スコープ付きトークン：ベストプラクティス

スコープ付きトークンは必要なものへのアクセスのみを許可するため、認証情報が侵害された場合のリスクを軽減します。

各トークンが特定のAPIで実行できる操作に対して、個別の権限を設定できます。

特に複数のチームや外部パートナーと連携する場合、トークン管理を効率化できます。

トークンの使用状況を可視化し、APIトラフィックをより正確に把握して、レート制限を効果的に管理できます。

他の連携に影響を与えることなく、トークンを簡単に作成、管理、失効できます。

連携に実際に必要な特定のAPIとHTTPメソッド（GET、POST、PUT、DELETEなど）のみを選択して、スコープを定義します。連携でデータの取得だけが必要な場合は、GETメソッドのみを使用してAPIへのアクセスを許可してください。

常に必要最小限のアクセス権から開始し、絶対に必要な場合にのみ権限を追加してください。連携で明示的に必要とされない限り、POST、PUT、DELETEメソッドを有効にしないでください。

各トークンに明確で意味のある名前を付け、詳細な説明を含めてください。これにより、チームがトークンの使用状況をより効果的に管理、理解、監査できるようになります。

各トークンに担当の技術連絡先が設定されていることを確認してください。この人物は、APIアクセスや連携パフォーマンスに関する重要な更新、アラート、通知を受け取る責任を負います。

トークンが、連携で使用するように構築されたAPIのバージョンに一致していることを確認してください。これにより互換性を維持し、予期しないエラーを防ぐことができます。

トークンがどのように使用されているかを定期的に確認する習慣をつけましょう。ダッシュボードを設定してトークンのアクティビティを追跡したり、impact.comに使用状況の詳細を問い合わせたりできます。また、連携で頻発するエラーにも注意してください。

必要以上の権限を持つトークンは、万が一漏えいすると危険です。これを防ぐには、トークンが許可されている操作と実際に行っている操作を比較してください。不要なアクセス権がある場合は削除してください。

システムの安全性を保つために、トークンの認証情報を定期的に変更してください。数か月ごと、つまり四半期に1回程度の更新を目安にするとよいでしょう。新しいトークンを作成したら、連携が新しいトークンを使用するよう更新してください。

各トークンに、その用途と所有者を説明する名前と説明を付けてください。使用しているアプリやシステム、その目的、テスト用か本番用かなどの詳細を含めます。また、問題が発生した場合に備えて、各トークンの主担当となるチーム内の担当者を割り当ててください。

古いトークンや未使用のトークンはセキュリティリスクを生む可能性があります。毎月または四半期ごとなど、定期的なクリーンアップを計画してすべてのトークンを見直してください。不要になったトークンは削除または無効化してください。

いいえ。従来のトークンを使用している既存の連携は引き続き機能します。ただし、セキュリティと管理性を向上させるために、スコープ付きAPIアクセス・トークンへの移行をおすすめします。

レガシートークン は、それより前に使われていた古い種類のアクセストークンです スコープ付きトークン。スコープ付きトークンは、2025年5月以降にimpact.comで利用可能になりました。

詳細はこちら： アクセス・トークンを安全に保つ方法.

各アカウントでアクティブなスコープ付きトークンは最大20個まで作成できます。トークンは必要に応じて無効化または削除できます。

無効化されたトークンはアクセスを拒否され、403の「アクセス拒否」応答が返されます。これにより、トークンを削除せずに一時停止できます。

いいえ。削除機能はアクセス・トークンと割り当てられていた権限を完全に削除します。誤って削除した場合は、新しいトークンを作成してスコープを選択できます。既存の連携は、新しいアクセス・トークンの認証情報を使用するよう更新する必要があります。

はい、スコープ付きアクセス・トークンは、すでに設定されているアカウントレベルのレート制限の一部を形成します。

当社のスコープ付きアクセス・トークンは、基本認証のみをサポートしています。

有効なスコープ付きアクセス・トークンなしでAPIにリクエストすると、403の「アクセス拒否」応答が表示されます。