# よく寄せられる質問

このセクションでは、よく寄せられる質問の回答を紹介します。

## HERE Identity and Access Management(HERE IAM) とは何ですか？

HERE Identity and Access Management(HERE IAM) を使用すると、HEREサービスおよびリソースへのアクセスを安全に管理できます。

## HERE IAMエンティティとは何ですか？

HERE IAM は、さまざまなエンティティを使用して、HERE のサービスおよびデータに安全にアクセスするための機能を提供します。エンティティの定義については、[HERE IAM のエンティティの定義](https://docs.here.com/identity-and-access-management/docs/concepts#entity-definitions)を参照してください。

## パスワードを変更するにはどうすればよいですか？

パスワードを変更するには、次の手順を実行します。

1. HEREユーザーアカウントにサインインします。
2. プロフィールの編集を選択します。
3. HERE IAMでは、パスワードや、その他の個人情報や優先設定を更新できます。
4. 詳細については、「[ユーザーアカウントを管理する](https://docs.here.com/identity-and-access-management/docs/manage-user-account)」を参照してください。

## パスワードを忘れた場合はどうすればよいですか？

パスワードを忘れた場合は、パスワードのリセットをリクエストできます。

パスワードのリセットをリクエストするには、次の手順を実行します。

1. HEREユーザーアカウントのサインインページに移動します。
2. メールアドレスを入力します。
3. 必要に応じて、組織 ID を入力します。
4. \[**Forgot your password?**]\(パスワードを忘れた場合) をクリックします。
5. HEREアカウントに関連付けられている組織IDとメールアドレスを入力してフォームを送信します。その後、パスワードをリセットするために使用できるリンクを受け取ります。

<Image align="center" border={false} src="https://files.readme.io/63d09ff0af3ded268911e0b0d9c3856ee4de7929302c5282553f554d92ced548-reset-password.png" caption="パスワードのリセット。" />

## パスワードのリセットをリクエストしましたが、メールがまだ届きません。どうすればよいですか？

HEREから送信されるメールは、通常数分以内に届きます。メールアドレスを確認し、「迷惑メール」または「スパム」フォルダーも確認してください。

## ログインに数回失敗したら、アカウントがロックされました。ロックを解除するにはどうすればよいですか？

セキュリティの理由から、HEREは無効なログイン試行をすべて追跡します。無効なログイン試行を5回行うと、アカウントは一定期間ロックされます。しばらく待ってからもう一度お試しください。パスワードを忘れた場合は、リセットしてください。

## 組織とは何ですか？なぜ組織IDを入力しなければならないのですか？

組織 (またはレルム) は、特定の会社または組織内のすべてのIAMエンティティ、HEREサービス、リソースのセキュリティを管理します。HEREプラットフォームアカウントを複数お持ちの場合、ログインするには組織IDを入力する必要があります。

## 組織IDを忘れた場合はどうすればよいですか？

組織IDをリクエストするには、次の手順を実行します。

1. HEREユーザーアカウントのサインインページに移動します。
2. メール アドレスを入力します。
3. \[**組織IDを忘れた場合**]をクリックします。

<Image align="center" border={false} src="https://files.readme.io/75b52966087d96e49b8424258a5f1e1c9c7ee9e4b014d1bfa269b474f77a7f5d-forgot-org-id.png" caption="失われたorgIDの取得。" />

## 自分の組織のHEREプラットフォームアカウントへの招待メールを受け取るにはどうすればよいですか？

組織にすでにHEREプラットフォームアカウントがある場合は、アカウント管理者に連絡して、組織に招待してもらってください。

組織管理者または組織招待主の役割を持つユーザーは、他のユーザーをHEREプラットフォームアカウントに招待できます。

## もう一度招待メールをリクエストすることはできますか？

HEREプラットフォームへの招待メールが見つからない場合や期限切れになった場合は、次の手順で新しい招待メールをリクエストできます。

1. HEREユーザーアカウントのサインインページに移動します。
2. メール アドレスを入力します。
3. 保留中の招待がある場合は、\[**Request invitation again**]\(もう一度招待をリクエスト) をクリックします。

<Image align="center" border={false} src="https://files.readme.io/2c584dcd8ddac1aacd7010ef141e82ae6d04ccb82cb463869cd3031fde9038df-resend-invitation.png" caption="新しいHERE招待のリクエスト。" />

## アカウントを無効化または削除するにはどうすればよいですか？

データを失うことなくアカウントを一時的に無効にするには、次の手順を実行します。

1. HEREユーザーアカウントにサインインします。
2. プロフィールの編集を選択します。
3. \[**アカウントを無効化**]をクリックします。

アカウントをもう一度有効にするには、同じメールアドレスとパスワードの組み合わせでサインインします。

アカウントを完全に削除して、**アカウントに関連付けられているすべてのデータを削除**するには、次の手順を実行します。

1. HEREユーザーアカウントにサインインします。
2. プロフィールの編集を選択します。
3. \[**アカウントを無効化**]をクリックします。
4. \[**Delete account**]\(アカウントを削除) をクリックします。

<Callout icon="🚧" theme="warning">
  アカウントを削除すると、アカウント内のすべてのデータも削除されます。削除したアカウントや、そのアカウント内のデータは回復できません。
</Callout>

## アプリとは何ですか？

HEREのお客様の多くは、IAMベースのアプリと資格情報を使用して、HERE CLIやAPIなどのHEREサービスへのプログラムによるアクセスを管理しています。詳細については、「[アプリを管理する](https://docs.here.com/identity-and-access-management/docs/manage-apps)」を参照してください。

## IAMで認証するにはどうすればよいですか？

HERE IAMでは、認証されたIDを介したアクセスが必要です。詳細については、「[認証を管理する](https://docs.here.com/identity-and-access-management/docs/manage-authentication)」を参照してください。

## API キーとは何ですか？また、API キーを取得するにはどうすればよいですか？

HERE APIキーを使用すると、クライアントアプリで簡単かつ安全に認証ができます。詳細については、「[APIキー](https://docs.here.com/identity-and-access-management/docs/plat-using-apikeys)」を参照してください。

## アクセスキーとは何ですか？また、OAuth 2.0アクセストークンを生成するにはどうすればよいですか？

OAuth 2.0アクセストークンを生成するには、アプリの資格情報を作成します。その後、アクセスキーIDとアクセスキーシークレットを使用してOAuth 2.0アクセストークンを安全にリクエストできます。

資格情報の詳細については、「[OAuth 2.0トークン](access-manager/plat-token/index.md)」を参照してください。トークンをプログラムで生成する方法については、[OAuth 2.0トークンリクエスト](/reference/getoauth2accesstoken)のチュートリアルを参照してください。

## アクセストークンの有効期間はどのくらいですか？

HEREアクセストークンは、有効期限の短いトークンです。各アプリのデフォルトの最大期間は24時間です。トークン生成時に使用される`expiresIn`プロパティは、デフォルトより短い期間のトークンをリクエストできます。

## アプリの資格情報をプログラムでローテーションさせるにはどうすればよいですか？

HEREのセキュリティおよびプライバシーチームは、定期的にアクセス資格情報をローテーションすることをお勧めします。HERE IAMでは、アプリに対して一度に複数の有効な資格情報を使用できます。資格情報をローテーションするには、新しい資格情報をオンボーディングし、古い資格情報を使用するすべてのインスタンスを更新します。

確認が完了したら、古い資格情報を無効にしてワークフローを検証します。古い資格情報がもう使用されていないことを確認したら、古い資格情報を削除できます。

## OIDCとは何ですか？

OpenID Connect (OIDC) は、OAuth 2.0のフレームワークで動作するオープン認証プロトコルです。HEREがOIDCサポートを有効にするしくみについては、「[OIDCトークン](https://docs.here.com/identity-and-access-management/docs/plat-using-oidc)」を参照してください

## リソースとは何ですか？HRNとは何ですか？

HEREプラットフォーム上のリソースには、プロジェクト、アプリ、スキーマ、カタログ、パイプラインを含めることができます。HERE resource name (HRN) はリソースを表します。詳細については、「[HERE IAM HRN](https://docs.here.com/identity-and-access-management/docs/concepts#here-resource-names)」を参照してください。

## 権限とは何ですか？

権限ステートメントは、リソースに対する詳細なアクセス制御を定義します。詳細については、「[権限](https://docs.here.com/identity-and-access-management/docs/concepts#permissions)」を参照してください。ユーザー、アプリ、グループのいずれかに権限を付与できます。

## 自分の権限を確認するにはどうすればよいですか？

HERE Account v1 Authorization Information APIを使用して、ユーザー、アプリ、グループに付与されている権限を確認できます。

## アプリの権限を確認するにはどうすればよいですか？

HERE Account v1 Authorization Information APIまたはHERE CLIツールを使用して、アプリのアクセス権限に関する情報を取得できます。詳細については、[`permission`エンドポイント](/workspace/docs/permission-commands)を参照してください。

## グループとは何ですか？グループを使用するにはどうすればよいですか？

HEREプラットフォームでは、グループを使用してチームで作業できます。組織管理者とグループ管理者は、グループを作成および管理できます。これには、グループ内のアプリとユーザーの管理も含まれます。

## グループの権限を確認するにはどうすればよいですか？

HERE Account v1 Authorization Information API を使用して、グループに付与されている権限を確認できます。グループに権限を付与する方法やグループの権限を取り消す方法については、「[グループ ワークフロー](/workspace/docs/group-workflows)」を参照してください。

## HEREサービスエンドポイントを呼び出すにはどうすればよいですか？

HEREサービスにアクセスしたり、HEREサービスAPIにリクエストを送信したりするには、HERE IAMでは認証資格情報が必要です。認証資格情報は、APIキー (サポートされているサービスの場合) またはOAuth 2.0アクセストークンのいずれかです。

## 「承認ヘッダーがありません」というエラーメッセージが表示されます。なぜですか？

HEREサービスにアクセスしたり、HEREサービスAPIにリクエストを送信したりするには、HERE IAMで認証資格情報を使用する必要があります。お客様のIDを識別するOAuth 2.0ベアラートークンを承認ヘッダーで渡す必要があります。

## ポリシー/プランとは何ですか？また、いつ必要ですか？

IAM**ポリシー**はアクセス権限の集合体であり、IAM**プラン**はIAMポリシーの集合体です。

IAMポリシーおよびプランを通じて、組織はデフォルトで一部のHEREサービスおよびリソースにアクセスできます。ただし、IAMポリシーおよびプランを介して付与されるアクセス権は、**プロジェクトの外部**に存在するリソースへのアクセス権のみを付与します。つまり、IAMポリシーまたはプランによって付与されたリソースは、**スコープ外のアクセストークン**を使用してアクセスする必要があります。

### IAM役割とは何ですか？

IAM役割は、HEREの定義済みユーザータイプであり、特定の権限を1つにまとめたものです。役割はユーザーまたはアプリに割り当てることができます。詳細については、[IAM 役割](https://docs.here.com/identity-and-access-management/docs/concepts#roles)を参照してください。

## プロジェクトとは何ですか？プロジェクトを使用するにはどうすればよいですか？

*プロジェクト*とは、HEREプラットフォームリソースを安全に管理するためのコンテナです。

プロジェクトを使用すると、プロジェクトで作成またはリンクされたリソースにアクセスできるユーザー、アプリ、グループを管理できます。HEREでは、プラットフォームリソースはすべてプロジェクトを使用して管理することを推奨しています。

詳細については、[プロジェクト](https://docs.here.com/identity-and-access-management/docs/manage-projects)と[プロジェクトワークフロー](https://docs.here.com/identity-and-access-management/docs/manage-projects)を参照してください。

## プロジェクトのメンバーになれるのは誰ですか？メンバーは何にアクセスできますか？

ユーザー、アプリ、グループのいずれでもプロジェクトのメンバーになれます。

プロジェクト管理者は、プロジェクト詳細ページの\[**アクセス権と権限**]タブに移動して、プロジェクトへのアクセスを管理できます。

メンバーに適用するカスタムアクセスポリシーを作成したり、HERE管理対象ポリシーのいずれかを選択したりすることもできます。ポリシーを表示するには、プロジェクト詳細ページの \[**ポリシー**] タブに移動します。カスタムアクセスポリシーを作成または管理するには、「[プロジェクトポリシー](/workspace/docs/project-policy-commands)」を参照してください。

## プロジェクトスコープアクセストークンとは何ですか？

*プロジェクト*とは、HEREプラットフォームリソースを安全に管理するためのコンテナです。作成されたリソースやプロジェクトにリンクされたリソースへのアクセスは、プロジェクトのメンバーのみが許可されます。

HEREプラットフォームは、OAuth 2.0スコープを使用して特定のリソースへのアクセスを制御します。HERE IAMでは、作成されたリソースやプロジェクトにリンクされたリソースにアクセスするには、プロジェクトスコープアクセストークンを使用する必要があります。プロジェクトスコープアクセストークンは、アプリのアクセストークンを生成する際に`scope`のパラメーターを渡すことで取得できます。

アプリのデフォルトプロジェクトを選択することもできます。これにより、プロジェクトスコープアクセストークンを自動的に取得します。HERE SDK または CLI などのツールを使用する場合は、`credentials.properties` に `here.token.scope` プロパティを追加するか、プロジェクト HERE で --scope プロパティを渡します。詳細については、「[資格情報](/workspace/docs/credentials-commands)」、「[スコープ](/workspace/docs/configuration#scopes)」、「[プロジェクトスコープAPIトークンを取得する](/workspace/docs/api-workflows)」を参照してください。

## スコープ外のアクセストークンとは何ですか？

スコープ外のアクセストークンは、スコープ外のリソースにアクセスするための**要件**です。

スコープ外のトークンを取得するには、デフォルトのスコープを持たないアプリを使用する必要があります。スコープ外のトークンをリクエストするには、呼び出しで`scope`パラメーターを**渡さずに**アプリのアクセストークンを生成してください。

## リソースポリシー/リソースプランとは何ですか？いつ必要ですか？

IAMリソースポリシーは、プロジェクトで作成されたリソースへのアクセスを管理するポリシーの集合体です。IAMリソースプランは、IAMリソースポリシーの集合体です。

IAMリソースポリシーとリソースプランを使用して、組織はデフォルトでプロジェクトに作成されたHEREのサービスやリソースの一部にアクセスできます。

<Callout icon="📘" theme="info">
  注

  リソースポリシー/リソースプランは、いずれも**プロジェクトで作成され**、かつ**プロジェクトスコープのアクセストークン経由でのアクセスのみ許可されている**リソースにのみ適用されます。
</Callout>

## アクセス関連の変更が有効になるまでにどのくらい時間がかかりますか？

HERE IAMは世界中の複数の地域に地理的に分散されています。IAMで行ったアクセス変更は、すべてのHEREサービスおよびAPIで使用可能になるまでに多少の遅延が発生する場合があります。

HERE IAMは[最終的な一貫性](https://en.wikipedia.org/wiki/Eventual_consistency)モデルに従います。そのため、遅延の可能性を考慮してアプリとワークフローを設計することをHEREでは推奨しています。

リソースへのアクセスを変更すると、メンバーに遅延が発生する可能性があります。HEREでは、高可用性を必要とするワークフローにこれらの操作を含めることはお勧めしません。

ほとんどの変更は、グローバルに伝播するのに最大5分かかる場合がありますが、特定のユースケースではこれらの操作により時間がかかる場合があります。

## ネットワーク障害や予期しないエラーによってコールが失敗した場合、どのような方法で再試行すればよいですか？

HEREサービスおよびリソースにアクセスする際には、一貫した再試行ポリシーを実装することをお勧めします。詳細については、[指数関数的バックオフ](https://en.wikipedia.org/wiki/Exponential_backoff)手法のページを参照してください。

## HEREサービスにアクセスしようとすると、401 Unauthorizedエラーが表示されます。なぜですか？

HTTPレスポンスステータスコード401は、ブロックされた不正アクセス試行を示します。401エラーの一般的な原因については、[HERE IAMの一般的なエラーメッセージ](https://docs.here.com/identity-and-access-management/docs/error-messages)を参照してください。

## リソースにアクセスできるはずなのに、403 Access Deniedエラーが表示されます。なぜですか?

HTTPレスポンスステータスコード403は、リソースへのアクセスを試みたユーザーが適切な権限を持っていないことを示します。

HERE IAMは、403エラーレスポンスの原因を含む詳細なエラーの詳細を提供します。詳細については、[HERE IAMの一般的なエラーメッセージ](https://docs.here.com/identity-and-access-management/docs/error-messages)を参照してください。

## 429 Too Many Requestsエラーが表示されます。なぜですか？

HTTPレスポンスステータスコード429は、レート制限違反を示します。

HEREサービスに対して実行できるリクエストの数には制限があります。この上限を超えると、429応答ステータスコードが表示される場合があります。

HEREでは、各リクエストの必要性を確認し、体系的な再試行ポリシーを実装することをお勧めします。詳細については、[指数関数的バックオフ](https://en.wikipedia.org/wiki/Exponential_backoff)手法のページを参照してください。

## HERE IAMによって適用される制限は何ですか？

| 説明                                        | 上限     |
| ----------------------------------------- | ------ |
| ID に割り当てられる役割の最大数                         | 100    |
| ユーザー、アプリ、またはグループに割り当てることができる最大権限。         | 100000 |
| ユーザーあたりのアプリの最大数。                          | 100    |
| グループのメンバーの最大数。                            | 500    |
| ユーザー招待あたりの役割の最大数。                         | 5      |
| ユーザー招待あたりのグループの最大数。                       | 5      |
| グループが直接アクセスできるプロジェクトの最大数。                 | 50     |
| ID が直接アクセスできるグループの最大数。                    | 50     |
| プロジェクトのメンバーになれるグループの最大数。                  | 5      |
| プロジェクトに含めることができるユーザー/appsの最大数。            | 500    |
| プロジェクトに含めることができるグループの最大数。                 | 5      |
| グループ、ユーザー、アプリが直接アクセスできるプロジェクトの最大数。        | 50     |
| プロジェクトに含めることができるリソースの最大数。                 | 100    |
| プロジェクトあたりの同一リソースのリソース リンクの最大数。            | 5      |
| メンバー (ユーザー/アプリ/グループ) あたりのプロジェクト ポリシーの最大数。 | 5      |
| プロジェクト レベル ポリシーの最大数。                      | 5      |
| プロジェクト ポリシーあたりの権限の最大数。                    | 100    |
| 組織あたりの ID プロバイダーの最大数。                     | 5      |
| ID プロバイダーあたりの発行者の最大数。                     | 5      |
| アプリあたりの ID プロバイダーの最大数。                    | 2      |
| 組織あたりのカスタムアクセスフィルターの最大数                   | 100    |
| IDあたりのアクセスフィルター添付ファイルの最大数                 | 5      |

## アプリのマネージャーが組織を離れた場合はどうなりますか？

リソースマネージャーの役割を持つユーザーは、組織のすべての孤立したIDとリソースを管理できます。リソースマネージャーの役割の詳細については、[HERE IAMの役割](https://docs.here.com/identity-and-access-management/docs/concepts#roles)を参照してください。

管理者 (組織管理者) もリソースマネージャーになることができます。その後、新しいアプリマネージャーを追加 (「[アプリマネージャーを追加する](https://docs.here.com/identity-and-access-management/docs/manage-apps#add-app-managers)」を参照) するか、別のユーザー、グループ、またはアプリとアプリを共有 (「[アプリを共有する](https://docs.here.com/identity-and-access-management/docs/manage-apps#sharing-an-app)」を参照) することができます。

なお、新しいアプリマネージャーの追加と、別のユーザー、グループ、アプリのいずれかとのアプリの共有には重要な違いがあります。

| アクション                      | 付与される権限         |
| -------------------------- | --------------- |
| アプリの新しいアプリマネージャーの作成または追加   | 読み取り、書き込み、管理    |
| ユーザー、グループ、アプリのいずれかへのアプリの共有 | 読み取り、書き込み、管理、共有 |

組織内の組織管理者/リソースマネージャーを検索するには、次の手順を実行します。

1. [HEREプラットフォーム](https://platform.here.com)にサインインします。
2. ランチャーのドロップダウンメニューの\[**アクセスマネージャー**]をクリックします。
3. \[**ユーザー**]をクリックします。
4. \[**検索**]編集ボックスで、"Org" - users'と入力を始めると、組織管理者を含むリストが表示されます。
5. リストの任意の組織管理者にリクエストを送信します。