを作成]をクリックします。
  4. 任意。[クリップボードにコピー](トークンのコピー)トークンのコピーをクリックします。
    重要事項

    トークンの表示・コピーを実行できるのは作成プロセス中のみです。作成されたトークンは、保護のためにハッシュ化して保存されます。APIトークンはパスワードのように扱います。後で参照できるように画像をキャプチャすることをお勧めします。ただし、キャプチャした画像は必ず安全な場所に保管してください。

トークンのレート制限を設定する(任意)

Okta Admin Consoleを使用してAPIトークンを作成した場合、トークンインタラクションのレート制限は、各APIの上限の50%に自動的に設定されます。「APIレート制限」を参照してください。このパーセンテージは、トークンごとに調整できます。

  1. [APIトークン]ページで、目的のトークンの[Edit Token(トークンの編集)][Modify attribute(属性の変更)](鉛筆)アイコン)をクリックします。
  2. [トークンレート制限]セクションで、[Edit(編集)]をクリックします。
  3. 目的のパーセンテージになるようにスライダーを調整します。

  4. [Save(保存)]をクリックします。

すべてのトークンを表示する

[APIトークン]のページを開くと、すべてのトークンが表示されます。すべてのエージェントおよびAPIトークンのトークンのステータス、タイプ、名前、使用、作成、有効期限、最終使用日が表示されます。表示を並べ替えるには、[Sort by(並べ替え条件)]ドロップダウンメニューから並べ替えを選択します。

トークンのステータスを示すために次のカラーコードが使用されています。

  • 緑色-トークンは過去3日以内に使用されています。
  • 灰色-トークンは過去3日間使用されておらず、今日は有効期限の7日以上前です。
  • 赤色-トークンの有効期限は7日以内です。
  • 黄色-トークンが不審です。

    不審なトークンとは、Oktaに登録されていないエージェントに関連付けられたトークンを指します。通常のエージェントのデプロイメントでは不審なトークンは作成されません。

    推奨事項: 不審なトークンを調査します。トークン名をクリックし、関連するエージェントのプロビジョニングを確認します。エージェントがOktaに登録されていない場合、またはエージェントを再アクティブ化せずに非アクティブ化した場合は、トークンを取り消してこのページから削除できます。

トークンタイプ別に表示する

左側のリストから任意のトークンタイプを選択すると、表示がそのトークンタイプに限定されます。ほとんどのカテゴリーはトークンのタイプです。さらに、不審なトークンのカテゴリーには、Oktaに登録されていないエージェントに関連付けられたトークンが含まれます。

単一のトークンを検索するには、トークンの値を入力し、[トークンを探す]を選択します。

タイプ別のトークン数は、常に表示されます。このリストは動的で、トークンの数とタイプが変わると変更されます。

トークンを取り消す

トークンを取り消すには、トークン情報の右側にあるゴミ箱アイコンをクリックします。アイコンは常にアクティブであるとは限りません。

  • エージェントトークンは、エージェントがアクティブでない場合は取り消し可能です。それ以外の場合は、トークンを取り消す前にエージェントを非アクティブ化する必要があります。Okta AD Agentなどの一部のエージェントは、エージェントを非アクティブ化すると自動的にトークンを取り消します。
  • APIトークンは常に取り消し可能です。

システムログで追跡する

システムログには、APIトークンの作成と取り消しに関する情報が含まれています。この操作に関連して表示されるメッセージは、API Token created(APIトークンが作成されました)か、API Token revoked(APIトークンが取り消されました)のいずれかです。Okta APIを介してのみアクセス可能なシステムログv1では、これらのイベントのカテゴリーはトークンライフサイクルです。

トークンを作成したユーザーと同じユーザーがトークンを取り消した場合、アクターとターゲットに同じ情報が含まれます。トークンを作成していない管理者がそのトークンを取り消した場合、アクターとターゲットには異なる情報が含まれます。

関連項目

API Access Management

信頼済みオリジンの構成

APIレート制限