認証
OpenClawはモデルプロバイダーへの認証としてOAuthとAPIキーをサポートしています。常時稼働のゲートウェイホストでは、APIキーが最も安定した選択肢です。プロバイダーのアカウントモデルに合致する場合は、サブスクリプション/OAuthフローも利用できます。
完全なOAuthフローとストレージレイアウトについては/concepts/oauthを参照してください。
SecretRefベースの認証(env/file/execプロバイダー)についてはSecrets Managementを参照してください。
models status --probeで使用される資格情報の適格性やリーズンコードのルールについてはAuth Credential Semanticsを参照してください。
推奨セットアップ(APIキー、全プロバイダー共通)
長期稼働のゲートウェイを運用する場合は、使用するプロバイダーのAPIキーから始めるのが確実です。 特にAnthropicの場合、APIキー認証が最も安全な方法であり、サブスクリプションのsetup-token認証よりも推奨されます。
- プロバイダーのコンソールでAPIキーを作成します。
- ゲートウェイホスト(
openclaw gatewayを実行するマシン)にキーを配置します。
export <PROVIDER>_API_KEY="..."
openclaw models status- Gatewayをsystemd/launchdで実行している場合は、デーモンから読み取れるよう
~/.openclaw/.envにキーを記述するのが望ましい方法です:
cat >> ~/.openclaw/.env <<'EOF'
<PROVIDER>_API_KEY=...
EOFデーモン(またはGatewayプロセス)を再起動し、確認します:
openclaw models status
openclaw doctor環境変数を手動で管理したくない場合は、オンボーディングウィザードでAPIキーをデーモン用に保存できます:openclaw onboard
環境変数の継承(env.shellEnv、~/.openclaw/.env、systemd/launchd)の詳細についてはHelpを参照してください。
Anthropic: setup-token(サブスクリプション認証)
Claudeサブスクリプションを利用している場合、setup-tokenフローが使えます。ゲートウェイホストで実行してください:
claude setup-token取得したトークンをOpenClawに入力します:
openclaw models auth setup-token --provider anthropic別のマシンでトークンを作成した場合は、手動で貼り付けます:
openclaw models auth paste-token --provider anthropic次のようなAnthropicエラーが表示された場合:
This credential is only authorized for use with Claude Code and cannot be used for other API requests.…代わりにAnthropic APIキーを使用してください。
警告: Anthropicのsetup-tokenサポートは技術的な互換性のみを目的としています。Anthropicは過去にClaude Code以外でのサブスクリプション利用を制限したことがあります。ポリシーリスクを許容できると判断した場合にのみ使用し、Anthropicの最新の利用規約を自身で確認してください。
手動トークン入力(任意のプロバイダー、auth-profiles.jsonへの書き込み+設定の更新):
openclaw models auth paste-token --provider anthropic
openclaw models auth paste-token --provider openrouter認証プロファイル参照は静的な資格情報にも対応しています:
api_key資格情報ではkeyRef: { source, provider, id }が使用可能token資格情報ではtokenRef: { source, provider, id }が使用可能
自動化向けチェック(期限切れ/未設定で終了コード1、期限間近で2):
openclaw models status --check運用スクリプト(systemd/Termux)のオプションはこちらで説明されています: /automation/auth-monitoring
claude setup-tokenにはインタラクティブTTYが必要です。
モデル認証ステータスの確認
openclaw models status
openclaw doctorAPIキーローテーションの動作(ゲートウェイ)
一部のプロバイダーでは、API呼び出しがプロバイダーのレート制限に達した際に代替キーでリクエストを再試行できます。
- 優先順位:
OPENCLAW_LIVE_<PROVIDER>_KEY(単一オーバーライド)<PROVIDER>_API_KEYS<PROVIDER>_API_KEY<PROVIDER>_API_KEY_*
- Googleプロバイダーでは
GOOGLE_API_KEYも追加のフォールバックとして含まれます。 - 同一キーリストは使用前に重複排除されます。
- OpenClawはレート制限エラー(例:
429、rate_limit、quota、resource exhausted)の場合にのみ次のキーで再試行します。 - レート制限以外のエラーでは代替キーによる再試行は行われません。
- すべてのキーが失敗した場合、最後の試行のエラーが返されます。
使用する資格情報の制御
セッション単位(チャットコマンド)
/model <alias-or-id>@<profileId>で、現在のセッションに特定のプロバイダー資格情報を固定できます(プロファイルIDの例:anthropic:default、anthropic:work)。
/model(または/model list)でコンパクトなピッカーを表示、/model statusで完全なビュー(候補+次の認証プロファイル、設定済みプロバイダーエンドポイントの詳細)を表示できます。
エージェント単位(CLIオーバーライド)
エージェントの明示的な認証プロファイル順序オーバーライドを設定します(そのエージェントのauth-profiles.jsonに保存):
openclaw models auth order get --provider anthropic
openclaw models auth order set --provider anthropic anthropic:default
openclaw models auth order clear --provider anthropic--agent <id>で特定のエージェントを対象にします。省略すると設定済みのデフォルトエージェントが使用されます。
トラブルシューティング
”No credentials found”
Anthropicのトークンプロファイルが見つからない場合は、ゲートウェイホストでclaude setup-tokenを実行し、再確認します:
openclaw models statusトークンの期限切れ/期限間近
openclaw models statusでどのプロファイルが期限間近かを確認します。プロファイルが見つからない場合は、claude setup-tokenを再実行してトークンを再度貼り付けてください。
要件
- Anthropicサブスクリプションアカウント(
claude setup-token用) - Claude Code CLIがインストール済み(
claudeコマンドが利用可能)