フェデレーテッド・ユーザーのユーザー機能の管理

Oracle Cloud Infrastructureにアクセスするには、ユーザーは必要な資格証明を持っている必要があります。コンソールを使用する必要があるユーザーは、パスワードを持っている必要があります。APIを介してアクセスする必要があるユーザーにはAPIキーが必要です。一部のサービス機能には、認証トークン、SMTP資格証明、Amazon S3互換APIキーなどの追加の資格証明が必要です。ユーザーがこれらの資格証明を取得するには、資格証明タイプの機能を付与されている必要があります。

ユーザー機能は、管理者がユーザーの詳細で管理します。各ユーザーはそれぞれの機能を表示できますが、これらを有効または無効にできるのは管理者のみです。フェデレーテッド・ユーザーが使用できるユーザー機能は、次のとおりです。

• APIキー
• 認証トークン
• SMTP資格証明
• 顧客秘密キー
• OAuth 2.0クライアント資格証明

デフォルトでは、これらの機能は新規ユーザーをプロビジョニングすると有効化されるため、ユーザーは自分のこれらの資格証明を作成できます。これらのユーザー資格証明の詳細は、ユーザー資格証明の管理を参照してください。

管理者グループに属している場合は、ユーザー機能を管理するために必要なアクセス権があります。ユーザーは、自分自身のユーザー機能を有効化または無効化することはできません(管理者を除く)。ただし、ユーザーは自分に対して有効化されている自分の資格証明を管理できます。

フェデレーテッド・ユーザーのユーザー機能の管理は、Oracle Identity Cloud ServiceおよびOktaフェデレーションでのみサポートされています。

• Oracle Identity Cloud Serviceフェデレーション:

  テナンシが2018年12月21日以降に作成された場合、テナンシはユーザー機能を管理するために自動的に構成されます。前提条件はありません。

  2018年12月21日より前にテナンシが作成された場合は、1回かぎりのアップグレードを実行する必要があります。ユーザー・プロビジョニングの有効化を参照してください。

• テナンシがOktaとフェデレートされている場合は、フェデレーテッド・ユーザーのユーザー・プロビジョニングを参照してください。

前提条件を満たしたら、Oracle Cloud Infrastructureグループにマップされたグループに属する、IdPで作成したユーザーを表示できます。Oracle Cloud Infrastructureグループにマップされたグループにユーザーを追加すると、そのユーザーはコンソールに自動的に表示されます。

コンソールでユーザーをリストするには:

ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ユーザー」をクリックします。

ユーザー・タイプ別にリストをフィルタリングして、指定したアイデンティティ・プロバイダに属するユーザーのみを含めることができます。ローカル・ユーザーは、Oracle Cloud InfrastructureのIAMサービスで作成されるユーザーです。フィルタ・リストには、設定済のすべてのアイデンティティ・プロバイダが含まれています。

APIの使用およびリクエストの署名の詳細は、REST APIのドキュメントおよびセキュリティ資格証明を参照してください。SDKの詳細は、SDKおよびCLIを参照してください。

次のAPI操作を使用して、ユーザー機能を管理します。

• ListUsers
• GetUser
• UpdateUser:ユーザー機能およびユーザーの説明を更新できます。
• UpdateUserCapabilities
• DeleteUser:この操作では、Oracle Cloud Infrastructureでプロビジョニングされたユーザーは削除されますが、アイデンティティ・プロバイダのユーザーは削除されません。

ユーザー資格証明を管理するAPI操作の詳細は、ユーザー資格証明の管理を参照してください。

フェデレーテッド・ユーザーの場合、次の操作はサポートされていません。

• ListUserGroupMemberships
• AddUserToGroup
• GetUserGroupMembership
• RemoveUserFromGroup