ユーザー資格証明
Oracle Cloud Infrastructure Identity and Access Management (IAM)では、次のようないくつかのタイプの資格証明を管理できます:
- コンソール・パスワード:コンソールにサインインするためにOracle Cloud Infrastructureと対話するためのユーザー・インタフェースです。フェデレーテッド・ユーザーは、アイデンティティ・プロバイダを介してサインインするため、コンソール・パスワードを保有できません。アイデンティティ・プロバイダによるフェデレートを参照してください。
- API署名キー(PEM形式):認証が必要なAPIリクエストの送信用です。
- 認証トークン:サード・パーティAPIを使用した認証に使用できる、Oracle生成のトークン。たとえば、Recovery Manager (RMAN)を使用してOracle Database System (DBシステム)データベースをオブジェクト・ストレージにバックアップする場合は、Swiftクライアントによる認証に認証トークンを使用します。
- 顧客秘密キー:オブジェクト・ストレージでAmazon S3互換APIを使用する場合。Amazon S3互換APIを参照してください。
- OAuth 2.0クライアント資格証明: OAuth 2.0認可を使用するサービスのAPIと対話する場合。OAuth 2.0クライアント資格証明を参照してください。
- SMTP資格証明:電子メール配信サービスを使用する場合。
- IAMデータベース・パスワード: ユーザーは、IAMユーザー・プロファイルのデータベース・パスワードを作成および管理し、そのパスワードを使用してテナンシ内のデータベースに対する認証を行うことができます。IAMデータベース・ユーザー名およびパスワードの作業を参照してください。
- IAMデータベース・ユーザー名: ユーザーがデータベースの独自のユーザー名を作成および管理し、必要に応じて代替ユーザー名を作成します。IAMデータベース・ユーザー名およびパスワードの作業を参照してください。
API署名キーは、コンピュート・インスタンスへのアクセスに使用するSSHキーとは異なります(セキュリティ資格証明を参照)。API署名キーの詳細は、必須キーおよびOCIDを参照してください。インスタンスSSHキーの詳細は、キー・ペアの管理を参照してください。
ユーザー・パスワード
ユーザーが最初にコンソールにサインインする場合、すぐにパスワードの変更を求められます。ユーザーが最初にサインインしてパスワードを変更するまで7日間以上待機した場合、有効期限切れになり、管理者はユーザーのパスワードをリセットする必要があります。
ユーザーがコンソールに正常にサインインしたら、ポリシーを介して付与された権限に応じてOracle Cloud Infrastructureリソースを使用できます。
ユーザーは、自動的にコンソールでパスワードを変更できます。管理者は、ユーザーにこの機能を提供するポリシーを作成する必要はありません。
パスワードの変更
ユーザーが最初のワンタイム・パスワードを変更した後、パスワードを変更したい場合は、コンソールでパスワードを変更できます。ユーザーが自分のパスワードを自動的に変更できることに注意してください。管理者は、ユーザーにこの機能を提供するポリシーを作成する必要はありません。
詳細は、コンソール・パスワードの変更を参照してください。
ユーザーがコンソール・パスワードのリセットを必要とする場合
ユーザーがコンソール・パスワードを忘れてAPIにアクセスできない場合は、コンソールの「パスワードを忘れた場合」リンクを使用して、ユーザー・アカウントに対して構成された電子メール・アドレスにパスワードのリセット・リンクを送信できます。(すべてのユーザー・プロファイルには電子メール・アドレスが必要です。)
ユーザーは、管理者にパスワードのリセットを依頼することもできます。すべての管理者(およびテナンシに対する権限がある他のすべてのユーザー)は、コンソール・パスワードをリセットできます。パスワードのリセット・プロセスでは、パスワードのリセット電子メールが生成され、送信されます。ユーザーは、リンクが期限切れになるまでに、再度コンソールにサインインする前に、パスワードを変更する必要があります。
ユーザーのコンソール・パスワードをリセットする必要がある管理者の場合、別のユーザーのコンソール・パスワードのリセットを参照してください。
ユーザーがコンソールへのサインインをブロックされている場合
ユーザーがコンソールへのサインインを試行し、アイデンティティ・ドメインのパスワード・ポリシーで許可されている回数を超えて連続して失敗した場合は、その後の試行から自動的にブロックされます。パスワード・ポリシーによってアイデンティティ・ドメインに対してアカウントの自動ロック解除が有効になっていない場合、ユーザーは管理者に連絡してブロックを解除する必要があります(ユーザーのブロック解除を参照)。
API署名キー
APIリクエストを行う必要があるユーザーは、PEM形式のRSA公開キー(最小2048ビット)をIAMユーザー・プロファイルに追加し、対応する秘密キー(必要なキーとOCIDを参照)を使用してAPIリクエストに署名する必要があります。
ユーザーは、コンソールまたはAPIで自分のAPIキーを自動的に生成および管理できます。管理者は、ユーザーにこの機能を提供するためにポリシーを記述する必要はありません。ユーザーは、コンソールでキーを保存するまで、または管理者がコンソールまたはAPIでそのユーザーのキーを追加するまで、APIを使用して自分の資格証明を変更または削除できないことに注意してください。
APIリクエストを行う必要があるシステムがある場合は、管理者がそのシステムのユーザーを作成し、システムのIAMサービスに公開キーを追加する必要があります。ユーザーのコンソール・パスワードを生成する必要はありません。
APIキーを生成する手順は、API署名キーの追加を参照してください。
-----END PRIVATE KEY-----
OCI_PRIVATE_KEY
OAuth 2.0クライアント資格証明
OAuth 2.0クライアント資格証明は、United Kingdom Government Cloud (OC4)では使用できません。
OAuth 2.0クライアント資格証明は、OAuth 2.0認可プロトコルを使用するサービスとプログラムで対話するために必要です。資格証明を使用すると、サービスのREST APIエンドポイントにアクセスするためのセキュア・トークンを取得できます。トークンによって付与される使用可能なアクションおよびエンドポイントは、資格証明の生成時に選択するスコープ(権限)によって異なります。詳細は、OAuth 2.0クライアント資格証明の作業を参照してください。
認証トークン
認証トークンは、Oracleによって生成される認証トークンです。Oracle Cloud Infrastructure署名ベースの認証をサポートしないサード・パーティAPI、たとえばSwift APIなどを使用して認証するには、認証トークンを使用します。サービスに認証トークンが必要な場合は、サービス固有のドキュメントで、その生成および使用方法を指示しています。
IAMデータベース・パスワード
概要
IAMデータベース・パスワードは、コンソール・パスワードとは異なるパスワードです。IAMデータベース・パスワードを設定すると、認可されたIAMユーザーは、テナンシ内の1つ以上のAutonomous Databaseにサインインできます。
IAMでユーザー・アカウント管理を一元化することで、セキュリティが向上し、組織に対して参加、移動および脱退するユーザーを管理する(ユーザー・ライフサイクル管理とも呼ばれる)必要のあるデータベース管理者を大幅に削減できます。ユーザーは、IAMでデータベース・パスワードを設定し、そのパスワードを使用して、テナンシで適切に構成されたOracle Databaseにログインするときに認証できます。
使用が容易
データベース・エンド・ユーザーは、サポートされている既存のデータベース・クライアントおよびツールを引き続き使用して、データベースにアクセスできます。ただし、ローカル・データベースのユーザー名とパスワードを使用するかわりに、IAMユーザー名とIAMデータベース・パスワードを使用します。OCIプロファイルで管理するデータベース・パスワードにアクセスできるのは、OCIに対する認証に成功した後にかぎります。つまり、管理者は、ユーザーがデータベース・パスワードにアクセスするか管理する前に、追加の保護レイヤーを作成できます。FIDO認証プロバイダなどを使用してコンソール・パスワードでマルチファクタ認証を強制したり、認証プロバイダ・アプリケーションを使用して通知をプッシュしたりできます。
サポートされている機能
IAMデータベース・パスワードでは、データベース・パスワードをIAMユーザーに直接関連付けることができます。IAMでデータベース・パスワードを設定した後、IAMデータベースにアクセスする権限があれば、それを使用してテナンシのIAMデータベースにサインインできます。データベースにアクセスする権限を付与されるには、グローバル・データベース・スキーマにマップされている必要があります。IAMユーザーおよびグループへのグローバル・データベース・ユーザーのマッピングの詳細は、Oracle Databaseセキュリティ・ガイドのOracle DBaaSデータベースのIAMユーザーの認証および認可を参照してください。
パスワード・セキュリティ
IAM管理者は、ユーザーがIAMのデータベース・パスワードにアクセスする前にマルチファクタ認可を有効にすることで、セキュリティ・アクセス・レイヤーを追加できます。IAMユーザーがOCIデータベースに対して認証および認可する方法の詳細は、Oracle Databaseセキュリティ・ガイドのOracle DBaaSデータベースに対するIAMユーザーの認証および認可を参照してください。
コンソールで独自のIAMデータベース・パスワードを管理できます(作成、変更、削除など)。
IAMデータベース・パスワードの作成は、IAMデータベース・パスワードで二重引用符(")が許可されていない点を除き、コンソール・パスワードの作成と同じルールに従います。コンソール・パスワードの作成ルールは、パスワード・ポリシー・ルールについてを参照してください。
独自のIAMデータベース・パスワードを作成するには、IAMデータベース・パスワードを作成するにはを参照してください。
コンソールで独自のIAMデータベース・パスワードを管理できます(作成、変更、削除など)。既存のパスワードを変更するには、既存のパスワードを削除して新しいパスワードを追加します。IAMデータベース・パスワードを変更するにはを参照してください。
コンソールで独自のIAMデータベース・パスワードを管理できます(作成、変更、削除など)。IAMデータベース・パスワードを削除するには、IAMデータベース・パスワードを削除するにはを参照してください。
IAMデータベース・パスワードのロックアウト
失敗したログイン試行
IAMデータベースおよびコンソール・ユーザーは、10連続してログイン試行に失敗するとロックアウトされます(両方のパスワードの合計)。データベースまたはIAMパスワードを使用して、10回連続して不正なログインを入力すると、ユーザー・アカウントはロックされます。ユーザー・アカウントをロック解除できるのは、IAM管理者のみです。
- 10回連続して試行した後(両方の合計)、IAMまたはデータベースへのサインインに失敗すると、アカウントはロックされ、データベースまたはコンソールにサインインできなくなります。
- ロックアウトされた場合、IAM管理者がアカウントを明示的にロック解除する必要があります。
- IAMでは、自動ロック解除はサポートされていません。
- 失敗したログイン回数は、レルム内のすべてのリージョンにわたって一元的にトラッキングされます。失敗したログインは、ホーム・リージョンに記録され、サブスクライブされたリージョンにレプリケートされます。
IAMデータベース・ユーザー名の作業
コンソールで独自のIAMデータベース・ユーザー名を管理できます(作成、変更、削除など)。
データベース・ユーザー名の変更が必要になる場合があります:
- ユーザー名が長すぎるか入力が困難な場合
- 特殊文字を含まない、より短いユーザー名を使用してログインを簡単にするため
次のトピックでは、IAMデータベース・ユーザー名を管理する方法について説明します。