Authorization Tokens
認証トークン(Authorization Tokens)
最終更新日:2025年1月8日
対象:すべてのMindTouchバージョン
概要
CXone Expert では、APIアクセスと認証のために複数種類のトークンを使用します。
トークンの属性(Token Attributes)
-
すべてのトークンはサイト単位でスコープが限定され、一意である
-
単一の文字列値または複数の値(例:キー/シークレットペア)で構成される
-
トークン文字列は最大255文字まで
サポートされるトークンの種類(Supported Tokens)
| トークンの種類 | 説明 |
|---|---|
| Auth Token | サイト上の認証済みユーザーを表す |
| Browser API Token | ブラウザ統合用(信頼済みドメインからのAPI呼び出し) |
| Server API Token | サーバーアプリケーションなどからAPIを呼び出すため |
| OAuth API Token | 外部サービスがユーザーの許可のもとでAPIを利用するため |
Auth Token(認証トークン)
-
サイトにログイン後、ユーザーのWebブラウザにHTTP Cookieとしてセットされる
-
トークンはサイトによって生成され、改ざん防止のため暗号署名されている
Browser API Token(ブラウザAPIトークン)
-
JavaScriptなどブラウザ上で動作するアプリケーションからAPIにアクセスするためのトークン
-
通常、ブラウザはクロスドメイン通信を制限するが、CORS(Cross Origin Resource Sharing) を活用することで信頼された外部サイトからのアクセスが可能になる
-
同一ドメイン内のJavaScriptからのAPI呼び出しにも利用可能
-
トークン自体にはアクセス制御(パーミッション)はなく、 ブラウザセッション中の
authtokenCookie によって操作権限が決定される -
ログインしていない状態では匿名ユーザーとして扱われる
Server API Token(サーバーAPIトークン)
-
サーバーアプリケーション、IoTデバイス、ボットなどがHTTPS経由でAPIを呼び出すために使用
-
実装例:C#、Java、Node.js、Python、Go、PHP
-
キーとシークレットで署名されたリクエストを送信することで、正当性を検証
-
シークレットキーは厳重に保管し、平文で送信してはならない
OAuth API Token(OAuth認証トークン)
-
サーバートークンのように強力な権限を与える必要がない場合に使用
-
例:外部の第三者サービスが、特定のユーザーの許可を得てデータアクセスするケース
-
OAuth 2.0認証フローにより、ユーザーが許可した操作(例:読み取り/書き込み)のみ実行可能
-
安全に外部開発者へ提供可能であり、サイト管理者権限の委譲を避けられる
IDトークン交換(Identity Token Exchange)
-
信頼できるIDプロバイダに基づいて、IDトークンをセッションに交換可能
-
ユーザーがExpertに未登録の場合でも、Just-in-timeプロビジョニングにより自動登録される
-
設定方法や技術仕様の詳細は別途参照
レガシートークン(Legacy Tokens)
これらは非推奨となった旧式のトークンです。使用は推奨されていません。
| 種類 | 説明 |
|---|---|
| Impersonation Auth Token | カスタムSSOの旧形式で使用されたトークン。任意のユーザーとしてログイン処理ができた |
| Site API Key | APIアクセス権限を拡張するための秘密鍵(セキュリティリスクあり) |
問題点
-
セキュリティが脆弱:キーがHTTPヘッダーやURLクエリで送信されるため、漏洩リスクが高い
-
Impersonation Tokenは、任意ユーザーになりすます手段として悪用され得る
ご希望であれば、各トークンの使い分けやセキュリティ運用方針のガイドも日本語で補足可能です。次に進める準備ができましたら、お知らせください。