サービスアカウントで API へアクセス
サービスアカウントは、バックエンドシステム・外部サービス・AI Agent などのプログラムから
NocodilySuite の API へ安全にアクセスするための専用アカウントです。
ユーザーのパスワードを共有する必要がなく、鍵(Key)による認証でシステム間連携を実現します。
鍵ごとにアクセス可能なスコープ(権限ロール)を設定できるため、最小権限の原則に基づいた運用が可能です。
サービスアカウントが必要なシーン
| シーン | 内容 |
|---|---|
| AI Agent からの API 呼び出し | MCP サーバ経由で AI Agent が業務 API を操作する際に使用 |
| バックエンドシステムとの連携 | 外部のバッチ処理・マイクロサービスから API を呼び出す際に使用 |
| 外部サービスとの統合 | Webhook 受信・データ同期など、人手を介さない自動処理に使用 |
| CI / 自動スクリプト | デプロイ・データ投入などの自動化スクリプトから API を呼び出す際に使用 |
サービスアカウントの作成と鍵の発行
サービスアカウントの作成・鍵の発行・無効化は、Admin WebUI(システム管理画面)からのみ行えます。
事前に IAM API に接続した Admin WebUI をデプロイしておく必要があります。
- Admin WebUI にログインする(管理者ユーザーアカウントが必要)
- サービスアカウントを作成する
- サービスアカウントに付与するロールを選択する
- 鍵を発行し、アクセス先のシステムに設定する
鍵は発行後に一度だけ表示されます。安全な場所に保管してください。
不要になった鍵は Admin WebUI から即座に無効化できます。
API へのアクセス方法
発行した鍵を使って、HTTP リクエストのヘッダーに認証情報を付与してアクセスします。
Authorization: Bearer <発行した鍵>
鍵に付与されたロールの範囲内でのみ、API の操作が許可されます。
ロールによるアクセス制御
サービスアカウントには以下のロールを付与できます。
詳細は 認証基盤でサポートする権限 を参照してください。
| ロール | 権限の概要 |
|---|---|
| ServiceAccountAdmin | 管理者と同等の権限。すべての操作が可能 |
| ServiceAccountWriter | 組織・チームデータの更新・作成が可能 |
| ServiceAccountReader | 組織・チームデータの閲覧のみ可能 |
セキュリティのベストプラクティス
- 最小権限の原則 — 必要な操作に最低限のロールのみ付与する
- 鍵の定期ローテーション — 長期間同じ鍵を使い続けず、定期的に再発行する
- 不要な鍵の即時無効化 — 利用が終わった鍵はすぐに無効化する
- 鍵のソースコードへの埋め込みを避ける — 環境変数や Secrets Manager を使って管理する