Authentication (Model Providers)
このページでは、モデルプロバイダーの認証(API キー、OAuth、Claude CLI の再利用)を扱います。Gateway 接続の認証(トークン、パスワード、trusted-proxy)については、Configuration と Trusted Proxy Auth を参照してください。
env/file/exec プロバイダー)については、Secrets Management を参照してください。
models status --probe で使用される認証情報の適格性/理由コードのルールについては、
Auth Credential Semantics を参照してください。
推奨セットアップ(API キー、任意のプロバイダー)
長期間動作する Gateway を実行している場合は、選択した プロバイダーの API キーから始めてください。 Anthropic については特に、API キー認証が安全な経路です。Claude CLI の再利用は、 サポートされているもう 1 つのサブスクリプション型セットアップ経路です。- プロバイダーのコンソールで API キーを作成します。
- それを Gateway ホスト(
openclaw gatewayを実行しているマシン)に配置します。
- Gateway が systemd/launchd 配下で動作している場合は、デーモンが読み取れるように、
キーを
~/.openclaw/.envに置くことを推奨します:
openclaw onboard。
env の継承(env.shellEnv、
~/.openclaw/.env、systemd/launchd)の詳細は Help を参照してください。
Anthropic: レガシートークン互換性
Anthropic の setup-token 認証は、OpenClaw で レガシー/手動経路として引き続き利用可能です。Anthropic の公開 Claude Code ドキュメントでは引き続き Claude プラン下での Claude Code の端末直接利用が扱われていますが、Anthropic は別途 OpenClaw ユーザーに対し、OpenClaw の Claude ログイン経路はサードパーティ ハーネス利用として扱われ、サブスクリプションとは別請求の Extra Usage が必要だと伝えています。 もっとも明確なセットアップ経路としては、Anthropic API キーを使うか、Gateway ホスト上の Claude CLI へ移行してください。 手動トークン入力(任意のプロバイダー。auth-profiles.json に書き込み、設定も更新):
api_key認証情報ではkeyRef: { source, provider, id }を使用できますtoken認証情報ではtokenRef: { source, provider, id }を使用できます- OAuth モードのプロファイルは SecretRef 認証情報をサポートしません。
auth.profiles.<id>.modeが"oauth"に設定されている場合、そのプロファイルに対する SecretRef ベースのkeyRef/tokenRef入力は拒否されます。
1、期限切れ間近なら 2):
- プローブ行は、認証プロファイル、env 認証情報、または
models.jsonから取得されることがあります。 - 明示的な
auth.order.<provider>で保存済みプロファイルが省かれている場合、 プローブはそのプロファイルを試す代わりにexcluded_by_auth_orderを報告します。 - 認証情報が存在しても、その
プロバイダーに対してプローブ可能なモデル候補を OpenClaw が解決できない場合、プローブは
status: no_modelを報告します。 - レート制限クールダウンはモデル単位の場合があります。ある モデルでクールダウン中のプロファイルでも、同じプロバイダー上の兄弟モデルでは引き続き利用可能なことがあります。
Anthropic: Claude CLI への移行
Claude CLI がすでに Gateway ホストにインストールされ、そのホストでサインイン済みなら、 既存の Anthropic セットアップを CLI バックエンドに切り替えられます。これは、 そのホスト上のローカル Claude CLI ログインを再利用するための、サポートされた OpenClaw 移行経路です。 前提条件:- Gateway ホストに
claudeがインストールされていること - そのホストで Claude CLI が
claude auth loginによりすでにサインイン済みであること
claude-cli/... に変更され、対応する Claude CLI の
許可リストエントリが agents.defaults.models に追加されます。
確認:
openclaw onboard と openclaw configure では、Anthropic について引き続き Claude CLI
が優先されますが、Anthropic の setup-token は再び
レガシー/手動経路として利用可能であり、Extra Usage の課金前提で使う必要があります。
モデル認証状態の確認
API キーローテーション動作(Gateway)
一部のプロバイダーでは、API 呼び出しがプロバイダーのレート制限に 達したとき、代替キーでリクエストを再試行できます。- 優先順:
OPENCLAW_LIVE_<PROVIDER>_KEY(単一の上書き)<PROVIDER>_API_KEYS<PROVIDER>_API_KEY<PROVIDER>_API_KEY_*
- Google プロバイダーでは、追加のフォールバックとして
GOOGLE_API_KEYも含まれます。 - 同一のキー一覧は、使用前に重複排除されます。
- OpenClaw は、レート制限エラーに対してのみ次のキーで再試行します(例:
429、rate_limit、quota、resource exhausted、Too many concurrent requests、ThrottlingException、concurrency limit reached、またはworkers_ai ... quota limit exceeded)。 - レート制限以外のエラーでは、代替キーで再試行しません。
- すべてのキーが失敗した場合、最後の試行での最終エラーが返されます。
どの認証情報を使うかを制御する
セッションごと(チャットコマンド)
/model <alias-or-id>@<profileId> を使って、現在のセッションに特定のプロバイダー認証情報を固定します(プロファイル id の例: anthropic:default、anthropic:work)。
コンパクトなピッカーには /model(または /model list)を使い、完全表示には /model status を使います(候補 + 次の認証プロファイル。設定されている場合はプロバイダーエンドポイントの詳細も表示)。
エージェントごと(CLI オーバーライド)
エージェントに明示的な認証プロファイル順序のオーバーライドを設定します(そのエージェントのauth-profiles.json に保存):
--agent <id> を使います。省略すると、設定済みのデフォルトエージェントが使われます。
順序の問題をデバッグする際、openclaw models status --probe は、
省略された保存済みプロファイルを黙ってスキップするのではなく
excluded_by_auth_order として表示します。
クールダウンの問題をデバッグする際は、レート制限クールダウンが
プロバイダープロファイル全体ではなく 1 つのモデル id に紐づいていることがある点に注意してください。
トラブルシューティング
「認証情報が見つかりません」
Anthropic プロファイルがない場合は、そのセットアップを Gateway ホスト 上の Claude CLI または API キーに移行してから、再確認してください:トークンの期限切れ/期限切れ間近
どのプロファイルが期限切れ間近かを確認するにはopenclaw models status を実行してください。レガシーの
Anthropic トークンプロファイルがない、または期限切れの場合は、そのセットアップを Claude CLI
または API キーに移行してください。
Claude CLI の要件
Anthropic の Claude CLI 再利用経路でのみ必要です:- Claude Code CLI がインストールされていること(
claudeコマンドが使用可能)