サービスアカウントと API Key は、システム連携、コネクター、MCP クライアント、自動化ジョブ、AI Agent ワークフローが人の操作なしに FactVerse を呼び出すために使います。これらは本番 ID として扱い、所有者、scope、ローテーション、監査要件を明確にします。
ID フロー
利用シナリオ
| シナリオ | 用途 |
|---|
| データコネクター | 承認済みデータソースからデータを取得または送信する。 |
| MCP クライアント | AI クライアントが endpoint スライスで許可された FactVerse ツールだけを発見、呼び出せるようにする。 |
| AI Agent ワークフロー | 承認済みコンテキストを取得し、管理されたツールを実行し、追跡可能な ID で記録する。 |
| 企業自動化 | 予定インポート、エクスポート、レポート更新、保全引き渡しジョブを実行する。 |
| システム連携 | EAM、CMMS、BMS、ERP、データレイク、ファイルサービス、顧客ポータルと接続する。 |
申請情報
| 項目 | 例 |
|---|
| 業務所有者 | 連携結果に責任を持つチーム。 |
| 技術所有者 | 資格情報の保管、ローテーション、インシデント対応に責任を持つチーム。 |
| テナントと環境 | 本番、ステージング、プライベートクラウド、オンプレミス。 |
| endpoint または製品領域 | DFS コネクター、ECM インポート、MCP スライス、AI Agent ワークフロー、製品 API。 |
| 必要な scope | 読み取り、書き込み、計算、アクション草案、承認、製品固有 scope。 |
| データ範囲 | テナント、サイト、資産グループ、フォルダー、データセット、ワークフロー範囲。 |
| ローテーション方針 | 定期ローテーションと緊急失効手順。 |
Scope 設計
連携に必要な最小 scope から始めます。無関係なシステムやテナントで同じ Key を共有しません。
| 判断項目 | 推奨 |
|---|
| テナント範囲 | 1 つの Key は 1 つのテナントまたはデプロイ範囲に対応させる。 |
| 製品範囲 | DFS、ECM、MCP、AI ワークフローの所有者が異なる場合は Key を分ける。 |
| アクション範囲 | 読み取り専用 Key と、書き込み、承認、アクション実行、設定変更が可能な Key を分ける。 |
| ライフサイクル | 定期的にローテーションし、所有者変更や漏えい疑いがあれば即時対応する。 |
| 保管 | 承認済みのシークレット管理またはデプロイ設定システムだけに保管する。 |
検証チェックリスト
- 連携が対象環境だけに認証できることを確認します。
- ツールディスカバリまたは API アクセスが想定機能だけを返すことを確認します。
- 書き込みまたはアクション scope を有効にする前に読み取りテストを実行します。
- 書き込みまたはアクションテストが期待する監査記録を作ることを確認します。
- Key 所有者、ローテーション所有者、失効手順を記録します。
- Key を削除または期限切れにした場合、連携が安全に失敗することを確認します。