Jinba Flow
Jinba App
Jinba ToolboxAPIキーの仕組み
jtb_プレフィックスを使用します。キーを作成すると、完全なキー値は一度だけ表示されます。以降は、識別用にマスクされたプレフィックスのみがコンソールに表示されます。
APIキーは作成された組織に紐付けられます。組織AのキーでOrganization Bのリソースにアクセスすることはできません(公開ツールの実行を除く。公開ツールは有効なキーであればどれでも実行可能です)。
APIキーの作成
名前を入力
キーの用途を識別するための分かりやすい名前を付けます(例:「Production Backend」、「CI/CD Pipeline」、「Local Development」)。この名前は参照用であり、キーの権限には影響しません。
APIキー一覧
API Keysページには以下のカラムを持つテーブルが表示されます:| カラム | 説明 |
|---|---|
| Name | キーに付けた説明的な名前 |
| Key Prefix | 識別用のキーのマスクされたプレビュー(例:jtb_abc1...) |
| Created By | キーを作成したユーザー |
| Created | キーが作成された日時 |
| Last Used | このキーで行われた最新のAPI呼び出しのタイムスタンプ |
APIキーの失効
キーを失効させるには、一覧のキーの横にある削除アクションをクリックします。確認ダイアログが表示されます。失効すると:- キーは即座に無効化されます。
- このキーを使用するすべてのAPIリクエストは
401 Unauthorizedエラーを返します。 - この操作は永続的で元に戻すことはできません。
キーの失効は、過去の実行記録やデータには影響しません。そのキーを使用した将来のAPI呼び出しのみが防止されます。
認証スコープ
APIキーは以下のスコープに基づいてアクセスを提供します:Read
ToolSet、ツール、バージョン、実行記録、その他の組織リソースの一覧表示と取得を行います。
Write
ToolSet、ツール、環境変数、その他のリソースの作成、更新、削除を行います。
Execute
ツールの実行と実行記録の作成を行います。API実行とMCPツールコールの両方に必要です。
Admin
組織設定、メンバー、APIキーの管理を行います。完全な管理者アクセスです。
APIキーの使用
REST API
Authorizationヘッダーにキーを含めます:
TypeScript SDK
SDKクライアントの作成時にキーを渡します:MCP Endpoint
AIエージェントをToolSetのMCPエンドポイントに接続する際は、接続設定の一部としてAPIキーを提供します。MCPエンドポイントURLは、MCP Serverが有効になっている場合にToolSet詳細ページで確認できます。個人キーと組織APIキー
Jinba Toolboxは2つのレベルのAPIキーをサポートしています:| タイプ | スコープ | 場所 |
|---|---|---|
| 組織APIキー | 単一の組織のリソースにスコープ | 組織サイドバー > API Keys |
| 個人APIキー | ユーザーのアカウントにスコープ | ダッシュボード > API Keys |
ほとんどのユースケースでは組織APIキーを推奨します。個人のユーザーアカウントに影響を与えることなく、管理、ローテーション、失効が容易です。
ベストプラクティス
- 分かりやすい名前を付ける — 用途と環境でキーに名前を付けます(例:「Production API Server」、「Staging CI」)。必要な場合にどのキーを失効させるべきか特定しやすくなります。
- 定期的にキーをローテーションする — 漏洩の影響を限定するために、定期的に新しいキーを作成し、古いキーを失効させます。
- キーをソースコードにコミットしない — キーは環境変数またはシークレット管理ツールに保存します。
- 環境ごとに別々のキーを使用する — 開発、ステージング、本番環境ごとに個別のキーを作成します。
- 未使用のキーを失効させる — キーが不要になったら、すぐに失効させます。「Last Used」カラムを確認して、使用されていないキーを特定します。
- 組織キーを優先する — アプリケーション統合には、個人キーではなく組織スコープのキーを使用します。