ユーザーの管理
このトピックでは、ユーザーを操作する基本について説明します。
テナンシがOracle Identity Cloud Serviceとフェデレートされている場合は、ユーザーを管理するためにOracle Cloud InfrastructureコンソールでのOracle Identity Cloud Serviceユーザーおよびグループの管理を参照してください。
必須IAMポリシー
管理者グループに属している場合は、ユーザーを管理するために必要なアクセス権があります。
- 新規ユーザーおよび資格証明を作成する権限を付与するが、そのユーザーが属するグループを制御する権限は付与しないポリシーを作成できます。ヘルプ・デスクによるユーザーの管理を参照してください。
ポリシーを初めて使用する場合は、ポリシーの開始と共通ポリシーを参照してください。ユーザーまたは他のIAMコンポーネントのポリシーの書込みの詳細は、アイデンティティ・ドメインのないIAMの詳細を参照してください。
リソースのタグ付け
リソースにタグを適用すると、ビジネス・ニーズに応じた整理に役立ちます。リソースの作成時にタグを適用できます。また、後でリソースを更新して、タグを追加、改訂または削除できます。タグ適用についての一般情報は、リソース・タグを参照してください。
ユーザーの作業
ユーザーを作成するときには、そのユーザーに一意で不変な名前を指定する必要があります。名前は、テナンシ内のすべてのユーザーで一意である必要があります。この名前は、コンソールへのユーザーのログインです。企業独自のアイデンティティ・システム(Active Directory、LDAPなど)ですでに使用されている名前を使用する場合があります。ユーザーの説明(空の文字列でも可能)を指定する必要があります。これは、ユーザーにとって一意で変更可能な説明です。この値は、ユーザーのフルネーム、ニックネームまたはその他の説明的な情報です。また、Oracleによって、Oracle Cloud ID (OCID)と呼ばれる一意のIDがユーザーに割り当てられます。詳細は、リソース識別子を参照してください。
ユーザーを削除してから同じ名前で新規ユーザーを作成すると、2人のユーザーは異なるOCIDを持つため、異なるユーザーとみなされます。
Oracleでは、ユーザーのパスワード・リカバリ電子メール・アドレスを指定することをお薦めします。ユーザーがパスワードを忘れた場合は、サインオン・ページの「パスワードを忘れた場合」リンクを使用して一時パスワードを送信するようにリクエストできます。ユーザーに電子メール・アドレスが表示されない場合、管理者がパスワードをリセットするために介入する必要があります。
新規ユーザーは、1つ以上のグループに配置されるまで権限を持たず、少なくとも1つのポリシーによって、そのグループの権限がテナンシまたはコンパートメントのいずれかに付与されます。例外:各ユーザーは、自身の資格証明の管理を行うことができます。管理者は、ユーザーにこの機能を提供するポリシーを作成する必要はありません。詳細は、ユーザー資格証明を参照してください。
ユーザーを作成してグループに配置したら、アクセス権のあるコンパートメントをそのユーザーに伝えてください。
新規ユーザーにOracle Cloud Infrastructureにアクセスできるように、いくつかの資格証明を付与することも必要です。ユーザーは、必要なアクセスのタイプに応じて、次の資格証明のいずれかまたは両方を持つことができます: コンソールを使用するためのパスワードとAPIを使用するためのAPI署名キー。
ユーザー機能について
Oracle Cloud Infrastructureにアクセスするには、ユーザーは必要な資格証明を持っている必要があります。コンソールを使用する必要があるユーザーは、パスワードを持っている必要があります。APIを介してアクセスする必要があるユーザーにはAPIキーが必要です。一部のサービス機能には、認証トークン、SMTP資格証明、Amazon S3互換APIキーなどの追加の資格証明が必要です。ユーザーがこれらの資格証明を取得するには、資格証明タイプの機能を付与されている必要があります。
管理者は、ユーザーの詳細でユーザー機能を管理します。各ユーザーは自分の機能を表示できますが、これらの機能を有効または無効にできるのは管理者のみです。ユーザー機能は次のとおりです。
- コンソール・パスワードを使用可能(ネイティブ・ユーザーのみ)
- APIキーを使用可能
- 認証トークンを使用可能
- SMTP資格証明を使用可能
- 顧客秘密キーを使用可能
デフォルトでは、これらのすべての機能はユーザーの作成時に有効になるため、ユーザーはこれらの資格証明を自分用に作成できます。ユーザー資格証明の使用の詳細は、ユーザー資格証明の管理を参照してください。
ユーザーのマルチファクタ認証の有効化
詳細は、マルチファクタ認証の管理を参照してください。
コンソールへのサインイン
この手順に従って作成したユーザーはIAM内に作成され、「ローカル・ユーザー」とも呼ばれます。テナンシが別のアイデンティティ・プロバイダ(Oracle Identity Cloud Service、Azure AD、Oktaなど)とフェデレートされている場合、コンソールへのサインイン・ページには、サインインのためのオプションが2つ表示されます。IAM内に作成したローカル・ユーザーは、次の図に示すように、「Oracle Cloud Infrastructure」オプションを使用してサインインします:
テナンシがフェデレートされていない場合、サインイン・オプションは1つのみです。
最近のサインイン・アクティビティのトラッキング
「ユーザー」リスト・ページには、ユーザー・アカウントがアクティブかどうかを管理者が判断する場合に役立つ情報が表示されます。「最後に記録されたサインイン」フィールドには、コンソールを使用するか、IAMと統合されたOracle DBを使用して、ユーザーが最後にOracle Cloud Infrastructureにサインインした日時が表示されます。コンソール・サインインの場合、タイムスタンプは最後のコンソール・サインインです。IAMと統合されたOracle DBを使用したサインインの場合、タイムスタンプには、最後に記録されたサインインから最大15分のバッファが含まれることがあります。このフィールドは、すべてのユーザーのリスト・ビューにのみ表示され、個々のユーザーの詳細ページには表示されません。
このフィールドは、コンソールからの、またはIAMと統合されたOracle DBからのサインインのみをトラッキングします。ユーザーがその他のアクセス方法(SDKの使用など)を介してOracle Cloud Infrastructureにアクセスした場合、それらのサインインはトラッキングされません。
My Oracle Supportアカウントへのユーザーのリンク
サポート・リクエストをコンソールから直接登録するには、各ユーザーがIAMユーザー・アカウントをMy Oracle Support (MOS)アカウントにリンクする必要があります。このステップを実行する必要があるのは1回のみです。手順は、My Oracle Supportアカウントにユーザーをリンクするにはを参照してください。
前提条件
- ユーザーがこのリンクを作成するには、「My Oracle Cloud Support」でアカウントを設定する必要があります。Oracle Cloud Supportアカウントの設定の詳細は、Oracleシングル・サインオン(SSO)アカウントの作成を参照してください。
失敗したサインイン試行後にユーザーをブロック解除
ユーザーがコンソールにサインインしようとして10回連続で失敗した場合、以降のサインイン試行はブロックされます。管理者は、コンソール(ユーザーのブロックを解除するにはを参照)またはUpdateUserState API操作を使用してユーザーのブロックを解除できます。
ユーザーの削除
ユーザーを削除できますが、削除できるのは、そのユーザーがどのグループのメンバーでもない場合のみです。
ユーザーの制限
保有できるユーザーの数の詳細は、サービス制限を参照してください。
コンソールの使用
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」を選択します。「アイデンティティ」で、「ユーザー」を選択します。テナンシのユーザーのリストが表示されます。
- 「ユーザーの作成」を選択します。
- 次を入力します:
- 名前: ユーザーの一意の名前または電子メール・アドレス。使用する値のヒントは、ユーザーの作業を参照してください。名前は、テナンシ内のすべてのユーザーで一意である必要があります。この値は後で変更できません。名前は次の要件を満たす必要があります:空白を使用しないこと。基本ラテン文字(ASCII)、数字、ハイフン、ピリオド、アンダースコア、プラス(+)およびアットマーク(@)のみ。
- 説明: この値は、ユーザーのフルネーム、ニックネームまたはその他の説明的な情報です。この値は後で変更できます。
電子メール:ユーザーの電子メール・アドレスを入力します。この電子メール・アドレスはパスワード・リカバリに使用されます。電子メール・アドレスはテナンシ内で一意である必要があります。
ユーザーがパスワードを忘れた場合は、サインオン・ページで「パスワードを忘れました」を選択できます。一時パスワードが生成され、ここで指定した電子メール・アドレスに送信されます。ユーザーまたは管理者は、後で電子メール・アドレスを更新することもできます。
- タグ:リソースの作成権限がある場合は、フリーフォーム・タグをそのリソースに適用する権限もあります。定義済タグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかがわからない場合は、このオプションをスキップするか、管理者に問い合せてください。タグは後で適用できます。
- 「作成」を選択します。
次に、ユーザー権限を少なくとも1つのグループに追加して付与する必要があります。また、ユーザーに必要な資格証明を付与する必要もあります(ユーザー資格証明の管理を参照)。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」を選択します。「アイデンティティ」で、「ユーザー」を選択します。テナンシのユーザーのリストが表示されます。
- リストでユーザーを検索します。
- ユーザーをクリックします。ユーザーの詳細が表示されます。
- 「グループ」をクリックします。
- 「ユーザーをグループに追加」をクリックします。
- ドロップダウン・リストからグループを選択し、「追加」をクリックします。
アクセス権のあるコンパートメントをユーザーに知らせます。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」を選択します。「アイデンティティ」で、「ユーザー」を選択します。テナンシのユーザーのリストが表示されます。
- リストでユーザーを検索します。
- ユーザーを選択します。ユーザーの詳細が表示されます。
- 「グループ」を選択します。
- 「アクション」メニュー(
)、「削除」の順に選択します。 - プロンプトが表示されたら確認します。
前提条件:ユーザーを削除するには、ユーザーがどのグループにも属していない必要があります。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」を選択します。「アイデンティティ」で、「ユーザー」を選択します。テナンシのユーザーのリストが表示されます。
- 削除するユーザーの「削除」を選択します。
- プロンプトが表示されたら確認します。
管理者は、次の手順を使用して、コンソールにサインインしようとして10回連続で失敗したユーザーのブロックを解除できます。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」を選択します。「アイデンティティ」で、「ユーザー」を選択します。テナンシのユーザーのリストが表示されます。
- ユーザーを選択します。ユーザーの詳細が現在のステータスとともに表示されます。
- 「ブロック解除」を選択します。
- プロンプトが表示されたら確認します。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」を選択します。「アイデンティティ」で、「ユーザー」を選択します。テナンシのユーザーのリストが表示されます。
- 更新するユーザーを選択します。ユーザーの詳細が表示されます。この説明は、ユーザーのログインの下に表示されます。
- 摘要の横の鉛筆を選択します。
- 説明を編集して保存します。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」を選択します。「アイデンティティ」で、「ユーザー」を選択します。テナンシのユーザーのリストが表示されます。
- 更新するユーザーを選択します。ユーザーの詳細が表示されます。
- 「ユーザー情報」で、「電子メール」の横にある鉛筆を選択します。
- 電子メール・アドレスを入力して、保存アイコンを選択します。電子メール・アドレスはテナンシ内で一意である必要があります。
管理者の場合、ユーザー機能を編集できます。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」を選択します。「アイデンティティ」で、「ユーザー」を選択します。テナンシのユーザーのリストが表示されます。
- ユーザーをクリックして詳細を表示します。
- 「ユーザー機能の編集」をクリックします。
- 機能を追加または削除するには、チェック・ボックスを選択または選択解除します。
- 「保存」をクリックします。
重要: アカウントをリンクする前に、前提条件を満たしていることを確認してください。My Oracle Supportアカウントへのユーザーのリンクを参照してください。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」を選択します。「アイデンティティ」で、「ユーザー」を選択します。テナンシのユーザーのリストが表示されます。
- 更新するユーザーを選択します。ユーザーの詳細が表示されます。
- 「サポート・アカウントのリンク」を選択します。Oracleアカウントのサインイン・ページで、Oracle資格証明の入力を求められます。
- このユーザーにリンクするOracleサポート・アカウントのユーザー名とパスワードを入力し、「サインイン」を選択します。IAMユーザー・アカウントがOracleサポート・アカウントにリンクされます。サポート・アカウントに関連付けられた電子メール・アドレスが、ユーザー詳細の「My Oracle Supportアカウント」フィールドに表示されます。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」を選択します。「アイデンティティ」で、「ユーザー」を選択します。テナンシのユーザーのリストが表示されます。
- 更新するユーザーを選択します。ユーザーの詳細が表示されます。
- 「サポート・アカウントのリンク解除」を選択します。
- 確認のプロンプトで「リンク解除」を選択します。
コンソールのユーザー資格証明の管理の詳細は、ユーザー資格証明の管理を参照してください。
APIの使用
APIの使用およびリクエストの署名の詳細は、REST APIのドキュメントおよびセキュリティ資格証明を参照してください。SDKの詳細は、SDKおよびCLIを参照してください。
すべてのリージョンで更新が即時ではない
IAMリソースはホーム・リージョンにあります。すべてのリージョンにわたってポリシーを施行するために、IAMサービスは各リージョンにリソースをレプリケートします。ポリシー、ユーザーまたはグループを作成または変更するたびに、変更はホーム・リージョンの最初に有効になり、その後他のリージョンに伝播されます。変更がすべてのリージョンで有効になるまでに、数分かかることがあります。たとえば、テナンシ内でインスタンスを起動する権限を持つグループがあるとします。このグループにUserAを追加すると、UserAは1分以内にホーム・リージョンでインスタンスを起動できます。ただし、UserAは、レプリケーション・プロセスが完了するまで、他のリージョンでインスタンスを起動できません。このプロセスには最大で数分かかります。レプリケーションが完了する前にUserAがインスタンスを起動しようとすると、認可されていないエラーが発生します。
ユーザーを管理するには、次のAPI操作を使用します。
- CreateUser
- ListUsers
- GetUser
- UpdateUserState:連続して10回サインインに失敗したユーザーをブロック解除します。
- UpdateUser:ユーザーの説明、電子メールおよびタグを更新できます。
- UpdateUserCapabilities
- DeleteUser
- ListUserGroupMemberships:この操作を使用して、グループ内のユーザーやユーザーが属するグループのリストを取得します。
- AddUserToGroup:この操作により、独自のOCIDを持つ
UserGroupMembershipオブジェクトが生成されます。 - GetUserGroupMembership
- RemoveUserFromGroup:この操作は、
UserGroupMembershipオブジェクトを削除します。
ユーザー資格証明を管理するAPI操作の詳細は、ユーザー資格証明の管理を参照してください。