# アクセス権と API キーを管理

サンドボックスにアクセスできるユーザーを管理します。

[Stripe ダッシュボード](https://dashboard.stripe.com/)を使用して、サンドボックスへのアクセスをユーザーに許可します。

## アクセスを管理

本番アカウントの設定または本番組織の設定にある[チーム管理](https://docs.stripe.com/get-started/account/teams.md)を使用して、またはサンドボックスや組織サンドボックスから直接、サンドボックスへのアクセスを管理できます。

役割を直接割り当てることで、特定のサンドボックスへのアクセス権をユーザーに付与できます。サンドボックスでは、ユーザーが他のサンドボックス、本番アカウント、本番組織で持っている役割とは異なる役割を割り当てることができます。

組織サンドボックスへのアクセス権を付与するには、本番組織の役割をユーザーに割り当てる必要があります。

## API キーを管理する

Stripe は、サンドボックスに関連付けられた API キーを使用して、該当するサンドボックス環境のために作成された API リクエストを認証します。キーを含めない場合は、[無効なリクエストエラー](https://docs.stripe.com/error-handling.md#invalid-request-errors)、誤ったキーや古いキーを使用した場合は、[認証エラー](https://docs.stripe.com/error-handling.md#authentication-errors)が Stripe から返されます。

サンドボックスの[開発者ダッシュボード](https://dashboard.stripe.com/test/apikeys)を使用して、API キーの表示、取り消し、作成を行います。[API キー](https://docs.stripe.com/keys.md)について説明します。

## アカウント内のすべてのサンドボックスへのアクセス権をユーザーに付与する

本番アカウントのチームメンバーにサンドボックス管理者の役割を割り当てると、メンバーはそのアカウントに関連付けられているすべてのサンドボックスにアクセスできるようになります。

本番アカウントに関連付けられているサンドボックスにチームメンバーを追加するには、以下の手順に従います。

1. ダッシュボードの本番環境のアカウントに移動します。
1. ダッシュボードで、アカウントピッカー > **設定** をクリックします。
1. **チームとセキュリティ** > **+ メンバーを追加** をクリックして、1 つ以上のメールアドレスを入力します。[サンドボックス管理者のロール](https://docs.stripe.com/get-started/account/teams/roles.md)を選択します。
1. **招待を送信**をクリックします。

## 組織内のすべてのサンドボックスへのアクセス権をユーザーに付与する

本番組織のチームメンバーにサンドボックス管理者の役割を割り当てると、メンバーはその組織に関連付けられているすべての組織サンドボックスと、組織内の本番アカウントに関連付けられているすべてのサンドボックスにアクセスできるようになります。

本番組織に関連付けられているすべてのサンドボックスと組織サンドボックスにチームメンバーを追加するには、以下の手順に従います。

1. ダッシュボードで、本番組織に移動します。
1. ダッシュボードで、アカウントピッカー > **設定** をクリックします。
1. **チームとセキュリティ** > **+ メンバーを追加** をクリックして、1 つ以上のメールアドレスを入力します。[サンドボックス管理者のロール](https://docs.stripe.com/get-started/account/teams/roles.md)を選択します。
1. **招待を送信**をクリックします。

## ユーザーにテスト環境のみのアクセス権限を付与する

チームメンバーにサンドボックスユーザーの役割を付与すると、サンドボックスを作成したり、作成したサンドボックスを削除したりするためのアクセス権が付与されます。

本番アカウントや本番組織の詳細へのアクセス権を付与せずに、本番アカウントや本番組織に関連付けられているサンドボックスに_のみ_追加のチームメンバーを招待するには、以下の手順に従います。

1. ダッシュボードで、本番アカウントまたは本番組織に移動します。
1. ダッシュボードで、アカウントピッカー > **設定** をクリックします。
1. **チームとセキュリティ** > **+ メンバーを追加**をクリックして、1 つ以上のメールアドレスを入力します。[サンドボックスユーザーのロール](https://docs.stripe.com/get-started/account/teams/roles.md)を選択します。
1. **招待を送信**をクリックします。

## ユーザーに特定のサンドボックスへのアクセス権限を付与する

特定のサンドボックスまたは組織サンドボックスに追加のチームメンバーを招待するには、以下の手順に従います。

1. ダッシュボードで、サンドボックスまたは組織サンドボックスに移動します。
1. ダッシュボードで、アカウントピッカー > **設定** をクリックします。
1. **チームとセキュリティ** > **+ メンバーを追加**をクリックして、1 つ以上のメールアドレスを入力し、役割を選択します。
1. **招待を送信**をクリックします。

> 招待されたユーザーに本番環境の役割が設定されていない場合、Stripe はそのユーザーに本番アカウントまたは本番組織のサンドボックスユーザーの役割を自動的に割り当てます。

## サンドボックスへのユーザーアクセスを取り消す

ユーザーのアクセス許可を取り消すには、以下の手順に従います。

1. ダッシュボードで、そのユーザーが役割を割り当てられている本番アカウント、本番組織、サンドボックス、組織サンドボックスに移動します。
1. ダッシュボードで、アカウントピッカー > **設定** をクリックします。
1. **チームとセキュリティ**をクリックして、オーバーフローメニュー (⋯) をクリックします。
1. **メンバーを削除**をクリックして、アクセス権を取り消します。

## SSO によるサンドボックスへのユーザーアクセスの管理

サンドボックス内のロールを指定するように属性ステートメントを更新することで、[シングルサインオン (SSO)](https://docs.stripe.com/get-started/account/sso/okta.md#assign-stripe-roles) SAML アサーションによるサンドボックスへのアクセスを管理できます。

ユーザーが SSO を介してサンドボックスにアクセスするには、以下が必要です。

- 本番環境の親でのロール (本番組織または本番アカウント)
- 特定のサンドボックスまたは本番アカウントのサンドボックスへのアクセスを許可するロール

本番アカウントの以下のロールは、サンドボックスへのアクセスを自動的に提供します。

- **管理者とスーパー管理者**: 管理者とスーパー管理者のユーザーは、アカウントまたは組織の下にあるすべてのサンドボックスを作成、管理、表示できます。
- **開発者**: 開発者ユーザーは、新しいサンドボックスを作成し、自分で作成したサンドボックスにアクセスできます。
- **サンドボックス管理者**: サンドボックス管理者のユーザーは、アカウントまたは組織の下にあるすべてのサンドボックスを作成、管理、および表示できます。ただし、このロールでは本番環境の権限は付与されません。
- **サンドボックスユーザー**: サンドボックスユーザーは、サンドボックスのみにアクセスできます。本番環境のアカウントでは権限がありません。開発者と同様に、新しいサンドボックスを作成し、自分で作成したサンドボックスにアクセスできます。

これらのロールの詳細については、[ユーザーロール](https://docs.stripe.com/get-started/account/teams/roles.md)を参照してください。

### SSO の設定例

次の例は、SAML 属性ステートメントを使用してサンドボックスへのアクセスを許可するように ID プロバイダー (IdP) を設定する方法を示しています。

#### 特定のサンドボックスへのアクセス権限を付与する

ユーザーに特定のサンドボックスへのアクセスを許可するには、IdP 管理者が SAML アサーションでサンドボックスアカウント ID を含むロール属性を送信する必要があります。

たとえば、ユーザーに特定のサンドボックスアカウントで `analyst` ロールを付与するには、以下のようにします。

```xml
<Attribute Name="Stripe-Role-acct_SANDBOX_ID">
    <AttributeValue>
        analyst
    </AttributeValue>
</Attribute>
```

#### ユーザーが独自のサンドボックスを作成して管理できるようにする

ユーザーに独自のサンドボックスを作成する権限を付与するには、本番アカウントで `sandbox_user` ロールを割り当てます。

```xml
<Attribute Name="Stripe-Role-acct_LIVEMODE_ACCOUNT_ID">
    <AttributeValue>
        sandbox_user
    </AttributeValue>
</Attribute>
```

本番アカウントでユーザーに追加の権限を付与する場合は、`sandbox_user` ロールを他のロールと組み合わせることができます。

```xml
<Attribute Name="Stripe-Role-acct_LIVEMODE_ACCOUNT_ID">
    <AttributeValue>
        analyst
    </AttributeValue>
    <AttributeValue>
        sandbox_user
    </AttributeValue>
</Attribute>
```

ユーザーに `sandbox_user` ロールが割り当てられている場合、ユーザーはサンドボックスを作成し、作成したサンドボックスにアクセスできます。個別のサンドボックスごとにロールステートメントを送信する必要はありません。

#### ユーザーにすべてのサンドボックスへのアクセスを許可

本番アカウントまたは組織のすべてのサンドボックスへのユーザーアクセスを許可するには、本番アカウントで `sandbox_admin` ロールを割り当てます。

```xml
<Attribute Name="Stripe-Role-acct_LIVEMODE_ACCOUNT_ID">
    <AttributeValue>
        sandbox_admin
    </AttributeValue>
</Attribute>
```

`sandbox_admin` を本番アカウントまたは組織の追加のロールと組み合わせることができます。

```xml
<Attribute Name="Stripe-Role-acct_LIVEMODE_ACCOUNT_ID">
    <AttributeValue>
        analyst
    </AttributeValue>
    <AttributeValue>
        sandbox_admin
    </AttributeValue>
</Attribute>
```

ユーザーに `sandbox_admin` ロールが割り当てられている場合、ユーザーはすべてのサンドボックスにアクセスできます。個別のサンドボックスのロールステートメントを送信する必要はありません。