サービス・アカウントの作成および管理

サービス・アカウントは、クラウド・サブスクリプションに対する認証のためにクライアント・アプリケーションで使用されます。 サービス資格情報を生成してサービス・アカウントを作成します。

開始前に

サービス・アカウントを管理するには、アカウント管理者ロールが必要です。

このタスクについて

サービス資格情報は、固有の機能 ID とパスワードで構成されます。
Functional ID
機能 ID は、サービス・アカウントに対して指定する別名から生成されます。

通常のユーザー ID と同様に、クライアント・アプリケーションがアクセスするクラウド環境の権限およびアプリケーションが必要とする可能性があるロールを機能 ID に付与します。 ただし、これらの ID を使用して、クラウド・ポータルのいずれかのツール ( Process Portalなど) に手動でログインすることはできません。 また、 User Management API を使用して機能 ID を作成または削除することもできません。

パスワード
パスワードは、ランダムに生成される文字ストリングで、ブルート・フォース・アタックを防止できると考えられる長さと複雑性を備えています。 パスワードの有効期限はありません。 ただし、セキュリティー上の理由から、定期的にパスワードを変更することを検討してください。
重要: パスワードを変更すると、すべてのアプリケーションがクラウド・サブスクリプションへのアクセス権を自動的に失います。 クライアント・アプリケーションが事前に停止され、再始動される前に、新規パスワードを使用するように構成されていることを確認するために、パスワードの変更を計画します。

アクセス管理 ビューでパスワードを直接変更する代わりに、資格情報をロールオーバーすることを検討してください。

サブスクリプションでいくつのサービス・アカウントが必要かを判別します。 例えば、複数のアプリケーションが 1 つのアカウントを共有する場合や、複数のアプリケーションが独自のアカウントを持つ場合があります。

手順

サービス・アカウントを作成するには、以下のステップを実行します。

  1. クラウド・サブスクリプションにログインします。
  2. 「アクセス管理」 ビューにナビゲートします。
    • [すべての環境] > [サブスクリプションの管理] > [アクセス管理] をクリックします。
    • 「管理 」> 「アクセス管理」 をクリックします。
  3. サービス・アカウントの資格情報を作成します。
    1. 「サービス資格情報」 ページで、 「資格情報の作成」 をクリックして 「サービス資格情報の作成」 ウィンドウを開きます。
    2. 機能 ID の別名を入力して、 「作成」をクリックします。
      ヒント: 機能 ID の別名には、 A から Za から z0 から 9までの文字のみを使用できます。 . (ピリオド)、 - (ダッシュ)、および _ (下線)。

      「資格情報が作成されました」ウィンドウが開き、機能 ID とパスワードを表示します。

    3. 「クリップボードにコピー」をクリックして資格情報を保存します。
      重要: 資格情報は、作成時にのみ表示されます。 資格情報をコピーせずにウィンドウを閉じると、それらの資格情報は再表示できず、新しいセットを作成しなければならなくなります。
  4. Workflow サーバー環境へのアクセス権限および関連したアプリケーションが必要とするロールを機能 ID に割り当てます。

    「ユーザー」ページで、ユーザーのリストから機能 ID を見つけ、該当する環境のロールおよび権限をその機能 ID に付与します。 例えば、機能 ID をユーザー・プロビジョニング・アプリケーションで使用する場合、アカウント管理者ロールを機能 ID に割り当てます。 機能 ID がワークフロー管理クライアントによって使用される場合、プロセス管理者ロールを機能 ID に割り当てます。 詳細は 、「ユーザーの役割 」および 「役割と権限の割り当て 」を参照してください。

     Content:  機能 ID がコンテンツ・サービス・アプリケーションによって使用される場合は、その機能 ID を Content Platform Engine 管理者役割に割り当てます。

次のタスク

複数のサブスクリプション間でのサービス資格情報の共有
サービス資格情報を共有するには、 Credentials API によって提供される操作を使用します。 すべての API 呼び出しでは、呼び出し元にアカウント管理者ロールが必要です。 詳細については 、「サービス資格情報を使用してクライアントアプリケーションを認証する 」を参照してください。
サービス資格情報の配布
パスワード・ポリシーをクライアント・アプリケーションに簡単に適用できるようにするには、プログラマーはサービス資格情報をアプリケーション・コードにハードコーディングすることは絶対に行わないでください。 代わりに、例えば、構成ファイルや資格情報ボールトでクライアント・アプリケーションが資格情報に簡単にアクセスできるように、クライアント・アプリケーション環境で資格情報を使用できるようにします。 これらの資格情報に第三者がアクセスできないようにするために、これらの資格情報を安全に保管し、配布する必要があります。 パスワードを変更する場合は、クライアント・アプリケーションが使用する資格情報リソースを必ず更新してください。 クライアントアプリケーションで認証情報を使用する方法については 、「サービス認証情報の使用によるクライアントアプリケーションの認証 」を参照してください。
サービス資格情報のロールオーバー
サービス資格情報の更新時に、アプリケーションがクラウド・サブスクリプションへのアクセス権を失わないようにするには、古い資格情報と新しい資格情報の有効性を一定期間内保持します。 このオーバーラップ期間の長さをプログラマーと調整し、アプリケーション環境内のすべてのクライアントがそのサービス資格情報を更新するために必要な最大時間をオーバーラップ期間の長さに反映させます。
資格情報を更新するには、以下のようにします。
  1. 「サービス資格情報」ページから一連のサービス資格情報を作成します。
  2. クライアント・アプリケーション環境で、古いサービス資格情報を新しいサービス資格情報に置き換えます。
  3. 選択したオーバーラップ期間が経過するまで待機します。
  4. 古いサービス・アカウントを削除します。
サービス・アカウントの削除
不要になったサービス・アカウントの削除が必要になる場合があります (例えば、アカウントを使用するクライアント・アプリケーション用の新しい一連のサービス資格情報を生成した場合など)。 アカウントを削除する前に、実行中のアプリケーションが機能 ID を使用していないことを確認します。 「ユーザー」ページで、機能 ID を削除することでサービス・アカウントを削除します。