認証

OpenClaw はモデルプロバイダー向けに OAuth と API キーをサポートします。常時稼働の Gateway ホストでは、通常 API キーが最も予測しやすい選択肢です。サブスクリプション/OAuth フローも、プロバイダーアカウントモデルに合う場合はサポートされます。

OAuth フロー全体とストレージ レイアウトについては、/concepts/oauthを参照してください。 SecretRef ベースの認証（env/file/exec プロバイダー）については、シークレット管理を参照してください。 models status --probe で使われる資格情報の適格性/理由コードのルールについては、 認証資格情報のセマンティクスを参照してください。

# 推奨セットアップ（API キー、任意のプロバイダー）

長期間稼働する Gateway を実行している場合は、選択した プロバイダーの API キーから始めてください。 Anthropic に限ると、API キー認証は今でも最も予測しやすいサーバー セットアップですが、OpenClaw はローカルの Claude CLI ログインの再利用もサポートします。

1. プロバイダーコンソールで API キーを作成します。
2. それを Gateway ホスト（openclaw gateway を実行するマシン）に置きます。

export <PROVIDER>_API_KEY="..."
openclaw models status

3. Gateway が systemd/launchd の下で実行される場合は、デーモンが読み取れるように、 キーを ~/.openclaw/.env に置くことを推奨します。

cat >> ~/.openclaw/.env <<'EOF'
&lt;PROVIDER&gt;_API_KEY=...
EOF

その後、デーモン（または Gateway プロセス）を再起動し、再確認します。

openclaw models status
openclaw doctor

env var を自分で管理したくない場合、オンボーディングでデーモン用の API キーを保存できます: openclaw onboard。

env 継承（env.shellEnv、 ~/.openclaw/.env、systemd/launchd）の詳細はヘルプを参照してください。

# Anthropic: Claude CLI とトークン互換性

Anthropic setup-token 認証は、サポートされるトークン 経路として OpenClaw で引き続き利用できます。Anthropic スタッフはその後、OpenClaw スタイルの Claude CLI 使用が 再び許可されたと伝えてきたため、Anthropic が新しいポリシーを公開しない限り、OpenClaw はこの統合について Claude CLI の再利用と claude -p の使用を 認可済みとして扱います。ホストで Claude CLI の再利用が利用できる場合は、それが現在の推奨経路です。

長期間稼働する Gateway ホストでは、Anthropic API キーが今でも最も予測しやすい セットアップです。同じホスト上の既存の Claude ログインを再利用したい場合は、オンボーディング/設定で Anthropic Claude CLI 経路を使用してください。

Claude CLI 再利用の推奨ホストセットアップ:

# Run on the gateway host
claude auth login
claude auth status --text
openclaw models auth login --provider anthropic --method cli --set-default

これは 2 段階のセットアップです。

1. Gateway ホスト上で Claude Code 自体を Anthropic にログインさせます。
2. Anthropic モデル選択をローカルの claude-cli バックエンドに切り替え、一致する OpenClaw 認証プロファイルを保存するよう OpenClaw に指示します。

claude が PATH 上にない場合は、先に Claude Code をインストールするか、 agents.defaults.cliBackends.claude-cli.command を実際のバイナリパスに設定してください。

手動トークン入力（任意のプロバイダー。auth-profiles.json に書き込み、config を更新）:

openclaw models auth paste-token --provider openrouter

auth-profiles.json は資格情報のみを保存します。正規形状は次のとおりです。

{
  "version": 1,
  "profiles": {
    "openrouter:default": {
      "type": "api_key",
      "provider": "openrouter",
      "key": "OPENROUTER_API_KEY"
    }
  }
}

OpenClaw は実行時に正規の version + profiles 形状を期待します。古いインストールに { "openrouter": { "apiKey": "..." } } のようなフラットファイルがまだある場合は、openclaw doctor --fix を実行して openrouter:default API キープロファイルとして書き換えてください。doctor は元ファイルの横に .legacy-flat.*.bak コピーを保持します。baseUrl、api、モデル ID、ヘッダー、タイムアウトなどのエンドポイント詳細は、auth-profiles.json ではなく、openclaw.json または models.json の models.providers.<id> の下に置きます。

Bedrock の auth: "aws-sdk" のような外部認証ルートも資格情報ではありません。名前付きの Bedrock ルートが必要な場合は、openclaw.json に auth.profiles.<id>.mode: "aws-sdk" を置いてください。auth-profiles.json に type: "aws-sdk" を書かないでください。openclaw doctor --fix はレガシー AWS SDK マーカーを資格情報ストアから config メタデータへ移動します。

認証プロファイル参照は静的資格情報にも対応しています。

• api_key 資格情報は keyRef: { source, provider, id } を使用できます
• token 資格情報は tokenRef: { source, provider, id } を使用できます
• OAuth モードのプロファイルは SecretRef 資格情報をサポートしません。auth.profiles.<id>.mode が "oauth" に設定されている場合、そのプロファイルに対する SecretRef ベースの keyRef/tokenRef 入力は拒否されます。

自動化しやすいチェック（期限切れ/欠落時は終了 1、期限切れ間近は 2）:

openclaw models status --check

ライブ認証プローブ:

openclaw models status --probe

注:

• プローブ行は、認証プロファイル、env 資格情報、または models.json から来ることがあります。
• 明示的な auth.order.<provider> が保存済みプロファイルを省略している場合、プローブはそのプロファイルを試行する代わりに excluded_by_auth_order を報告します。
• 認証は存在するが OpenClaw がそのプロバイダーについてプローブ可能なモデル候補を解決できない場合、プローブは status: no_model を報告します。
• レート制限クールダウンはモデル単位の場合があります。ある モデルでクールダウン中のプロファイルでも、同じプロバイダー上の兄弟モデルにはまだ使用できる場合があります。

任意の運用スクリプト（systemd/Termux）はここに記載されています。 認証監視スクリプト

# Anthropic に関する注記

Anthropic claude-cli バックエンドは再びサポートされています。

• Anthropic スタッフは、この OpenClaw 統合経路が再び許可されたと伝えてきました。
• そのため OpenClaw は、Anthropic が新しいポリシーを公開しない限り、Anthropic バックエンドの実行について Claude CLI の再利用と claude -p の使用を認可済みとして扱います。
• Anthropic API キーは、長期間稼働する Gateway ホストと明示的なサーバー側課金制御にとって、引き続き最も予測しやすい選択肢です。

# モデル認証ステータスの確認

openclaw models status
openclaw doctor

# API キーのローテーション動作（Gateway）

一部のプロバイダーは、API 呼び出しがプロバイダーのレート制限に 達したとき、代替キーでリクエストを再試行することをサポートしています。

• 優先順位:
  • OPENCLAW_LIVE_<PROVIDER>_KEY（単一の上書き）
  • <PROVIDER>_API_KEYS
  • <PROVIDER>_API_KEY
  • <PROVIDER>_API_KEY_*
• Google プロバイダーでは、追加のフォールバックとして GOOGLE_API_KEY も含まれます。
• 同じキーリストは使用前に重複排除されます。
• OpenClaw は、レート制限エラーの場合にのみ次のキーで再試行します（たとえば 429、rate_limit、quota、resource exhausted、Too many concurrent requests、ThrottlingException、concurrency limit reached、または workers_ai ... quota limit exceeded）。
• レート制限以外のエラーでは代替キーで再試行しません。
• すべてのキーが失敗した場合は、最後の試行からの最終エラーが返されます。

# 使用する資格情報の制御

# セッションごと（チャットコマンド）

現在のセッションで特定のプロバイダー資格情報を固定するには、/model <alias-or-id>@<profileId> を使用します（プロファイル ID の例: anthropic:default、anthropic:work）。

コンパクトなピッカーには /model（または /model list）を使用し、完全な表示（候補 + 次の認証プロファイル、設定済みの場合はプロバイダーエンドポイント詳細も）には /model status を使用します。

# エージェントごと（CLI 上書き）

エージェントの明示的な認証プロファイル順序の上書きを設定します（そのエージェントの auth-state.json に保存されます）。

openclaw models auth order get --provider anthropic
openclaw models auth order set --provider anthropic anthropic:default
openclaw models auth order clear --provider anthropic

特定のエージェントを対象にするには --agent <id> を使用します。省略すると、設定済みのデフォルトエージェントが使用されます。 順序の問題をデバッグするとき、openclaw models status --probe は保存済みプロファイルが省略されている場合、黙ってスキップする代わりに excluded_by_auth_order として表示します。 クールダウンの問題をデバッグするときは、レート制限クールダウンがプロバイダープロファイル全体ではなく、1 つのモデル ID に紐づく場合があることを覚えておいてください。

# トラブルシューティング

# 「No credentials found」

Anthropic プロファイルが欠落している場合は、Gateway ホストに Anthropic API キーを設定するか、Anthropic setup-token 経路をセットアップしてから再確認してください。

openclaw models status

# トークンの期限切れ間近/期限切れ

どのプロファイルが期限切れ間近かを確認するには、openclaw models status を実行します。 Anthropic トークンプロファイルが欠落しているか期限切れの場合は、setup-token でそのセットアップを更新するか、Anthropic API キーへ移行してください。

# 関連

• シークレット管理
• リモートアクセス
• 認証ストレージ