メインコンテンツへスキップ
OneSignalアカウントには、パブリックIDプライベートAPIキーが含まれています。
  • ID(App IDなど)は、SDKの設定やアプリの参照に使用します。
  • APIキーは、セキュアなREST APIリクエストの認証に使用します。
このガイドでは、各キーの役割、確認場所、および安全な管理方法について説明します。

App ID

App IDは、OneSignalアプリを識別するパブリックUUID(v4)です。 以下の用途で使用します:
  • SDKの初期化(Mobile SDKセットアップ、Web SDKセットアップ)
  • メッセージの作成やユーザーの作成などのAPIリクエスト
App IDは、ダッシュボードの設定 > キーとID、またはアプリの表示 APIで確認できます。
OneSignalダッシュボードのキーとIDページ。App IDの場所を表示しています。

App IDはクライアント側のSDK初期化で安全に使用できます。シークレットではありません。

組織ID

**組織ID(Org ID)**は、請求プランの下にあるすべてのアプリをグループ化するUUID(v4)です。 以下のような組織レベルのAPIに必要です: 組織 > あなたの組織 > キーとID、またはアプリの表示 APIで確認できます。
OneSignalダッシュボードのキーとIDで組織IDを表示しています。

APIキーの概要

OneSignalは2種類のAPIキーをサポートしています:
キーの種類スコープ用途
App APIキー単一アプリメッセージの送信、ユーザーの作成、アプリレベルの操作
組織APIキー組織全体アプリの作成、APIキーの管理、組織レベルの設定
最大16個のAPIキーを作成し、IP許可リストを設定できます。
両方ともプライベートシークレットであり、安全に保管する必要があります。

App APIキー

App APIキーは、特定のアプリに関連するほとんどのREST APIリクエストに使用します。 認証形式: key認証スキームを使用して、Authorizationヘッダーにキーを含めます: 
Authorization: key YOUR_REST_API_KEY
App APIキーは、アプリ設定 > キーとID、またはAPIキーの作成 APIで作成できます。
App APIキーはパスワードのように扱ってください。
  • モバイルやWebのクライアントコードで公開しないでください。
  • パブリックリポジトリ(GitHubなど)にコミットしないでください。
  • セキュアなバックエンドまたはシークレットマネージャーに保管してください。

組織APIキー

組織APIキーは以下の用途で使用します: OneSignalダッシュボードの組織 > あなたの組織 > キーとIDで作成できます。
App APIキーと同様に、最大16個の組織キーを設定し、IP許可リスト設定を含めることができます。

APIキーの作成

AppおよびOrganization APIキーはダッシュボードから作成できます。
  • App APIキーはAPIキーの作成 APIでも作成可能です。
  • 組織APIキーはダッシュボードからのみ作成可能です。
キーの作成手順:
  1. キーとID(アプリまたは組織レベル)に移動します。
  2. キーを追加をクリックします。
OneSignalダッシュボードで新しいAPIキーを作成するモーダル。
  1. わかりやすい名前を入力します(例:CRM同期サービス)。
  2. (オプション)IP許可リストを設定します。
  3. 作成をクリックします。
  4. キーをコピーし、すぐに安全に保管します。
APIキーは一度だけ表示されます。キーを紛失した場合は、ローテーションする必要があります。

IP許可リスト(オプションだが推奨)

APIキーの使用を特定のIPアドレスに制限できます。
  • スペースで区切られたCIDRブロックを入力します
    • 例:192.0.2.0/24 192.0.2.123/32
  • 許可されていないIPからのリクエストは拒否されます。
IP許可リストの使用場面:
  • 静的IPを持つバックエンドサービス
  • 高セキュリティの本番環境
APIキー作成モーダルのIP許可リスト設定フィールド。

キー管理

キーを作成した後、キーリストインターフェースで管理できます:
OneSignalダッシュボードのAPIキーリスト。キー名とIDを表示しています。
キーIDは参照用のラベルです。シークレットAPIキーではありません。

APIキーの編集

以下を変更できます:
  • キー名の更新
  • IP許可リスト設定の変更
編集してもシークレット値は変更されません。インテグレーションの変更は不要です。
  • App APIキーはダッシュボードまたはAPIキーの更新 APIで更新できます。
  • 組織APIキーはダッシュボードからのみ更新可能です。

APIキーのローテーション

キーのローテーションにより:
  • 新しいシークレットが生成されます
  • 同じ名前と設定が維持されます
  • 古いシークレットは即座に無効化されます
ローテーションが必要な場合:
  • キーが漏洩した場合
  • アクセス権を持つチームメンバーが退職した場合
  • 定期的なセキュリティローテーション
キーをローテーションした後、そのキーを使用しているすべてのサービスを更新してください。古いキーでのリクエストは失敗します。
  • App APIキーはダッシュボードまたはAPIキーのローテーション APIでローテーションできます。
  • 組織APIキーはダッシュボードからのみローテーション可能です。

APIキーの削除

キーの削除により:
  • 永久に削除されます
  • そのキーを使用したAPIアクセスが即座にブロックされます
キーが不要になった場合に削除を使用します。
  • App APIキーはダッシュボードまたはAPIキーの削除 APIで削除できます。
  • 組織APIキーはダッシュボードからのみ削除可能です。

レガシーAPIキーからの移行

2024年11月14日にリッチAPIキー管理を導入しました。 移行手順
  1. 新しいAppまたは組織APIキーを作成します。
  2. コード内のレガシーキーを置き換えます。
  3. APIベースURLを以下に更新します:
https://api.onesignal.com
以前のURL: 
https://onesignal.com/api/v1/
  1. キーとIDでレガシーキーを無効化または削除します。
本番環境でレガシーキーを無効化する前に、ステージング環境でAPIリクエストをテストしてください。

アプリの無効化

APIアクセスのブロック:
  • APIキーを削除またはローテーションして、REST APIの使用を即座にブロックします。
メッセージ送信の無効化:
  • 設定 > アプリ管理 > アプリを無効化に移動します。
詳細については、無効化されたアプリと組織を参照してください。
アプリを無効化しても課金は停止しません。無効化されたアプリの月間アクティブユーザー(MAU)は引き続き課金にカウントされます。課金を停止するには、アプリを削除するか、無料の組織に移動してください。サポートが必要な場合は、support@onesignal.com にお問い合わせください。

セキュリティのベストプラクティス

  • APIキーはセキュアなバックエンドに保管してください(クライアント側には置かないでください)。
  • 環境変数またはシークレットマネージャーを使用してください。
  • 可能な場合はIP許可リストを有効にしてください。
  • 定期的にキーをローテーションしてください。
  • ステージングと本番環境で別々のキーを使用してください。