ユーザー資格証明の管理

ユーザーが独自の資格証明を管理する方法と、管理者が他のユーザーの様々なタイプのユーザー資格証明で実行できる操作について学習します。

このトピックでは、Oracle Cloud Infrastructure Identity and Access Management (IAM)ユーザー資格証明の操作の基本について説明します。使用可能な資格証明をよく知らない場合は、ユーザー資格証明を参照してください。

コンソール・パスワードとAPIキーの使用

各ユーザーには、自分のアイデンティティ・ドメイン・パスワードを変更またはリセットしたり、自分のAPIキーを管理したりする権限が自動的に与えられます。管理者は、ユーザーにこれらの機能を提供するためにポリシーを作成する必要はありません。

ノート

フェデレーテッド・ユーザーは、APIキーを変更するポリシーを作成する必要がある場合があります。たとえば、SCIMを介してプロビジョニングされたユーザーです。

自分以外のユーザーの資格証明を管理するには、管理者グループ、またはテナンシの操作権限を持つ他のグループに属している必要があります。テナンシ内のコンパートメントを操作する権限は十分でありません。詳細は、管理者グループ、ポリシーおよび管理者ロールを参照してください。

IAM管理者(またはテナンシの権限を持つユーザー)は、コンソールまたはAPIを使用して、自身および他のすべてのユーザーの両方のタイプの資格証明のすべての側面を管理できます。これには、新規ユーザーの初期のワンタイム・パスワードの作成、パスワードのリセット、APIキーのアップロード、APIキーの削除が含まれます。

管理者ではないユーザーは自分の資格証明を管理できます。次が可能です:

  • 自分のパスワードを変更またはリセットします。
  • コンソールで独自の用途のAPIキーをアップロードします(また、独自のAPIキーを削除します)。

さらに、APIを使用するとユーザーは次のことができます。

  • CreateOrResetUIPasswordで自分のパスワードをリセットします。
  • UploadApiKeyで独自に使用するために、IAMサービスに追加のAPIキーをアップロードします(また、DeleteApiKeyで独自のAPIキーを削除します)。ユーザー自身がアイデンティティ・ドメインにキーをアップロードするまで、または管理者がコンソールまたはAPIを使用してそのユーザーのキーをアップロードするまで、ユーザーはAPIを使用して自分の資格証明を変更または削除できないことに注意してください。

ユーザーは一度に最大3つのAPIキーを使用できます。

認証トークンの操作

ノート

「認証トークン」は以前に「Swiftパスワード」と呼ばれていました。作成したSwiftパスワードは、コンソールに認証トークンとしてリストされます。既存のパスワードは引き続き使用できます。

認証トークンはOracleで生成されるトークン文字列で、Oracle Cloud Infrastructureの署名ベースの認証をサポートしないサードパーティAPIで認証するために使用できます。IAMサービスで作成される各ユーザーには、コンソールまたはAPIでそれぞれ独自の認証トークンを作成、更新および削除する権限が自動的に付与されます。管理者は、ユーザーにこれらの機能を提供するためにポリシーを作成する必要はありません。管理者(またはテナンシに対する権限を持つユーザー)には、他のユーザーの認証トークンを管理する権限もあります。

認証トークンをユーザー独自の選択した文字列に変更することはできません。トークンは、常にOracleによって生成された文字列です。

認証トークンは失効しません。各ユーザーは同時に最大2つの認証トークンを持つことができます。コンソールで認証トークンを取得するには、認証トークンの作成を参照してください。

顧客秘密キーの操作

ノート

「顧客秘密キー」は以前、「Amazon S3互換APIキー」と呼ばれていました。作成したすべてのキーは、コンソールに顧客秘密キーとしてリストされます。既存のキーを引き続き使用できます。

オブジェクト・ストレージは、Amazon S3との相互運用性を有効にするAPIを提供します。このAmazon S3互換APIを使用するには、Amazon S3を使用した認証に必要な署名キーを生成する必要があります。この特別な署名キーは、アクセス・キー/秘密キーのペアです。Oracleでは、コンソール・ユーザー・ログインに関連付けられているアクセス・キーが提供されます。ユーザーまたは管理者は、アクセス・キーとペアにする顧客秘密キーを生成します。

自動的に、IAMサービスで作成される各ユーザーは、コンソールまたはAPIでそれぞれ独自の顧客秘密キーを作成、更新および削除できます。管理者は、ユーザーにこれらの機能を提供するためにポリシーを作成する必要はありません。管理者(またはテナンシの権限を持つユーザー)は、他のユーザーの顧客秘密キーも管理できます。

オブジェクト・ストレージを使用するAmazon S3互換APIのユーザーには、サービスの操作権限が必要です。権限があるかわからない場合は、管理者に連絡してください。ポリシーの詳細は、ポリシーの仕組みを参照してください。オブジェクト・ストレージの使用を可能にする基本ポリシーについては、共通ポリシーを参照してください。

顧客秘密キーは失効しません。各ユーザーは、同時に最大2つの顧客秘密キーを使用できます。コンソールを使用してキーを作成するには、顧客秘密キーの作成を参照してください。

OAuth 2.0クライアント資格証明の作業

ノート

OAuth 2.0クライアント資格証明は、United Kingdom Government Cloud (OC4)では使用できません。
OAuth 2.0クライアント資格証明は、OAuth 2.0認可プロトコルを使用するサービスとプログラムで対話するために必要です。資格証明を使用すると、サービスのREST APIエンドポイントにアクセスするためのセキュア・トークンを取得できます。トークンによって付与される使用可能なアクションおよびエンドポイントは、資格証明の生成時に選択するスコープ(権限)によって異なります。OAuth 2.0プロトコルを使用するサービスは:
  • Oracle Analytics Cloud
  • Oracle Integration Generation 2

OAuth 2.0アクセス・トークンは3600秒(1時間)有効です。

資格証明を作成するには、サービスのリソースおよびスコープを知っている必要があります。通常、これらはドロップダウン・リストから選択できます。ただし、情報がリストにない場合は、リソースおよびスコープを手動で入力できます。スコープによってトークンに許可される権限が定義されるため、スコープは必要最小限のアクセス・レベルで設定してください。

ユーザーが自分の資格証明を作成することも、管理者が別のユーザーの資格証明を作成することもできます。使用可能なリソースおよびスコープのリストには、ユーザーにアクセス権が付与されているリソースおよび権限レベルのみが表示されます。

OAuth 2.0クライアント資格証明の制限

アイデンティティ・ドメイン・タイプの各ユーザーが保有できるOAuth 2.0クライアント資格証明の数を確認するには、IAMオブジェクト制限を参照してください。

各OAuth 2.0クライアント資格証明には、最大10個のスコープを設定できます。

SMTP資格証明の操作

電子メール配信サービスを介して電子メールを送信するには、Simple Mail Transfer Protocol (SMTP)の資格証明が必要です。各ユーザーは、最大2つのSMTP資格証明に制限されます。3人以上が必要な場合は、他の既存のユーザーに対して生成するか、または追加のユーザーを作成する必要があります。

ノート

SMTPのユーザー名またはパスワードを、任意の文字列に変更できません。資格証明は常にOracleによって生成される文字列です。

IAMサービスで作成される各ユーザーは、自動的にコンソールまたはAPIで自分のSMTP資格証明を作成および削除できます。管理者は、ユーザーにこれらの機能を提供するためにポリシーを作成する必要はありません。管理者(またはテナンシの権限を持つユーザー)には、他のユーザーのSMTP資格証明を管理する権限もあります。

ヒント

各ユーザーは自分の資格証明を作成および削除できますが、すでに権限を割り当てられているコンソール・ユーザーに対してSMTP資格証明を生成するのではなく、新しいユーザーを作成してこのユーザーに対してSMTP資格証明を生成することがセキュリティのベスト・プラクティスです。

SMTP資格証明は失効しません。各ユーザーは同時に最大2つの資格証明を持つことができます。コンソールでSMTP資格証明を取得するには、SMTP資格証明の生成を参照してください。

電子メール配信サービスの使用の詳細は、電子メール配信サービスの概要を参照してください。

IAMデータベース・ユーザー名およびパスワードの作業

使用が容易

データベース・エンド・ユーザーは、引き続き既知の認証メソッドを使用してデータベースにアクセスできるため、IAMデータベース・パスワードを簡単に使用できます。OCIプロファイルで管理するデータベース・パスワードにアクセスできるのは、OCIに対する認証に成功した後になります。

ユーザーがデータベース・パスワードにアクセスするか管理する前に、IAM管理者は、マルチファクタ認証の管理を使用してマルチファクタ認証を実施することで追加のレイヤーを作成できます。たとえば、FIDOオーセンティケータを使用したり、オーセンティケータ・アプリケーションを使用して通知をプッシュしたりできます。

IAMデータベース・パスワード・セキュリティ

IAMデータベース・ユーザー名およびIAMデータベース・パスワードを使用してデータベースにアクセスすると、IAM管理者は、各データベースでローカルに作業するかわりに、IAM内でユーザーおよびデータベース・パスワードへのユーザー・アクセスを一元的に管理できるため、セキュリティが向上します。ユーザーが組織を離れると、そのIAMアカウントは一時停止されるため、すべてのデータベースへのアクセスも自動的に一時停止されます。この方法により、ユーザーが離れた後で、データベース・サーバーに権限のないアカウントが残される可能性がなくなります。詳細は、IAMデータベース・パスワードを参照してください。IAMユーザーがOCIデータベースに対して認証および認可する方法の詳細は、Oracleセキュリティ・ガイドの第7章を参照してください。

IAMデータベース・ユーザー名

OCI IAMデータベース・ユーザー名が128バイトを超える場合は、128バイト未満の別のデータベース・ユーザー名およびデータベース・パスワードを設定する必要があります。IAMでは、テナンシ内のデータベース・ユーザー名の一意性が強制されます。データベース・ユーザー名は、大/小文字が区別されず、IAMユーザー名と同じ文字(ASCII文字、数字、ハイフン、ピリオド、アンダースコア、+、および@)を使用できます。これは、データベースの文字セットによって制御されるローカル・データベース・ユーザー名よりも制限的です。詳細は、データベース・オブジェクト名および修飾子を参照してください。

IAMデータベース・ユーザー名を作成、変更および削除するには、IAMデータベース・ユーザー名の作業を参照してください。

代替IAMデータベース・ユーザー名

文字と数字のみを含み、特殊文字を含まない代替IAMデータベース・ユーザー名を作成し、通常のIAMデータベース・ユーザー名より短くすることができます。

代替IAMデータベース・ユーザー名を作成できます:

  • ユーザー名が長すぎるか入力が困難な場合
  • 特殊文字を含まないユーザー名を使用してログインを簡単にするため

IAMデータベース・パスワードの仕様

IAMデータベース・パスワードの複雑さについては、OCIコンソール・パスワード用にIAMでサポートされているものとほぼ同じルールが使用されます(IAMパスワードでは二重引用符["]は使用できません)。詳細は、IAMデータベース・パスワードの作成を参照してください。

失敗したログインのロックアウト

失敗したログインの詳細は、IAMデータベース・パスワードのロックアウトを参照してください。

パスワード・ロールオーバー

アプリケーションは、ウォレットなどのセキュアなメカニズムおよびデータベースにパスワードを保持します。データベース・パスワードを変更する場合は、アプリケーション・ウォレットのパスワードも変更する必要があります。通常、これはアプリケーションの停止時間中に実行します。ただし、2番目のパスワードを保持すると、アプリケーションの停止時間なしでパスワードを変更できます。両方のパスワードが使用可能であるため、アプリケーション管理者は、必要に応じてアプリケーション・ウォレット・ファイルのパスワードを交換して、後でIAMから古いパスワードを削除できます。これは、データベースの段階的なパスワード・ロールオーバー・ステータスとは関係ありません。データベースは、引き続きオープン・ステータスを反映します(つまり、「オープンおよびロールオーバー中」ではありません)。

コンソールの使用

コンソール・パスワードの変更

コンソール初めてサインインするときに、初回のワンタイム・パスワードを変更するよう求められます。次の手順は、パスワードを後で変更するためです。

ノート

フェデレーテッド・ユーザー用

会社がアイデンティティ・プロバイダ(Oracle Identity Cloud Service以外)を使用してユーザー・ログインとパスワードを管理している場合、コンソールを使用してパスワードを更新することはできません。これはアイデンティティ・プロバイダを使用して行います。

  1. Oracle Cloud Infrastructureユーザー名およびパスワードを使用してコンソールにサインインします。
  2. サインインしたら、「プロファイル」メニュー(ユーザー・メニュー・アイコン)を開き、「マイ・プロファイル」をクリックし、「パスワードの変更」をクリックします。

  3. 「現在のパスワード」をクリックし、現在のパスワードを入力します。
  4. 「新規パスワード」をクリックし、新規パスワードを入力します。
  5. 「新規パスワードの確認」をクリックし、新規パスワードを再度入力します。
  6. 終了後、パスワードがすべてのパスワード基準を満たしていれば、「保存」をクリックします。
別のユーザーのコンソール・パスワードのリセット

管理者は、次の手順を使用してユーザーのパスワードをリセットできます。この手順では、パスワードのリセット電子メールが生成され、ユーザーに送信されます。電子メールには、ユーザーがコンソールに再度サインインする前にパスワードを変更する必要があるページへのリンクが含まれています。

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
  2. 作業するアイデンティティ・ドメインを選択し、「ユーザー」をクリックします。
  3. リセットするパスワードがあるユーザーをクリックします。
  4. 「パスワードのリセット」をクリックします。

  5. 確認のために、「パスワードのリセット」をクリックします。

    ユーザーは、パスワードをリセットするよう求める電子メールを受信します。電子メールで指定された期間内にユーザーが変更しない場合、リンクは期限切れになり、ユーザーのパスワードを再度リセットする必要があります。

パスワードを忘れた場合のリセット

ユーザー・プロファイルに電子メール・アドレスがある場合、サインイン・ページの「パスワードを忘れた場合」リンクを使用して、一時パスワードを送信できます。ユーザー・プロファイルに電子メール・アドレスがない場合は、管理者にパスワードのリセットを依頼する必要があります。

ユーザーのブロック解除

管理者は、コンソールへのサインインに連続して10回試行して失敗したユーザーをブロック解除できます。ユーザーのロック解除を参照してください。

API署名キーの追加

コンソールを使用して秘密キーと公開キーのペアを生成できます。すでにキー・ペアがある場合は、公開キーのアップロードを選択できます。コンソールを使用してキー・ペアを追加すると、コンソールによって構成ファイルのプレビュー・スニペットも生成されます。

次の手順は、通常のユーザーまたは管理者に対して有効です。管理者は、別のユーザーまたは自分自身のAPIキーを管理できます。

構成ファイル・スニペットについて

コンソールを使用してAPI署名キー・ペアを追加すると、次の情報を含む構成ファイルのプレビュー・スニペットが生成されます:

  • user - キー・ペアが追加されるユーザーのOCID。
  • fingerprint - 追加されたキーのフィンガープリント。
  • tenancy - テナンシのOCID。
  • region - コンソールで現在選択されているリージョン。
  • key_file - ダウンロードした秘密キー・ファイルへのパス。この値は、秘密キー・ファイルを保存したファイル・システム上のパスに更新する必要があります。

構成ファイルにすでにDEFAULTプロファイルがある場合は、次のいずれかを実行する必要があります:

  • 既存のプロファイルおよびその内容を置換します。
  • 既存のプロファイルの名前を変更します。
  • 構成ファイルに貼り付けた後、このプロファイルの名前を別の名前に変更します。

このスニペットを構成ファイルにコピーして、作業を開始できます。構成ファイルがまだない場合、その作成方法の詳細は、SDKおよびCLIの構成ファイルを参照してください。

API署名キー・ペアの生成

前提条件: キー・ペアを生成する前に、資格証明を格納する.ociディレクトリをホーム・ディレクトリに作成します。詳細は、SDKおよびCLIの構成ファイルを参照してください。

  1. ユーザーの詳細を表示します:
    • 自分のAPIキーを追加する場合:

      「プロファイル」メニュー(ユーザー・メニュー・アイコン)を開き、「マイ・プロファイル」をクリックします。

    • 管理者が別のユーザーのAPIキーを追加する場合: ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。作業するアイデンティティ・ドメインを選択し、「ユーザー」をクリックします。リストでユーザーを見つけてから、ユーザーの名前をクリックして詳細を表示します。
  2. 「リソース」で、「APIキー」をクリックします。
  3. 「APIキーの追加」をクリックします。
  4. ダイアログで、「APIキー・ペアの生成」をクリックします。
  5. 「秘密キーのダウンロード」をクリックし、キーを.ociディレクトリに保存します。ほとんどの場合、公開キーをダウンロードする必要はありません。

    ノート: ブラウザによって秘密キーが別のディレクトリにダウンロードされた場合、必ず.ociディレクトリに移動してください。

  6. 「追加」をクリックします。

    キーが追加され、構成ファイルのプレビューが表示されます。ファイル・スニペットには、構成ファイルの作成に必要な必須パラメータおよび値が含まれています。構成ファイル・スニペットをテキスト・ボックスから~/.oci/configファイルにコピーして貼り付けます。(このファイルをまだ作成していない場合、その作成方法の詳細は、SDKおよびCLIの構成ファイルを参照してください。)

    ファイルの内容を貼り付けた後、秘密キー・ファイルを保存した場所にkey_fileパラメータを更新する必要があります。

    構成ファイルにすでにDEFAULTプロファイルがある場合は、次のいずれかを実行する必要があります:
    • 既存のプロファイルおよびその内容を置換します。
    • 既存のプロファイルの名前を変更します。
    • 構成ファイルに貼り付けた後、このプロファイルの名前を別の名前に変更します。
  7. ダウンロードした秘密キー・ファイルに対する権限を更新して、自分のみが表示できるようにします:
    1. 秘密キー・ファイルを配置した.ociディレクトリに移動します。
    2. コマンドchmod go-rwx ~/.oci/<oci_api_keyfile>.pemを使用して、ファイルに対する権限を設定します。
APIキーのアップロードまたは貼付け

前提条件: PEMフォーマットの公開RSAキー(最小2048ビット)を生成済です。PEMフォーマットは次のとおりです。

-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAoTFqF...
...
-----END PUBLIC KEY——
  1. ユーザーの詳細を表示します:
    • 自分のAPIキーを追加する場合:

      「プロファイル」メニュー(ユーザー・メニュー・アイコン)を開き、「マイ・プロファイル」をクリックします。

    • 管理者が別のユーザーのAPIキーを追加する場合: ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。作業するアイデンティティ・ドメインを選択し、「ユーザー」をクリックします。リストでユーザーを見つけてから、ユーザーの名前をクリックして詳細を表示します。
  2. 「リソース」で、「APIキー」をクリックします。
  3. 「APIキーの追加」をクリックします。
  4. ダイアログで、「公開キー・ファイルの選択」を選択してファイルをアップロードするか、「公開キー」テキスト・ボックスに貼り付ける場合は「公開キーの貼付け」を選択します。
  5. ファイルをアップロードするか、キーをテキスト・ボックスに貼り付けた後、「追加」をクリックします。

    キーが追加され、構成ファイルのプレビューが表示されます。ファイル・スニペットには、構成ファイルの作成に必要な必須パラメータおよび値が含まれています。構成ファイル・スニペットをテキスト・ボックスから~/.oci/configファイルにコピーして貼り付けます。(このファイルをまだ作成していない場合、その作成方法の詳細は、SDKおよびCLIの構成ファイルを参照してください。)

    ファイルの内容を貼り付けた後、秘密キー・ファイルを保存した場所にkey_fileパラメータを更新する必要があります。

    構成ファイルにすでにDEFAULTプロファイルがある場合は、次のいずれかを実行する必要があります:

    • 既存のプロファイルおよびその内容を置換します。
    • 既存のプロファイルの名前を変更します。
    • 構成ファイルに貼り付けた後、このプロファイルの名前を別の名前に変更します。
API署名キーの構成ファイル・スニペットの取得
次の手順は、通常のユーザーまたは管理者に対して有効です。
  1. ユーザーの詳細を表示します:
    • 自分のAPIキー構成ファイル・スニペットを取得する場合:

      「プロファイル」メニュー(ユーザー・メニュー・アイコン)を開き、「マイ・プロファイル」をクリックします。

    • 管理者が別のユーザーのAPIキー構成ファイル・スニペットを取得する場合: ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。作業するアイデンティティ・ドメインを選択し、「ユーザー」をクリックします。リストでユーザーを見つけてから、ユーザーの名前をクリックして詳細を表示します。
  2. 「リソース」で、「APIキー」をクリックします。APIキー・フィンガープリントのリストが表示されます。
  3. フィンガープリントの「アクション」メニュー(3つのドット)をクリックし、「構成ファイルの表示」を選択します。

    構成ファイルのプレビューが表示されます。ファイル・スニペットには、構成ファイルの作成に必要な必須パラメータおよび値が含まれています。構成ファイル・スニペットをテキスト・ボックスから~/.oci/config fileにコピーして貼り付けます。(このファイルをまだ作成していない場合、その作成方法の詳細は、SDKおよびCLIの構成ファイルを参照してください。)ファイルの内容を貼り付けた後、秘密キー・ファイルを保存した場所にkey_fileパラメータを更新する必要があります。

    構成ファイルにすでにDEFAULTプロファイルがある場合は、次のいずれかを実行する必要があります:
    • 既存のプロファイルおよびその内容を置換します。
    • 既存のプロファイルの名前を変更します。
    • 構成ファイルに貼り付けた後、このプロファイルの名前を別の名前に変更します。
API署名キーの削除
次の手順は、通常のユーザーまたは管理者に対して有効です。管理者は、別のユーザーまたは自分自身のAPIキーを削除できます。
  1. ユーザーの詳細を表示します:
    • 自分のAPIキーを削除する場合:

      「プロファイル」メニュー(ユーザー・メニュー・アイコン)を開き、「マイ・プロファイル」をクリックします。

    • 管理者として別のユーザーのAPIキーを削除するには: ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。作業するアイデンティティ・ドメインを選択し、「ユーザー」をクリックします。リストでユーザーを見つけてから、ユーザーの名前をクリックして詳細を表示します。
  2. 「リソース」で、「APIキー」をクリックします。APIキー・フィンガープリントのリストが表示されます。
  3. 削除するAPIキーのチェック・ボックスを選択し、「削除」をクリックします。
  4. プロンプトが表示されたら確認します。
APIキーは、APIリクエストの送信に対して有効ではなくなります。
認証トークンの作成
  1. ユーザーの詳細を表示します:
    • 自分の認証トークンを作成する場合:

      「プロファイル」メニュー(ユーザー・メニュー・アイコン)を開き、「マイ・プロファイル」をクリックします。

    • 管理者が別のユーザーの認証トークンを作成する場合: ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。作業するアイデンティティ・ドメインを選択し、「ユーザー」をクリックします。リストでユーザーを見つけてから、ユーザーの名前をクリックして詳細を表示します。
  2. 「リソース」で、「認証トークン」をクリックします。
  3. 「トークンの生成」をクリックします。
  4. このトークンの内容を示す説明を入力します(「Swiftパスワード・トークン」など)。
  5. 「トークンの生成」をクリックします。

    新しいトークン文字列が表示されます。

  6. ダイアログ・ボックスを閉じてから再び取得できないため、「コピー」をクリックしてトークン文字列を即時にコピーします。
  7. 終了したら、「閉じる」をクリックします。

別のユーザーの認証トークンを作成する管理者は、口頭による提供、印刷または安全な電子メール・サービスによる送信によって、安全にユーザーに提供する必要があります。

認証トークンの削除

次の手順は、通常のユーザーまたは管理者に対して有効です。管理者は、別のユーザーまたは自身の認証トークンを削除できます。

  1. ユーザーの詳細を表示します:
    • 自分の認証トークンを削除する場合:

      「プロファイル」メニュー(ユーザー・メニュー・アイコン)を開き、「マイ・プロファイル」をクリックします。

    • 管理者が別のユーザーの認証トークンを削除する場合: ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。作業するアイデンティティ・ドメインを選択し、「ユーザー」をクリックします。リストでユーザーを見つけてから、ユーザーの名前をクリックして詳細を表示します。
  2. 「リソース」で、「認証トークン」をクリックします。
  3. 削除する認証トークンのチェック・ボックスを選択し、「削除」をクリックします。
  4. プロンプトが表示されたら確認します。

サード・パーティAPIのアクセスでは、認証トークンは有効ではなくなります。

顧客秘密キーの作成
  1. ユーザーの詳細を表示します:
    • 自分の顧客秘密キーを作成する場合:

      「プロファイル」メニュー(ユーザー・メニュー・アイコン)を開き、「マイ・プロファイル」をクリックします。

    • 管理者が別のユーザーの顧客秘密キーを作成する場合: ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。作業するアイデンティティ・ドメインを選択し、「ユーザー」をクリックします。リストでユーザーを見つけてから、ユーザーの名前をクリックして詳細を表示します。
  2. 「リソース」で、「顧客秘密キー」をクリックします。

    顧客秘密キーはアクセス・キー/秘密キーのペアで構成されます。Oracleでは、ユーザーまたは管理者が顧客秘密キーを作成するために秘密キーを生成すると、アクセス・キーを自動的に生成します。

  3. 「秘密キーの生成」をクリックします。
  4. 「名前」をクリックしてキーのわかりやすい名前を入力し、「秘密キーの生成」をクリックします。

    生成された秘密キーが「秘密キーの生成」ダイアログ・ボックスに表示されます。同時に、Oracleは、秘密キーとペアのアクセス・キーを生成します。新しく生成された顧客秘密キーが顧客秘密キーのリストに追加されます。

  5. セキュリティ上の理由から、ダイアログ・ボックスを閉じた後は秘密キーを再度取得できないため、「コピー」をクリックして秘密キーを即時にコピーします。

    別のユーザーの秘密キーを作成する管理者は、口頭の提供、印刷またはセキュアな電子メール・サービスを介した送信によって、そのユーザーにセキュアに提供する必要があります。

  6. 終了したら、「閉じる」をクリックします。
  7. アクセス・キーを表示するには、顧客秘密キーのリストで秘密キーを見つけて、「アクセス・キー」列のアクセス・キーをクリックします。アクセス・キーをコピーするには、アクセス・キーの表示中に「コピー」をクリックします。
顧客秘密キーの削除

次の手順は、通常のユーザーまたは管理者に対して有効です。管理者は、別のユーザーまたは自分の顧客秘密キーを削除できます。

  1. ユーザーの詳細を表示します:
    • 自分の顧客秘密キーを削除する場合:

      「プロファイル」メニュー(ユーザー・メニュー・アイコン)を開き、「マイ・プロファイル」をクリックします。

    • 管理者が別のユーザーの顧客秘密キーを削除する場合: ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。作業するアイデンティティ・ドメインを選択し、「ユーザー」をクリックします。リストでユーザーを見つけてから、ユーザーの名前をクリックして詳細を表示します。
  2. 「リソース」で、「顧客秘密キー」をクリックします。
  3. 削除する顧客秘密キーのチェック・ボックスを選択し、「削除」をクリックします。
  4. プロンプトが表示されたら確認します。

顧客秘密キーはAmazon S3互換APIで使用できなくなります。

OAuth 2.0クライアント資格証明の作成
ノート

OAuth 2.0クライアント資格証明は、次のレルムでは使用できません:
  • 商用レルム(OC1)
  • United Kingdom Government Cloud (OC4)
  1. ユーザーの詳細を表示します:
    • 自分のOAuth 2.0クライアント資格証明を作成する場合:

      「プロファイル」メニュー(ユーザー・メニュー・アイコン)を開き、「マイ・プロファイル」をクリックします。

    • 管理者が別のユーザーのOAuth 2.0クライアント資格証明を作成する場合:

      ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。作業するアイデンティティ・ドメインを選択し、「ユーザー」をクリックします。リストでユーザーを見つけてから、ユーザーの名前をクリックして詳細を表示します。

  2. 「リソース」で、「OAuth 2.0クライアント資格証明」をクリックします。

  3. 「OAuth 2.0クライアント資格証明の生成」をクリックします。
  4. 「名前」をクリックし、この資格証明の名前を入力します。

  5. 「タイトル」をクリックし、この資格証明の説明を入力します。

  6. この資格証明がアクセスを提供するOAuth 2.0サービスのURIを追加します。

    オーディエンスとスコープのペアを選択するには:
    1. 「オーディエンス」に、OAuth 2.0サービスのURIを入力します。
    2. 次に、この資格証明のスコープを選択します。常に必要最小限の権限を選択してください。
  7. この資格証明にさらに権限を追加するには、「+ 別のスコープ」をクリックし、前のステップの指示に従います。
  8. 「生成」をクリックします。新しいシークレット文字列が生成されます。

    ダイアログ・ボックスを閉じてから再び取得できないため、「コピー」をクリックしてトークン文字列を即時にコピーします。

    別のユーザーのOAuth 2.0クライアント資格証明を作成する管理者は、口頭の提供、印刷またはセキュアな電子メール・サービスを介した送信によって、そのユーザーにセキュアに提供する必要があります。

  9. 「閉じる」をクリックします。

トークン・リクエストの資格証明から次の情報が必要になります:

  • 生成されたシークレット
  • OAuth 2.0クライアント資格証明のOCID
  • スコープとオーディエンス(完全修飾スコープ)
既存のOAuth 2.0クライアント資格証明へのスコープの追加
  1. ユーザーの詳細を表示します:
    • 自分のOAuth 2.0クライアント資格証明を作成する場合:

      「プロファイル」メニュー(ユーザー・メニュー・アイコン)を開き、「マイ・プロファイル」をクリックします。

    • 管理者が別のユーザーのOAuth 2.0クライアント資格証明を作成する場合: ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。作業するアイデンティティ・ドメインを選択し、「ユーザー」をクリックします。リストでユーザーを見つけてから、ユーザーの名前をクリックして詳細を表示します。
  2. 「リソース」で、「OAuth 2.0クライアント資格証明」をクリックします。

  3. スコープを追加する資格証明の名前をクリックします。
  4. 「スコープの追加」をクリックします。
  5. アクセス権を追加するOAuth 2.0サービスのURIを追加します。

    リソースとスコープのペアを選択するには:
    1. 「リソースとスコープのペアを選択」オプションを選択します。
    2. 「リソース」リストに、表示する権限のあるリソースが表示されます。資格証明を追加するリソースを選択します。リソースを選択すると、「オーディエンス」フィールドに値が自動的に移入されます。
    3. 次に、この資格証明のスコープを選択します。常に必要最小限の権限を選択してください。
    完全修飾スコープを入力するには:
    1. 「完全修飾スコープを入力」オプションを選択します。
    2. この資格証明のオーディエンススコープを入力します。
  6. この資格証明にさらに権限を追加するには、「+ 別のスコープ」をクリックし、前のステップの指示に従います。
  7. 「保存」をクリックします。
OAuth 2.0クライアント資格証明のシークレットの再生成

重要: 資格証明のシークレットを再生成すると、以前のシークレットを使用して行われたリクエストはターゲット・スコープへのアクセスを拒否されます。

  1. ユーザーの詳細を表示します:
    • 自分のOAuth 2.0クライアント資格証明を作成する場合:

      「プロファイル」メニュー(ユーザー・メニュー・アイコン)を開き、「マイ・プロファイル」をクリックします。

    • 管理者が別のユーザーのOAuth 2.0クライアント資格証明を作成する場合: ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。作業するアイデンティティ・ドメインを選択し、「ユーザー」をクリックします。リストでユーザーを見つけてから、ユーザーの名前をクリックして詳細を表示します。
  2. ページの左側で、「OAuth 2.0クライアント資格証明」をクリックします。

  3. シークレットを再生成する資格証明の名前をクリックします。
  4. 「シークレットの再生成」をクリックします。
  5. 警告ダイアログを確認し、「シークレットの再生成」をクリックします。
  6. ダイアログ・ボックスを閉じてから再び取得できないため、トークン文字列を即時にコピーします。

    別のユーザーのOAuth 2.0クライアント資格証明を作成する管理者は、口頭の提供、印刷またはセキュアな電子メール・サービスを介した送信によって、そのユーザーにセキュアに提供する必要があります。

  7. 「閉じる」をクリックします。

必ず既存のトークン・リクエストを新しいシークレット文字列で更新してください。

OAuth 2.0クライアント資格証明の削除

次の手順は、通常のユーザーまたは管理者に対して有効です。管理者は、別のユーザーまたは自身の認証トークンを削除できます。

  1. ユーザーの詳細を表示します:
    • 自分のOAuth 2.0クライアント資格証明を削除する場合:

      「プロファイル」メニュー(ユーザー・メニュー・アイコン)を開き、「ユーザー設定」またはアカウント名をクリックします。

    • 管理者が別のユーザーの認証トークンを削除する場合: ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。作業するアイデンティティ・ドメインを選択し、「ユーザー」をクリックします。リストでユーザーを見つけてから、ユーザーの名前をクリックして詳細を表示します。
  2. ページの左側で、「OAuth 2.0クライアント資格証明」をクリックします。
  3. 削除するOAuth 2.0クライアント資格証明について、「削除」をクリックします。
  4. プロンプトが表示されたら確認します。

OAuth 2.0クライアント資格証明は使用できなくなりました。

SMTP資格証明の生成
  1. ユーザーの詳細を表示します:
    • 自分のSMTP資格証明を生成する場合:

      「プロファイル」メニュー(ユーザー・メニュー・アイコン)を開き、「マイ・プロファイル」をクリックします。

    • 管理者が別のユーザーのSMTP資格証明を生成する場合: ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。作業するアイデンティティ・ドメインを選択し、「ユーザー」をクリックします。リストでユーザーを見つけてから、ユーザーの名前をクリックして詳細を表示します。
  2. 「リソース」で、「SMTP資格証明」をクリックします。
  3. 「資格証明の生成」をクリックします。

  4. ダイアログ・ボックスにSMTP資格証明の説明を入力します。
  5. 「資格証明の生成」をクリックします。ユーザー名とパスワードが表示されます。

    セキュリティ上の理由から、ダイアログ・ボックスを閉じた後はパスワードを再度取得できないため、「コピー」をクリックしてパスワードを即時にコピーします。

    別のユーザーのSMTP資格証明を生成する管理者は、口頭の提供、印刷またはセキュアな電子メール・サービスを介した送信によって、そのユーザーにセキュアに提供する必要があります。

  6. 終了したら、「閉じる」をクリックします。
SMTP資格証明の削除

次の手順は、通常のユーザーまたは管理者に対して有効です。管理者は、別のユーザーまたは自分自身のSMTP資格証明を削除できます。

  1. ユーザーの詳細を表示します:
    • 自分のSMTP資格証明を削除する場合:

      「プロファイル」メニュー(ユーザー・メニュー・アイコン)を開き、「マイ・プロファイル」をクリックします。

    • 管理者が別のユーザーのSMTP資格証明を削除する場合: ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。作業するアイデンティティ・ドメインを選択し、「ユーザー」をクリックします。リストでユーザーを見つけてから、ユーザーの名前をクリックして詳細を表示します。
  2. 「リソース」で、「SMTP資格証明」をクリックします。
  3. 削除するSMTP資格証明のチェック・ボックスを選択し、「削除」をクリックします。
  4. プロンプトが表示されたら確認します。

SMTP資格証明は電子メール配信サービスで使用できなくなります。

IAMデータベース・パスワードを作成するには

Oracle Databaseのパスワード作成ガイドラインを満たすようにIAMデータベース・パスワードを作成できます。IAMデータベース・パスワードの仕様については、IAMデータベース・パスワードの作成を参照してください。

  1. OCI IAMコンソールにログインします。
  2. ウィンドウの右上隅で、プロファイル・アイコンをクリックしてユーザー・プロファイル・ページを表示します。
  3. ユーザー・プロファイル・ページで、自分のユーザー名をクリックします。
  4. 「リソース」で、「データベース・パスワード」をクリックします。
  5. 「データベース・パスワード」セクションで、「データベース・パスワードの作成」をクリックします。

    「データベース・パスワードの作成」ダイアログ・ボックスが表示されます。

  6. パスワードの説明を入力します。
  7. ページにリストされているパスワードのガイドラインおよび制限に注意してください。パスワード・ルールの詳細は、IAMデータベース・パスワードの作成を参照してください。
  8. 「データベース・パスワードの作成」をクリックします。

    ダイアログ・ボックスが閉じて、パスワードの作成に関する説明が「データベース・パスワード」セクションに表示されます。

IAMデータベース・パスワードを変更するには

IAMデータベース・パスワードを変更するには、現在のパスワードを削除して新しいパスワードを作成します。IAMデータベース・パスワードを削除するにはおよびIAMデータベース・パスワードを作成するにはを参照してください。

IAMデータベース・パスワードを削除するには

独自のIAMデータベース・パスワードを削除できます。

  1. OCI IAMコンソールにログインします。
  2. ウィンドウの右上隅で、プロファイル・アイコンをクリックします。これにより、ユーザー・プロファイル・ページに直接移動します。
  3. ユーザー・プロファイル・ページで、自分のユーザー名をクリックします。
  4. 「リソース」で、「データベース・パスワード」をクリックします。
  5. ユーザー名が「データベース・パスワード」セクションに表示されます。
  6. 自分のユーザー名がある行の右端で、3ドットのメニューをクリックし、「削除」をクリックします。
IAMデータベース・ユーザー名を作成するには

IAMデータベース・ユーザー名を変更するには:

  1. OCI IAMコンソールにログインします。
  2. 「アイデンティティとセキュリティ」をクリックします。
  3. 「アイデンティティ」で、「ユーザー」をクリックします。
  4. データベース・ユーザーの表で、「ユーザーの作成」をクリックします。
  5. 「名前」フィールドに、データベース・ユーザー名を入力します。文字、数字、ハイフン、ピリオド、アンダースコア、+、および@のみを入力します。名前にはスペースを使用できません。
  6. 「説明」フィールドに、オプションで、このユーザー名の対象となるデータベースの名前やその他の関連情報を入力します。
  7. オプションで、「拡張オプション」をクリックして、「タグ」ダイアログ・ボックスを表示します。
  8. 「タグ・ネームスペース」、「タグ・キー」および「値」フィールドに、タグ名を入力します
  9. 「変更の保存」をクリックします。
IAMデータベース・ユーザー名を変更するには

IAMデータベース・ユーザー名を変更するには:

  1. OCI IAMコンソールにログインします。
  2. 「アイデンティティとセキュリティ」をクリックします。
  3. 「アイデンティティ」で、「ユーザー」をクリックします。
  4. データベース・ユーザーの表で、データベース・ユーザー名を見つけて左クリックします。

    ユーザー名のページが表示されます。

  5. 「ユーザーの編集」をクリックします。
  6. 「説明」フィールドで、データベース・ユーザー名を編集し、「変更の保存」をクリックします。
IAMデータベース・ユーザー名を削除するには

IAMデータベース・ユーザー名を変更するには:

  1. OCI IAMコンソールにログインします。
  2. 「アイデンティティとセキュリティ」をクリックします。
  3. 「アイデンティティ」で、「ユーザー」をクリックします。
  4. データベース・ユーザーの表で、データベース・ユーザー名を見つけて左クリックします。

    ユーザー名のページが表示されます。

  5. 自分のユーザー名を含む行の右端にある3ドットのメニューをクリックし、「削除」をクリックします。