Okta APIトークンを管理する
API(Tokens)ページのトークン(API)タブでは、Okta APIトークンを管理および作成したり、トークンの接続元に対する制限を構成したりできます。
APIトークンは、Okta APIへのリクエストを認証するために使用されます。APIトークンは特定のユーザーに対して発行されます。トークンによって行われるリクエストはすべて、ユーザーの代わりとして機能します。APIトークンはシークレットであり、パスワードと同様に扱う必要があります。
APIトークンには、生成時にトークンの作成者であるユーザーと同じ権限が付与されます。ユーザーの権限が変更されると、トークンの権限も変更されます。スーパー管理者、org管理者、グループ管理者、グループメンバーシップ管理者、および読み取り専用管理者がトークンを作成できます。
トークンは、トークンを作成したユーザーがアクティブな場合にのみ有効です。非アクティブ化されたユーザーが発行したトークンは拒否されます。サービスの中断を避けるため、変更されることのないスーパー管理者権限を持った、非アクティブ化されることのないサービスアカウントを使用してAPIトークンを生成してください。
APIトークンは30日間有効で、APIリクエストで使用されるたびに自動的に更新されます。トークンが30日以上非アクティブである場合、そのトークンは取り消され、再度使用することはできません。
Oktaエージェントには、インストール時に、Okta organizationへのアクセスに使用するAPIトークンも発行されます。このトークンは標準のAPIトークンと似ていますが、Oktaによって管理されます。
エージェントトークンは、確認のために、また、トークンに発生したセキュリティ上の問題への注意を促す目的でこのページに表示されます。ほとんどのエージェントはトークンを使用します。トークンの設定は、エージェントをアクティブ化、非アクティブ化、または再アクティブ化する際に自動的に処理されます。
Okta APIの詳細については、Okta開発者向けサイトを参照してください。
- Okta APIトークンを作成する
- トークンのレート制限を設定する(任意)
- トークンを表示する
- トークンを取り消す
- API呼び出しの起点となるネットワークゾーンを編集する
- トークン履歴を表示する
- トークンをシステムログで追跡する
Okta APIトークンを作成する
Okta APIトークンを作成したり、トークンの接続元に対する制限を構成したりできます。
-
Admin Consoleで、に移動します。
- トークン(Tokens)タブをクリックします。
- トークンを作成する(Create Token)(Create token)をクリックします。
- トークンにどのような名前を付けますか?(What do you want your token to be named?)フィールドにトークン名を入力します。
- このトークンによって行われるAPI呼び出しは次の場所を起点としなければならない(API calls made with this token must originate from)ドロップダウンリストで、接続の起点として許可する場所を指定するオプションを選択します。
- 任意のIP(Any IP):任意のIPアドレスまたはネットワークゾーンからの接続を許可します。
- で定義された任意のネットワークゾーン(In any network zone defined in)Okta :接続の起点がOktaorgで定義されている任意のネットワークゾーンである場合に接続を許可します。
- 次のいずれかのゾーン(In any of the following zones):接続の起点が管理者によって指定されたネットワークゾーンである場合に接続を許可します。選択するネットワークゾーンの名前と一致するテキストを入力します。Oktaは、入力内容と一致する結果を表示します。名前をクリックして選択します。さらにネットワークゾーンを追加するには、この手順を繰り返します。
- に定義されたネットワークゾーン以外(Not in any network zone defined in)Okta :接続の起点がOktaorgで定義されている任意のネットワークゾーンでない場合に接続を許可します。
- 次のゾーンのいずれにも含まれない(Not in any of the following zones):接続の起点が管理者によって指定されたネットワークゾーンでない場合に接続を許可します。選択するネットワークゾーンの名前と一致するテキストを入力します。Oktaは、入力内容と一致する結果を表示します。名前をクリックして選択します。さらにネットワークゾーンを追加するには、この手順を繰り返します。
- 任意のIP(Any IP):任意のIPアドレスまたはネットワークゾーンからの接続を許可します。
- で定義された任意のネットワークゾーン(In any network zone defined in)Okta :接続の起点がOktaorgで定義されている任意のネットワークゾーンである場合に接続を許可します。
- 次のいずれかのゾーン(In any of the following zones):接続の起点が管理者によって指定されたネットワークゾーンである場合に接続を許可します。選択するネットワークゾーンの名前と一致するテキストを入力します。Oktaは、入力内容と一致する結果を表示します。名前を選択します。さらにネットワークゾーンを追加するには、この手順を繰り返します。
- に定義されたネットワークゾーン以外(Not in any network zone defined in)Okta :接続の起点がOktaorgで定義されている任意のネットワークゾーンでない場合に接続を許可します。
- 次のゾーンのいずれにも含まれない(Not in any of the following zones):接続の起点が管理者によって指定されたネットワークゾーンでない場合に接続を許可します。選択するネットワークゾーンの名前と一致するテキストを入力します。Oktaは、入力内容と一致する結果を表示します。名前を選択します。さらにネットワークゾーンを追加するには、この手順を繰り返します。
- トークンを作成する(Create Token)(Create token)をクリックします。
-
トークンが正常に作成されました!(Token created successfully!)というメッセージとトークン値が表示されます。
- クリップボードにコピー(Copy to clipboard)(
)をクリックし、トークンを安全な場所(パスワードマネージャーなど)に貼り付けます。トークンの表示、コピーを実行できるのは作成プロセス中のみです。作成されたトークンは、保護のためにハッシュ化して保存されます。Oktaでは、APIトークンをパスワードのように扱うことを推奨します。
トークンのレート制限を設定する(任意)
Admin Consoleを使用してAPIトークンを作成した場合、トークンインタラクションのレート制限は、各APIの上限の50%に自動的に設定されます。「APIレート制限」を参照してください。このパーセンテージは、トークンごとに調整できます。
-
Admin Consoleで、に移動します。
- トークン(Tokens)タブをクリックします。
- 編集するトークンの名前をクリックします。
- トークンレート制限(Token rate limits)セクションで、編集(Edit)をクリックします。
-
目的のパーセンテージになるようにスライダーを調整します。
-
保存(Save)をクリックします。
トークンを表示する
API(Tokens)ページのトークン(API)タブを開くと、すべてのトークンが表示されます。各トークンのトークン名、ID、ロール、ステータス、タイプ、最後に使用された日付が表示されます。
トークンについての詳細を表示するには、トークンの名前をクリックします。
表示を並べ替えるには、並べ替え条件(Sort by)をクリックして並べ替えタイプを選択します。
トークンを検索するには、検索フィールドをクリックしてトーク名を入力し、Enterキーを押します。
トークンを作成したユーザーに関する情報を表示するには、ロール(Role)列の下にあるユーザーの名前をクリックします。
次のカラーコードはトークンのステータスを示します。
- 緑色:トークンは過去3日以内に使用されています。
- 灰色:トークンは過去3日間使用されておらず、有効期限まで7日以上残っています。
- 赤色:トークンの有効期限は7日以内です。
- 黄色:トークンが不審です。不審なトークンとは、Oktaに登録されていないエージェントに関連付けられたトークンを指します。通常のエージェントのデプロイメントでは不審なトークンは作成されません。Oktaでは、不審なトークンを調査することを推奨します。トークン名をクリックし、関連するエージェントのプロビジョニングを確認します。エージェントがOktaに登録されていない場合、またはエージェントを再アクティブ化せずに非アクティブ化した場合は、トークンを取り消してこのページから削除できます。
トークンをタイプ別に表示するには、左側のリストでトークンタイプを選択して表示をそのトークンタイプに限定します。不審なトークンのカテゴリーには、Oktaに登録されていないエージェントに関連付けられたトークンが含まれます。このリストは動的で、トークンの数とタイプが変わると変更されます。
トークンを取り消す
トークンを取り消すには次の2つの方法があります。
- APIページのトークン(Tokens)タブで、取り消したいトークンのアクション(Revoke token)列の下にあるトークンを取り消す(Revoke token)(Actions)アイコン(ゴミ箱アイコン)をクリックします。
- APIページのトークン(Tokens)タブで、取り消したいトークンの名前をクリックします。トークンのページで、トークンを取り消す(Revoke token)をクリックします。
トークンを取り消す(Revoke token)アイコンまたはボタンは常にアクティブであるわけではありません。
- エージェントトークンは、エージェントがアクティブでない場合に取り消し可能です。エージェントがアクティブである場合は、トークンを取り消す前にエージェントを非アクティブ化する必要があります。Okta AD Agentなどの一部のエージェントは、エージェントを非アクティブ化すると自動的にトークンを取り消します。
- APIトークンは常に取り消し可能です。
API呼び出しの起点となるネットワークゾーンを編集する
トークンを作成した後、API呼び出しの起点となる場所に対する制限を追加または変更できます。
-
Admin Consoleで、に移動します。
- トークン(Tokens)タブをクリックします。
- 編集するトークンの名前をクリックします。
- セキュリティ(Security)セクションで編集(Edit)をクリックします。
- トークンを使用できる場所(Token can be used from)ドロップダウンで、接続の起点として許可する場所を指定するオプションを選択します。
- 任意のIP(Any IP):任意のIPアドレスまたはネットワークゾーンからの接続を許可します。
- で定義された任意のネットワークゾーン(In any network zone defined in)Okta :接続の起点がOktaorgで定義されている任意のネットワークゾーンである場合に接続を許可します。
- 次のいずれかのゾーン(In any of the following zones):接続の起点が管理者によって指定されたネットワークゾーンである場合に接続を許可します。選択するネットワークゾーンの名前と一致するテキストを入力します。Oktaは、入力内容と一致する結果を表示します。名前を選択します。さらにネットワークゾーンを追加するには、この手順を繰り返します。
- に定義されたネットワークゾーン以外(Not in any network zone defined in)Okta :接続の起点がOktaorgで定義されている任意のネットワークゾーンでない場合に接続を許可します。
- 次のゾーンのいずれにも含まれない(Not in any of the following zones):接続の起点が管理者によって指定されたネットワークゾーンでない場合に接続を許可します。選択するネットワークゾーンの名前と一致するテキストを入力します。Oktaは、入力内容と一致する結果を表示します。名前を選択します。さらにネットワークゾーンを追加するには、この手順を繰り返します。
-
保存(Save)をクリックします。
トークン履歴を表示する
トークンが作成された日時、トークンが最後に使用された日時、トークンの有効期限が切れる日時に関する情報を表示できます。
-
Admin Consoleで、に移動します。
- トークン(Tokens)タブをクリックします。
- 履歴を表示するトークンの名前をクリックします。
- 履歴(History)セクションの情報を確認します。
トークンをシステムログで追跡する
システムログには、APIトークンの作成と取り消しに関する情報が含まれています。この操作に関連して表示されるメッセージは、APIトークンが作成されました(API token created)か、APIトークンが取り消されました(API token revoked)のいずれかです。Okta APIを介してのみアクセス可能なシステムログv1では、これらのイベントのカテゴリーはトークンライフサイクルです。
トークンの作成者がトークンを取り消した場合、アクターとターゲットに同じ情報が含まれます。
トークンを作成していない管理者がそのトークンを取り消した場合、アクターとターゲットには異なる情報が含まれます。
関連項目