メインコンテンツへスキップ
OneSignalアカウントには、パブリックIDプライベートAPIキーが含まれています。
  • ID(App IDなど)は、SDKの設定やアプリの参照に使用します。
  • APIキーは、セキュアなREST APIリクエストの認証に使用します。
このガイドでは、各キーの役割、確認場所、および安全な管理方法について説明します。
キーの確認場所: OneSignalダッシュボードの任意のアプリページから、左サイドバーの設定をクリックし、キーとIDを選択します。組織レベルのキーについては、Organizations > あなたの組織 > キーとIDに移動してください。

App ID

App IDは、OneSignalアプリを識別するパブリックUUID(v4)です。 以下の用途で使用します:
  • SDKの初期化(Mobile SDKセットアップ、Web SDKセットアップ)
  • メッセージの作成やユーザーの作成などのAPIリクエスト
App IDは、ダッシュボードの設定 > キーとID、またはアプリの表示 APIで確認できます。
OneSignalダッシュボードのキーとIDページ。App IDの場所を表示しています。

App IDはクライアント側のSDK初期化で安全に使用できます。シークレットではありません。

組織ID

**組織ID(Org ID)**は、請求プランの下にあるすべてのアプリをグループ化するUUID(v4)です。 以下のような組織レベルのAPIに必要です: 組織 > あなたの組織 > キーとID、またはアプリの表示 APIで確認できます。
OneSignalダッシュボードのキーとIDで組織IDを表示しています。

APIキーの概要

OneSignalは2種類のAPIキーをサポートしています:
キーの種類スコープ用途
App APIキー単一アプリメッセージの送信、ユーザーの作成、アプリレベルの操作
組織APIキー組織全体アプリの作成、APIキーの管理、組織レベルの設定
最大16個のAPIキーを作成し、IP許可リストを設定できます。
両方ともプライベートシークレットであり、安全に保管する必要があります。

App APIキー

App APIキーは、特定のアプリに関連するほとんどのREST APIリクエストに使用します。 認証形式: key認証スキームを使用して、Authorizationヘッダーにキーを含めます: 
Authorization: key YOUR_REST_API_KEY
App APIキーは、アプリ設定 > キーとID、またはAPIキーの作成 APIで作成できます。
App APIキーはパスワードのように扱ってください。
  • モバイルやWebのクライアントコードで公開しないでください。
  • パブリックリポジトリ(GitHubなど)にコミットしないでください。
  • セキュアなバックエンドまたはシークレットマネージャーに保管してください。

組織APIキー

組織APIキーは以下の用途で使用します: OneSignalダッシュボードの組織 > あなたの組織 > キーとIDで作成できます。
App APIキーと同様に、最大16個の組織キーを設定し、IP許可リスト設定を含めることができます。

APIキーの作成

AppおよびOrganization APIキーはダッシュボードから作成できます。
  • App APIキーはAPIキーの作成 APIでも作成可能です。
  • 組織APIキーはダッシュボードからのみ作成可能です。
キーの作成手順:
  1. キーとID(アプリまたは組織レベル)に移動します。
  2. キーを追加をクリックします。
OneSignalダッシュボードで新しいAPIキーを作成するモーダル。
  1. わかりやすい名前を入力します(例:CRM同期サービス)。
  2. (オプション)IP許可リストを設定します。
  3. 作成をクリックします。
  4. キーをコピーし、すぐに安全に保管します。
APIキーは一度だけ表示されます。キーを紛失した場合は、ローテーションする必要があります。

IP許可リスト(オプションだが推奨)

APIキーの使用を特定のIPアドレスに制限できます。
  • スペースで区切られたCIDRブロックを入力します
    • 例:192.0.2.0/24 192.0.2.123/32
  • 許可されていないIPからのリクエストは拒否されます。
IP許可リストの使用場面:
  • 静的IPを持つバックエンドサービス
  • 高セキュリティの本番環境
APIキー作成モーダルのIP許可リスト設定フィールド。

キー管理

キーを作成した後、キーリストインターフェースで管理できます:
OneSignalダッシュボードのAPIキーリスト。キー名とIDを表示しています。
キーIDは参照用のラベルです。シークレットAPIキーではありません。

APIキーの編集

以下を変更できます:
  • キー名の更新
  • IP許可リスト設定の変更
編集してもシークレット値は変更されません。インテグレーションの変更は不要です。
  • App APIキーはダッシュボードまたはAPIキーの更新 APIで更新できます。
  • 組織APIキーはダッシュボードからのみ更新可能です。

APIキーのローテーション

キーのローテーションにより:
  • 新しいシークレットが生成されます
  • 同じ名前と設定が維持されます
  • 古いシークレットは即座に無効化されます
ローテーションが必要な場合:
  • キーが漏洩した場合
  • アクセス権を持つチームメンバーが退職した場合
  • 定期的なセキュリティローテーション
キーをローテーションした後、そのキーを使用しているすべてのサービスを更新してください。古いキーでのリクエストは失敗します。
  • App APIキーはダッシュボードまたはAPIキーのローテーション APIでローテーションできます。
  • 組織APIキーはダッシュボードからのみローテーション可能です。

APIキーの削除

キーの削除により:
  • 永久に削除されます
  • そのキーを使用したAPIアクセスが即座にブロックされます
キーが不要になった場合に削除を使用します。
  • App APIキーはダッシュボードまたはAPIキーの削除 APIで削除できます。
  • 組織APIキーはダッシュボードからのみ削除可能です。

レガシーAPIキーからの移行

2024年11月14日にリッチAPIキー管理を導入しました。 移行手順
  1. 新しいAppまたは組織APIキーを作成します。
  2. コード内のレガシーキーを置き換えます。
  3. APIベースURLを以下に更新します:
https://api.onesignal.com
以前のURL: 
https://onesignal.com/api/v1/
  1. キーとIDでレガシーキーを無効化または削除します。
本番環境でレガシーキーを無効化する前に、ステージング環境でAPIリクエストをテストしてください。

アプリの無効化

APIアクセスのブロック:
  • APIキーを削除またはローテーションして、REST APIの使用を即座にブロックします。
メッセージ送信の無効化:
  • 設定 > アプリ管理 > アプリを無効化に移動します。
詳細については、無効化されたアプリと組織を参照してください。
アプリを無効化しても課金は停止しません。無効化されたアプリの月間アクティブユーザー(MAU)は引き続き課金にカウントされます。課金を停止するには、アプリを削除するか、無料の組織に移動してください。サポートが必要な場合は、support@onesignal.com にお問い合わせください。

セキュリティのベストプラクティス

  • APIキーはセキュアなバックエンドに保管してください(クライアント側には置かないでください)。
  • 環境変数またはシークレットマネージャーを使用してください。
  • 可能な場合はIP許可リストを有効にしてください。
  • 定期的にキーをローテーションしてください。
  • ステージングと本番環境で別々のキーを使用してください。

よくある質問

APIキーはどこで確認できますか?

ダッシュボード > アプリ > 設定 > キーとIDに移動します。 REST APIキー(アプリレベル)または組織APIキー(アカウントレベル)をコピーします。

レガシーREST APIキーを取得できますか?

いいえ。OneSignalは以前に生成されたレガシーREST APIキーを表示しません。 コードベースで見つからない場合は、新しいリッチAPIキーを生成してインテグレーションを更新してください。

App ID、REST APIキー、組織APIキーの違いは何ですか?

  • App ID:アプリのパブリック識別子。SDKのセットアップとアプリを指定するAPIリクエストに使用します。
  • REST APIキー:1つのアプリのメッセージ送信とユーザー管理に使用するシークレットキー。
  • 組織APIキー:アカウント全体のアプリと組織レベルの設定を管理するために使用するシークレットキー。