個人用アクセス トークンを使用する

パーソナル アクセス トークン (PAT) を使用すると、スクリプトの使用および、外部アプリとアトラシアン アプリの連携を安全に行うことができます。外部システムが侵害された場合、トークンを取り消すだけで済みます。パスワードを変更して、すべてのスクリプトや連携にその変更を反映する必要はありません。

個人アクセス トークンは、ユーザー名とパスワードの使用に代わる、複数のサービスの認証を安全に行う方法です。 

はじめる前に

次のアトラシアン アプリの Data Center およびサーバー エディションで、パーソナル アクセス トークンを作成して使用できます。 

• Jira Core 8.14 以降
• Jira Software 8.14 以降
• Jira Service Management 4.15 以降
• Confluence 7.9 以降 

個人アクセス トークンの管理者ビューは、これらのアプリケーションの Data Center バージョンで使用できます。 

アプリケーションでの PAT の作成

すべてのユーザーは、各自の現在の権限レベルと一致する独自の PAT を作成できます。新しいトークンを作成するには、次の手順に従います。

1. アトラシアン アプリで、次の項目に移動します。
   
   • Confluence では、画面右上の自分のプロファイル画像を選択してから、[設定] > [個人用アクセス トークン] の順に選択します。
   • Jira では、画面右上の自分のプロファイル画像を選択してから、[プロファイル] を選択します。プロファイルにアクセスしたら、左側のメニューで [個人用アクセス トークン] を選択します。
2. [Create token (トークンを作成)] を選択します。
3. 新しいトークンに名前を付けます。

4. オプションで、セキュリティ上の理由から、設定した日数が経過すると自動的に失効するようにトークンを設定できます。 

   EXPIRES SOON ステータスは、実際の有効期限日の 5 日前に表示されます。トークンが失効すると、再度アクティブ化することはできません。新しいトークンを作成する必要があります。

5. [作成] を選択します。

個人用アクセス トークンが作成されます。トークンをコピーし、安全なスペースに保存します。

REST API を使用した PAT の作成

To create the PAT using REST API, you can send a POST HTTP request as exemplified below, and in response, you'll receive the PAT. Please note that you cannot create PATs on behalf of someone else.
Be sure to replace the {{baseUrlOfYourInstance}} with the actual URL for your Jira/Confluence instance.

{{baseUrlOfYourInstance}}/rest/pat/latest/tokens

{
    "name": "tokenName",
    "expirationDuration": 90
}

REST エンドポイントを使用して PAT を作成するには、必ずリクエストで自分自身を認証する必要があります。これによって、PAT を作成する資格があるかどうか、および PAT をどのユーザーに関連付けるかを Jira で確認できるようになります。

• curl を使用して認証を含むリクエストを行う方法の例:

curl -X POST {{baseUrlOfYourInstance}}/rest/pat/latest/tokens -H "Content-Type: application/json" -d '{"name": "tokenName","expirationDuration": 90}' --user "username:password"

curl -X POST {{baseUrlOfYourInstance}}/rest/pat/latest/tokens -H "Authorization: Bearer <Token>" -H "Content-Type: application/json" -d '{"name": "tokenName","expirationDuration": 90}'

PAT の使用

認証に個人用アクセス トークンを使用するには、REST API コールの Authorization ヘッダーでベアラ トークンとして渡す必要があります。

cURL を使用して、ベアラ トークンで REST API を呼び出す例を次に示します。

curl -H "Authorization: Bearer <yourToken>" https://{baseUrlOfYourInstance}/rest/api/content

重要な注意事項:

• {{baseUrlOfYourInstance}} タグは例です。Jira/Confluence インスタンスの実際の URL に置き換えてください。
  
• /rest/api/content エンドポイントは有効なものではありません。1 つの例とお考えください。Jira および Confluence の REST API エンドポイントの一覧については、それぞれ Jira Server プラットフォームの REST API リファレンスおよび Confluence Server プラットフォームの REST API リファレンスの各ページをご覧ください。
• PAT 認証では、<yourToken> のみを実際の PAT に置き換えます。「Bearer」の部分は変更しないでください。また、どのユーザーがリクエストを行っているかを知らせる必要もありません。
• スクリプトやその他の方法で PAT を使用する場合は引き続き、ベアラー トークンの OAuth 標準に従う必要があります。

PAT の取り消し

セキュリティ侵害など、何かしらの理由でトークンを取り消す必要がある場合は、Atlassian アプリケーションからすばやく実行できます。 

1. アトラシアン アプリで、次の項目に移動します。
   
   • Jira では、画面右上の自分のプロファイル画像を選択してから、[個人用アクセス トークン] を選択します。
   • Confluence では、画面右上の自分のプロファイル画像を選択してから、[設定] > [個人用アクセス トークン] の順に選択します。
2. 削除する添付ファイルの横の [Revoke (無効化)] を選択します。
3. 選択を確認します。 

トークンは無効化され、認証には使用できなくなりました。 

トークンの作成を制限する

管理者はシステム プロパティを使用してユーザーが作成できるトークンの数を制限し、失効ルールを設定できます。 

 アプリケーションでのシステム プロパティの適用方法を確認するには、次の手順に従います。

• Jira については「開始時にプロパティおよびオプションを設定する」をご参照ください。
• Confluence については、「システム プロパティを設定する」を参照してください。

個人用アクセス トークンを管理する  

Data Center アプリケーションでは、管理者はサイトで作成されたすべてのトークンのリストを表示し、任意のトークンを無効化できます。

個人用アクセス トークンを管理するには、次の手順を実行します。

1. アトラシアン アプリで、次の項目に移動します。
   • Jira で > [システム] > [個人用アクセス トークンの管理] を選択します。
   • Confluence で、 > [ユーザーとセキュリティ] > [個人用アクセス トークンの管理] を選択します。

このビューでは、作成者、作成日、有効期限、トークンが最後に認証に使用された日時でトークンをフィルタリングできます。管理者はトークンを個別に無効化し、複数のトークンを一括で削除できます。一括で無効化するには、無効化するトークンを選択し、[Bulk revoke (一括無効化)] をクリックします。