# スコープ付きトークン:ベストプラクティス
impact.comを使用すると、 *スコープ付きトークン*を作成できます。スコープ付きトークンとは、きめ細かな権限を持ち、特定のAPIエンドポイントへのアクセスを許可するAPI認証情報です。詳細は [トークンを安全に保つ方法](https://help.impact.com/other/ja/readme/api-access-tokens-and-changelog/keep-your-access-tokens-secure).
#### スコープ付きトークンの利点
より強固なセキュリティ
スコープ付きトークンは必要なものへのアクセスのみを許可するため、認証情報が侵害された場合のリスクを軽減します。
より優れたアクセス制御
各トークンが特定のAPIで実行できる操作に対して、個別の権限を設定できます。
管理の簡素化
特に複数のチームや外部パートナーと連携する場合、トークン管理を効率化できます。
有益な監視
トークンの使用状況を可視化し、APIトラフィックをより正確に把握して、レート制限を効果的に管理できます。
トークン管理の改善
他の連携に影響を与えることなく、トークンを簡単に作成、管理、失効できます。
#### スコープ付きトークン作成のベストプラクティス
スコープ付きトークンを作成する際は、セキュリティ、明確さ、効果的な管理を確保するために、次のベストプラクティスに従ってください。
必要なAPIとメソッドのみを選択する
連携に実際に必要な特定のAPIとHTTPメソッド(GET、POST、PUT、DELETEなど)のみを選択して、スコープを定義します。連携でデータの取得だけが必要な場合は、GETメソッドのみを使用してAPIへのアクセスを許可してください。
最小権限の原則を適用する
常に必要最小限のアクセス権から開始し、絶対に必要な場合にのみ権限を追加してください。連携で明示的に必要とされない限り、POST、PUT、DELETEメソッドを有効にしないでください。
わかりやすい名前と説明を使用する
各トークンに明確で意味のある名前を付け、詳細な説明を含めてください。これにより、チームがトークンの使用状況をより効果的に管理、理解、監査できるようになります。
責任を持つ技術担当者を割り当てる
各トークンに担当の技術連絡先が設定されていることを確認してください。この人物は、APIアクセスや連携パフォーマンスに関する重要な更新、アラート、通知を受け取る責任を負います。
正しいAPIバージョンを選択する
トークンが、連携で使用するように構築されたAPIのバージョンに一致していることを確認してください。これにより互換性を維持し、予期しないエラーを防ぐことができます。
#### スコープ付きトークンを監視および管理する
トークンの使用状況を定期的に確認する
トークンがどのように使用されているかを定期的に確認する習慣をつけましょう。ダッシュボードを設定してトークンのアクティビティを追跡したり、impact.comに使用状況の詳細を問い合わせたりできます。また、連携で頻発するエラーにも注意してください。
過剰なアクセス権を与えない
必要以上の権限を持つトークンは、万が一漏えいすると危険です。これを防ぐには、トークンが許可されている操作と実際に行っている操作を比較してください。不要なアクセス権がある場合は削除してください。
トークンを頻繁にローテーションする
システムの安全性を保つために、トークンの認証情報を定期的に変更してください。数か月ごと、つまり四半期に1回程度の更新を目安にするとよいでしょう。新しいトークンを作成したら、連携が新しいトークンを使用するよう更新してください。
明確な名前と説明を使用する
各トークンに、その用途と所有者を説明する名前と説明を付けてください。使用しているアプリやシステム、その目的、テスト用か本番用かなどの詳細を含めます。また、問題が発生した場合に備えて、各トークンの主担当となるチーム内の担当者を割り当ててください。
使用していないトークンを削除する
古いトークンや未使用のトークンはセキュリティリスクを生む可能性があります。毎月または四半期ごとなど、定期的なクリーンアップを計画してすべてのトークンを見直してください。不要になったトークンは削除または無効化してください。
#### よくある質問
既存の連携に影響はありますか?
いいえ。従来のトークンを使用している既存の連携は引き続き機能します。ただし、セキュリティと管理性を向上させるために、スコープ付きAPIアクセス・トークンへの移行をおすすめします。
レガシートークンとは何ですか?
*レガシートークン* は、それより前に使われていた古い種類のアクセストークンです *スコープ付きトークン*。スコープ付きトークンは、2025年5月以降にimpact.comで利用可能になりました。
トークンを安全に保つためのベストプラクティスは何ですか?
詳細はこちら: [アクセス・トークンを安全に保つ方法](https://help.impact.com/other/ja/readme/api-access-tokens-and-changelog/keep-your-access-tokens-secure).
スコープ付きトークンはいくつ作成できますか?
各アカウントでアクティブなスコープ付きトークンは最大20個まで作成できます。トークンは必要に応じて無効化または削除できます。
トークンを無効化するとどうなりますか?
無効化されたトークンはアクセスを拒否され、403の「アクセス拒否」応答が返されます。これにより、トークンを削除せずに一時停止できます。
削除したトークンは復元できますか?
いいえ。削除機能はアクセス・トークンと割り当てられていた権限を完全に削除します。誤って削除した場合は、新しいトークンを作成してスコープを選択できます。既存の連携は、新しいアクセス・トークンの認証情報を使用するよう更新する必要があります。
スコープ付きトークンにレート制限は適用されますか?
はい、スコープ付きアクセス・トークンは、すでに設定されているアカウントレベルのレート制限の一部を形成します。
スコープ付きトークンはどの認証方式をサポートしていますか?
当社のスコープ付きアクセス・トークンは、基本認証のみをサポートしています。
無効なトークンを使ってAPIにアクセスするとどうなりますか?
有効なスコープ付きアクセス・トークンなしでAPIにリクエストすると、403の「アクセス拒否」応答が表示されます。
