認証設定の管理
このトピックでは、テナンシの認証ルールの設定方法について説明します。認証設定には、テナンシ内のローカルIAMユーザーのポリシー・ルール、およびテナンシ内のすべてのユーザーのネットワーク・ソース制限が含まれます。
必須IAMポリシー
管理者グループに属している場合は、認証ポリシーとネットワーク・ソースに必要なアクセス権があります。
認証ポリシーおよびネットワーク・ソースを表示するには、authentication-policiesリソースおよびnetwork-sourcesリソースに対するinspectアクセス権が付与されている必要があります。例:
Allow group GroupA to inspect authentication-policies in tenancyAllow group GroupA to inspect network-sources in tenancy認証ポリシーおよびネットワーク・ソースを管理するには、両方のリソースに対する管理権限が付与されている必要があります。例:
Allow group GroupA to manage authentication-policies in tenancyAllow group GroupA to manage network-sources in tenancyポリシーを初めて使用する場合は、ポリシーの開始と共通ポリシーを参照してください。グループまたは他のIAMコンポーネントのポリシーの書込みの詳細は、アイデンティティ・ドメインのないIAMの詳細を参照してください。
パスワード・ポリシー・ルールの使用
IAMサービスに設定するパスワード・ポリシーは、すべてのローカル(または非フェデレーテッド)ユーザーに適用できます。
ユーザーが作成されたとき、またはユーザーがパスワードを変更したときに、IAMサービスはパスワード・ポリシーに対して提供されたパスワードを検証して、それがポリシーの基準を満たしていることを確認します。ユーザーが初めてパスワードを変更するためにログインするか、またはパスワードをいつでもリセットすると、パスワード・ポリシーが評価されて施行されます。
パスワード・ポリシー・ルールの変更が有効になるタイミング
パスワード・ポリシー・ルールに対する変更はただちに有効になるため、次回のユーザーによるパスワードの変更時には基準を満たすパスワードを作成する必要があります。既存のパスワードは、新しいルールの下で無効になる場合でも引き続き有効です。ユーザーは新しい基準に合せて既存のパスワードの変更を強制されません。パスワードは、作成または変更されたときにのみルールに対して評価されます。
パスワード・ポリシー・ルールについて
次の表は、パスワード・ポリシーに含めることができるルールを示しています。
| ルール | 設定オプション | デフォルトのIAMサービス設定 |
|---|---|---|
| パスワード最短長 |
最小値は8(文字)です。最大値は100です。 |
12文字 |
| 特殊文字 |
パスワードには、1つ以上の特殊文字を含める必要があります。パスワードに使用できる特殊文字は:
リストされていない特殊文字は使用できません。 |
施行済 |
| 小文字 | パスワードには小文字のアルファベット(a-z)を1文字以上含める必要があります。 | 施行済 |
| 大文字 | パスワードには大文字のアルファベット(A-Z)を1文字以上使用する必要があります。 | 施行済 |
| 数字 | パスワードには、1つ以上の数字(0-9)を含める必要があります。 | 施行済 |
Oracleでは、すべてのパスワード・ルールの適用をお薦めしています。
コンソールを使用したパスワード・ポリシー・ルールの管理
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「認証設定」をクリックします。テナンシの認証設定が表示されます。
- 「編集」をクリックします。
- 次の情報を入力してパスワード・ポリシーを設定します。
- パスワード最短長:数字を入力して、ユーザーのパスワードに含める必要がある最小文字数を定義します。指定可能な値は8から100です。
-
適用するパスワード・ルールを選択します。
- 数値を1つ以上含める必要があります:パスワードに1つ以上の数字(0-9)が必要な場合は、チェック・ボックスを選択します。
- 特殊文字を少なくとも1つ含める必要があります:特殊文字を少なくとも1つ指定する必要がある場合、チェック・ボックスを選択します。使用可能な特殊文字は:
!#$%&'()*+,-./:;<=>?@[\]^_`{|}~ - 小文字を少なくとも1文字含める必要があります:小文字(a-z)を少なくとも1文字含める必要がある場合は、チェック・ボックスを選択します。
- 大文字を少なくとも1文字含める必要があります:大文字(A-Z)を少なくとも1文字含める必要がある場合は、チェック・ボックスを選択します。
- 「変更の保存」をクリックします
認証ポリシーでのネットワーク・ソース制限の作業
ネットワーク・ソース制限を使用すると、ユーザーがコンソールにサインインできるIP範囲の許容セットを指定できます。許可リストにないIPアドレスからサインインしようとするユーザーは、アクセスを拒否されます。
- 許可されたIPアドレスを指定するネットワーク・ソースを設定します。ネットワーク・ソースの設定の詳細は、ネットワーク・ソースの管理を参照してください。
- 認証設定ページでネットワーク・ソースを選択します。
管理者が認証設定に設定できるネットワーク・ソースは1つのみですが、1つのネットワーク・ソースに複数の許可されたIPアドレスを含めることができます。
ネットワーク・ソース制限は、テナンシ内のすべてのユーザーに適用されます。管理者がサインインを許可されたIPアドレスを持つネットワークにアクセスできない場合、テナンシへのアクセス権を得るには次のいずれかを実行する必要があります:
- 認証SDKを使用してサインインし、ネットワーク・ソース制限の設定をプログラムで変更します。
- Oracleサポートに連絡します。認証SDKを介したアクセスを可能にするAPI署名キーがない場合は、サポートに連絡してテナンシへのアクセス権を回復する必要があります。注意
ネットワーク・ソース制限を設定する前に、許可されたネットワークが使用できない場合にテナンシへのアクセスを可能にするAPIキーが設定されていることを確認してください。APIキーを設定せず、許可されたネットワークを使用できない場合は、Oracleサポートに連絡するまですべてのユーザーがテナンシからロックアウトされます。API署名キーの設定の詳細は、必要なキーとOCIDを参照してください。
ネットワーク・ソース制限に対する変更が有効になるタイミング
ネットワーク・ソース制限が定義されると、コンソールにサインインしているユーザーは現在のセッションを続行できますが、サインアウト後、次回サインインしようとしたときにネットワーク制限が適用されます。
コンソールを使用したネットワーク・ソース制限の管理
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「認証設定」をクリックします。テナンシの認証設定が表示されます。
- 「編集」をクリックします。
- 「ネットワーク・ソースの選択」メニューから、すべてのコンソール・サインインに適用するIP範囲制限を指定するネットワーク・ソースを選択します。
- 「変更の保存」をクリックします
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「認証設定」をクリックします。テナンシの認証設定が表示されます。
- 「ネットワーク・ソース制限」に表示されているネットワーク・ソースの名前をクリックします。
ネットワーク・ソースの詳細ページが表示されます。ここから、定義を編集または削除できます。ネットワーク・ソースの管理の詳細は、ネットワーク・ソースの管理を参照してください。
APIを使用した認証設定の作業
APIの使用およびリクエストの署名の詳細は、REST APIのドキュメントおよびセキュリティ資格証明を参照してください。SDKの詳細は、SDKおよびCLIを参照してください。
次のAPI操作を使用して、認証設定を管理します: