機密アイデンティティ・アプリケーションの作成

Essbaseスタックをデプロイする前に、OCI Identity and Access Management (IAM)またはOracle Identity Cloud Service (IDCS)内で機密アプリケーションを作成し、それとともにEssbaseを登録します。

テナンシで使用されているアイデンティティ管理(IAMまたはIDCS)がわからない場合は、クラウド・アイデンティティに関して使用するドキュメントを参照してください。

IAM
IDCS

Oracle Cloud Infrastructureコンソールを開きます。「アイデンティティとセキュリティ」を選択します。
「ドメイン」をクリックします。

Essbaseスタックで使用するアイデンティティ・ドメインが存在していることを確認します。

OCIにEssbaseをすでにデプロイしており、IAMアイデンティティ・ドメインを使用するようにテナンシを更新してある場合は、新しい機密アプリケーションの作成は必要ありません。ご使用のアイデンティティ・アプリケーションは、IAMアイデンティティ・ドメインに移行されます。

IAMを使用してOCIテナンシで新しいクラウド・デプロイメントを開始する場合は、デフォルトのアイデンティティ・ドメインを使用するのではなく、Essbaseの一意のアイデンティティ・ドメインを作成してください。次に、アイデンティティ・ドメイン内に動的グループおよび機密アイデンティティ・アプリケーションを作成します。

ライセンス情報については、IAMアイデンティティ・ドメイン・オブジェクトの制限を参照してください。
Essbaseのアイデンティティ・ドメインがあると仮定して、そのドメイン内の「統合アプリケーション」をクリックします。

Essbaseの機密アプリケーションがまだない場合は、「アプリケーションの追加」、「機密アプリケーション」、「ワークフローの起動」の順にクリックします。
アプリケーションの名前を入力し、「次」をクリックします。
「クライアント構成」タイルで、オプション「このアプリケーションをクライアントとして今すぐ構成します」を選択します。
「認可」セクションで、次のようにします。
- 使用可能な権限付与タイプ(「クライアント資格証明」と「認可コード」)を選択します。
- ロード・バランサをプロビジョニングしない場合は、「HTTPS以外のURLを許可」を選択します。
  1. 「EssbaseのリダイレクトURL」で、一時/モック・リダイレクションURL (末尾が_uri)を入力します。
```
http://temp/essbase/redirect_uri
```
  2. 「Essbaseのログアウト後のリダイレクトURL」で、一時/モックURLを入力します。
```
http://temp/essbase/jet/logout.html
```
- ロード・バランサをプロビジョニングする場合は、次に示すように、https:を使用します。
  1. 「EssbaseのリダイレクトURL」で、一時/モック・リダイレクションURLを入力します。
```
https://temp/essbase/redirect_uri
```
  2. 「Essbaseのログアウト後のリダイレクトURL」で、一時/モックURLを入力します。
```
https://temp/essbase/jet/logout.html
```
「トークン発行ポリシー」で、アプリケーション・ロール「アイデンティティ・ドメイン管理者」、Cloud Gateおよび「セキュリティ管理者」を追加します。
機密アプリケーション構成を完了し、変更内容を保存し、それをアクティブ化します。
アプリケーション情報から、「一般情報」の下の「クライアントID」および「クライアント・シークレット」の値を書き留めます。これらの値は、Essbaseスタックのデプロイメントの間に使用するために書き留めます。クライアント・シークレットをボールトに格納します(「ボールトとシークレットの作成および値の暗号化」を参照)。
次の場所にあるIDCSインスタンスGUIDを書き留めます: OCIコンソールで、「アイデンティティとセキュリティ」に移動し、「ドメイン」をクリックします。機密アプリケーションが含まれているドメイン名をクリックします。「ドメイン情報」タブで、「ドメインURL」の値をコピーします。この値から、ホスト名のみを取り出します(たとえば、idcs-123456789a123b123c12345678d123e1)。この値にアクセスできない場合は、アイデンティティ・ドメイン管理者に、それを提供するように依頼してください。この値は、保存しておき、Essbaseスタックのデプロイメントの間にIDCSインスタンスのGUIDを求められたら入力します。
アイデンティティ・ドメインの署名証明書にアクセスできるようにクライアントを構成するには、Essbase用に作成したアイデンティティ・ドメインの「設定」に移動します。「署名証明書へのアクセス」で、「クライアント・アクセスの構成」を選択します。

Oracle Identity Cloud Serviceコンソールを開きます。Oracle Cloud Infrastructureから、「アイデンティティ」、「フェデレーション」、「アイデンティティ・プロバイダの詳細」の順に選択します。「アイデンティティ・プロバイダ情報」タブで、「Oracle Identity Cloud Service Console」リンクを使用します。
Identity Cloud Serviceコンソールで、アプリケーションおよびサービスタイル内の「+追加」をクリックします。
「機密アプリケーション」を選択します。
「アプリケーション詳細」のステップで、名前のみを入力し、「次」をクリックします。ヒント: コンパートメントごとに1つの機密アプリケーションが必要であるため、コンパートメントと同じ名前を使用してもかまいません。参考情報として、名前を書き留めます。
「クライアント」ステップで、オプション「このアプリケーションをクライアントとして今すぐ構成します」を選択します。
「認可」セクションで、次のようにします。
- 使用可能な権限付与タイプ(「クライアント資格証明」と「認可コード」)を選択します。
- ロード・バランサをプロビジョニングしない場合は、「HTTPS以外のURLを許可」を選択します。
  1. 「EssbaseのリダイレクトURL」で、一時/モック・リダイレクションURL (末尾が_uri)を入力します。
```
http://temp/essbase/redirect_uri
```
  2. 「Essbaseのログアウト後のリダイレクトURL」で、一時/モックURLを入力します。
```
http://temp/essbase/jet/logout.html
```
- ロード・バランサをプロビジョニングする場合は、次に示すように、https:を使用します。
  1. 「EssbaseのリダイレクトURL」で、一時/モック・リダイレクションURLを入力します。
```
https://temp/essbase/redirect_uri
```
  2. 「Essbaseのログアウト後のリダイレクトURL」で、一時/モックURLを入力します。
```
https://temp/essbase/jet/logout.html
```
「トークン発行ポリシー」の「Identity Cloud Service管理APIへのクライアント・アクセス権を付与します」で「追加」をクリックします。
「アプリケーション・ロールの追加」ダイアログ、ロール「アイデンティティ・ドメイン管理者」、Cloud Gateおよび「セキュリティ管理者」を追加します。
ページの先頭までスクロールし、「認可」セクションが表示されるまで「次」をクリックします。
「終了」をクリックします。
追加されたアプリケーションポップアップ・ウィンドウにある、IDCSアプリケーションのクライアントID、およびIDCSアプリケーションのクライアント・シークレットを書き留めます。Essbaseのデプロイ時に使用するため、これらの値を書き留めます。クライアント・シークレットをボールトに格納します(「ボールトとシークレットの作成および値の暗号化」を参照)。
次の場所にあるIDCSインスタンスGUIDを書き留めます: Identity Cloud Serviceコンソールで、右上隅にあるIDアイコン(自分のイニシャルが含まれているアイコン)を選択し、「情報」を選択し、IDCSインスタンスのGUIDの値を書き留めます。アクセス権がない場合は、管理者に付与するよう依頼します。例: idcs-123456789a123b123c12345678d123e1。あるいは、IDCSインスタンスのGUIDは、ブラウザ内のIDCS URLの前部にあります(URLのホスト部分を取り出します)。
タイトル・バーのアプリケーション名の横にある「アクティブ化」を選択します。