承認済みの API 接続を行う際の認証には、API トークンを使用します。API トークンは、以前は OAuth リフレッシュ トークンと呼ばれていたもので、アクセス トークンと交換され、組織ごとにアクセスを許可します。API トークンは、Cloud Services Console のアカウント ページで、または VMware Cloud Services を使用して生成します。

トークンは、英数字を使用する特殊なアルゴリズムを使用して生成されます。各トークンは 65 文字による一意の組み合わせです。トークンを生成するときは、トークンの期間と範囲を決定します。
  • トークンの有効期間 (TTL) は、数分から数か月の範囲、または無期限に設定できます。デフォルトの期間は 6 か月です。
  • スコープによって、トークンがアクセスできる組織内の領域(具体的には、組織内のロール、およびサービスと権限レベル)を制御できます。

前提条件

API トークンを保存するための安全で保護されたストレージの場所を確保します。

手順

  1. Cloud Services Console ツールバーで、ユーザー名をクリックし、[マイ アカウント] > [API トークン] の順に選択します。
  2. [新しい API トークンの生成] リンクをクリックします。
  3. トークンの名前を入力します。
  4. トークンに必要とされる有効期限を指定します。
    注: 期限のないトークンは、侵害された場合にセキュリティ リスクになる可能性があります。そのような場合は、トークンを取り消す必要があります。
  5. トークンのスコープを定義します。ユーザー アカウントでサポートされているロールに基づいて選択を行う必要があります。
    スコープ 説明
    組織ロール 組織ロールは、組織のリソースへのユーザーのアクセスを決定します。
    • API トークンに対して 1 つ以上の組織ロールを選択します。
    サービス ロール サービス ロールは、VMware Cloud services へのアクセス権を付与する、事前定義された権限のセットに組み込まれています。
    • サービス名の横にある矢印アイコンを使用して、そのサービスで使用可能なロールを展開し、API トークンに対して 1 つ以上のサービス ロールを選択します。
    権限 一部のサービスでは、サービス ロールで使用可能な限られた権限のセットを割り当てることで、より詳細に選択を行うことができます。
    • サービス ロールを選択すると、使用可能な権限がテーブルの右側に表示されます。API トークンに関連するサービス権限を選択します。
    必要に応じて、 [すべてのロール] を選択し、トークンによるすべての組織およびサービス ロールへのアクセスを許可できます。
    注: トークンに [すべてのロール] アクセス権を割り当てても、ユーザー アカウントでサポートされるアクセス ロールのみが付与されます。保有している組織ロールとサービス ロールを表示するには、 [マイ アカウント] ページで [マイ ロール] タブを選択します。
  6. (オプション)[OpenID] チェック ボックスを選択すると、ユーザーの広範囲な詳細を含む OpenID 準拠トークンを取得できます。
  7. (オプション)トークンの有効期限が近付いたときにリマインダを受信するように E メールを設定します。
  8. [生成] をクリックします。
  9. 後で取得して使用できるように、トークンの認証情報を安全な場所に保存します。
    セキュリティ上の理由から、トークンの生成後は、トークンの認証情報ではなく、トークンの名前のみが [API トークン] ページに表示されます。つまり、このページから認証情報をコピーしてトークンを再利用することはできなくなります。
  10. [続行] をクリックします。
    API トークンのほかに、OAuth アプリケーションを使用してアプリケーションを認証することもできます。API トークンの代わりに OAuth アプリケーションの使用が必要になる場合を確認するには、 OAuth アプリと API の違いを参照してください。

例: API トークンを使用した VMware Cloud Services API の使用

API トークンを使用すると、認証トークンと交換して API を使用することができます。
  1. API トークンを生成します。
  2. https://console.cloud.vmware.com/csp/gateway/am/api/auth/api-tokens/authorizePOST を実行します。
  3. ヘッダーに、次のリクエストを含めます。
    • accept: application/json
    • content type: application/x-www-form-urlencoded/
  4. 本文に、refresh_token={token value} リクエストを含めます。
  5. スクリプトの HTTP 呼び出しの csp-auth-token ヘッダーにある認証トークンを使用します。