ユーザーアクセスの管理
クラウドインフラストラクチャ上のAdobe Commerce プロジェクトでは、役割ベースのアクセスを使用します。 プロジェクトレベルでは、次の 2 つの役割を使用できます。
- プロジェクト管理者 – すべてのプロジェクト環境への書き込みアクセス権。ユーザーの管理、コードのプッシュ、プロジェクト設定の更新を行うことができます。 (旧称 スーパー管理者)
- プロジェクトビューア – すべてのプロジェクト環境への表示のみのアクセス。
プロジェクトビューアはどの環境でもタスクを実行できませんが、プロジェクトビューアに特定の環境タイプへの書き込みアクセス権を付与できます。
環境レベルのアクセスは、実稼働、ステージング、開発の環境タイプに基づいています。 ユーザー ビューア に 開発 環境に対する権限を付与すると、そのユーザーはプロジェクト内の すべて の開発環境を表示できます。 次の表に、各権限レベルに付与される機能を示します。
magento-cloud
CLI または Cloud Console を使用して、ユーザーを追加したり、役割を割り当てたりできます。
前提条件:
- Adobe IDに登録されているユーザー。 ユーザーをクラウドプロジェクトに追加するには、Adobeアカウントに登録してから クラウドアカウントを初期化する必要があります。
- 管理者 の役割を割り当てられたユーザーは、
magento-cloud
CLI を使用してユーザーを管理できません。 アカウント所有者 の役割を付与されたユーザーのみが、ユーザーを管理できます。
CLI を使用したユーザー管理
magento-cloud
CLI を使用してユーザーを管理し、自動システムと統合します。
- ユーザーをプロジェクトに
magento-cloud user:add
追加 - ユーザーの
magento-cloud user:delete
削除 - プロジェクトユーザーの
magento-cloud user:list [users]
リスト - ユーザーロールの
magento-cloud user:role
表示または変更 - プロジェクトのユーザーの役割の
magento-cloud user:update
更新
次の例では、magento-cloud
CLI を使用して、ユーザーの追加、役割の設定、プロジェクトの割り当ての変更、ユーザーの役割の割り当てを行います。
ユーザーを追加して役割を割り当てるには:
-
magento-cloud
CLI を使用してユーザーを追加します。code language-bash magento-cloud user:add
note important IMPORTANT ユーザーにはAdobe IDが必要です。 前提条件を参照してください。 -
プロンプトに従って、ユーザーのメールアドレスを指定し、プロジェクトおよび環境タイプの役割を設定し、ユーザーを追加します。
サンプルプロンプト
code language-none Enter the user's email address: alice@example.com Email address: alice@example.com The user's project role can be admin (a) or viewer (v). Project role (default: viewer) [a/v]: viewer The user's environment type role(s) can be admin (a), viewer (v), contributor (c) or none (n). Role on type development (default: none) [a/v/c/n]: none Role on type production (default: none) [a/v/c/n]: admin Role on type staging (default: none) [a/v/c/n]: admin Adding the user alice@example.com to (project_id): Project role: viewer Role on type production: admin Role on type staging: admin Are you sure you want to add this user? [Y/n] y Adding the user to the project
ユーザーを追加すると、Adobeから、クラウドインフラストラクチャプロジェクト上のAdobe Commerceにアクセスするための手順が記載されたメールが、指定されたアドレスに送信されます。
ユーザーのプロジェクトの役割を表示する
magento-cloud user:get alice@example.com
応答の例:
Current role(s) of User (alice@example.com) on Production (project_id):
Project role: admin
複数の環境へのユーザーの追加
ユーザーを Production
環境では viewer
として、Integration
環境では contributor
として追加するには:
magento-cloud user:add alice@example.com -r production:v -r integration:c
ユーザー環境権限の更新
ユーザー環境の権限を更新して Production
環境で admin
用するには:
magento-cloud user:update alice@example.com -r production:a
Cloud Console からのユーザーの管理
Cloud Console を使用して権限を追加し、編集 機能を使用して既存のユーザーの権限を変更できます。
プロジェクトにユーザーを追加する
-
Cloud Console にログインします。
-
すべてのプロジェクト リストからプロジェクトを選択します。
-
プロジェクトダッシュボードで、右上の設定アイコンをクリックします。
-
プロジェクト設定 の下で、「Access」をクリックします。
-
アクセス ビューで、「Add」をクリックします。
-
Add User フォームに入力します。
-
ユーザーのメールアドレスを入力します。
-
Project admin – すべての設定および環境タイプに管理者権限を付与します。
-
Environment types and permissions – 特定の環境タイプに対してアクセス・レベルと特定の権限レベルを付与します。 アクセスなし、管理者 (設定の変更、アクションの実行、結合コード)、投稿者 (プッシュコード)、ビューア (表示のみ)。
note tip TIP どの環境でも、ユーザーを管理できるのは プロジェクト管理者 のみです。 「アクセス」タブへのアクセス権をユーザーに付与するには、別の プロジェクト管理者 または アカウント所有者 がそのユーザーに プロジェクト管理者 の役割を割り当てる必要があります。 -
-
「Add User」をクリックします。
note important IMPORTANT ユーザーを追加しても、デプロイメントは自動的にはトリガーされません。 -
ユーザーを追加したら、すべての環境を再デプロイして変更を適用します。 ユーザーを追加しても、デプロイメントは自動的にはトリガーされません。 再デプロイメントは、ユーザーが SSH を使用して環境にアクセスしたり、管理者タスクを実行したりできるようにするための重要な手順です。
ユーザーを追加すると、Adobeから、クラウドインフラストラクチャプロジェクト上のAdobe Commerceにアクセスするための手順が記載されたメールが、指定されたアドレスに送信されます。
ユーザー認証の要件
セキュリティを強化するために、Adobeは、クラウドインフラストラクチャプロジェクトのソースコードおよび環境のAdobe Commerceに SSH アクセスするために、2 要素認証(TFA)を必要とする、プロジェクトレベルの多要素認証(MFA)の適用を提供します。 SSH 用 MFA の有効化を参照してください。
クラウドインフラストラクチャプロジェクト上のAdobe Commerceで MFA 適用が有効になっている場合、そのプロジェクト内の環境に SSH アクセス権を持つすべてのユーザーは、クラウドインフラストラクチャアカウント上のAdobe Commerceで TFA を有効にする必要があります。 自動プロセスの場合、コマンドラインから認証するマシンユーザーと API トークンを作成できます。
クラウドプロジェクトにユーザーを追加した後、そのユーザーにアカウントセキュリティ設定を確認するように依頼し、必要に応じて次のセキュリティ設定を追加します。
-
TFA の有効化:二要素認証を構成することにより、セキュリティとコンプライアンスの標準を満たします。 MFA 強制が設定されたプロジェクトにアクセスするには、SSH を使用するアカウントで TFA が必要です。
-
SSH キーを有効にする - クラウドインフラストラクチャー上のAdobe Commerceのソースコードリポジトリーにアクセスする必要があるユーザーは、自分のアカウントで SSH キーを有効にする必要があります。 安全な接続を参照してください。
-
API トークンの作成 - ユーザーは、環境への SSH アクセスに使用される API トークンを生成する必要があります。 自動プロセスの認証ワークフローを有効にするには、トークンが必要です。
MFA 適用が有効なプロジェクトでは、API トークンを使用して、自動アカウントからの SSH アクセスリクエストを認証する必要があります。 トークンを使用すると、TFA が必要な認証ワークフローを自動プロセスでバイパスできます。
クラウドアカウントの TFA の有効化
クラウドインフラストラクチャー上のAdobe Commerceは、次のいずれかのアプリケーションを使用して TFA をサポートします。
認証アプリケーションをインストールして TFA を有効にする手順については、Cloud Console の アカウント設定 ページを参照してください。
ユーザーアカウントで TFA を有効にするには:
-
アカウントにログインします。
-
右上のアカウントメニューで、「My Profile」をクリックします。
-
「セキュリティ」タブで、「Set up application」をクリックします。
-
モバイルデバイスに承認済みの認証アプリケーションがない場合は、リンクされている手順に従ってインストールします。
-
クラウドインフラストラクチャアカウント上のAdobe Commerceを認証アプリケーションに追加します。
-
モバイルデバイスで、認証アプリケーションを開きます。 次に、設定コードをアプリケーションに追加します。
-
TFA set up - Application ページの Application verification code フィールドに、モバイルデバイスの TFA コードを入力します。
-
「Verify and save」をクリックします。
コードが有効な場合、Adobeはアカウントのメールアドレスに、アカウントに TFA が設定されたことを確認する通知を送信します。
-
-
オプション。 信頼済みブラウザー 設定を有効にして、認証コードをブラウザーに 30 日間キャッシュします。
この設定により、プロジェクトへのログイン時に発生する認証の問題を軽減できます。
-
保存 または スキップ をクリックします。
-
リカバリ・コードを保存します。
-
TFA 設定 – 回復 コードページで、回復コードをコピーして保存します。これにより、モバイルデバイスや認証アプリケーションにアクセスできない場合に、Cloud Infrastructure プロジェクトのAdobe Commerceにログインできます。
-
デバイスまたは認証アプリケーションへのアクセスが失われた場合に備えて、回復コードを別の場所にコピーするか、書き留めます。
-
「保存」をクリックしてコードをアカウントに保存し、アカウントのセキュリティ設定からコードを表示および管理できるようにします。
note warning WARNING TFA のアカウントへのアクセス権を失い、復旧コード リストを持っていない場合は、プロジェクト管理者に連絡するか、Adobe Commerce サポート チケットを送信して TFA アプリケーションをリセットする必要があります。
-
-
TFA 設定が完了したら、「保存」をクリックしてアカウントを更新します。
-
現在のセッションを TFA で認証します。
- アカウントからログアウトします。
- ユーザー名とパスワードを使用してログインします。
- プロンプトが表示されたら、お使いのモバイルデバイスの authenticator アプリケーションから
accounts.magento.cloud
エントリの TFA コードを入力します。
TFA 構成および回復コードの管理
マイプロファイル ページの セキュリティ セクションで、クラウドインフラストラクチャアカウント上のAdobe Commerceの TFA 設定を管理できます。
-
アカウントにログインします。
-
右上のアカウントメニューで、「My Profile」をクリックします。
-
マイプロファイル ページで、「Security」タブをクリックします。
-
使用可能なリンクを使用して、クラウドインフラストラクチャアカウントのAdobe Commerceの TFA 設定を更新します。
- TFA を無効にする
- 認証アプリケーションのリセット
- 信頼済みブラウザーの追加または削除
- アカウントの TFA 回復コードを表示または更新します
API トークンの作成
API トークンを OAuth 2 アクセストークンと交換し、リクエストの認証に使用できます。
MFA 適用が有効になっているプロジェクトでは、マシンユーザーと自動プロセス用の SSH アクセスを有効にするには、API トークンが必要です。
API トークンを作成するには:
-
アカウントにログインします。
-
右上のアカウントメニューで、「My Profile」をクリックします。
-
マイプロファイル ページで、「API tokens」タブをクリックします。
-
「Create API token」をクリックし、名前を入力します。例えば、マシンユーザーに一致する名前や、API トークンを使用する自動プロセスを指定します。
-
「Create API token」をクリックします。