ユーザーの管理

管理者グループに属している場合は、ユーザーを管理するために必要なアクセス権があります。

• 新規ユーザーおよび資格証明を作成する権限を付与するが、そのユーザーが属するグループを制御する権限は付与しないポリシーを作成できます。ヘルプ・デスクによるユーザーの管理を参照してください。

ポリシーを初めて使用する場合は、ポリシーの開始と共通ポリシーを参照してください。ユーザーまたは他のIAMコンポーネントのポリシーの書込みの詳細は、アイデンティティ・ドメインのないIAMの詳細を参照してください。

リソースにタグを適用すると、ビジネス・ニーズに応じてそれらを整理しやすくなります。リソースの作成時にタグを適用するか、後でリソースを必要なタグで更新します。タグ適用についての一般情報は、リソース・タグを参照してください。

ユーザーを作成するときには、そのユーザーに一意で不変な名前を指定する必要があります。名前は、テナンシ内のすべてのユーザーで一意である必要があります。この名前は、コンソールへのユーザーのログインです。企業独自のアイデンティティ・システム(Active Directory、LDAPなど)ですでに使用されている名前を使用する場合があります。ユーザーの説明(空の文字列でも可能)を指定する必要があります。これは、ユーザーにとって一意で変更可能な説明です。この値は、ユーザーのフルネーム、ニックネームまたはその他の説明的な情報です。また、Oracleによって、Oracle Cloud ID (OCID)と呼ばれる一意のIDがユーザーに割り当てられます。詳細は、リソース識別子を参照してください。

Oracleでは、ユーザーのパスワード・リカバリ電子メール・アドレスを指定することをお薦めします。ユーザーがパスワードを忘れた場合は、サインオン・ページの「パスワードを忘れた場合」リンクを使用して一時パスワードを送信するようにリクエストできます。ユーザーに電子メール・アドレスが表示されない場合、管理者がパスワードをリセットするために介入する必要があります。

新規ユーザーは、1つ以上のグループに配置されるまで権限を持たず、少なくとも1つのポリシーによって、そのグループの権限がテナンシまたはコンパートメントのいずれかに付与されます。例外:各ユーザーは、自身の資格証明の管理を行うことができます。管理者は、ユーザーにこの機能を提供するポリシーを作成する必要はありません。詳細は、ユーザー資格証明を参照してください。

新規ユーザーにOracle Cloud Infrastructureにアクセスできるように、いくつかの資格証明を付与することも必要です。ユーザーは、必要なアクセスのタイプに応じて、次の資格証明のいずれかまたは両方を持つことができます: コンソールを使用するためのパスワードとAPIを使用するためのAPI署名キー。

Oracle Cloud Infrastructureにアクセスするには、ユーザーは必要な資格証明を持っている必要があります。コンソールを使用する必要があるユーザーは、パスワードを持っている必要があります。APIを介してアクセスする必要があるユーザーにはAPIキーが必要です。一部のサービス機能には、認証トークン、SMTP資格証明、Amazon S3互換APIキーなどの追加の資格証明が必要です。ユーザーがこれらの資格証明を取得するには、資格証明タイプの機能を付与されている必要があります。

管理者は、ユーザーの詳細でユーザー機能を管理します。各ユーザーは自分の機能を表示できますが、これらの機能を有効または無効にできるのは管理者のみです。ユーザー機能は次のとおりです。

• コンソール・パスワードを使用可能(ネイティブ・ユーザーのみ)
• APIキーを使用可能
• 認証トークンを使用可能
• SMTP資格証明を使用可能
• 顧客秘密キーを使用可能

デフォルトでは、これらのすべての機能はユーザーの作成時に有効になるため、ユーザーはこれらの資格証明を自分用に作成できます。ユーザー資格証明の使用の詳細は、ユーザー資格証明の管理を参照してください。

詳細は、マルチファクタ認証の管理を参照してください。

この手順に従って作成したユーザーはIAM内に作成され、「ローカル・ユーザー」とも呼ばれます。テナンシが別のアイデンティティ・プロバイダ(Oracle Identity Cloud Service、Azure AD、Oktaなど)とフェデレートされている場合、コンソールへのサインイン・ページには、サインインのためのオプションが2つ表示されます。IAM内に作成したローカル・ユーザーは、次の図に示すように、「Oracle Cloud Infrastructure」オプションを使用してサインインします:

テナンシがフェデレートされていない場合、サインイン・オプションは1つのみです。

「ユーザー」リスト・ページには、ユーザー・アカウントがアクティブかどうかを管理者が判断する場合に役立つ情報が表示されます。「最後に記録されたサインイン」フィールドには、コンソールを使用するか、IAMと統合されたOracle DBを使用して、ユーザーが最後にOracle Cloud Infrastructureにサインインした日時が表示されます。コンソール・サインインの場合、タイムスタンプは最後のコンソール・サインインです。IAMと統合されたOracle DBを使用したサインインの場合、タイムスタンプには、最後に記録されたサインインから最大15分のバッファが含まれることがあります。このフィールドは、すべてのユーザーのリスト・ビューにのみ表示され、個々のユーザーの詳細ページには表示されません。

このフィールドは、コンソールからの、またはIAMと統合されたOracle DBからのサインインのみをトラッキングします。ユーザーがその他のアクセス方法(SDKの使用など)を介してOracle Cloud Infrastructureにアクセスした場合、それらのサインインはトラッキングされません。

サポート・リクエストをコンソールから直接登録するには、各ユーザーがIAMユーザー・アカウントをMy Oracle Support (MOS)アカウントにリンクする必要があります。このステップを実行する必要があるのは1回のみです。手順は、My Oracle Supportアカウントにユーザーをリンクするにはを参照してください。

ユーザーがコンソールにサインインしようとして10回連続で失敗した場合、以降のサインイン試行はブロックされます。管理者は、コンソール(ユーザーのブロックを解除するにはを参照)またはUpdateUserState API操作を使用してユーザーのブロックを解除できます。

ユーザーを削除できますが、削除できるのは、そのユーザーがどのグループのメンバーでもない場合のみです。

保有できるユーザーの数の詳細は、サービス制限を参照してください。

APIの使用およびリクエストの署名の詳細は、REST APIのドキュメントおよびセキュリティ資格証明を参照してください。SDKの詳細は、SDKおよびCLIを参照してください。

ユーザーを管理するには、次のAPI操作を使用します。

• CreateUser
• ListUsers
• GetUser
• UpdateUserState:連続して10回サインインに失敗したユーザーをブロック解除します。
• UpdateUser:ユーザーの説明、電子メールおよびタグを更新できます。
• UpdateUserCapabilities
• DeleteUser
• ListUserGroupMemberships:この操作を使用して、グループ内のユーザーやユーザーが属するグループのリストを取得します。
• AddUserToGroup:この操作により、独自のOCIDを持つUserGroupMembershipオブジェクトが生成されます。
• GetUserGroupMembership
• RemoveUserFromGroup:この操作は、UserGroupMembershipオブジェクトを削除します。

ユーザー資格証明を管理するAPI操作の詳細は、ユーザー資格証明の管理を参照してください。