ユーザー資格証明
Oracle Cloud Infrastructure Identity and Access Management (IAM)で管理する資格証明には、次のようないくつかのタイプがあります。
- コンソール・パスワード:コンソールにサインインするためにOracle Cloud Infrastructureと対話するためのユーザー・インタフェースです。フェデレーテッド・ユーザーは、アイデンティティ・プロバイダを介してサインインするため、コンソール・パスワードを保有できません。アイデンティティ・プロバイダによるフェデレートを参照してください。
- API署名キー(PEM形式):認証が必要なAPIリクエストの送信用です。
- 認証トークン:サード・パーティAPIを使用した認証に使用できる、Oracle生成のトークン。たとえば、Recovery Manager (RMAN)を使用してOracle Database System (DBシステム)データベースをオブジェクト・ストレージにバックアップする場合は、Swiftクライアントによる認証に認証トークンを使用します。
- 顧客秘密キー:オブジェクト・ストレージでAmazon S3互換APIを使用する場合。Amazon S3互換APIを参照してください。
- OAuth 2.0クライアント資格証明: OAuth 2.0認可を使用するサービスのAPIと対話する場合。OAuth 2.0クライアント資格証明を参照してください。
- SMTP資格証明:電子メール配信サービスの概要を使用する場合。
- IAMデータベース・パスワード: ユーザーは、IAMユーザー・プロファイルのデータベース・パスワードを作成および管理し、そのパスワードを使用してテナンシ内のデータベースに対する認証を行うことができます。IAMデータベース・パスワードを参照してください。
API署名キーは、コンピュート・インスタンスへのアクセスに使用するSSHキーとは異なります(セキュリティ資格証明を参照)。API署名キーの詳細は、必須キーおよびOCIDを参照してください。インスタンスSSHキーの詳細は、キー・ペアの管理を参照してください。
ユーザー・パスワード
IAMで新しいユーザーを作成する管理者は、ユーザーのワンタイム・コンソール・パスワードも生成する必要があります(別のユーザーのコンソール・パスワードを作成またはリセットするにはを参照)。管理者は、パスワードの口頭による提供、パスワードの印刷、またはセキュアな電子メール・サービスによる送信を行うことで、パスワードを安全にユーザーに提供する必要があります。
ユーザーが最初にコンソールにサインインする場合、すぐにパスワードの変更を求められます。ユーザーが最初にサインインしてパスワードを変更するまで7日間以上待機した場合、有効期限切れになり、管理者はユーザーに新しいワンタイム・パスワードを作成する必要があります。
ユーザーがコンソールに正常にサインインしたら、ポリシーを介して付与された権限に応じてOracle Cloud Infrastructureリソースを使用できます。
ユーザーは、自動的にコンソールでパスワードを変更できます。管理者は、ユーザーにこの機能を提供するポリシーを作成する必要はありません。
パスワードの変更
ユーザーが最初のワンタイム・パスワードを変更した後、パスワードを変更したい場合は、コンソールでパスワードを変更できます。ユーザーが自分のパスワードを自動的に変更できることに注意してください。管理者は、ユーザーにこの機能を提供するポリシーを作成する必要はありません。
詳細は、コンソールのパスワードを変更するにはを参照してください。
ユーザーがコンソール・パスワードのリセットを必要とする場合
ユーザーがコンソール・パスワードを忘れてAPIにアクセスできない場合は、コンソールの「パスワードを忘れた場合」リンクを使用して一時パスワードを送信できます。このオプションは、ユーザー・プロファイルに電子メール・アドレスがある場合に使用できます。
ユーザー・プロファイルに電子メール・アドレスがない場合は、ユーザーのパスワードをリセットするように管理者に依頼する必要があります。すべての管理者(およびテナンシに対する権限がある他のすべてのユーザー)は、コンソール・パスワードをリセットできます。パスワードをリセットするプロセスで、管理者がユーザーに提供するために必要な新しいワンタイム・パスワードが生成されます。ユーザーは、次回コンソールにサインインしたときにパスワードを変更する必要があります。
ユーザーのコンソール ・パスワードをリセットする必要がある管理者の場合、別のユーザーのコンソール・パスワードを作成またはリセットするにはを参照してください。
ユーザーがコンソールへのサインインをブロックされている場合
コンソールにサインインしようとして連続して10回失敗した場合、次の試行から自動的にブロックされます。ブロックを解除するには、管理者に連絡する必要があります(ユーザーのブロックを解除するにはを参照)。
API署名キー
APIリクエストを行う必要があるユーザーは、PEM形式のRSA公開キー(最小2048ビット)をIAMユーザー・プロファイルに追加し、対応する秘密キー(必要なキーとOCIDを参照)を使用してAPIリクエストに署名する必要があります。
ユーザーは、コンソールまたはAPIで独自のAPIキーを生成および管理する機能を自動的に付与されます。管理者は、ユーザーにこの機能を提供するためにポリシーを記述する必要はありません。ユーザー自身がコンソールでキーを保存するまで、または管理者がコンソールまたはAPIでそのユーザーのキーを追加するまで、ユーザーはAPIを使用して自分の資格証明を変更または削除できないことに注意してください。
非ヒューマン・システムでAPIリクエストを行う必要がある場合、管理者がそのシステムのユーザーを作成し、システムのIAMサービスに公開キーを追加する必要があります。ユーザーのコンソール・パスワードを生成する必要はありません。
APIキーを生成する手順は、API署名キーを追加するにはを参照してください。
OAuth 2.0クライアント資格証明
OAuth 2.0クライアント資格証明は、United Kingdom Government Cloud (OC4)では使用できません。
OAuth 2.0クライアント資格証明は、OAuth 2.0認可プロトコルを使用するサービスとプログラムで対話するために必要です。資格証明を使用すると、サービスのREST APIエンドポイントにアクセスするためのセキュア・トークンを取得できます。トークンによって付与される使用可能なアクションおよびエンドポイントは、資格証明の生成時に選択するスコープ(権限)によって異なります。詳細は、OAuth 2.0クライアント資格証明の作業を参照してください。
認証トークン
認証トークンは、Oracleによって生成される認証トークンです。Oracle Cloud Infrastructure署名ベースの認証をサポートしないサード・パーティAPI、たとえばSwift APIなどを使用して認証するには、認証トークンを使用します。サービスに認証トークンが必要な場合は、サービス固有のドキュメントで、その生成および使用方法を指示しています。
IAMデータベース・パスワード
概要
IAMデータベース・パスワードは、コンソール・パスワードとは異なるパスワードです。IAMデータベース・パスワードを設定すると、認可されたIAMユーザーは、テナンシ内の1つ以上のAutonomous Databaseにサインインできます。
IAMでユーザー・アカウント管理を一元化することで、セキュリティが向上し、組織に対して参加、移動および脱退するユーザーを管理する(ユーザー・ライフサイクル管理とも呼ばれる)必要のあるデータベース管理者を大幅に削減できます。ユーザーは、IAMでデータベース・パスワードを設定し、そのパスワードを使用して、テナンシで適切に構成されたOracle Databaseにログインするときに認証できます。
使用が容易
データベース・エンド・ユーザーは、サポートされている既存のデータベース・クライアントおよびツールを引き続き使用して、データベースにアクセスできます。ただし、ローカル・データベースのユーザー名とパスワードを使用するかわりに、IAMユーザー名とIAMデータベース・パスワードを使用します。OCIプロファイルで管理するデータベース・パスワードにアクセスできるのは、OCIに対する認証に成功した後にかぎります。つまり、管理者は、ユーザーがデータベース・パスワードにアクセスするか管理する前に、追加の保護レイヤーを作成できます。FIDO認証プロバイダなどを使用してコンソール・パスワードでマルチファクタ認証を強制したり、認証プロバイダ・アプリケーションを使用して通知をプッシュしたりできます。
サポートされている機能
IAMデータベース・パスワードでは、データベース・パスワードをIAMユーザーに直接関連付けることができます。IAMでデータベース・パスワードを設定した後、IAMデータベースにアクセスする権限があれば、それを使用してテナンシのIAMデータベースにサインインできます。データベースにアクセスする権限を付与されるには、グローバル・データベース・スキーマにマップされている必要があります。IAMユーザーおよびグループへのグローバル・データベース・ユーザーのマッピングの詳細は、Oracle Databaseセキュリティ・ガイドのOracle DBaaSデータベースのIAMユーザーの認証および認可を参照してください。
パスワード・セキュリティ
IAM管理者は、ユーザーがIAMのデータベース・パスワードにアクセスする前にマルチファクタ認可を有効にすることで、セキュリティ・アクセス・レイヤーを追加できます。IAMユーザーがOCIデータベースに対して認証および認可する方法の詳細は、Oracle Databaseセキュリティ・ガイドのOracle DBaaSデータベースに対するIAMユーザーの認証および認可を参照してください。
コンソールで独自のIAMデータベース・パスワードを管理できます(作成、変更、削除など)。
IAMデータベース・パスワードの作成は、IAMデータベース・パスワードで二重引用符(")が許可されていない点を除き、コンソール・パスワードの作成と同じルールに従います。コンソール・パスワードの作成ルールは、パスワード・ポリシー・ルールについてを参照してください。
独自のIAMデータベース・パスワードを作成するには、IAMデータベース・パスワードを作成するにはを参照してください。
コンソールで独自のIAMデータベース・パスワードを管理できます(作成、変更、削除など)。既存のパスワードを変更するには、既存のパスワードを削除して新しいパスワードを追加します。IAMデータベース・パスワードを変更するにはを参照してください。
コンソールで独自のIAMデータベース・パスワードを管理できます(作成、変更、削除など)。IAMデータベース・パスワードを削除するには、IAMデータベース・パスワードを削除するにはを参照してください。
IAMデータベース・パスワードのロックアウト
失敗したログイン試行
IAMデータベースおよびコンソール・ユーザーは、10連続してログイン試行に失敗するとロックアウトされます(両方のパスワードの合計)。データベースまたはIAMパスワードを使用して、10回連続して不正なログインを入力すると、ユーザー・アカウントはロックされます。ユーザー・アカウントをロック解除できるのは、IAM管理者のみです。
- 10回連続して試行した後(両方の合計)、IAMまたはデータベースへのサインインに失敗すると、アカウントはロックされ、データベースまたはコンソールにサインインできなくなります。
- ロックアウトされた場合、IAM管理者がアカウントを明示的にロック解除する必要があります。
- IAMでは、自動ロック解除はサポートされていません。
- 失敗したログイン回数は、レルム内のすべてのリージョンにわたって一元的にトラッキングされます。失敗したログインは、ホーム・リージョンに記録され、サブスクライブされたリージョンにレプリケートされます。
IAMデータベース・ユーザー名の作業
コンソールで独自のIAMデータベース・ユーザー名を管理できます(作成、変更、削除など)。
データベース・ユーザー名の変更が必要になる場合があります:
- ユーザー名が長すぎるか入力が困難な場合
- 特殊文字を含まない、より短いユーザー名を使用してログインを簡単にするため
次のトピックでは、IAMデータベース・ユーザー名を管理する方法について説明します。