パーソナル アクセス トークンを使用する
パーソナル アクセス トークン (PAT) を使用して、スクリプトを安全に使用し、外部アプリケーションと Atlassian アプリケーションを連携できます。外部システムが侵害された場合、トークンを取り消すだけで済みます。パスワードを変更し、すべてのスクリプトや連携に変更を反映する必要はありません。
個人アクセス トークンは、ユーザー名とパスワードの使用に代わる、複数のサービスの認証を安全に行う方法です。
このページでは、Jira および Confluence でパーソナル アクセス トークンを作成する方法について説明します。
他の Atlassian 製品におけるパーソナル アクセス トークンに関する詳細については、以下を参照してください。
はじめる前に
次の Atlassian アプリケーションの Data Center およびサーバー エディションで、パーソナル アクセス トークンを作成して使用できます。
- Jira Core 8.14 以降
- Jira Software 8.14 以降
- Jira Service Management 4.15 以降
- Confluence 7.9 以降
個人アクセス トークンの管理者ビューは、これらのアプリケーションの Data Center バージョンで使用できます。
On this page:
アプリケーションでの PAT の作成
すべてのユーザーは、各自の現在の権限レベルと一致する独自の PAT を作成できます。新しいトークンを作成するには、次の手順に従います。
- Atlassian アプリケーションで、次の項目に移動します。
- Confluence では、画面右上の自分のプロファイル画像を選択してから、[設定] > [パーソナル アクセス トークン] の順に選択します。
- Jira では、画面右上の自分のプロファイル画像 > [プロファイル] の順に選択します。プロファイルにアクセスしたら、左側のメニューで [パーソナル アクセス トークン] を選択します。
- [Create token (トークンを作成)] を選択します。
- 新しいトークンに名前を付けます。
オプションで、セキュリティ上の理由から、設定した日数が経過すると自動的に失効するようにトークンを設定できます。
EXPIRES SOON ステータスは、実際の有効期限日の 5 日前に表示されます。トークンが失効すると、再度アクティブ化することはできません。新しいトークンを作成する必要があります。
[Create] をクリックします。
パーソナル アクセス トークンが作成されます。トークンをコピーし、安全なスペースに保存します。
REST API を使用した PAT の作成
REST API を使用して PAT を作成するには、以下の例のように POST HTTP リクエストを送信し、その返信として PAT を受け取ります。他のユーザーの代理で PAT を作成することはできません。
必ず「{{baseUrlOfYourInstance}}」を Jira/Confluence インスタンスの実際の URL に置き換えてください。
{{baseUrlOfYourInstance}}/rest/pat/latest/tokens{
"name": "tokenName",
"expirationDuration": 90
}expirationDuration パラメーターでは、トークンが有効となる日数を定義できます。
JSON 本文の expirationDuration はオプションです。
REST エンドポイントを使用して PAT を作成するには、必ずリクエストで自分自身を認証する必要があります。これによって、PAT を作成する資格があるかどうか、および PAT をどのユーザーに関連付けるかを Jira で確認できるようになります。
- curl を使用して認証を含むリクエストを行う方法の例:
curl -X POST {{baseUrlOfYourInstance}}/rest/pat/latest/tokens -H "Content-Type: application/json" -d '{"name": "tokenName","expirationDuration": 90}' --user "username:password"curl -X POST {{baseUrlOfYourInstance}}/rest/pat/latest/tokens -H "Authorization: Bearer <Token>" -H "Content-Type: application/json" -d '{"name": "tokenName","expirationDuration": 90}'PAT の使用
認証にパーソナル アクセス トークンを使用するには、REST API コールの Authorization ヘッダーでベアラ トークンとして渡す必要があります。
cURL を使用して、ベアラ トークンで REST API を呼び出す例を次に示します。
curl -H "Authorization: Bearer <yourToken>" https://{baseUrlOfYourInstance}/rest/api/content 重要な注意事項:
- 「{{baseUrlOfYourInstance}}」タグは例です。Jira/Confluence インスタンスの実際の URL に置き換えてください。
- 「/rest/api/content」エンドポイントは有効なものではありません。1 つの例とお考えください。Jira および Confluence の REST API エンドポイントの一覧については、それぞれ Jira Server プラットフォームの REST API リファレンスおよび Confluence Server プラットフォームの REST API リファレンスの各ページをご覧ください。
- PAT 認証では、「<yourToken>」のみを実際の PAT に置き換えます。「Bearer」の部分は変更しないでください。また、どのユーザーがリクエストを行っているかを知らせる必要もありません。
- スクリプトやその他の方法で PAT を使用する場合は引き続き、ベアラー トークンの OAuth 標準に従う必要があります。
PAT の取り消し
セキュリティ侵害など、何かしらの理由でトークンを取り消す必要がある場合は、Atlassian アプリケーションからすばやく実行できます。
- Atlassian アプリケーションで、次の項目に移動します。
- Jira では、画面右上の自分のプロファイル画像を選択してから、[パーソナル アクセス トークン] を選択します。
- Confluence では、画面右上の自分のプロファイル画像を選択してから、[設定] > [パーソナル アクセス トークン] の順に選択します。
- 削除する添付ファイルの横の [Revoke (無効化)] を選択します。
- 選択を確認します。
トークンは無効化され、認証には使用できなくなりました。
トークンの作成を制限する
管理者はシステム プロパティを使用してユーザーが作成できるトークンの数を制限し、失効ルールを設定できます。
| プロパティ | 既定値 | 説明 |
|---|---|---|
-Datlassian.pats.enabled | true | パーソナル アクセス トークンをグローバルに有効にするかどうか。 |
-Datlassian.pats.eternal.tokens.enabled | true | ユーザーが有効期限のないトークンを作成できる必要がある場合。 |
-Datlassian.pats.mail.notifications.enabled | true | メール通知がグローバルに有効化されているかどうか。 |
-Datlassian.pats.last.used.update.interval.mins | 1 | スケジューラー ジョブが各トークンの「最終アクセス時刻」プロパティを更新する間隔 (分単位)。 |
-Datlassian.pats.pruning.schedule.cron | '0 0 0 * * ?' - 12 AM (現地時間)、毎日 | 期限が切れたトークン削除スケジューラー ジョブの CRON 表現。
|
-Datlassian.pats.pruning.delay.days | 30 | 期限切れトークンがデータベースから削除されるまでの遅延 (日単位)。 |
-Datlassian.pats.max.tokens.expiry.days | 365 | トークンが失効するまでの最大日数。このプロパティを変更した場合、新しい値は変更後に作成されたトークンにのみ適用され、作成済みのトークンには影響しません。 |
-Datlassian.pats.max.tokens.per.user | 10 | 1 ページあたりの許可されたトークンの最大数です。 |
-Datlassian.pats.auth.cache.expiry.mins | 60 | 項目が削除されるまで認証キャッシュに保持できる時間 (分単位)。 |
-Datlassian.pats.auth.cache.max.items | 5000 | 認証キャッシュで許可される項目の最大数。 |
-Datlassian.pats.expiry.check.schedule.cron | '0 0 * * * ?' - 1 時間ごと | 期限が切れたトークンと期限が近いトークンに関する通知を送るスケジューラー ジョブの CRON 表現。
|
-Datlassian.pats.expiry.warning.days | 5 | 期限が近いトークンに関するメール通知を送信する時期。 |
-Datlassian.pats.invalidate.session.enabled | true | パーソナル アクセス トークンを使用して認証に成功した後、セッションを無効にする必要がある場合。 |
-Datlassian.pats.token.name.length | 40 | トークン名に使用される文字数の上限。 |
アプリケーションでのシステム プロパティの適用方法を確認するには、次の手順に従います。
- Jira については「開始時にプロパティおよびオプションを設定する」をご参照ください。
- Confluence については、「システム プロパティを設定する」を参照してください。
パーソナル アクセス トークンを管理する
この機能は Data Center ライセンスを持っている場合に利用できます。
Data Center アプリケーションでは、管理者はサイトで作成されたすべてのトークンのリストを表示し、任意のトークンを無効化できます。
パーソナル アクセス トークンを管理するには、次の手順を実行します。
- Atlassian アプリケーションで、次の項目に移動します。
- Jira で
> [システム] > [パーソナル アクセス トークンの管理] を選択します。 - Confluence で、 > [セキュリティ] > [パーソナル アクセス トークンの管理] を選択します。
- Jira で
このビューでは、作成者、作成日、有効期限、トークンが最後に認証に使用された日時でトークンをフィルタリングできます。管理者はトークンを個別に無効化し、複数のトークンを一括で削除できます。一括で無効化するには、無効化するトークンを選択し、[Bulk revoke (一括無効化)] をクリックします。