Oracle Cloud Infrastructureドキュメント

Private Cloud Appliance管理者アカウントの管理

プライマリ管理アカウントは、Private Cloud Applianceの初期設定時に構成されます。削除できないこのプライマリ・アカウントでは、他の管理者アカウントを作成する必要があります。サービス・エンクレーブは、管理者アカウントの権限、プリファレンスおよびパスワードを制御できます。

アプライアンス管理者アカウントはローカルに作成できますが、Private Cloud Applianceは既存のアイデンティティ・プロバイダとのフェデレーションもサポートしているため、ユーザーは既存のIDとパスワードを使用してサインインできます。アプライアンス管理者アカウントでは、単一のフェデレーテッド・アイデンティティ・プロバイダがサポートされています。アイデンティティ・プロバイダとのフェデレーション信頼を確立するプロセスは、テナンシ・レベルのアイデンティティ・フェデレーションの場合と同じです。詳細は、管理者アカウント用のIdentity FederationとMicrosoft Active Directoryを参照してください。

管理者が使用できるサービス・エンクレーブ機能は、アカウントが属する認可グループによって決まります。認可グループごとに、アクセス制御はポリシーを使用して構成されます。ポリシーは、リソースに対して明示的に許可されるアクションを規制します。ポリシー・ステートメントは、リソースまたは関数の論理グループである認可ファミリにも適用できます。

管理者アカウントを作成および管理するには、アクセス制御にポリシー・フレームワークを使用する方法を理解する必要があります。詳細は、管理者アクセス権限の制御を参照してください。

新しい管理者アカウントの作成

管理者アカウントに付与される権限は、認可グループのメンバーシップによって異なります。

サービスWeb UIの使用

  1. ナビゲーション・メニューを開き、「ユーザー」をクリックします。

  2. 「ユーザーの作成」をクリックして、「ユーザーの作成」ウィンドウを開きます。

  3. 次の詳細を入力します。

    • 名前:この管理者アカウントの名前を入力します。この名前はサインインに使用されます。

    • 承認グループ:新しい管理者が追加される承認グループを選択します。この選択によって、管理者アカウントのアクセス権と権限が決まります。

    • パスワード:新しい管理者アカウントのパスワードを設定します。確認のためにもう一度入力します。

  4. 「ユーザーの作成」をクリックします。新しい管理者アカウントが「ユーザー」表に表示されます。

サービスCLIの使用

  1. 承認グループのリストを表示します。新しい管理者アカウントを作成する承認グループのIDをコピーします。

    PCA-ADMIN> list AuthorizationGroup
Command: list AuthorizationGroup
Data:
  id Name
 -- ----
 9e6fef47-6ba7-4123-b25d-f9406173a609 OracleServiceAdmin
 2652ac1a-aa9e-4edf-bae7-d434efb23052 OCIApp
 411ed79b-8f66-434b-862a-3c6e1b036fc4 SuperAdmin
 f5f9a82e-aa0a-4c31-a873-fae59fe20f38 Initial

  2. コマンドcreateUserInGroupを使用して、新しい管理者アカウントを作成します。

    必須パラメータは、ユーザー名、パスワードおよび認可グループです。

    PCA-ADMIN> createUserInGroup name=testadmin password=************ confirmPassword=************ authGroup=365ece7b-0a09-4a04-853c-7a0f6c4789f0
JobId: 6dd5a542-4399-4414-ac3b-636968744f79

  3. 新しい管理者アカウントが正しく作成されたことを確認します。listおよびshowコマンドを使用して、アカウント情報を表示します。

    PCA-ADMIN> list User
Data:
  id                                     name
  --                                     ----
  401fce73-5bee-48b1-b86d-fba1d85e049b   admin
  682ebc19-8493-4e9a-817c-148acea4b1d4   testadmin

PCA-ADMIN> show user name=testadmin
Data:
  Id = 682ebc19-8493-4e9a-817c-148acea4b1d4
  Type = User
  Name = testadmin
  Default User = false
  AuthGroupIds 1 = id:365ece7b-0a09-4a04-853c-7a0f6c4789f0  type:AuthorizationGroup  name:InternalGroup
  UserPreferenceId = id:1321249c-0651-49dc-938d-7764b9638ea9  type:UserPreference  name:

承認グループ・メンバーシップの変更

管理者アカウントを作成するときに、新しい管理者を追加する承認グループを選択します。ただし、管理者が属する認可グループはいつでも変更できます。

サービスWeb UIの使用

管理者を追加の認可グループに追加するには:

  1. ナビゲーション・メニューを開き、「認可グループ」をクリックします。

  2. 管理者を追加する承認グループをクリックします。

  3. 「リソース」で、「ユーザー」をクリックし、「ユーザーをグループに追加」をクリックします。

  4. [ユーザーをグループに追加]フォームで管理者を選択し、[OK]をクリックします。

認可グループから管理者を削除するには:

  1. 管理者がアカウントを削除する承認グループにのみ属している場合は、最初に別の承認グループに管理者を追加します。

  2. ナビゲーション・メニューを開き、「認可グループ」をクリックします。

  3. 管理者を削除する承認グループをクリックします。

  4. 「リソース」で、「ユーザー」をクリックします。認可グループ内のユーザーのリストが表示されます。

  5. リストから、削除するユーザーの「アクション」メニューをクリックしてから、「グループからユーザーを削除」をクリックします。

サービスCLIの使用

  1. 変更する管理者アカウントのIDと、構成変更に関連する承認グループを収集します。

    PCA-ADMIN> list User
Data:
  id                                     name
  --                                     ----
  401fce73-5bee-48b1-b86d-fba1d85e049b   admin
  682ebc19-8493-4e9a-817c-148acea4b1d4   testadmin

PCA-ADMIN> list AuthorizationGroup
Data:
  id                                     name
  --                                     ----
  587fc90d-3312-41d9-8be3-1ce21b8d9b41   MonitorGroup
  c18cc6af-4ef8-4b1c-b85d-ee3b065f503e   DrAdminGroup
  8f03faf2-c321-4455-af21-75cbffc269ef   AdminGroup
  5ac65f5d-1f8c-42ea-a1de-95a1941f009f   Day0ConfigGroup
  365ece7b-0a09-4a04-853c-7a0f6c4789f0   InitialGroup
  7da8be67-758c-4cd6-8255-e9d2900c788e   SuperAdminGroup

  2. 認可グループに管理者を追加するには、add Userコマンドを使用します。

    PCA-ADMIN> add User id=682ebc19-8493-4e9a-817c-148acea4b1d4 to AuthorizationGroup id=587fc90d-3312-41d9-8be3-1ce21b8d9b41
JobId: 3facde6d-acb6-4fc4-84dc-93de88eea25c

  3. 管理者アカウントの詳細を表示して、行った変更を確認します。

    PCA-ADMIN> show User name=testadmin
Data:
  Id = 682ebc19-8493-4e9a-817c-148acea4b1d4
  Type = User
  Name = testadmin
  Default User = false
  AuthGroupIds 1 = id:365ece7b-0a09-4a04-853c-7a0f6c4789f0  type:AuthorizationGroup  name:InternalGroup
  AuthGroupIds 2 = id:587fc90d-3312-41d9-8be3-1ce21b8d9b41  type:AuthorizationGroup  name:MonitorGroup
  UserPreferenceId = id:1321249c-0651-49dc-938d-7764b9638ea9  type:UserPreference  name:

  4. 認可グループから管理者を削除するには、remove Userコマンドを使用します。

    PCA-ADMIN> remove User name=testadmin from AuthorizationGroup id=587fc90d-3312-41d9-8be3-1ce21b8d9b41
JobId: 44110d28-70af-4a42-8eb7-7d59a3bc8295

管理者資格証明の変更

管理者のパスワードは、アカウントの作成時に設定されます。自分のアカウントのパスワードはいつでも変更できます。権限によっては、別の管理者のパスワードを変更する権限もあります。

サービスWeb UIの使用

  1. ナビゲーション・メニューを開き、「ユーザー」をクリックします。

  2. パスワードを変更する管理者アカウントをクリックします。ユーザー詳細ページが表示されます。

    または、自分のユーザー詳細ページを表示するには、ページの右上隅にある自分の名前をクリックし、「My Profile(自分のプロファイル)」を選択します。

  3. 「パスワードの変更」をクリックして、「パスワードの変更」ウィンドウを開きます。

  4. 新しいアカウント・パスワードを入力します。確認のためにもう一度入力します。「変更の保存」をクリックして、新しいパスワードを適用します。

サービスCLIの使用

  1. 管理者アカウントのリストを表示します。パスワードを変更するアカウントのIDをコピーします。

    PCA-ADMIN> list User
Data:
  id                                     name
  --                                     ----
  401fce73-5bee-48b1-b86d-fba1d85e049b   admin
  682ebc19-8493-4e9a-817c-148acea4b1d4   testadmin

  2. changePasswordコマンドを使用して、選択した管理者アカウントの新しいパスワードを設定します。

    PCA-ADMIN> changePassword id=682ebc19-8493-4e9a-817c-148acea4b1d4 password=************ confirmPassword=************
JobId: 35710cd9-26ac-4be9-8b73-c4cf634cc121

管理者アカウント・プリファレンスの変更

サービス CLIにログインすると、独自の管理者アカウントの特定の設定を変更できます。これらの変更はただちに有効になり、今後のすべてのCLI接続に対して永続化されます。

ただし、現在の CLIセッションのみの設定を一時的に変更することもできます。これを行うには、次のコマンド例で、オブジェクトUserPreferenceCliSessionに置き換えます。

設定

オプション

摘要

alphabetizeMode

はい、いいえ

管理対象オブジェクトの属性をアルファベット順に表示するには、この設定を有効にします。デフォルト設定は「いいえ」です。

attributeDisplay

DISPLAYNAME、ATTRIBUTENAME

この設定を使用して、各オブジェクトの属性の名前を表示するかどうかを制御します。デフォルト設定は"displayName"です。

endLineCharsDisplayValue

貸方、貸方、LF

CLI出力が複数の行で構成される場合に使用する行末文字を指定します。デフォルト設定は「CRLF」です。

outputMode

冗長、疎、XML

CLI出力形式を指定します。デフォルト設定は「スパース」です。

wsCallMode

同期、非同期

この設定を使用して、コマンドからのCLI出力を同期的に起動するか、非同期的に起動するかを決定します。デフォルト設定は「非同期」です。

wsTimeoutInSeconds

<value>

CLIが「同期」コール・モードに設定されている場合は、この設定を使用して、操作によって返されたジョブが完了するまでCLIが待機する秒数を決定します。

次のようにします。

  1. 現在のアカウント・プリファレンスを表示します。

    PCA-ADMIN> show UserPreference
Data:
  Id = ec433c0f-4208-4e92-859e-498218d0f5c9
  Type = UserPreference
  WS Call Mode = Asynchronous
  Alphabetize Mode = No
  Attribute Display = Display Name
  End Line Characters Display Value = CRLF
  Output Mode = Verbose
  Command Wait Timeout In Seconds = 240
  UserId = id:401fce73-5bee-48b1-b86d-fba1d85e049b  type:User  name:admin

  2. edit userPreferenceコマンドを使用して、選択した設定を変更します。

    PCA-ADMIN> edit UserPreference outputMode=XML
JobId: 9d312d9b-6169-47cb-97d4-6a8984237fa0

  3. 編集コマンドを実行して、変更するその他の設定を行います。

  4. 現在のアカウント・プリファレンスを再度表示して、変更内容を確認します。

    PCA-ADMIN> show UserPreference
Data:
  Id = ec433c0f-4208-4e92-859e-498218d0f5c9
  Type = UserPreference
  WS Call Mode = Asynchronous
  Alphabetize Mode = No
  Attribute Display = Display Name
  End Line Characters Display Value = CRLF
  Output Mode = Xml
  Command Wait Timeout In Seconds = 180
  UserId = id:401fce73-5bee-48b1-b86d-fba1d85e049b  type:User  name:admin

管理者アカウントの削除

サービスWeb UIの使用

  1. ナビゲーション・メニューを開き、「ユーザー」をクリックします。

  2. 削除する管理者アカウントをクリックします。ユーザー詳細ページが表示されます。

  3. 「削除」をクリックします。プロンプトが表示されたら、操作を確認します。

サービスCLIの使用

  1. 削除する管理者アカウントの名前とIDを調べます。

    PCA-ADMIN> list User
Data:
  id                                     name
  --                                     ----
  401fce73-5bee-48b1-b86d-fba1d85e049b   admin
  682ebc19-8493-4e9a-817c-148acea4b1d4   testadmin

  2. 管理者アカウントを削除するには、delete Userコマンドに続けてアカウント名またはIDを指定します。

    PCA-ADMIN> delete User name=testadmin
JobId: 56e9dfcb-6b64-4f9d-b137-171f538029d3

  3. 削除されたアカウントがユーザー・リストに表示されなくなったことを確認します。

    PCA-ADMIN> list User
Data:
  id                                     name
  --                                     ----
  401fce73-5bee-48b1-b86d-fba1d85e049b   admin