承認済みの API 接続を行う際の認証には、API トークンを使用します。API トークンは、以前は OAuth リフレッシュ トークンと呼ばれていたもので、アクセス トークンと交換され、組織ごとにアクセスを許可します。API トークンは、Cloud Services コンソール のアカウント ページで、または VMware Cloud Services を使用して生成します。
トークンは、英数字を使用する特殊なアルゴリズムを使用して生成されます。各トークンは 65 文字による一意の組み合わせです。トークンを生成するときは、トークンの期間と範囲を決定します。
- トークンの有効期間 (TTL) は、数分から数か月の範囲、または無期限に設定できます。デフォルトの期間は 6 か月です。
- スコープによって、トークンがアクセスできる組織内の領域(具体的には、組織内のロール、およびサービスと権限レベル)を制御できます。
前提条件
API トークンを保存するための安全で保護されたストレージの場所を確保します。
手順
- Cloud Services コンソール ツールバーで、ユーザー名をクリックし、 の順に選択します。
- [新しい API トークンの生成] リンクをクリックします。
- トークンの名前を入力します。
- トークンに必要とされる有効期限を指定します。
注: 期限のないトークンは、侵害された場合にセキュリティ リスクになる可能性があります。そのような場合は、トークンを取り消す必要があります。
- トークンのスコープを定義します。ユーザー アカウントでサポートされているロールに基づいて選択を行う必要があります。
| スコープ |
説明 |
| 組織ロール |
組織ロールは、組織のリソースへのユーザーのアクセスを決定します。
- API トークンに対して 1 つ以上の組織ロールを選択します。
|
| サービス ロール |
サービス ロールは、VMware Cloud services へのアクセス権を付与する、事前定義された権限のセットに組み込まれています。
- サービス名の横にある矢印アイコンを使用して、そのサービスで使用可能なロールを展開し、API トークンに対して 1 つ以上のサービス ロールを選択します。
|
| 権限 |
一部のサービスでは、サービス ロールで使用可能な限られた権限のセットを割り当てることで、より詳細に選択を行うことができます。
- サービス ロールを選択すると、使用可能な権限がテーブルの右側に表示されます。API トークンに関連するサービス権限を選択します。
|
必要に応じて、
[すべてのロール] を選択し、トークンによるすべての組織およびサービス ロールへのアクセスを許可できます。
注: トークンに
[すべてのロール] アクセス権を割り当てても、ユーザー アカウントでサポートされるアクセス ロールのみが付与されます。保有している組織ロールとサービス ロールを表示するには、
[マイ アカウント] ページで
[マイ ロール] タブを選択します。
- (オプション)[OpenID] チェック ボックスを選択すると、ユーザーの広範囲な詳細を含む OpenID 準拠トークンを取得できます。
- (オプション)トークンの有効期限が近付いたときにリマインダを受信するように E メールを設定します。
- [生成] をクリックします。
- 後で取得して使用できるように、トークンの認証情報を安全な場所に保存します。
セキュリティ上の理由から、トークンの生成後は、トークンの認証情報ではなく、トークンの名前のみが [API トークン] ページに表示されます。つまり、このページから認証情報をコピーしてトークンを再利用することはできなくなります。
- [続行] をクリックします。
API トークンのほかに、OAuth アプリケーションを使用してアプリケーションを認証することもできます。API トークンの代わりに OAuth アプリケーションの使用が必要になる場合を確認するには、
OAuth アプリと API の違いを参照してください。
例: API トークンを使用した VMware Cloud Services API の使用
