このページは機械翻訳したものです。
アイデンティティ・ドメインを使用するように更新されていないリージョン内のテナンシについて、OCI IAMドキュメントを表示しています。
リージョンは更新されましたか。

Oracle Cloud Infrastructureドキュメント
Free Tierを試してみる

更新日 2025-04-01

ユーザー資格証明の管理

このトピックでは、Oracle Cloud Infrastructure Identity and Access Management (IAM)ユーザー資格証明の操作の基本について説明します。使用可能な資格証明をよく知らない場合は、ユーザー資格証明を参照してください。

コンソール・パスワードとAPIキーの使用

各ユーザーには、自分のコンソール・パスワードを変更またはリセットしたり、自分のAPIキーを管理したりする権限が自動的に与えられます。管理者は、ユーザーにこれらの機能を提供するためにポリシーを作成する必要はありません。
ノート

フェデレーテッド・ユーザーは、APIキーを変更するポリシーの作成が必要になる場合があります。たとえば、SCIMを介してプロビジョニングされたユーザーです。

自分以外のユーザーの資格証明を管理するには、管理者グループ、またはテナンシの操作権限を持つ他のグループに属している必要があります。テナンシ内のコンパートメントを操作する権限は十分でありません。詳細は、管理者グループおよびポリシーを参照してください。

IAM管理者(またはテナンシの権限を持つユーザー)は、コンソールまたはAPIを使用して、自身および他のすべてのユーザーの両方のタイプの資格証明のすべての側面を管理できます。これには、新規ユーザーの初期のワンタイム・パスワードの作成、パスワードのリセット、APIキーのアップロード、APIキーの削除が含まれます。

管理者ではないユーザーは自分の資格証明を管理できます。コンソールでユーザーは次のことができます。

  • 自分のパスワードを変更またはリセットします。
  • コンソールで独自の用途のAPIキーをアップロードします(また、独自のAPIキーを削除します)。

さらに、APIを使用するとユーザーは次のことができます。

  • CreateOrResetUIPasswordで自分のパスワードをリセットします。
  • UploadApiKeyで独自に使用するために、IAMサービスに追加のAPIキーをアップロードします(また、DeleteApiKeyで独自のAPIキーを削除します)。ユーザー自身がコンソールでキーをアップロードするまで、または管理者がコンソールまたはAPIでそのユーザーのキーをアップロードするまで、ユーザーはAPIを使用して自分の資格証明を変更または削除できないことに注意してください。

ユーザーは一度に最大3つのAPIキーを使用できます。

認証トークンの操作

ノート

「認証トークン」は以前に「Swiftパスワード」と呼ばれていました。作成したSwiftパスワードは、コンソールに認証トークンとしてリストされます。既存のパスワードは引き続き使用できます。

認証トークンは、Oracleで生成されるトークン文字列で、Oracle Cloud Infrastructureの署名ベース認証をサポートしないサードパーティAPIで認証するために使用できます。IAMサービスで作成される各ユーザーには、コンソールまたはAPIでそれぞれ独自の認証トークンを作成、更新および削除する権限が自動的に付与されます。管理者は、ユーザーにこれらの機能を提供するためにポリシーを作成する必要はありません。管理者(またはテナンシに対する権限を持つユーザー)には、他のユーザーの認証トークンを管理する権限もあります。

認証トークンをユーザー独自の選択した文字列に変更することはできません。トークンは、常にOracleによって生成された文字列です。

認証トークンは失効しません。各ユーザーは同時に最大2つの認証トークンを持つことができます。コンソールで認証トークンを取得するには、認証トークンを作成するにはを参照してください。

Swiftでの認証トークンの使用

Swiftは、OpenStackオブジェクト・ストア・サービスです。Swiftクライアントがすでに存在する場合は、これをRecovery Manager (RMAN)と組み合せて使用し、Oracle Database System (DBシステム)データベースをオブジェクト・ストレージにバックアップできます。Swiftパスワードとして使用するための認証トークンを取得する必要があります。Swiftクライアントにサインインする際には、次の項目を指定します。

  • Oracle Cloud Infrastructureコンソールのユーザー・ログイン
  • Oracleによって提供される、Swift固有の認証トークン
  • 組織のOracleテナント名

オブジェクト・ストレージと統合するSwiftクライアントのユーザーには、サービスを操作する権限が必要です。権限があるかわからない場合は、管理者に連絡してください。ポリシーの詳細は、ポリシーの仕組みを参照してください。オブジェクト・ストレージの使用を可能にする基本ポリシーについては、共通ポリシーを参照してください。

顧客秘密キーの操作

ノート

「顧客秘密キー」は以前、「Amazon S3互換APIキー」と呼ばれていました。作成したすべてのキーは、コンソールに顧客秘密キーとしてリストされます。既存のキーを引き続き使用できます。

オブジェクト・ストレージは、Amazon S3との相互運用性を有効にするAPIを提供します。このAmazon S3互換APIを使用するには、Amazon S3を使用した認証に必要な署名キーを生成する必要があります。この特別な署名キーは、アクセス・キー/秘密キーのペアです。Oracleでは、コンソール・ユーザー・ログインに関連付けられているアクセス・キーが提供されます。ユーザーまたは管理者は、アクセス・キーとペアにする顧客秘密キーを生成します。

自動的に、IAMサービスで作成される各ユーザーは、コンソールまたはAPIでそれぞれ独自の顧客秘密キーを作成、更新および削除できます。管理者は、ユーザーにこれらの機能を提供するためにポリシーを作成する必要はありません。管理者(またはテナンシの権限を持つユーザー)は、他のユーザーの顧客秘密キーも管理できます。

オブジェクト・ストレージを使用するAmazon S3互換APIのユーザーには、サービスの操作権限が必要です。権限があるかわからない場合は、管理者に連絡してください。ポリシーの詳細は、ポリシーの仕組みを参照してください。オブジェクト・ストレージの使用を可能にする基本ポリシーについては、共通ポリシーを参照してください。

顧客秘密キーは失効しません。各ユーザーは、同時に最大2つの顧客秘密キーを使用できます。コンソールを使用してキーを作成するには、顧客秘密キーを作成するにはを参照してください。

OAuth 2.0クライアント資格証明の作業

ノート

OAuth 2.0クライアント資格証明は、United Kingdom Government Cloud (OC4)では使用できません。
OAuth 2.0クライアント資格証明は、OAuth 2.0認可プロトコルを使用するサービスとプログラムで対話するために必要です。資格証明を使用すると、サービスのREST APIエンドポイントにアクセスするためのセキュア・トークンを取得できます。トークンによって付与される使用可能なアクションおよびエンドポイントは、資格証明の生成時に選択するスコープ(権限)によって異なります。OAuth 2.0プロトコルを使用するサービスは:
  • Oracle Analytics Cloud
  • Oracle Integration

OAuth 2.0アクセス・トークンは3600秒(1時間)有効です。

資格証明を作成するには、サービスのリソースおよびスコープを知っている必要があります。通常、これらはドロップダウン・リストから選択できます。ただし、情報がリストにない場合は、リソースおよびスコープを手動で入力できます。スコープによってトークンに許可される権限が定義されるため、スコープは必要最小限のアクセス・レベルで設定してください。

ユーザーが自分の資格証明を作成することも、管理者が別のユーザーの資格証明を作成することもできます。使用可能なリソースおよびスコープのリストには、ユーザーにアクセス権が付与されているリソースおよび権限レベルのみが表示されます。

OAuth 2.0クライアント資格証明の制限

各ユーザーは、最大10個のOAuth 2.0クライアント資格証明を持つことができます。この制限は、サービス制限の引上げをリクエストすることで増やすことができます。

各OAuth 2.0クライアント資格証明には、最大10個のスコープを設定できます。

OAuth 2.0アクセス・トークンの取得

トークンを取得するには、次のように、OAuth2トークン・サービス・エンドポイントに対するリクエストで資格証明を使用します:

  1. OAuth 2.0クライアント資格証明を作成します。OAuth 2.0クライアント資格証明を作成するにはを参照してください。

    OAuth 2.0クライアント資格証明を作成した後、次の情報を書き留めます:

    • 生成されたシークレット
    • OAuth 2.0クライアント資格証明のOCID
    • スコープとオーディエンス(完全修飾スコープ)
  2. 前のステップの情報を使用して、次のように/oauth2/tokenエンドポイントに対してリクエストを行い、トークンを取得します:
    curl -k -X POST -H "Content-Type: application/x-www-form-urlencoded;charset=UTF-8" --user '<Oauth 2.0 client credential OCID>:<credential secret>'  https://auth.<oci_region>.oraclecloud.com/oauth2/token -d 'grant_type=client_credentials&scope=<audience>-<scope>'

説明:

  • <Oauth 2.0 client credential OCID>:<credential secret>は、作成したOAuth 2.0クライアント資格証明のOCIDを、資格証明に対して生成されたシークレットとコロン(:)で結合したものです。このシークレットは生成時にのみ表示され、すぐにコピーする必要があることに注意してください。OCIDは、資格証明の詳細からいつでも取得できます。
  • https://auth.<oci_region>.oraclecloud.com/oauth2/tokenは、Oracle Cloud Infrastructure OAuth 2.0認可エンドポイントで、<OCI_region>はテナンシがサブスクライブしているリージョンです。たとえば、us-ashburn-1です。
  • <scope>-<audience>は完全修飾スコープ、つまりハイフン(-)で結合されたスコープとオーディエンスです。スコープとオーディエンスは、資格証明の詳細ページから取得できます。

リクエストの例:

curl -k -X POST -H "Content-Type: application/x-www-form-urlencoded;charset=UTF-8" --user 'ocid1.credential.region1..aaaaaaexamplestringaapgpedxq:{SAMplESeCreta5y'  https://auth.us-ashburn-1.oraclecloud.com/oauth2/token -d 'grant_type=client_credentials&scope=https://2aexampley3uytc.analytics.ocp.oraclecloud.com-urn:opc:resource:consumer::all'

レスポンスにはトークンが含まれます。レスポンスの例:

{
"access_token" : "eyJraWQiOiJhcDVfwqKdi...8lTILrzc4cof2A",
"token_type" : "Bearer",
"expires_in" : "3600"
}

トークン文字列は、レスポンスの例では切り捨てられています。レスポンスに示されているように、access_token文字列全体(引用符で囲まれている部分)をコピーします。

リクエストでのOAuth 2.0トークンの使用

OAuth 2.0アクセス・トークンを取得した後、REST APIリクエストのBearerトークン・ヘッダーにトークンを指定します。

例:

curl -i -X GET -H "Authorization: Bearer <token-string>" "https://<audience>/<rest-endpoint-path>"

トークンが期限切れになった場合の対処方法

トークンは3600秒(1時間)後に期限切れになります。トークンが期限切れになったら、OAuth 2.0アクセス・トークンの取得の手順に従って新しいトークンをリクエストします。

スコープの追加

既存のOAuth 2.0クライアント資格証明にスコープを追加して、同じ資格証明を持つ他のサービスへのアクセス権を追加できます。スコープを追加した後、シークレットを再生成する必要はありません。

複数のスコープのトークンをリクエストするには、次を追加してトークン・リクエストに追加スコープを含めます 

&scope=<scope>-<<audience>

これをリクエストの最後の引数に追加し、スコープおよび追加するスコープのオーディエンスを指定します。

SMTP資格証明の操作

電子メール配信サービスを介して電子メールを送信するには、Simple Mail Transfer Protocol (SMTP)の資格証明が必要です。各ユーザーは、最大2つのSMTP資格証明に制限されます。3人以上が必要な場合は、他の既存のユーザーに対して生成するか、または追加のユーザーを作成する必要があります。

ノート

SMTPのユーザー名またはパスワードを、任意の文字列に変更できません。資格証明は常にOracleによって生成される文字列です。

IAMサービスで作成される各ユーザーは、自動的にコンソールまたはAPIで自分のSMTP資格証明を作成および削除できます。管理者は、ユーザーにこれらの機能を提供するためにポリシーを作成する必要はありません。管理者(またはテナンシの権限を持つユーザー)には、他のユーザーのSMTP資格証明を管理する権限もあります。

ヒント

各ユーザーは自分の資格証明を作成および削除できますが、すでに権限を割り当てられているコンソール・ユーザーに対してSMTP資格証明を生成するのではなく、新しいユーザーを作成してこのユーザーに対してSMTP資格証明を生成することがセキュリティのベスト・プラクティスです。

SMTP資格証明は失効しません。各ユーザーは同時に最大2つの資格証明を持つことができます。コンソールでSMTP資格証明を取得するには、SMTP資格証明を生成するにはを参照してください。

電子メール配信サービスの使用の詳細は、電子メール配信サービスの概要を参照してください。

IAMデータベース・ユーザー名およびパスワードの作業

使用が容易

データベース・エンド・ユーザーは、引き続き既知の認証メソッドを使用してデータベースにアクセスできるため、IAMデータベース・パスワードを簡単に使用できます。OCIプロファイルで管理するデータベース・パスワードにアクセスできるのは、OCIに対する認証に成功した後になります。

ユーザーがデータベース・パスワードにアクセスするか管理する前に、IAM管理者は、マルチファクタ認証の管理を使用してマルチファクタ認証を強制することで追加の保護レイヤーを作成できます。たとえば、FIDOオーセンティケータを使用したり、オーセンティケータ・アプリケーションを使用して通知をプッシュしたりできます。

IAMデータベース・パスワード・セキュリティ

IAMデータベース・ユーザー名およびIAMデータベース・パスワードを使用してデータベースにアクセスすると、IAM管理者は、各データベースでローカルに作業するかわりに、IAM内でユーザーおよびデータベース・パスワードへのユーザー・アクセスを一元的に管理できるため、セキュリティが向上します。ユーザーが組織を離れると、そのIAMアカウントは一時停止されるため、すべてのデータベースへのアクセスも自動的に一時停止されます。この方法により、ユーザーが離れた後で、データベース・サーバーに権限のないアカウントが残される可能性がなくなります。詳細は、IAMデータベース・パスワードを参照してください。IAMユーザーがOCIデータベースに対して認証および認可する方法の詳細は、Oracleセキュリティ・ガイドの第7章を参照してください。

IAMデータベース・ユーザー名

OCI IAMデータベース・ユーザー名が128バイトを超える場合は、128バイト未満の別のデータベース・ユーザー名およびデータベース・パスワードを設定する必要があります。IAMでは、テナンシ内のデータベース・ユーザー名の一意性が強制されます。データベース・ユーザー名は、大/小文字が区別されず、IAMユーザー名と同じ文字(ASCII文字、数字、ハイフン、ピリオド、アンダースコア、+、および@)を使用できます。これは、データベースの文字セットによって制御されるローカル・データベース・ユーザー名よりも制限的です。詳細は、データベース・オブジェクト名および修飾子を参照してください。

IAMデータベース・ユーザー名を作成、変更および削除するには、IAMデータベース・ユーザー名の作業を参照してください。

代替IAMデータベース・ユーザー名

文字と数字のみを含み、特殊文字を含まない代替IAMデータベース・ユーザー名を作成し、通常のIAMデータベース・ユーザー名より短くすることができます。

代替IAMデータベース・ユーザー名を作成できます:

  • ユーザー名が長すぎるか入力が困難な場合
  • 特殊文字を含まないユーザー名を使用してログインを簡単にするため

IAMデータベース・パスワードの仕様

IAMデータベース・パスワードの複雑さについては、コンソール・パスワード用にIAMでサポートされているものと同じルールが使用されます(IAMパスワードでは二重引用符["]は使用できません)。詳細は、IAMデータベース・パスワードの作成を参照してください。

失敗したログインのロックアウト

失敗したログインの詳細は、IAMデータベース・パスワードのロックアウトを参照してください。

パスワード・ロールオーバー

アプリケーションは、ウォレットなどのセキュアなメカニズムおよびデータベースにパスワードを保持します。データベース・パスワードを変更する場合は、アプリケーション・ウォレットのパスワードも変更する必要があります。通常、これはアプリケーションの停止時間中に実行します。ただし、2番目のパスワードを保持すると、アプリケーションの停止時間なしでパスワードを変更できます。両方のパスワードが使用可能であるため、アプリケーション管理者は、必要に応じてアプリケーション・ウォレット・ファイルのパスワードを交換して、後でIAMから古いパスワードを削除できます。これは、データベースの段階的なパスワード・ロールオーバー・ステータスとは関係ありません。データベースは、引き続きオープン・ステータスを反映します(つまり、「オープンおよびロールオーバー中」ではありません)。

コンソールの使用

APIの使用

APIの使用およびリクエストの署名の詳細は、REST APIのドキュメントおよびセキュリティ資格証明を参照してください。SDKの詳細は、SDKおよびCLIを参照してください。

このAPI操作を使用して、コンソールのパスワードとアクセスを管理します。

  • CreateOrResetUIPassword:ユーザーの新しいワンタイム・コンソール・パスワードを生成します。次回、ユーザーがコンソールにサインインすると、パスワードの変更を求められます。
  • UpdateUserState:連続して10回サインインに失敗したユーザーをブロック解除します。

API署名キーを管理するには、次のAPI操作を使用します。

次のAPI操作を使用して、認証トークンを管理します。

次のAPI操作を使用して、顧客秘密キーを管理します。

次のAPI操作を使用して、OAuth 2.0クライアント資格証明を管理します:

次のAPI操作を使用して、SMTP資格証明を管理します。

この記事は役に立ちましたか。

更新日 2025-04-01