ホーム > ドキュメント > 資格情報

資格情報

重要な資格情報

奉行クラウド API を利用するには、お客様が利用している製品版の『奉行クラウド』の環境に対して API の利用を許可する「サブスクリプションキー」と、お客様の業務データへのアクセスを許可する「アクセストークン」の2つの情報を評価します。
この2つの情報で、貴社が開発するアプリケーションから API を利用してお客様環境の業務データにアクセスしていると判断します。

「サブスクリプションキー」や「アクセストークン」は重要な情報になるため、開発されるアプリケーションで安全に管理する必要があります。
これらの情報が漏洩することで、貴社が開発するアプリケーションに不正になりすまして API を利用し、お客様環境の業務データに重大な影響を及ぼす危険性があります。

重要な情報は以下の5点です。

サブスクリプションキー
アクセストークン
リフレッシュトークン
クライアント ID
クライアント秘密キー

サブスクリプションキー

管理方法

「サブスクリプションキー」は、奉行クラウド API 利用のご契約後にご提供します。
お客様が利用している「製品版の『奉行クラウド』の環境」用と、奉行クラウド API を利用する「アプリケーション開発専用の検証環境」用の、それぞれの環境に接続するための情報があります。
貴社を特定する一意な情報で、環境ごとにプライマリキーとセカンダリキーの2つがあり、どちらも利用できます。

開発するアプリケーションの形式によって、管理方法がいくつか考えられます。

クラウド環境や、貴社のデータセンター内の閉鎖空間で動作する場合は、外部から情報の切り抜きが難しくなると考えられるため、プログラム内に埋め込んで管理することができると考えられます。
Windows アプリケーションなどのプログラムを、ご利用いただくお客様の PC 環境等へ配布する場合、プログラム内にキー情報を埋め込むとプログラムの難読化を行った場合でも、抜き取ることができます。
サブスクリプションキーを含めたプログラムを配布する場合は、リスクも含め管理方法をご検討ください。

注意
サブスクリプションキーは、貴社を特定する一意な情報になりますので、貴社のお客様ごとにお渡しするものではありません。
貴社が管理する情報となりますので、ご注意ください。

キー情報の切り替え

弊社担当営業までご連絡ください。
現在ご利用中の「サブスクリプションキー」の利用を停止し、新しい「サブスクリプションキー」を発行します。

クライアントID／クライアント秘密キー

管理方法

「クライアントID」「クライアント秘密キー」は、API 利用のご契約後にご提供します。
お客様が利用している「製品版の『奉行クラウド』の環境」用と、奉行クラウド API を利用する「アプリケーション開発専用の検証環境」用の、それぞれの環境に接続するための情報があります。
貴社を特定する一意な情報です。

開発するアプリケーションの形式によって、管理方法がいくつか考えられます。
「サブスクリプションキー」と同様に、開発するアプリケーションの形式に合わせて、リスクも含め管理方法をご検討ください。

注意
クライアントID／クライアント秘密キーは、貴社を特定する一意な情報になりますので、貴社のお客様ごとにお渡しするものではありません。
貴社が管理する情報となりますので、ご注意ください。

キー情報の切り替え

弊社担当営業までご連絡ください。
現在ご利用中の「クライアントID」「クライアント秘密キー」の利用を停止し、新しい「クライアントID」「クライアント秘密キー」を発行します。

アクセストークン

管理方法

「アクセストークン」は、OAuth2.0 の認可コードフローで取得する方法と、『管理ポータル』の［連携アプリケーション］メニューから取得する方法があります。
お客様環境固有の一意なトークン情報で、取得するたびに新しい情報になります。

OAuth2.0 の認可コードフローは、「クライアントID」「クライアント秘密キー」を利用して、「アクセストークン（有効期限：3時間）」と「リフレッシュトークン（有効期限：14日）」を取得します。
「アクセストークン」の期限が切れた場合には、「クライアントID」「クライアント秘密キー」「リフレッシュトークン」を利用して、対話的な認可処理を行わずに「アクセストークン」と「リフレッシュトークン」を再発行できます。
トークン情報は、リフレッシュトークンを使用して再取得することで自動で切り替わります。

［連携アプリケーション］メニューでは「アクセストークン（無期限）」を取得できます。
無期限のトークン情報は自動で切り替わらないため、リスクも含め管理方法をご検討ください。

トークンの切り替え

OAuth2.0 の認可コードフローを利用している場合は、トークン情報は有効期限により「リフレッシュトークン」を利用して再発行することで自動で切り替わります。再発行後は、以前の「アクセストークン」と「リフレッシュトークン」は利用できなくなります。

［連携アプリケーション］メニューから「アクセストークン」を発行している場合は、メニュー上で「アクセストークン」を削除し、新しい「アクセストークン」を発行してください。

ホーム > ドキュメント > 資格情報

資格情報

重要な資格情報

サブスクリプションキー

管理方法

注意サブスクリプションキーは、貴社を特定する一意な情報になりますので、貴社のお客様ごとにお渡しするものではありません。貴社が管理する情報となりますので、ご注意ください。

キー情報の切り替え

クライアントID／クライアント秘密キー

管理方法

注意クライアントID／クライアント秘密キーは、貴社を特定する一意な情報になりますので、貴社のお客様ごとにお渡しするものではありません。貴社が管理する情報となりますので、ご注意ください。

キー情報の切り替え

アクセストークン

管理方法

トークンの切り替え

注意
サブスクリプションキーは、貴社を特定する一意な情報になりますので、貴社のお客様ごとにお渡しするものではありません。
貴社が管理する情報となりますので、ご注意ください。

注意
クライアントID／クライアント秘密キーは、貴社を特定する一意な情報になりますので、貴社のお客様ごとにお渡しするものではありません。
貴社が管理する情報となりますので、ご注意ください。