x-api-key ヘッダーで送信されるワークスペース単位の APIキー によって認証されます。キーはチームダッシュボードで作成され、iv_live_ というプレフィックスが付きます。
APIキーを取得する
キーを作成する
New API key をクリックします。監査ログを読み取れるようにするため、そのキーを使用する連携先に合わせた名前(例:
ats-sync-prod、embed-widget-staging)を付けます。キーを作成する
New API key をクリックします。監査ログを読みやすく保つため、そのキーを使用する連携先に合わせた名前(例:
ats-sync-prod、embed-widget-staging)を付けます。必要最小限のスコープを選ぶ
スコープは加算式です。キーには必要な範囲だけを与えてください。セッションを作成するだけのキーに、参加者への読み取りアクセスは不要です。
| スコープ | 許可される操作 |
|---|---|
sessions:read | セッション、スコアカード、トランスクリプト、録画の読み取り。 |
sessions:write | セッションの作成 + キャンセル。 |
participants:read | 参加者と履歴書データの読み取り。 |
participants:write | 参加者の作成 + 更新。 |
templates:read | 評価テンプレート + ステージの読み取り。 |
webhooks:write | Webhook エンドポイントの管理。 |
必要最小限のスコープを選ぶ
スコープは加算式です。キーには必要な範囲だけを付与してください。
| スコープ | 付与される権限 |
|---|---|
candidates.read / .write / .delete | 参加者の読み取り / 作成・更新 / 削除 |
interviews.read / .write | セッションとエージェントプロファイルの読み取り / 作成 |
evaluation_templates.read / .write | 評価テンプレートの読み取り / 管理 |
evaluation_stages.read / .write | ステージの読み取り / 管理 |
programs.read / .write | プログラムと登録の読み取り / 管理 |
リクエストを認可する
x-api-key ヘッダーでキーを送信します。
セッション(Cookie)認証
サインイン済みのダッシュボードセッションから行うリクエストは、キーの代わりに Cookie で認証できます。これらの呼び出しでは、API がワークスペースを解決できるよう、チームスラッグをaccountSlug クエリパラメータとして渡してください。
キーをローテーションする
APIキーは自動的には失効しません。組織のシークレット管理スケジュール(90日が一般的)に従ってローテーションしてください。古いキーを失効させる
トラフィックが移行したことを確認したら(古いキーの監査ログが静かになります)、そのキーを失効させます。失効は即座に反映されます。失効したキーを使用した処理中のリクエストは
401 を返します。レート制限
制限はプランに応じて変動します。すべてのレスポンスにはレート制限ヘッダーが含まれます。429 Too Many Requests には Retry-After ヘッダー(秒単位)が含まれます。バックオフして再試行するか、処理をバッチ化してリクエスト頻度を下げてください。
認証エラー
401 Unauthorized
APIキーが欠落、不正な形式、または失効しています。
x-api-key ヘッダーを確認し、Developer → API Keys でキーを検証してください。402 Payment Required
ワークスペースに有効な有料プランがない(またはクレジットを使い切っている)状態です。候補者向けの応募フローはトライアル中も引き続き機能しますが、プログラムによるセッション作成には有料プランが必要です。
403 Forbidden
キー自体は有効ですが、このエンドポイントが必要とするスコープがありません。不足しているスコープを追加するか、別のキーを使用してください。
OAuth、SSO スコープ付きトークン、またはサービスアカウントが必要ですか? [email protected] までお問い合わせください。