認証(モデルプロバイダー)
このページではモデルプロバイダーの認証(APIキー、OAuth、Claude CLIの再利用、Anthropic setup-token)を扱います。Gateway接続の認証(トークン、パスワード、trusted-proxy)については、Configuration と Trusted Proxy Auth を参照してください。
env/file/exec プロバイダー)については、Secrets Management を参照してください。
models status --probe で使用される認証情報の適格性/理由コードのルールについては、
Auth Credential Semantics を参照してください。
推奨セットアップ(APIキー、任意のプロバイダー)
長時間稼働するGatewayを動かしている場合は、選択した プロバイダーのAPIキーから始めてください。 Anthropicについては特に、APIキー認証が依然として最も予測しやすいサーバー向け セットアップですが、OpenClawはローカルのClaude CLIログインの再利用もサポートしています。- プロバイダーのコンソールでAPIキーを作成します。
- それをGatewayホスト(
openclaw gatewayを実行しているマシン)に配置します。
- Gatewayがsystemd/launchdの下で動作している場合は、デーモンが読み取れるように
~/.openclaw/.envにキーを置くことを推奨します。
openclaw onboard。
env.shellEnv、~/.openclaw/.env、systemd/launchd における環境継承の詳細は Help を参照してください。
Anthropic: Claude CLIとトークン互換性
Anthropic setup-token認証は、OpenClawで引き続きサポートされているトークン 経路として利用できます。その後、Anthropicの担当者から、OpenClaw方式のClaude CLI利用は 再び許可されていると案内されたため、Anthropicが新しいポリシーを公開しない限り、 OpenClawはこの統合においてClaude CLIの再利用とclaude -p の使用を認可済みとして扱います。ホスト上で
Claude CLIの再利用が利用できる場合、現在はこちらが推奨される経路です。
長時間稼働するGatewayホストでは、Anthropic APIキーが依然として最も予測しやすい
セットアップです。同じホスト上の既存のClaudeログインを再利用したい場合は、オンボーディング/設定で
Anthropic Claude CLI経路を使用してください。
手動トークン入力(任意のプロバイダー; auth-profiles.json に書き込み + 設定を更新):
api_key認証情報はkeyRef: { source, provider, id }を使用できますtoken認証情報はtokenRef: { source, provider, id }を使用できます- OAuthモードのプロファイルはSecretRef認証情報をサポートしません。
auth.profiles.<id>.modeが"oauth"に設定されている場合、そのプロファイルへのSecretRefベースのkeyRef/tokenRef入力は拒否されます。
1、期限切れ間近で 2):
- プローブ行は、認証プロファイル、環境認証情報、または
models.jsonから来ることがあります。 - 明示的な
auth.order.<provider>で保存済みプロファイルが省かれている場合、プローブは そのプロファイルを試す代わりにexcluded_by_auth_orderを報告します。 - 認証が存在していても、そのプロバイダー向けにプローブ可能なモデル候補をOpenClawが解決できない場合、
プローブは
status: no_modelを報告します。 - レート制限のクールダウンはモデル単位である場合があります。ある モデルでクールダウン中のプロファイルでも、同じプロバイダー上の別のモデルでは使用可能なことがあります。
Anthropicに関する注記
Anthropicのclaude-cli バックエンドは再びサポートされています。
- Anthropicの担当者は、このOpenClaw統合経路は再び許可されていると案内しました。
- そのためOpenClawは、Anthropicが新しいポリシーを公開しない限り、
Anthropicベースの実行におけるClaude CLIの再利用と
claude -pの使用を認可済みとして扱います。 - Anthropic APIキーは、長時間稼働するGateway ホストと、明示的なサーバー側課金制御において、依然として最も予測しやすい選択肢です。
モデル認証ステータスの確認
APIキーのローテーション動作(Gateway)
一部のプロバイダーは、API呼び出しがプロバイダーのレート制限に達した場合に、 別のキーでリクエストを再試行することをサポートしています。- 優先順位:
OPENCLAW_LIVE_<PROVIDER>_KEY(単一のオーバーライド)<PROVIDER>_API_KEYS<PROVIDER>_API_KEY<PROVIDER>_API_KEY_*
- Googleプロバイダーでは、追加のフォールバックとして
GOOGLE_API_KEYも含まれます。 - 同じキー一覧は使用前に重複排除されます。
- OpenClawは、レート制限エラーの場合にのみ次のキーで再試行します(たとえば
429、rate_limit、quota、resource exhausted、Too many concurrent requests、ThrottlingException、concurrency limit reached、またはworkers_ai ... quota limit exceeded)。 - レート制限以外のエラーでは、代替キーで再試行しません。
- すべてのキーが失敗した場合は、最後の試行での最終エラーが返されます。
使用する認証情報の制御
セッションごと(チャットコマンド)
現在のセッションで特定のプロバイダー認証情報を固定するには、/model <alias-or-id>@<profileId> を使用します(プロファイルIDの例: anthropic:default、anthropic:work)。
簡易ピッカーには /model(または /model list)を、完全表示には /model status を使用します(候補 + 次の認証プロファイル。設定されている場合はプロバイダーのエンドポイント詳細も表示)。
エージェントごと(CLIオーバーライド)
エージェントに対する明示的な認証プロファイル順序のオーバーライドを設定します(そのエージェントのauth-state.json に保存されます)。
--agent <id> を使用します。省略すると、設定されたデフォルトエージェントが使用されます。
順序の問題をデバッグするときは、openclaw models status --probe により、省かれた
保存済みプロファイルは黙ってスキップされるのではなく excluded_by_auth_order として表示されます。
クールダウンの問題をデバッグするときは、レート制限のクールダウンが
プロバイダープロファイル全体ではなく1つのモデルIDに結びついている可能性があることを覚えておいてください。
トラブルシューティング
「認証情報が見つかりません」
Anthropicプロファイルがない場合は、 GatewayホストにAnthropic APIキーを設定するか、Anthropic setup-token経路を設定してから、再確認してください。トークンの有効期限切れ/期限切れ間近
どのプロファイルの期限が近いかを確認するにはopenclaw models status を実行します。Anthropicの
トークンプロファイルが存在しない、または期限切れの場合は、
setup-tokenでその設定を更新するか、Anthropic APIキーへ移行してください。