サービス トークン

自動化されたシステムにサービス トークンを提供して、ゼロ トラスト ポリシーに対して認証を行うことができます。Cloudflare Access は、クライアント ID とクライアント シークレットで構成されるサービス トークンを生成します。自動化されたシステムやアプリケーションは、これらの値を使用して Access によって保護されたアプリケーションにアクセスできます。

このセクションでは、サービス トークンの作成、更新、および取り消しについて説明します。

サービス トークンの作成

1. In Zero Trust ↗, go to Access > Service Auth > Service Tokens.

2. Select Create Service Token.

3. Name the service token. The name allows you to easily identify events related to the token in the logs and to revoke the token individually.

4. Choose a Service Token Duration. This sets the expiration date for the token.

5. Select Generate token. You will see the generated Client ID and Client Secret for the service token, as well as their respective request headers.

6. Copy the Client Secret.

   注意

   This is the only time Cloudflare Access will display the Client Secret. If you lose the Client Secret, you must generate a new service token.

これで、Access アプリケーションと デバイス登録権限 をこのサービス トークンを受け入れるように構成できます。ポリシー アクションを Service Auth に設定することを忘れないでください。そうしないと、Access はアイデンティティ プロバイダーのログインを求めます。

サービスを Access に接続する

初期リクエスト

サービス トークンを使用して Access アプリケーションに認証するには、任意の HTTP リクエストのヘッダーに次の内容を追加します。

CF-Access-Client-Id: <CLIENT_ID>

CF-Access-Client-Secret: <CLIENT_SECRET>

例えば、

curl -H "CF-Access-Client-Id: <CLIENT_ID>" -H "CF-Access-Client-Secret: <CLIENT_SECRET>" https://app.example.com

サービス トークンが有効な場合、Access はアプリケーションにスコープされた JWT を CF_Authorization cookie の形式で生成します。このクッキーを使用して、アプリケーションへの その後のリクエスト を認証できます。

その後のリクエスト

サービス トークンを使用して アプリケーションに認証 した後は、結果として得られた CF_Authorization クッキーをすべてのその後のリクエストのヘッダーに追加します。

curl -H "cookie: CF_Authorization=<CF_AUTHORIZATION_COOKIE>" https://app.example.com

生のヘッダーを使用する場合は、値を cf-access-token として送信します。

curl -H "cf-access-token=<CF_AUTHORIZATION_COOKIE>" https://app.example.com

このクッキーを使用したすべてのリクエストは、JWT が期限切れになるまで成功します。

ノート

Access アプリケーションに Service Auth ポリシーしかない場合、すべてのその後のリクエストでサービス トークンを送信する必要があります。アプリケーションに少なくとも 1 つの Allow ポリシーがある場合にのみ、JWT を使用できます。

サービス トークンの更新

サービス トークンは、トークンを作成したときに選択したトークンの有効期限に従って期限切れになります。

サービス トークンを更新するには：

1. Zero Trust ↗ に移動し、Access > Service Auth > Service Tokens に進みます。
2. 更新したいトークンを見つけます。
3. トークンの有効期限を 1 年延長するには、Refresh を選択します。
4. トークンの有効期限を 1 年以上延長するには：
   1. Edit を選択します。
   2. 新しい Service Token Duration を選択します。
   3. Save を選択します。選択した時間分、期限が延長されます。

サービス トークンの取り消し

トークンが期限切れになる前にアクセスを取り消す必要がある場合は、トークンを削除するだけです。

1. Zero Trust ↗ に移動し、Access > Service Auth > Service Tokens に進みます。
2. 取り消す必要があるトークンを Delete します。

削除されたサービス トークンに依存するサービスは、もはやアプリケーションにアクセスできなくなります。

ノート

Access アプリケーションを編集する際に、Revoke existing tokens を選択すると、既存のセッションが取り消されますが、ユーザーが新しいセッションを開始するのを防ぐことはできません。クライアント ID とクライアント シークレットが有効な限り、次のリクエストで新しいトークンと交換できます。アクセスを取り消すには、サービス トークンを削除する必要があります。

トークンの有効期限アラートを設定する

サービス トークンの有効期限が切れる 1 週間前に通知するアラートを設定して、管理者がトークンの更新を行えるようにすることができます。

Expiring Access Service Token Alert

Who is it for?

Access customers who want to receive a notification when their service token is about to expire.

Other options / filters

None.

Included with

Purchase of Access

What should you do if you receive one?

Refresh your service token in the Teams dashboard under Configuration > Service Auth.

サービス トークンの有効期限アラートを設定するには：

1. Cloudflare ダッシュボード ↗ に移動し、Notifications タブに進みます。
2. Add を選択します。
3. Expiring Access Service Token を選択します。
4. アラートの名前とオプションの説明を入力します。
5. (オプション) 通知メールの他の受信者を追加します。
6. Save を選択します。

アラートが設定され、Cloudflare ダッシュボードの Notifications タブに表示されるようになりました。