ユーザーアクセスの管理
クラウドインフラストラクチャ上のAdobe Commerce プロジェクトでは、役割ベースのアクセスを使用します。 プロジェクトレベルでは、次の 2 つの役割を使用できます。
- プロジェクト管理者 – すべてのプロジェクト環境への書き込みアクセス権。ユーザーの管理、コードのプッシュ、プロジェクト設定の更新を行うことができます。
- プロジェクトビューア – すべてのプロジェクト環境への表示のみのアクセス。
プロジェクトビューアはどの環境でもタスクを実行できませんが、プロジェクトビューアに特定の環境タイプへの書き込みアクセス権を付与できます。
環境レベルのアクセスは、実稼働、ステージング、開発の環境タイプに基づいています。 ユーザーの許可 ビューア に対する権限 開発 環境とは、ユーザーが表示できることを意味します all プロジェクトの開発環境。 次の表に、各権限レベルに付与される機能を示します。
を使用して、ユーザーを追加し、役割を割り当てることができます magento-cloud
CLI または Cloud Console.
前提条件:
- Adobe IDに登録されているユーザー。 ユーザーは次の条件を満たす必要があります Adobeアカウントの登録 その後 クラウドアカウントの初期化 クラウドプロジェクトに追加する前に、
- ユーザーがを割り当てました Admin の役割ではユーザーを管理できません
magento-cloud
CLI。 次の権限が付与されたユーザーのみ: アカウント所有者 役割はユーザーを管理できます。
CLI を使用したユーザー管理
の使用 magento-cloud
ユーザーを管理し、自動システムと統合するための CLI:
magento-cloud user:add
- ユーザーをプロジェクトに追加magento-cloud user:delete
– ユーザーを削除しますmagento-cloud user:list [users]
– プロジェクトユーザーのリストmagento-cloud user:role
– ユーザーロールを表示または変更しますmagento-cloud user:update
– プロジェクトのユーザーの役割を更新
次の例では、 magento-cloud
ユーザーの追加、役割の設定、プロジェクトの割り当ての変更、ユーザーの役割の割り当てを行うための CLI。
ユーザーを追加して役割を割り当てるには:
-
の使用
magento-cloud
CLI を使用してユーザーを追加します。code language-bash magento-cloud user:add
note important IMPORTANT ユーザーにはAdobe IDが必要です。詳しくは、 前提条件. -
プロンプトに従って、ユーザーのメールアドレスを指定し、プロジェクトおよび環境タイプの役割を設定し、ユーザーを追加します。
サンプルプロンプト
code language-terminal Enter the user's email address: alice@example.com Email address: alice@example.com The user's project role can be admin (a) or viewer (v). Project role (default: viewer) [a/v]: viewer The user's environment type role(s) can be admin (a), viewer (v), contributor (c) or none (n). Role on type development (default: none) [a/v/c/n]: none Role on type production (default: none) [a/v/c/n]: admin Role on type staging (default: none) [a/v/c/n]: admin Adding the user alice@example.com to (project_id): Project role: viewer Role on type production: admin Role on type staging: admin Are you sure you want to add this user? [Y/n] y Adding the user to the project
ユーザーを追加すると、Adobeから、クラウドインフラストラクチャプロジェクト上のAdobe Commerceにアクセスするための手順が記載されたメールが、指定されたアドレスに送信されます。
ユーザーのプロジェクトの役割を表示する
magento-cloud user:get alice@example.com
応答の例:
Current role(s) of User (alice@example.com) on Production (project_id):
Project role: admin
複数の環境へのユーザーの追加
ユーザーをとして追加するには viewer
次の日 Production
環境と as a contributor
オン Integration
環境:
magento-cloud user:add alice@example.com -r production:v -r integration:c
ユーザー環境権限の更新
ユーザー環境の権限をに更新するには: admin
日 Production
環境:
magento-cloud user:update alice@example.com -r production:a
からのユーザー管理 Cloud Console
を使用できます Cloud Console 権限を追加して使用するには 編集 既存のユーザーの権限を変更する機能。
プロジェクトにユーザーを追加する
-
にログインします Cloud Console.
-
「」からプロジェクトを選択 すべてのプロジェクト リスト。
-
プロジェクトダッシュボードで、右上の設定アイコンをクリックします。
-
次の下 プロジェクト設定 を選択し、 Access.
-
が含まれる アクセス 表示、クリック Add.
-
を完了する Add User フォーム:
-
ユーザーのメールアドレスを入力します。
-
Project admin – すべての設定と環境タイプに管理者権限を付与します。
-
Environment types and permissions – 特定の環境タイプにアクセスレベルと特定の権限レベルを付与します。 アクセスなし, Admin (設定の変更、アクションの実行、コードの結合)、 投稿者 (プッシュコード)、 ビューア (表示のみ)。
note tip TIP のみ プロジェクト管理者 では、あらゆる環境のユーザーを管理できます。 次の手順でユーザーに以下へのアクセスを許可します アクセス タブ、別の プロジェクト管理者 または アカウント所有者 そのユーザーにを割り当てる必要があります。 プロジェクト管理者 役割。 -
-
クリック Add User.
note important IMPORTANT ユーザーを追加しても、デプロイメントは自動的にはトリガーされません。 -
ユーザーを追加したら、すべての環境を再デプロイして変更を適用します。 ユーザーを追加しても、デプロイメントは自動的にはトリガーされません。 再デプロイメントは、ユーザーが SSH を使用して環境にアクセスしたり、管理者タスクを実行したりできるようにするための重要な手順です。
ユーザーを追加すると、Adobeから、クラウドインフラストラクチャプロジェクト上のAdobe Commerceにアクセスするための手順が記載されたメールが、指定されたアドレスに送信されます。
ユーザー認証の要件
セキュリティを強化するために、Adobeは、クラウドインフラストラクチャプロジェクトのソースコードおよび環境のAdobe Commerceに SSH アクセスするために、2 要素認証(TFA)を必要とする、プロジェクトレベルの多要素認証(MFA)の適用を提供します。 参照: SSH 用 MFA の有効化.
クラウドインフラストラクチャプロジェクト上のAdobe Commerceで MFA 適用が有効になっている場合、そのプロジェクト内の環境に SSH アクセス権を持つすべてのユーザーは、クラウドインフラストラクチャアカウント上のAdobe Commerceで TFA を有効にする必要があります。 自動プロセスの場合、コマンドラインから認証するマシンユーザーと API トークンを作成できます。
クラウドプロジェクトにユーザーを追加した後、そのユーザーにアカウントセキュリティ設定を確認するように依頼し、必要に応じて次のセキュリティ設定を追加します。
-
TFA を有効にする – 二要素認証を構成することにより、セキュリティとコンプライアンスの標準に対応します。 で設定されたプロジェクト MFA の適用 プロジェクトへのアクセスに SSH を使用するアカウントには TFA が必要です。
-
SSH キーを有効にする- クラウドインフラストラクチャー上のAdobe Commerceのソースコードリポジトリにアクセスする必要があるユーザーは、自分のアカウントで SSH キーを有効にする必要があります。 参照: 安全な接続.
-
API トークンの作成- ユーザーは、環境への SSH アクセスに使用される API トークンを生成する必要があります。 自動プロセスの認証ワークフローを有効にするには、トークンが必要です。
MFA 適用が有効なプロジェクトでは、API トークンを使用して、自動アカウントからの SSH アクセスリクエストを認証する必要があります。 トークンを使用すると、TFA が必要な認証ワークフローを自動プロセスでバイパスできます。
クラウドアカウントの TFA の有効化
クラウドインフラストラクチャー上のAdobe Commerceは、次のいずれかのアプリケーションを使用して TFA をサポートします。
認証アプリケーションのインストールおよび TFA の有効化の手順については、を参照してください。 アカウント設定 内のページ Cloud Console.
ユーザーアカウントで TFA を有効にするには:
-
へのログイン アカウント.
-
右上のアカウントメニューで、 My Profile.
-
日 セキュリティ タブ、クリック Set up application.
-
モバイルデバイスに承認済みの認証アプリケーションがない場合は、リンクされている手順に従ってインストールします。
-
クラウドインフラストラクチャアカウント上のAdobe Commerceを認証アプリケーションに追加します。
-
モバイルデバイスで、認証アプリケーションを開きます。 次に、設定コードをアプリケーションに追加します。
-
が含まれる TFA set up - Application ページで、モバイルデバイスの TFA コードを Application verification code フィールド。
-
クリック Verify and save.
コードが有効な場合、Adobeはアカウントのメールアドレスに、アカウントに TFA が設定されたことを確認する通知を送信します。
-
-
オプション。 Enable (有効) 信頼できるブラウザー 認証コードをブラウザーに 30 日間キャッシュする設定。
この設定により、プロジェクトへのログイン時に発生する認証の問題を軽減できます。
-
クリック 保存 または スキップ.
-
リカバリ・コードを保存します。
-
日 TFA の設定 – リカバリ コードページでリカバリコードをコピーして保存し、モバイルデバイスや認証アプリケーションにアクセスできない場合に cloud infrastructure プロジェクトのAdobe Commerceにログインできるようにします。
-
デバイスまたは認証アプリケーションへのアクセスが失われた場合に備えて、回復コードを別の場所にコピーするか、書き留めます。
-
クリック 保存 アカウントのセキュリティ設定からコードを表示および管理できるように、コードをアカウントに保存します。
note warning WARNING TFA のアカウントへのアクセス権を失い、回復コード リストを持っていない場合は、プロジェクト管理者に連絡する必要があります。 Adobe Commerce サポートチケットを送信 TFA アプリケーションをリセットします。
-
-
TFA 設定が完了したら、 保存 をクリックしてアカウントを更新します。
-
現在のセッションを TFA で認証します。
- アカウントからログアウトします。
- ユーザー名とパスワードを使用してログインします。
- プロンプトが表示されたら、の TFA コードを入力
accounts.magento.cloud
モバイルデバイスの authenticator アプリケーションからエントリします。
TFA 構成および回復コードの管理
Adobe Commerce on クラウドインフラストラクチャアカウントの TFA 設定は、 セキュリティ に関する節 マイプロファイル ページ。
-
へのログイン アカウント.
-
右上のアカウントメニューで、 My Profile.
-
日 マイプロファイル ページで、 Security タブ。
-
使用可能なリンクを使用して、クラウドインフラストラクチャアカウントのAdobe Commerceの TFA 設定を更新します。
- TFA を無効にする
- 認証アプリケーションのリセット
- 信頼済みブラウザーの追加または削除
- アカウントの TFA 回復コードを表示または更新します
API トークンの作成
API トークンを OAuth 2 アクセストークンと交換し、リクエストの認証に使用できます。
MFA 適用が有効になっているプロジェクトでは、マシンユーザーと自動プロセス用の SSH アクセスを有効にするには、API トークンが必要です。
API トークンを作成するには:
-
へのログイン アカウント.
-
右上のアカウントメニューで、 My Profile.
-
日 マイプロファイル ページで、 API tokens タブ。
-
クリック Create API token そして、名前を入力します。例えば、マシンユーザーに一致する名前または API トークンを使用する自動プロセスを指定します。
-
クリック Create API token.