API トークンを作成する

お客様の API トークンに関連付けられている権限と、アカウントに関連付けられているAbsolute 製品ライセンスに応じて、一部の API リソースが利用できない場合があります。

API トークンは Secure Endpoint Console で作成されます。デフォルトで、トークンは指定のユーザー役割と同じ権限を持ちます。つまり、お客様が Secure Endpoint Console の特定の機能にアクセスできる場合、お客様が作成したトークンは API で同等のアクセス権を持つことになります。

トークンの作成時に、お客様のユーザーアカウントに 1 つ以上のデバイスグループが割り当てられている場合、トークンはそのデバイスグループに割り当てられます。将来、お客様のユーザーアカウントのデバイスグループの割り当てが更新された場合、トークンは更新されません。トークンは元のデバイスグループに割り当てられたままとなります。

権限

トークンの作成時に、トークンの権限を変更できます。お客様のユーザー役割にない権限をトークンに割り当てることはできませんが、権限を削除することはできます。セキュリティを高めるため、API トークンの権限はその用途に必要な最低限に制限してください。トークンが一度作成されると、その権限は変更できません。

API 呼出しに必要な権限のみを API トークンに追加できます。

権限の要件

API でエンドポイントを使用するため、トークンには通常、お客様のユーザー役割がコンソールで操作を実行するために必要なものと同じ機能権限が必要になります。例えば、GET /レポート/デバイスエンドポイントを使用して基本的なデバイス情報を返すには、トークンにはデバイスフィールドとデバイスレポートの両方を表示する権限が必要です。返すパラメーターによっては、トークンにさらなる権限が必要な場合もあります。各機能で必要な特定の権限については、Absolute API のマニュアルを参照してください。

暗号化

非対称暗号化をサポートするトークンを作成するには、まず楕円曲線の公開鍵および私有鍵のペアを Secure Endpoint Console の外で生成する必要があります。鍵が生成されたら、コンソールに公開鍵をアップロードします。

対称暗号化をサポートするトークンを作成するには、コンソールを使用してトークン ID と秘密鍵を生成します。

非対称暗号化を使用するには、ECDSA-SHA256 公開鍵および私有鍵のペアを、OpenSSL コマンドラインツールを使用して生成する必要があります。公開鍵と私有鍵のペアは、prime256v1 曲線を使用して生成されます。ECDSA の詳細については、RFC 6605 を参照してください。

公開鍵/私有鍵のペアを作成するには:

  1. 以下のコマンドを実行して、楕円曲線 (EC256) 私有鍵を生成します。

    コピーする 
    openssl ecparam -genkey -name prime256v1 -out ec256-key-pair.pem

  2. 以下のコマンドを実行して、EC256 私有鍵を PKCS#8 PEM 形式に変換します。

    コピーする 
    openssl pkcs8 -topk8 -inform pem -in ec256-key-pair.pem -outform pem -nocrypt -out privateKey.pem

  3. 以下のコマンドを実行して、EC256 公開鍵を生成します。

    コピーする 
    openssl ec -in ec256-key-pair.pem -pubout -out publicKey.pem

以下のファイルが OpenSSL /bin フォルダーに作成されます:

  • ec256-key-pair.pem: 楕円曲線パラメーターと私有鍵。

    EC 私有鍵は必ず安全に保管してください。パスワードに相当する重要なデータです。誰とも共有しないでください。
    コピーする 
    -----BEGIN EC PARAMETERS----- BggqhOPExample== -----END EC PARAMETERS----- -----BEGIN EC PRIVATE KEY----- MHcCAQEEIM+oHeLG0rhP8lPYW4IWky0de8ayDgM+mCWfWmH/zCZEoAoGCCqGSM49 AwEHoUQDQgAEs1gtNZG++HYIi7hLiXpM74OIbkF+lTYPowrgRzVXT+uENXVGbBcb wc0nsh0r86jK+84j+tECKeyPairExample== -----END EC PRIVATE KEY-----

  • privateKey.pem: PKCS#8 PEM 形式の EC256 私有鍵

    私有鍵は必ず安全に保管してください。パスワードに相当する重要なデータです。誰とも共有しないでください。
    コピーする 
    -----BEGIN PRIVATE KEY----- ABcDEFGHICPJqF12Zd7Y2xUabq34odtrqTI3W7EWJwRTvF7ewETXoAoGCCqGSM 49AwEHoUQDQgAER5wRCKw7wCTjaQ7/FTmMRFhl3+Rg4a29qkrL0QsxOIc6Ae/n WYU3CifATMvHBxcCQ+B8U6PrivateKeyExample== -----END PRIVATE KEY-----

  • publicKey.pem: Secure Endpoint Console にアップロードする EC256 公開鍵
    コピーする 
    -----BEGIN PUBLIC KEY----- ABcdEfGHIoZIzj0CAQYIKoZIzj0DAQcDQgAEEVs/o5+uQbTjL3chynL4wXgUg2R9 q9UU8I5mEovUf86QZ7kOBIjJwqnzD1omagedT9POxgPublicKeyExample== -----END PUBLIC KEY-----

Absolute API にアクセスするには、API トークンを作成する必要があります。

API トークンを作成するには:

  1. API 資格情報を管理する権限を持つユーザーとして、Secure Endpoint Console へログインします。
  2. ナビゲーションバーで 設定 > API 管理をクリックします。
  3. API トークンを作成をクリックします。
  4. タイトルを追加で、トークンに名前を付けます。
  5. [オプション] トークンを識別しやすくするには、タイトルの下のフィールドをクリックし、このリクエストの説明を入力します。

  6. 以下の1つを実行します:

    1. 公開鍵をアップロードを選択します。

    2. 楕円曲線鍵を作成するで生成した公開鍵を入力します。最初の -----BEGIN PUBLIC KEY----- および最後の -----END PUBLIC KEY----- 行は任意です。

      以下に、開始および終了タグを含む公開鍵の例を示します。

      コピーする 
      -----BEGIN PUBLIC KEY----- ABcdEfGHIoZIzj0CAQYIKoZIzj0DAQcDQgAEEVs/o5+uQbTjL3chynL4wXgUg2R9 q9UU8I5mEovUf86QZ7kOBIjJwqnzD1omagedT9POxgPublicKeyExample== -----END PUBLIC KEY-----

    3. [オプション] プログラムによるトークンのローテーションを許可チェックボックスを選択し、Absolute API を介したトークンの廃止および置き換えを有効にします。

      プログラムによるトークンのローテーションでは、トークンの API 資格情報権限で「管理」オプションを選択する必要があります。

      この機能を有効にすると、トークンのライフサイクルをプログラムにより管理できます。適切な API エンドポイントを呼出してトークンを破棄し、必要に応じて新しいトークンを生成することで、コンソールを通じた手作業の介入の必要性がなくなります。もっと見る

    • トークンを生成を選択します。

  7. 有効期限の日付フィールドをクリックし、以下のいずれかを実行して、有効期限を少なくとも明日以降に設定します。

    • 日付を「年年年年-月月-日日」形式で入力する
    • カレンダーピッカーを使用して日付を選択する
    • 事前定義された有効期限範囲のいずれかを選択する

    有効期限を設定しない場合、有効期限はデフォルトで 90 日となります。

  8. トークンの権限を変更するには、追加したい権限ごとに、表示管理、およびその他のアクションを選択します。トークンの権限を変削除するには、削除したい権限ごとに、表示管理、およびその他のアクションを選択します。権限の管理を選択すると、表示は自動的に選択されます。権限を変更しない場合、トークンは指定のユーザー役割と同じ権限を持ちます。

    トークンが一度作成されると、その権限は変更できません。

    ユーザー役割に割り当てられているすべての権限を含めるには、権限セクションの下部までスクロールし、すべて選択をクリックします。すべての権限を削除するには、すべて消去をクリックします。

    割り当てられたデバイスグループは、ユーザーアカウントに基づくもので、編集はできません。割り当てられたデバイスグループが今後変更された場合でも、API トークンは更新されません。

  9. [オプション] API へのアクセスを許可する IP アドレスを入力します。単一および CIDR 形式の IPv4 および IPv6 IP アドレスの両方を使用できます。IP アドレスを入力しない場合、API は任意の IP アドレスからアクセスできます。承認された IP アドレスは、作成後にトークンに追加することができます。

    1. 以下のいずれかを入力するか、コピーして承認済み IP アドレスに貼り付けます。

      • 個別の IP アドレス
      • スペース ( )、コンマ (,)、セミコロン (;)、または改行で区切った IP アドレスのリスト

    2. 追加をクリックするか、Enter を押下します。

      IP アドレスが入力フィールドの下にリストアップされます。各 IP アドレスに対して、検証が実行されます。検証に失敗した場合、無効な IP アドレスと表示されます。以下の1つを実行します:

      • IP アドレスを削除するには、 をクリックします。
      • IP アドレスを編集するには、IP アドレスをクリックし、変更を行ってから、Tab を押すか IP アドレスをクリックします。更新された IP アドレスに対して、検証が実行されます。

    重複したエントリーは無視されます。

  10. 保存をクリックします。

    保存をクリックすると、どのフィールドも編集できなくなります。変更を行うには、トークンを編集する必要があります。

  11. トークンキーの詳細セクションから、以下の1つを実行して、トークン情報を取得します。

    • トークン情報をコピーするには

      1. トークン ID フィールドをクリックするか、トークン ID の隣りにあるコピーをクリックして、トークン ID をテキストファイルに貼り付けます。
      2. [生成済みトークンのみ] 秘密鍵フィールドをクリックするか、秘密鍵の隣りにあるコピーをクリックして秘密鍵をテキストファイルに貼り付けます。
      3. ファイルをお使いのパソコン上の場所に保存します。
    • トークン情報をダウンロードするには、トークンをダウンロードをクリックします。トークン ID とその他の詳細情報は、オペレーティングシステムの「ダウンロード」フォルダーの .token ファイルにダウンロードされます (秘密鍵は生成されたトークンにのみ含まれます)。このファイルは、Notepad などのテキストエディタを使用して開くことができます。

    生成済みトークンの秘密鍵をダウンロードまたはコピーすることなくこのダイアログを閉じた場合、この情報を後で取得することはできません。この時点で秘密鍵を記録または保存しないと、このトークンを削除して新しく作り直さなければならなくなります。

  12. トークン情報をキャプチャしたら、 (閉じる) をクリックします。

API 管理ページで、新しいトークンがトークンのリストに追加されます。「API トークンが更新されました」イベントがイベント履歴に記録されます。トークンを作成したユーザー、およびデフォルトのシステム管理者役割が割り当てられたすべてのユーザーに、新しい API トークンが作成されたことを伝えるメールが送信されます。

私有鍵と秘密鍵は必ず安全に保管してください。パスワードに相当する重要なデータです。誰とも共有しないでください。

新しく作成したトークンには有効期限を設定する必要があります。デフォルトの有効期限はトークンの作成日から 90 日です。有効期限は作成日から最大 1 年間に設定することができます。トークンは、有効期限の 23:59:59 (UTC) まで使用し続けることができます。

有効期限の 3 日前に、トークンに関連付けられているユーザーおよびデフォルトのシステム管理者役割が割り当てられたすべてのユーザーにメールが送信されます。トークンが期限切れとなる前に、トークンの有効期限を延長することができます (トークンの編集日から最大 1 年先まで)。

トークンが期限切れとなると、トークンに関連付けられたユーザー、およびデフォルトのシステム管理者役割が割り当てられたすべてのユーザーに、2 回目のメールが送信されます。API トークンが期限切れになりましたイベントがイベント履歴に記録されます。期限切れのトークンは、Secure Endpoint Console で確認できます。期限切れのトークンは API 管理で期限切れのラベルが付けられ、編集できなくなります。

プログラムによるトークンのローテーションでは、Absolute コンソールでの手動介入なしで、API トークンが期限切れとなる前に交換することができます。トークン設定でこのオプションを有効にすると、統合スクリプトまたは直接 API 呼出しを使用して、Absolute API 経由でトークンのライフサイクルをプログラムにより管理することができます。期限切れとなったトークンはローテーションによりただちに無効化され、新しいトークンは同じ権限と設定を引継ぎます。プログラムによるトークンのローテーションは、高度なセキュリティを維持しながら、統合の中断を防ぐことに役立ちます。

ここでは、この機能の大まかな仕組みを説明します。

  • プログラムによるトークンのローテーションは、トークンを作成した時点で、トークンの設定で有効にする必要があります。ローテーションが有効なトークンには、API 管理ページで アイコンが付きます。

    ES256 (非対称) トークンのみがプログラムによるトークンのローテーションをサポートします。

  • トークンのローテーションは自動ではありません。Absolute API 経由で、POST /v3/configurations/tokens/{tokenID}/rotate エンドポイントを使用してトリガーする必要があります。ペイロードには新しい公開鍵と署名が含まれる必要があります。

  • API コールによってローテーションプロセスがトリガーされると、既存のトークンはただちに廃止され、API 管理ページで置き換え済みというラベルが付きます。

  • 廃止されたトークンと同じ名前、権限、設定を持つ新しいトークンが作成されます。新しいトークンのライフスパンは元のトークンの期間と一致しますが、ローテーション日から 365 日以上とすることはできません。新しいトークンの開始日は、API 呼出しがローテーションプロセスを正常にトリガーした日付です。

    ローテーション経由で作成されたトークンは、24 時間は再びローテーションすることができません。

  • API トークンが作成されました」イベントがイベント履歴に記録され、トークンに関連付けられたユーザー、およびデフォルトのシステム管理者役割が割り当てられたすべてのユーザーに、トークンのローテーションを知らせる通知がメールで送信されます。

トークンのローテーションのために必要なエンドポイントを使用する方法については、Absolute API マニュアルを参照してください。