Okta APIトークンを管理する

[API]ページの[トークン]タブでは、Okta APIトークンを管理および作成したり、トークンの接続元に対する制限を構成したりできます。

APIトークンは、Okta APIへのリクエストを認証するために使用されます。APIトークンは特定のユーザーに対して発行されます。トークンによって行われるリクエストはすべて、ユーザーの代わりとして機能します。APIトークンはシークレットであり、パスワードと同様に扱う必要があります。

APIトークンには、生成時にトークンの作成者であるユーザーと同じ権限が付与されます。ユーザーの権限が変更されると、トークンの権限も変更されます。スーパー管理者、org管理者、グループ管理者、グループメンバーシップ管理者、および読み取り専用管理者がトークンを作成できます。

トークンは、トークンを作成したユーザーがアクティブな場合にのみ有効です。非アクティブ化されたユーザーが発行したトークンは拒否されます。サービスの中断を避けるため、変更されることのないスーパー管理者権限を持った、非アクティブ化されることのないサービスアカウントを使用してAPIトークンを生成してください。

APIトークンは30日間有効で、APIリクエストで使用されるたびに自動的に更新されます。トークンが30日以上非アクティブである場合、そのトークンは取り消され、再度使用することはできません。

Oktaエージェントには、インストール時に、Okta organizationへのアクセスに使用するAPIトークンも発行されます。このトークンは標準のAPIトークンと似ていますが、Oktaによって管理されます。

エージェントトークンは、確認のために、また、トークンに発生したセキュリティ上の問題への注意を促す目的でこのページに表示されます。ほとんどのエージェントはトークンを使用します。トークンの設定は、エージェントをアクティブ化、非アクティブ化、または再アクティブ化する際に自動的に処理されます。

Okta APIの詳細については、Okta開発者向けサイトを参照してください。

Okta APIトークンを作成する

Okta APIトークンを作成したり、トークンの接続元に対する制限を構成したりできます。

  1. Admin Consoleで、[Security(セキュリティ)][API]に移動します。
  2. [Tokens(トークン)]タブをクリックします。
  3. [Create Token(トークンを作成する)]をクリックします。
  4. [トークンにどのような名前を付けますか?]フィールドにトークン名を入力します。
  5. [API calls made with this token must originate from(このトークンによって行われるAPI呼び出しは次の場所を起点としなければならない)]ドロップダウンリストで、接続の起点として許可する場所を指定するオプションを選択します。
    • [Any IP(任意のIP)]:任意のIPアドレスまたはネットワークゾーンからの接続を許可します。
    • [In any network zone defined in Okta(Oktaで定義された任意のネットワークゾーン)]:接続の起点がOkta orgで定義されている任意のネットワークゾーンである場合に接続を許可します。
    • [In any of the following zones(次のいずれかのゾーン)]:接続の起点が管理者によって指定されたネットワークゾーンである場合に接続を許可します。選択するネットワークゾーンの名前と一致するテキストを入力します。Oktaは、入力内容と一致する結果を表示します。名前をクリックして選択します。さらにネットワークゾーンを追加するには、この手順を繰り返します。
    • [Not in any network zone defined in Okta(Oktaで定義されたネットワークゾーンのいずれにも含まれない)]:接続の起点がOkta orgで定義されている任意のネットワークゾーンでない場合に接続を許可します。
    • [Not in any of the following zones(次のゾーンのいずれにも含まれない)]:接続の起点が管理者によって指定されたネットワークゾーンでない場合に接続を許可します。選択するネットワークゾーンの名前と一致するテキストを入力します。Oktaは、入力内容と一致する結果を表示します。名前をクリックして選択します。さらにネットワークゾーンを追加するには、この手順を繰り返します。
    • SSWSトークンはIPベースのゾーンでのみ使用できます。[IPゾーンを追加]ページの[Gateway IP addresses(ゲートウェイIPアドレス)]フィールドにそれらのIPゾーンを必ず追加してください。「IPゾーンの評価」を参照してください。
    • SSWSトークンはブロックリストゾーンでは使用できません。「Create zones for IP addresses」を参照してください。
  6. [Create Token(トークンを作成する)]をクリックします。

  7. トークンが正常に作成されました!」というメッセージとトークン値が表示されます。

  8. [Copy to clipboard(クリップボードにコピー)]トークンをコピーする)をクリックし、トークンを安全な場所(パスワードマネージャーなど)に貼り付けます。トークンの表示、コピーを実行できるのは作成プロセス中のみです。作成されたトークンは、保護のためにハッシュ化して保存されます。Oktaでは、APIトークンをパスワードのように扱うことを推奨します。

トークンのレート制限を設定する(任意)

Admin Consoleを使用してAPIトークンを作成した場合、トークンインタラクションのレート制限は、各APIの上限の50%に自動的に設定されます。「APIレート制限」を参照してください。このパーセンテージは、トークンごとに調整できます。

  1. Admin Consoleで、[Security(セキュリティ)][API]に移動します。
  2. [Tokens(トークン)]タブをクリックします。
  3. 編集するトークンの名前をクリックします。
  4. [トークンレート制限]セクションで、[Edit(編集)]をクリックします。

  5. 目的のパーセンテージになるようにスライダーを調整します。

  6. [Save(保存)]をクリックします。

トークンを表示する

[API]ページの[トークン]タブを開くと、すべてのトークンが表示されます。各トークンのトークン名、ID、ロール、ステータス、タイプ、最後に使用された日付が表示されます。

トークンについての詳細を表示するには、トークンの名前をクリックします。

表示を並べ替えるには、[Sort by(並べ替え条件)]をクリックして並べ替えタイプを選択します。

トークンを検索するには、検索フィールドをクリックしてトーク名を入力し、Enterキーを押します。

トークンを作成したユーザーに関する情報を表示するには、[ロール]列の下にあるユーザーの名前をクリックします。

次のカラーコードはトークンのステータスを示します。

  • 緑色:トークンは過去3日以内に使用されています。
  • 灰色:トークンは過去3日間使用されておらず、有効期限まで7日以上残っています。
  • 赤色:トークンの有効期限は7日以内です。
  • 黄色:トークンが不審です。不審なトークンとは、Oktaに登録されていないエージェントに関連付けられたトークンを指します。通常のエージェントのデプロイメントでは不審なトークンは作成されません。Oktaでは、不審なトークンを調査することを推奨します。トークン名をクリックし、関連するエージェントのプロビジョニングを確認します。エージェントがOktaに登録されていない場合、またはエージェントを再アクティブ化せずに非アクティブ化した場合は、トークンを取り消してこのページから削除できます。

トークンをタイプ別に表示するには、左側のリストでトークンタイプを選択して表示をそのトークンタイプに限定します。不審なトークンのカテゴリーには、Oktaに登録されていないエージェントに関連付けられたトークンが含まれます。このリストは動的で、トークンの数とタイプが変わると変更されます。

トークンを取り消す

トークンを取り消すには次の2つの方法があります。

  • [API]ページの[トークン]タブで、取り消したいトークンの[アクション]列の下にある[Revoke token(トークンを取り消す)]アイコン(ゴミ箱アイコン)をクリックします。
  • [API]ページの[トークン]タブで、取り消したいトークンの名前をクリックします。トークンのページで、[Revoke token(トークンを取り消す)]をクリックします。

[Revoke token(トークンを取り消す)]アイコンまたはボタンは常にアクティブであるわけではありません。

  • エージェントトークンは、エージェントがアクティブでない場合に取り消し可能です。エージェントがアクティブである場合は、トークンを取り消す前にエージェントを非アクティブ化する必要があります。Okta AD Agentなどの一部のエージェントは、エージェントを非アクティブ化すると自動的にトークンを取り消します。
  • APIトークンは常に取り消し可能です。

API呼び出しの起点となるネットワークゾーンを編集する

トークンを作成した後、API呼び出しの起点となる場所に対する制限を追加または変更できます。

  1. Admin Consoleで、[Security(セキュリティ)][API]に移動します。
  2. [Tokens(トークン)]タブをクリックします。
  3. 編集するトークンの名前をクリックします。
  4. [セキュリティ]セクションで[Edit(編集)]をクリックします。
  5. [Token can be used from(トークンを使用できる場所)]ドロップダウンで、接続の起点として許可する場所を指定するオプションを選択します。
    • [Any IP(任意のIP)]:任意のIPアドレスまたはネットワークゾーンからの接続を許可します。
    • [In any network zone defined in Okta(Oktaで定義された任意のネットワークゾーン)]:接続の起点がOkta orgで定義されている任意のネットワークゾーンである場合に接続を許可します。
    • [In any of the following zones(次のいずれかのゾーン)]:接続の起点が管理者によって指定されたネットワークゾーンである場合に接続を許可します。選択するネットワークゾーンの名前と一致するテキストを入力します。Oktaは、入力内容と一致する結果を表示します。名前を選択します。さらにネットワークゾーンを追加するには、この手順を繰り返します。
    • [Not in any network zone defined in Okta(Oktaで定義されたネットワークゾーンのいずれにも含まれない)]:接続の起点がOkta orgで定義されている任意のネットワークゾーンでない場合に接続を許可します。
    • [Not in any of the following zones(次のゾーンのいずれにも含まれない)]:接続の起点が管理者によって指定されたネットワークゾーンでない場合に接続を許可します。選択するネットワークゾーンの名前と一致するテキストを入力します。Oktaは、入力内容と一致する結果を表示します。名前を選択します。さらにネットワークゾーンを追加するには、この手順を繰り返します。
    • SSWSトークンはIPベースのゾーンでのみ使用できます。[IPゾーンを追加]ページの[Gateway IP addresses(ゲートウェイIPアドレス)]フィールドにそれらのIPゾーンを必ず追加してください。「IPゾーンの評価」を参照してください。
    • SSWSトークンはブロックリストゾーンでは使用できません。「Create zones for IP addresses」を参照してください。

  6. [Save(保存)]をクリックします。

トークン履歴を表示する

トークンが作成された日時、トークンが最後に使用された日時、トークンの有効期限が切れる日時に関する情報を表示できます。

  1. Admin Consoleで、[Security(セキュリティ)][API]に移動します。
  2. [Tokens(トークン)]タブをクリックします。
  3. 履歴を表示するトークンの名前をクリックします。
  4. [履歴]セクションの情報を確認します。

トークンをシステムログで追跡する

システムログには、APIトークンの作成と取り消しに関する情報が含まれています。この操作に関連して表示されるメッセージは、「APIトークンが作成されました」か、「APIトークンが取り消されました」のいずれかです。Okta APIを介してのみアクセス可能なシステムログv1では、これらのイベントのカテゴリーはトークンライフサイクルです。

トークンの作成者がトークンを取り消した場合、アクターとターゲットに同じ情報が含まれます。

トークンを作成していない管理者がそのトークンを取り消した場合、アクターとターゲットには異なる情報が含まれます。

関連項目

API Access Management

信頼済みオリジンを構成する