Gateway
認証
OpenClaw はモデルプロバイダー向けに OAuth と APIキーをサポートします。常時稼働の Gateway ホストでは、通常 APIキーが最も予測しやすい選択肢です。サブスクリプション/OAuth フローも、プロバイダーアカウントのモデルに合う場合はサポートされます。
完全な OAuth フローとストレージ
レイアウトについては、/concepts/oauth を参照してください。
SecretRef ベースの認証(env/file/exec プロバイダー)については、シークレット管理 を参照してください。
models status --probe で使われる資格情報の適格性/理由コードのルールについては、
認証資格情報セマンティクス を参照してください。
推奨セットアップ(APIキー、任意のプロバイダー)
長時間稼働する Gateway を実行している場合は、選択した プロバイダーの APIキーから始めてください。 Anthropic については特に、APIキー認証が今でも最も予測しやすいサーバー セットアップですが、OpenClaw はローカルの Claude CLI ログインの再利用もサポートします。
- プロバイダーコンソールで APIキーを作成します。
- それを Gateway ホスト(
openclaw gatewayを実行しているマシン)に置きます。
export <PROVIDER>_API_KEY="..."openclaw models status- Gateway が systemd/launchd の下で実行される場合は、デーモンが読み取れるように、
~/.openclaw/.envにキーを置くことを推奨します。
cat >> ~/.openclaw/.env <<'EOF'<PROVIDER>_API_KEY=...EOFその後、デーモンを再起動(または Gateway プロセスを再起動)し、再確認します。
openclaw models statusopenclaw doctorenv vars を自分で管理したくない場合は、オンボーディングでデーモン利用向けに
APIキーを保存できます: openclaw onboard。
env の継承(env.shellEnv、
~/.openclaw/.env、systemd/launchd)の詳細は ヘルプ を参照してください。
Anthropic: Claude CLI とトークン互換性
Anthropic setup-token 認証は、サポート対象のトークン
パスとして OpenClaw で引き続き利用できます。その後 Anthropic スタッフから、OpenClaw 形式の Claude CLI 利用は
再び許可されていると伝えられたため、Anthropic が新しいポリシーを公開しない限り、
OpenClaw はこの統合における Claude CLI の再利用と claude -p の利用を
認められたものとして扱います。ホストで Claude CLI の再利用が利用可能な場合、現在はそれが推奨パスです。
長時間稼働する Gateway ホストでは、Anthropic APIキーが今でも最も予測しやすい セットアップです。同じホスト上の既存の Claude ログインを再利用したい場合は、 オンボーディング/設定で Anthropic Claude CLI パスを使用してください。
Claude CLI 再利用の推奨ホストセットアップ:
# Run on the gateway hostclaude auth loginclaude auth status --textopenclaw models auth login --provider anthropic --method cli --set-defaultこれは 2 段階のセットアップです。
- Gateway ホスト上で Claude Code 自体を Anthropic にログインさせます。
- OpenClaw に、Anthropic モデル選択をローカルの
claude-cliバックエンドへ切り替え、対応する OpenClaw 認証プロファイルを保存するよう指示します。
claude が PATH 上にない場合は、先に Claude Code をインストールするか、
agents.defaults.cliBackends.claude-cli.command を実際のバイナリパスに設定してください。
手動トークン入力(任意のプロバイダー。エージェントごとの SQLite 認証ストアに書き込み、設定を更新します):
openclaw models auth paste-token --provider openrouter認証プロファイルストアは資格情報のみを保持します。レガシーの auth-profiles.json ファイルは、この正規形を使用していました。
{ "version": 1, "profiles": { "openrouter:default": { "type": "api_key", "provider": "openrouter", "key": "OPENROUTER_API_KEY" } }}OpenClaw は現在、各エージェントの openclaw-agent.sqlite から認証プロファイルを読み取ります。古いインストールに auth-profiles.json、auth-state.json、または { "openrouter": { "apiKey": "..." } } のようなフラットな認証プロファイルファイルがまだある場合は、openclaw doctor --fix を実行して SQLite にインポートしてください。doctor は元の JSON ファイルの隣にタイムスタンプ付きバックアップを保持します。baseUrl、api、モデル ID、ヘッダー、タイムアウトなどのエンドポイント詳細は、認証プロファイルではなく、openclaw.json または models.json の models.providers.<id> に属します。
Bedrock auth: "aws-sdk" などの外部認証ルートも資格情報ではありません。名前付きの Bedrock ルートが必要な場合は、openclaw.json に auth.profiles.<id>.mode: "aws-sdk" を置いてください。認証プロファイルストアに type: "aws-sdk" を書き込まないでください。openclaw doctor --fix は、レガシーの AWS SDK マーカーを資格情報ストアから設定メタデータへ移動します。
静的資格情報では、認証プロファイル参照もサポートされます。
api_key資格情報はkeyRef: { source, provider, id }を使用できますtoken資格情報はtokenRef: { source, provider, id }を使用できます- OAuth モードのプロファイルは SecretRef 資格情報をサポートしません。
auth.profiles.<id>.modeが"oauth"に設定されている場合、そのプロファイルに対する SecretRef バックのkeyRef/tokenRef入力は拒否されます。
自動化向けチェック(期限切れ/欠落時は終了 1、期限切れ間近は 2):
openclaw models status --checkライブ認証プローブ:
openclaw models status --probe注:
- プローブ行は、認証プロファイル、env 資格情報、または
models.jsonから来る場合があります。 - 明示的な
auth.order.<provider>が保存済みプロファイルを省略している場合、プローブはそのプロファイルを試行せずにexcluded_by_auth_orderを報告します。 - 認証は存在するが、OpenClaw がそのプロバイダーについてプローブ可能なモデル候補を解決できない場合、
プローブは
status: no_modelを報告します。 - レート制限のクールダウンはモデルスコープの場合があります。ある モデルでクールダウン中のプロファイルでも、同じプロバイダー上の兄弟モデルでは引き続き使用できる場合があります。
任意の運用スクリプト(systemd/Termux)はここに記載されています: 認証監視スクリプト
Anthropic の注記
Anthropic claude-cli バックエンドは再びサポートされています。
- Anthropic スタッフから、この OpenClaw 統合パスは再び許可されていると伝えられました。
- そのため OpenClaw は、Anthropic が新しいポリシーを公開しない限り、Anthropic バックの実行における Claude CLI の再利用と
claude -pの利用を 認められたものとして扱います。 - Anthropic APIキーは、長時間稼働する Gateway ホストと明示的なサーバー側課金管理において、引き続き最も予測しやすい選択肢です。
モデル認証ステータスの確認
openclaw models statusopenclaw doctorAPIキーのローテーション動作(Gateway)
一部のプロバイダーは、API 呼び出しがプロバイダーのレート制限に 達した場合に、代替キーでリクエストを再試行することをサポートします。
- 優先順位:
OPENCLAW_LIVE_<PROVIDER>_KEY(単一の上書き)<PROVIDER>_API_KEYS<PROVIDER>_API_KEY<PROVIDER>_API_KEY_*
- Google プロバイダーは、追加のフォールバックとして
GOOGLE_API_KEYも含めます。 - 同じキーリストは使用前に重複排除されます。
- OpenClaw は、レート制限エラー(たとえば
429、rate_limit、quota、resource exhausted、Too many concurrent requests、ThrottlingException、concurrency limit reached、またはworkers_ai ... quota limit exceeded)の場合にのみ、次のキーで再試行します。 - レート制限以外のエラーでは、代替キーによる再試行は行われません。
- すべてのキーが失敗した場合、最後の試行の最終エラーが返されます。
Gateway 実行中にプロバイダー認証を削除する
プロバイダー認証が Gateway コントロールプレーンを通じて削除されると、OpenClaw は
そのプロバイダーの保存済み認証プロファイルを削除し、選択されたモデルプロバイダーが削除されたプロバイダーに一致するアクティブなチャットまたはエージェント実行を
中止します。中止された実行は、通常のチャットキャンセルイベントとライフサイクルイベントを
stopReason: "auth-revoked" とともに発行するため、接続中のクライアントは資格情報が削除されたため実行が
停止されたことを表示できます。
保存済み認証の削除は、プロバイダー側のキーを取り消しません。プロバイダー側で無効化する必要がある場合は、 プロバイダーダッシュボードでキーをローテーションまたは取り消してください。
使用する資格情報を制御する
OpenAI とレガシー openai-codex ID
OpenAI APIキー プロファイルと ChatGPT/Codex OAuth プロファイルは、どちらも正規の
プロバイダー ID openai を使用します。新しい設定では openai:* プロファイル ID と
auth.order.openai を使用してください。
古い設定、認証プロファイル ID、または
auth.order.openai-codex に openai-codex がある場合、それはレガシー移行入力として扱ってください。新しい
openai-codex プロファイルは作成しないでください。次を実行します。
openclaw doctor --fixopenclaw models auth list --provider openaiDoctor は、レガシーの openai-codex:* プロファイル ID と
auth.order.openai-codex エントリを、正規の openai 認証ルートに書き換えます。
OpenAI 固有のモデル/ランタイムルーティングについては、OpenAI を参照してください。
ログイン中(CLI)
ログイン中に名前付き認証プロファイルをサポートするプロバイダーでは、
openclaw models auth login --provider <id> --profile-id <profileId> を使用します。
openclaw models auth login --provider openai --profile-id openai:ritsukoopenclaw models auth login --provider openai --profile-id openai:lainこれは、同じプロバイダーの複数の OAuth ログインを 1 つのエージェント内で 分離して保持する最も簡単な方法です。
保存済みプロバイダープロファイルがスタックしている、期限切れ、または
間違ったアカウントに結び付いていて、通常のログインコマンドがそれを再利用し続ける場合は、--force を使用します。--force は、選択されたエージェントディレクトリ内のそのプロバイダーの保存済み認証プロファイルを削除し、
同じプロバイダー認証フローを再度実行します。これはプロバイダー側の資格情報を取り消しません。
プロバイダー側で無効化する必要がある場合は、プロバイダーダッシュボードでローテーションまたは取り消してください。
openclaw models auth login --provider anthropic --forceセッションごと(チャットコマンド)
現在のセッションに特定のプロバイダー資格情報を固定するには、/model <alias-or-id>@<profileId> を使用します(プロファイル ID の例: anthropic:default、anthropic:work)。
コンパクトなピッカーには /model(または /model list)を使用し、完全なビュー(候補 + 次の認証プロファイル、さらに設定済みの場合はプロバイダーエンドポイント詳細)には /model status を使用します。
エージェントごと(CLI 上書き)
エージェントの明示的な認証プロファイル順序の上書きを設定します(そのエージェントの SQLite 認証状態に保存されます)。
openclaw models auth order get --provider anthropicopenclaw models auth order set --provider anthropic anthropic:defaultopenclaw models auth order clear --provider anthropic特定のエージェントを対象にするには --agent <id> を使用します。省略すると、設定済みの既定エージェントが使用されます。
順序の問題をデバッグするとき、openclaw models status --probe は、省略された
保存済みプロファイルを暗黙にスキップするのではなく、excluded_by_auth_order として表示します。
クールダウンの問題をデバッグするときは、レート制限のクールダウンが
プロバイダープロファイル全体ではなく 1 つのモデル ID に結び付いている場合があることを覚えておいてください。
すでに実行中のチャットで認証順序またはプロファイル固定を変更した場合は、
そのチャットで /new または /reset を送信して新しいセッションを開始してください。既存の
セッションは、リセットされるまで現在のモデル/プロファイル選択を維持できます。
トラブルシューティング
「資格情報が見つかりません」
Anthropic プロファイルがない場合は、Gateway ホストに Anthropic APIキーを設定するか、 Anthropic setup-token パスをセットアップしてから、再確認します。
openclaw models statusトークンが期限切れ間近/期限切れ
どのプロファイルが期限切れになりつつあるかを確認するには、openclaw models status を実行します。
Anthropic トークンプロファイルがない、または期限切れの場合は、そのセットアップを
setup-token で更新するか、Anthropic APIキーに移行してください。