メインコンテンツへスキップ
OneSignalアカウントには、パブリックID(App ID、Organization ID)とプライベートAPIキー(App APIキー、組織APIキー)が含まれています。
  • App ID組織IDはパブリック識別子で、クライアント側のコードとSDK初期化に安全に使用できます。
  • App APIキー組織APIキーはプライベートシークレットです。安全に保管し、クライアント側のコードで公開しないでください。
OneSignalダッシュボードのSettings > Keys & IDs(アプリレベル)またはOrganizations > あなたの組織 > Keys & IDs(組織レベル)で確認できます。

App ID

App IDは、OneSignalアプリを識別するパブリックUUID(v4)です。 以下の用途で使用します:
  • SDKの初期化(Mobile SDKセットアップ、Web SDKセットアップ)
  • メッセージの作成やユーザーの作成などのAPIリクエスト
App IDは、ダッシュボードのSettings > Keys & IDs、またはアプリの表示 APIで確認できます。
Keys & IDs設定ページでハイライトされたApp IDの値
App IDはクライアント側のSDK初期化で安全に使用できます。シークレットではありません。

組織ID

**組織ID(Org ID)**は、請求プランの下にあるすべてのアプリをグループ化するUUID(v4)です。 以下のような組織レベルのAPIに必要です: Organizations > あなたの組織 > Keys & IDs、またはアプリの表示 APIで確認できます。
OneSignalダッシュボードのKeys & IDsで組織IDを表示

APIキー

APIキーには2種類あります。どちらもREST APIリクエストを認証するために使用し、秘密に保つ必要があります。実行したい操作に合ったキーを選んでください:
キー用途
App APIキー1つの特定のアプリ:メッセージの送信、ユーザーの作成、統計情報の確認。
組織APIキー組織全体:アプリの作成や他のAPIキーの管理。
アプリごとに最大16個のApp APIキー、組織ごとに最大16個の組織APIキーを作成できます。

App APIキー

App APIキーは、単一のアプリに限定されたREST APIリクエストに使用します:メッセージの送信、ユーザーの作成または更新、メッセージ履歴の確認など。 ダッシュボードでは既存のAPIキーの値は表示されません。キーID列の文字列は内部識別子であり、キーではありません。再度動作するシークレットを取得するには、以下の手順で新しいAPIキーを作成するか、既存のキーをローテーションしてください。ローテーションは同じキーID、名前、IP許可リストを保持したまま新しい値を生成し、古い値は即座に動作しなくなります。
OneSignalダッシュボードのAPI Keysテーブル。APIキーの値ではないキーID列を表示しています。
App APIキーを作成する 以下の手順でダッシュボードからApp APIキーを作成するか、APIキーの作成 APIを使用してください。
1

アプリの Settings > Keys & IDs に移動する

OneSignalダッシュボードでアプリを選択し、Settings > Keys & IDsに移動します。
2

Add Keyをクリックする

分かりやすい名前を入力します(例:Backend service)。任意でIP許可リストを追加し、承認されたサーバーからのみキーが使用できるように制限できます。
3

Createをクリックし、すぐにキーの値をコピーする

値はos_v2_app_で始まり、一度だけ表示されます。シークレットマネージャーまたはバックエンドの環境変数にすぐに保存してください。
作成後に表示された生成済みAPIキー
App APIキーはパスワードのように扱ってください:
  • モバイルやWebのクライアントコードで公開しないでください。
  • パブリックリポジトリ(GitHubなど)にコミットしないでください。
  • セキュアなバックエンドまたはシークレットマネージャーに保管してください。

組織APIキー

組織APIキーは、組織内のすべてのアプリにまたがる操作に使用します。一般的なエンドポイント: 組織APIキーを作成する: 組織APIキーはダッシュボードからのみ作成できます。作成用のAPIエンドポイントはありません。
1

組織の Keys & IDs に移動する

OneSignalダッシュボードでOrganizations > あなたの組織 > Keys & IDsに移動します。
2

Add Keyをクリックして名前を付ける

分かりやすい名前を入力します(例:App provisioning)。任意でIP許可リストを追加できます。
3

Createをクリックし、すぐにキーの値をコピーする

値はos_v2_app_で始まり、一度だけ表示されます。すぐに安全に保管してください。
Keys & IDsダッシュボードの組織APIキーセクション
組織APIキーは組織内のすべてのアプリへのアクセスを許可します。特に注意して取り扱い、組織全体へのアクセスが本当に必要なサービスとのみ共有してください。

IP許可リスト

IP許可リストはオプションですが、強く推奨されます。APIキーの使用を特定のIPアドレスに制限することで、漏洩したキーが他の場所から使用されることを防ぎます。
  • スペースで区切られたCIDRブロックを入力します(例:192.0.2.0/24 192.0.2.123/32)。
  • 許可されていないIPからのリクエストは拒否されます。
IP許可リストの使用場面:
  • 静的IPを持つバックエンドサービス。
  • 高セキュリティの本番環境。
APIキー作成モーダルのIP許可リスト設定フィールド

APIキーの管理

キーを作成した後、Settings > Keys & IDsのキーリストから編集、ローテーション、または削除できます。App APIキーはREST API経由でもこれらの操作をサポートします。組織APIキーはダッシュボード専用です。

キーの編集

シークレット値を変更せずに、名前またはIP許可リストを更新します。インテグレーションの変更は不要です。 ダッシュボード、またはAPIキーの更新 APIを使用してください(App APIキーのみ)。

キーのローテーション

ローテーションは、同じキーID、名前、IP許可リストを保持したまま新しいシークレットを生成します。古いシークレットは即座に動作しなくなります。 以下の場合にキーをローテーションしてください:
  • キーが漏洩した場合。
  • アクセス権を持つチームメンバーが退職した場合。
  • 定期的なセキュリティローテーションの時期になった場合。
  • 元のキー値を紛失し、動作するシークレットが必要な場合。
キーをローテーションした後、古い値を使用しているすべてのサービスを更新してください。古いキーでのリクエストは即座に失敗します。
ダッシュボード、またはAPIキーのローテーション APIを使用してください(App APIキーのみ)。

キーの削除

削除はキーを永久に削除し、そのキーを使用するAPIアクセスを即座にブロックします。キーが不要になった場合に削除を使用してください。 ダッシュボード、またはAPIキーの削除 APIを使用してください(App APIキーのみ)。

レガシーAPIキーからの移行

OneSignalは、命名、ローテーション、IP許可リストを備えたApp APIキーと組織APIキーを2024年11月に導入しました。レガシーのユーザー認証キー(User Auth key)と元のREST APIキーは引き続き使用できますが、それらの管理UIは削除されており、新規作成はできません。
1

新しいキーを作成する

置き換えるレガシーキーに応じて、新しいApp APIキーまたは組織APIキーを作成します。
2

コードを更新する

OneSignalに対して認証を行うすべてのサービスで、レガシーキーを新しい値に置き換えます。
3

APIベースURLを更新する

APIベースURLをhttps://onesignal.com/api/v1/からhttps://api.onesignal.comに変更します。
4

検証してからレガシーキーを無効化する

ステージング環境でAPIリクエストをテストし、その後Settings > Keys & IDsでレガシーキーを無効化または削除します。
本番環境でレガシーキーを無効化する前に、ステージング環境でAPIリクエストを検証してください。

APIアクセスのブロック

キーを即座に失効させるには、Settings > Keys & IDsローテーションまたは削除してください。古い値を使用したリクエストは即座に失敗します。 メッセージ送信を停止する、またはアプリ全体を一時停止するには、無効化されたアプリと組織を参照してください。

セキュリティのベストプラクティス

  • APIキーはセキュアなバックエンドに保管してください(クライアント側には置かないでください)。
  • 環境変数またはシークレットマネージャーを使用してください。
  • 可能な場合はIP許可リストを有効にしてください。
  • 定期的にキーをローテーションしてください。
  • ステージングと本番環境で別々のキーを使用してください。

よくある質問

APIキーはどこで確認できますか?

APIキーの値はos_v2_app_で始まり、キーの作成またはローテーションの直後に一度だけ表示されます。ダッシュボードのキーID列は内部識別子であり、APIキーではありません。認証に使用すると401 Unauthorizedを返します。キーの値を保存していない場合は、キーをローテーションして新しい値を生成してください。完全なフローについてはApp APIキーまたは組織APIキーを参照してください。

レガシーApp APIキーを取得できますか?

いいえ。OneSignalはレガシーApp APIキーを表示しなくなりました。コードベースで値が見つからない場合は、新しいApp APIキーを生成し、インテグレーションを更新してください。

App ID、App APIキー、組織APIキーの違いは何ですか?

  • App ID:アプリのパブリック識別子。SDKのセットアップとアプリを指定するAPIリクエストに使用します。
  • App APIキー:1つのアプリのメッセージ送信とユーザー管理に使用するシークレットキー。
  • 組織APIキー:アカウント全体のアプリと組織レベルの設定を管理するために使用するシークレットキー。

APIキーが漏洩した場合はどうなりますか?

すぐにキーをローテーションしてください。ローテーションは古い値を無効化し、同じキーID、名前、IP許可リストを保持したまま新しい値を発行します。その後、そのキーを使用するすべてのサービスを更新してください。予期しないAPIアクティビティがないか監査ログを確認してください。

関連ページ

REST API概要

リクエストを認証し、OneSignal REST APIを理解します。

レート制限

キーごとのレート制限と大量送信インテグレーションのベストプラクティス。

監査ログ

キー、ユーザー、時間ごとにAPIとダッシュボードのアクティビティを確認します。

無効化されたアプリと組織

アプリを一時停止または停止し、課金への影響を理解します。