Organization access tokens

⚠️

Warning

Organization access tokens（OAT）は Docker Desktop での使用を意図しておらず、互換性がありません。

また、OAT は以下のサービスとも互換性がありません：

Docker Desktop またはこれらのサービスを使用する場合は、代わりに personal access token を使用する必要があります。

Organization access token（OAT）は、personal access token（PAT）に似ていますが、OAT は特定のユーザーアカウントではなく Organization に関連付けられるものです。

OAT を使用すると、トークンを特定のユーザーに結びつけることなく、ビジネス上重要なタスクが Docker Hub リポジトリへアクセスできます。

OAT には以下のメリットがあります:

OAT の最終使用日時を確認でき、不審なアクティビティがあれば無効化や削除が可能です。
各 OAT のアクセス権限を制限でき、万が一 OAT が漏洩しても影響を最小限に抑えられます。
Company または Organization のオーナー全員が OAT を管理可能。オーナーの一人が組織を離れても、他のオーナーが OAT を管理できます。
OAT には個人アカウントとは別の Docker Hub 使用制限が適用され、個人のリミットに影響を与えません。

Docker では、既存のサービスアカウントを OAT に置き換えることを推奨しています。

OAT はサービスアカウントと比較して以下の利点があります：

OAT には直接アクセス権を割り当てられますが、サービスアカウントはチームを介してアクセス管理を行う必要があります。
OAT は Admin Console で一元管理できるのに対し、サービスアカウントはそのアカウントにログインしないと管理できません。また、シングルサインオン（SSO）を強制していてサービスアカウントが IdP に存在しない場合、管理のためにログインできない可能性があります。
サービスアカウントを管理するユーザーが組織を離れた場合、そのアカウントへのアクセスが失われる可能性がありますが、OAT は Company または Organization のオーナーが管理できるため安心です。

Organization access token の作成

🚫

Important

アクセストークンはパスワードと同様に扱い、安全に保管してください。例えば、クレデンシャルマネージャーに保存することを推奨します。

Company または Organization のオーナーは、以下の制限内で OAT を作成できます：

※ 期限切れのトークンもカウントされます。

OAT は Docker CLI にサインインする際に使用できます。

以下のコマンドで Docker CLI にサインインします（YOUR_ORG は Organization 名に置き換えてください）:


$ docker login --username <YOUR_ORG>

パスワードの入力を求められたら、パスワードの代わりに Organization access token を入力してください。

OAT のラベル変更・説明更新・リポジトリアクセス変更・無効化・削除が可能です。

Admin Console にサインインします。
OAT を作成する Organization を選択します。
Security and access の Access tokens を開きます。
トークンの行の右端にあるアクションメニューから、以下のいずれかを選択します。
- Deactivate（無効化）
- Edit（編集）
- Delete（削除）（※ 無効化済みのトークンは削除のみ可能）
編集する場合は、変更を入力後に Save を選択します。