APIトークンの管理

APIページを使用して、すべてのOkta APIトークンを管理・作成し、オリジンのURLを追加します。Okta APIの追加情報については、Okta開発者向けサイトを参照してください。

APIトークンは、ブラウザーでHTTPクッキーがOktaアプリケーションへのリクエストを認証するのと同じように、Okta APIへのリクエストを認証するために使用されます。APIトークンは特定のユーザーに対して発行され、トークンを含むすべてのリクエストはユーザーの代わりに機能します。APIトークンはシークレットであり、パスワードと同様に扱う必要があります。

APIトークンは、トークンを作成したユーザーの権限で生成されます。ユーザーの権限が変更されると、トークンの権限も変更されます。スーパー管理者・org管理者・グループ管理者がトークンを作成できます。

重要事項

トークンは、トークンを作成したユーザーがアクティブな場合にのみ有効です。非アクティブ化されたユーザーが発行したトークンは拒否されます。サービスの中断を避けるため、Oktaでは、非アクティブ化されないサービスアカウントを使用し、変更されないスーパー管理者権限でAPIトークンを生成することを推奨しています。

APIトークンは30日間有効で、APIリクエストで使用されるたびに自動的に更新されます。トークンが30日以上非アクティブである場合、そのトークンは取り消され、再度使用することはできません。

Oktaエージェントには、インストール時に、Okta organizationへのアクセスに使用するAPIトークンも発行されます。このトークンは標準のAPIトークンと似ていますが、Oktaによって管理されます。

[APIトークン]ページを使用して、すべてのOkta APIトークンを管理します。エージェントトークンは通常、エージェントをアクティブ化、非アクティブ化、または再アクティブ化するときに管理されます。

エージェントトークンはこのページに表示されます。ここでレビューしたり、発生する可能性があるセキュリティ上の問題を明確に示したりできます。ほとんどのエージェントはトークンを使用します。トークンの設定は通常、エージェントをアクティブ化または再アクティブ化する際に自動的に処理されます。このトークンのリストには、OrganizationでのOktaトークンの使用情報が含まれています。

Okta APIトークンを作成する

Okta APIで認証するための独自のトークンを作成するには:

  1. Okta Admin Consoleで、[Security(セキュリティ)]>[API]に移動します。

  2. [Tokens(トークン)]をクリックして[Create Token(トークンの作成)]をクリックします。

  3. トークンの[Name(名前)]を入力し、[Create Token(トークンを作成)]をクリックします。
  4. 任意。[Copy to clipboard(クリップボードにコピー)]トークンのコピー)をクリックします。
    重要事項

    トークンの表示・コピーを実行できるのは作成プロセス中のみです。トークンが作成されると、保護のためにハッシュとして保存されます。APIトークンはパスワードのように扱います。後で参照できるように、スクリーンショットをキャプチャしておくことをお勧めします。ただし、スクリーンショットは安全な場所に保管するようにしてください。

トークンのレート制限を設定する(任意)

Okta Admin Consoleを使用してAPIトークンを作成した場合、トークンインタラクションのレート制限は、各APIの上限の50%に自動的に設定されます。「APIレート制限」を参照してください。このパーセンテージは、トークンごとに調整できます。

  1. [APIトークン]ページで、目的のトークンの[Edit Token(トークンの編集)][Modify attribute(属性の変更)](鉛筆)アイコン)をクリックします。
  2. [Token rate limits(トークンのレート制限)]セクションで、[Edit(編集)]をクリックします。

  3. 目的のパーセンテージになるようにスライダーを調整します。

  4. [Save(保存)]をクリックします。

すべてのトークンを表示する

[API Tokens(APIトークン)]のページを開くと、すべてのトークンが表示されます。すべてのエージェントおよびAPIトークンのトークンのステータス・タイプ・名前・使用・作成・有効期限・最終使用日が表示されます。表示を並べ替えるには、右側の[Sort by(並べ替え条件)]ドロップダウンメニューから並べ替えを選択します。

トークンのステータスを示すために次のカラーコードが使用されています。

  • 緑色-トークンは過去3日以内に使用されています。
  • 灰色-トークンは過去3日間使用されておらず、今日は有効期限の7日以上前です。
  • 赤色-トークンの有効期限は7日以内です。
  • 黄色-トークンが不審です。

    不審なトークンは、Oktaに登録されていないエージェントに関連付けられています。通常のエージェントの展開では不審なトークンは作成されません。

    推奨事項: 不審なトークンを調査します。トークン名をクリックし、関連するエージェントのプロビジョニングを確認します。エージェントがOktaに登録されていない場合、またはエージェントを再アクティブ化せずに非アクティブ化した場合は、トークンを取り消してこのページから削除できます。

トークンタイプ別に表示する

左側のリストから任意のトークンタイプを選択して、表示をそのトークンタイプに制限します。ほとんどのカテゴリーはトークンのタイプです。さらに、不審なトークンのカテゴリーには、Oktaに登録されていないエージェントに関連付けられたトークンが含まれます。

単一のトークンを検索するには、トークンの値を入力し、[Find Token(トークンを探す)]を選択します。

特定のタイプのトークンの数が常に表示されます。このリストは動的で、トークンの数とタイプが変わると変更されます。

トークンを取り消す

トークンを取り消すには、トークン情報の右側にあるゴミ箱アイコンをクリックします。アイコンは常にアクティブであるとは限らないことに注意してください。

  • エージェントトークンは、エージェントがアクティブでない場合は取り消し可能です。それ以外の場合は、トークンを取り消す前にエージェントを非アクティブ化する必要があります。Okta AD Agentなどの一部のエージェントは、エージェントを非アクティブ化すると自動的にトークンを取り消します。
  • APIトークンは常に取り消し可能です。

システムログで追跡する

システムログには、APIトークンの作成と取り消しに関する情報が含まれています。これらの操作に関連付けられているメッセージは、APIトークンの作成またはAPIトークンの無効化です。Okta APIを介してのみアクセス可能なSystem Log v1では、これらのイベントのカテゴリーはトークンライフサイクルです。

トークンを作成したのと同じユーザーによってトークンが取り消される場合、アクターとターゲットには同じ情報が含まれます。トークンを作成しなかった管理者がトークンを取り消した場合は、アクターとターゲットに異なる情報が含まれます。

関連項目

API Access Management

信頼済みオリジンの構成

APIレート制限