ユーザー資格証明

Oracle Cloud Infrastructure Identity and Access Management (IAM)で管理する資格証明には、次のようないくつかのタイプがあります。

  • コンソール・パスワード:コンソールにサインインするためにOracle Cloud Infrastructureと対話するためのユーザー・インタフェースです。フェデレーテッド・ユーザーは、アイデンティティ・プロバイダを介してサインインするため、コンソール・パスワードを保有できません。アイデンティティ・プロバイダによるフェデレートを参照してください。
  • API署名キー(PEM形式):認証が必要なAPIリクエストの送信用です。
  • 認証トークン:サード・パーティAPIを使用した認証に使用できる、Oracle生成のトークン。たとえば、Recovery Manager (RMAN)を使用してOracle Database System (DBシステム)データベースをオブジェクト・ストレージにバックアップする場合は、Swiftクライアントによる認証に認証トークンを使用します。
  • 顧客秘密キー:オブジェクト・ストレージAmazon S3互換APIを使用する場合。Amazon S3互換APIを参照してください。
  • OAuth 2.0クライアント資格証明: OAuth 2.0認可を使用するサービスのAPIと対話する場合。OAuth 2.0クライアント資格証明を参照してください。
  • SMTP資格証明:電子メール配信サービスを使用する場合。
重要

API署名キーは、コンピュート・インスタンスへのアクセスに使用するSSHキーとは異なります(セキュリティ資格証明を参照)。API署名キーの詳細は、必須キーおよびOCIDを参照してください。インスタンスSSHキーの詳細は、キー・ペアの管理を参照してください。

ユーザー・パスワード

IAMで新しいユーザーを作成する管理者は、ユーザーのワンタイム・コンソール・パスワードも生成する必要があります(別のユーザーのコンソール・パスワードを作成またはリセットするにはを参照)。管理者は、パスワードの口頭による提供、パスワードの印刷、またはセキュアな電子メール・サービスによる送信を行うことで、パスワードを安全にユーザーに提供する必要があります。

ユーザーが最初にコンソールにサインインする場合、すぐにパスワードの変更を求められます。ユーザーが最初にサインインしてパスワードを変更するまで7日間以上待機した場合、有効期限切れになり、管理者はユーザーに新しいワンタイム・パスワードを作成する必要があります。

ユーザーがコンソールに正常にサインインしたら、ポリシーを介して付与された権限に応じてOracle Cloud Infrastructureリソースを使用できます。

ノート

ユーザーは、自動的にコンソールでパスワードを変更できます。管理者は、ユーザーにこの機能を提供するポリシーを作成する必要はありません。

パスワードの変更

ユーザーが最初のワンタイム・パスワードを変更した、パスワードを変更したい場合は、コンソールでパスワードを変更できます。ユーザーが自分のパスワードを自動的に変更できることに注意してください。管理者は、ユーザーにこの機能を提供するポリシーを作成する必要はありません。

詳細は、コンソールのパスワードを変更するにはを参照してください。

ユーザーがコンソール・パスワードのリセットを必要とする場合

ユーザーがコンソール・パスワードを忘れてAPIにアクセスできない場合は、コンソール「パスワードを忘れた場合」リンクを使用して一時パスワードを送信できます。このオプションは、ユーザー・プロファイルに電子メール・アドレスがある場合に使用できます。

ユーザー・プロファイルに電子メール・アドレスがない場合は、ユーザーのパスワードをリセットするように管理者に依頼する必要があります。すべての管理者(およびテナンシに対する権限がある他のすべてのユーザー)は、コンソール・パスワードをリセットできます。パスワードをリセットするプロセスで、管理者がユーザーに提供するために必要な新しいワンタイム・パスワードが生成されます。ユーザーは、次回コンソールにサインインしたときにパスワードを変更する必要があります。

ユーザーのコンソール ・パスワードをリセットする必要がある管理者の場合、別のユーザーのコンソール・パスワードを作成またはリセットするにはを参照してください。

ユーザーがコンソールへのサインインをブロックされている場合

コンソールにサインインしようとして連続して10回失敗した場合、次の試行から自動的にブロックされます。ブロックを解除するには、管理者に連絡する必要があります(ユーザーのブロックを解除するにはを参照)。

API署名キー

APIリクエストを行う必要があるユーザーは、PEM形式のRSA公開キー(最小2048ビット)IAMにアップロードし、対応する秘密キー(必須キーおよびOCIDを参照)を使用してAPIリクエストに署名する必要があります。

重要

自動的に、コンソールまたはAPIで、ユーザーは自分のAPIキーをアップロードして管理できます。管理者は、ユーザーにこの機能を提供するためにポリシーを記述する必要はありません。ユーザー自身がコンソールでキーをアップロードするまで、または管理者がコンソールまたはAPIでそのユーザーのキーをアップロードするまで、ユーザーはAPIを使用して自分の資格証明を変更または削除できないことに注意してください。

非ヒューマン・システムでAPIリクエストを行う必要がある場合、管理者がそのシステムのユーザーを作成し、システムのIAMサービスに公開キーをアップロードする必要があります。ユーザーのコンソール・パスワードを生成する必要はありません。

APIキーのアップロードの手順は、API署名キーをアップロードするにはを参照してください。

OAuth 2.0クライアント資格証明

OAuth 2.0クライアント資格証明は、OAuth 2.0認可プロトコルを使用するサービスとプログラムで対話するために必要です。資格証明を使用すると、サービスのREST APIエンドポイントにアクセスするためのセキュア・トークンを取得できます。トークンによって付与される使用可能なアクションおよびエンドポイントは、資格証明の生成時に選択するスコープ(権限)によって異なります。詳細は、OAuth 2.0クライアント資格証明の作業を参照してください。

認証トークン

認証トークンは、Oracleによって生成される認証トークンです。Oracle Cloud Infrastructure署名ベースの認証をサポートしないサード・パーティAPI、たとえばSwift APIなどを使用して認証するには、認証トークンを使用します。サービスに認証トークンが必要な場合は、サービス固有のドキュメントで、その生成および使用方法を指示しています。