My Redmine 2026新春アップデート(RedMica 4.0対応)により、API認証にOAuth2が利用可能となりました。
外部ツール(BI、iPaaS、スクリプトなど)との連携は業務効率化に欠かせません。一方で、認証方法の選び方を間違えると、漏洩時に被害が大きくなったり、運用トラブルの原因になったりします。
これまで定番だった「APIキー」は手軽ですが、運用によっては “そのユーザーができること全部” を外部ツールに渡してしまう 形になりがちです。
そこで本記事では、新しくサポートされた OAuth2 を活用して、必要な操作だけを許可する(最小権限)運用へ切り替えるメリットと、導入の流れをわかりやすくまとめます。
管理 > 設定 > API タブで 「RESTによるWebサービスを有効にする」 がオンになっていることを確認してください
これまで My Redmine を外部ツールと連携させるとき、最も簡単だったのが APIキー です。
ただし APIキーは「簡単」と引き換えに、次のような状態になりやすいのが弱点です。
OAuth2を使うと、ここが根本的に改善します。
ポイントは、アプリ(連携先)単位で、許可する操作を絞って渡せることです。
APIキーは、例えるなら “そのユーザー本人” の証明書です。
連携先ツールは、あなたになり代わって操作できます。
その結果、もし管理者のAPIキーをツールに設定すると…
OAuth2は、外部ツールを “1つのアプリ” として登録し、
そのアプリに 「何をしてよいか」 を指定してアクセスを許可する仕組みです。
集計ツールなどに管理者のAPIキーを設定すると、そのツールは 管理者としての操作ができてしまいます。
ツールの設定ミスやバグがあった場合でも、権限の強さがそのまま被害の大きさにつながります。
同じAPIキーを複数ツールで使い回していると、キーを止めた瞬間に…
「安全のために止めたいのに、止められない」状態を生みがちです。
たとえば閲覧専用のツールなら、閲覧だけを許可します。
これにより「改ざん」「削除」などの事故を、仕組みとして防ぎやすくなります。
OAuth2は アプリ単位で登録します。
あるツールだけ止めても、他のツールはそのまま動くので、運用が安定します。
管理 > アプリケーション から、連携中アプリを一覧で見て、
ができます。
ここからは「何をどう進めるか」を、全体の流れで整理します。
管理 > アプリケーション > 新しいアプリケーションここで、連携したい外部ツールを「1つのアプリ」として登録します。
アプリに許可する権限(スコープ)を選択します。
迷ったらまずは “必要最低限” に寄せるのがおすすめです。
外部ツールの設定画面で、
などを設定します。
My Redmine側に承認画面が出たら、次をチェックして承認します。
問題なければ 承認 をクリックします。
承認が完了すると、外部ツールはトークンを使って連携します。
APIキーのように“強い鍵を丸ごと渡す”必要がなくなります。
外部連携は便利ですが、使わなくなったものは放置しがちです。
定期的に見直して 不要なアプリを失効 するだけで、リスクはかなり下がります。
管理 > アプリケーション の一覧を定期チェック例:「BI集計(閲覧のみ)」、「自動起票スクリプト(作成のみ)」
APIキーは手軽ですが、運用次第で “強すぎる権限” を外部に渡すことになりがちです。
OAuth2に切り替えると、次の状態を作れます。
まずは いまAPIキーで動いている連携を1つ 選び、OAuth2に切り替えるところから始めてみてください。
「最初の1つ」ができると、あとは同じ流れで横展開できます。
【あわせて読みたい】実装の前に:OAuth2の使い方、設定手順とサンプルコード
RedmineのOAuth2認証の具体的な設定や、実際にAPIを呼び出すためのサンプルコードをこちらの記事で詳しく解説しています。本記事とあわせてお読みいただくことをおすすめします。
【Redmine 6.1以降対応】REST API OAuth2の使い方:設定手順とコード例(Redmine.JP Blog)
