5 ユーザー、グループおよびアクセスの管理
ユーザーが会社に入社または退職し、変更およびシステムの拡張が必要になったため、システムの保護は継続的なプロセスです。
ノート:
この章で説明するグループは、Oracle Cloud Infrastructure (OCI)で作成するか、アイデンティティ・プロバイダからOCIにインポートします。 ユーザーは、共有およびコラボレーションに使用できる「Oracle Content Managementでのグループの作成」も使用できます。Oracleは、Oracle Cloud Infrastructure (OCI)リージョンを更新して、Identity Cloud Service (IDCS)からIdentity and Access Management (IAM)アイデンティティ・ドメインに切り替えます。 すべての新しいOracle Cloudアカウントでは、IAMアイデンティティ・ドメインが自動的に使用されます。 「リージョンがIAMアイデンティティ・ドメインを使用しているかどうかに応じて」では、様々なドキュメントを使用してデプロイメントを完了します。
- リージョン「には」が更新された場合は、「アイデンティティ・ドメインを持つリージョンのユーザー、グループおよびアクセスの管理」のステップに従います。 その他のトピックでは、IAMとマークされたステップに従います。
- リージョン「ない」が更新された場合は、「アイデンティティ・ドメインのないリージョンのユーザー、グループおよびアクセスの管理」のステップに従います。 その他のトピックでは、IDCSとマークされたステップに従います。
残りのトピックはすべて両方のシナリオに適用されます。
自分のリージョンはIAMアイデンティティ・ドメインを使用しますか。
Oracleは、Oracle Cloud Infrastructure (OCI)リージョンを更新して、Identity Cloud Service (IDCS)からIdentity and Access Management (IAM)アイデンティティ・ドメインに切り替えます。 すべての新しいOracle Cloudアカウントでは、IAMアイデンティティ・ドメインが自動的に使用されます。
リージョンでIAMアイデンティティ・ドメインが使用されているかどうかに応じて、様々なドキュメントを使用してユーザー、グループおよびアクセスを管理します。 リージョンにIAMアイデンティティ・ドメインが含まれているかどうかを確認するには、クラウド・アカウント管理者としてOracle Cloudアカウントにサインインします。 ナビゲーション・メニューで、「アイデンティティ&セキュリティ」をクリックします。 「アイデンティティ」で、「ドメイン」を確認します。 「ドメイン」が表示される場合、クラウド・アカウントが更新されました。
| IAM(更新済) | IDCS (更新なし) |
|---|---|
リージョンのwithアイデンティティ・ドメイン |
リージョンのwithoutアイデンティティ・ドメイン |
リージョンが更新されている場合は、次のドキュメントを参照してください:
リージョンが最近更新された場合、更新後の予測は次のようになります: OCI IAMアイデンティティ・ドメイン: Oracle IDCSのお客様が知る必要があること |
リージョンが更新されていない場合は、次のドキュメントを参照してください:
|
外部ユーザー
外部ユーザーは組織外のユーザーで、アクセス権が付与されているオブジェクトに対してコラボレーションできますが、マネージャ・ロールを割り当てることはできません。 これにより、ビジターがサインインして、指定したセキュア・サイトを使用する方法と同様に、コンテンツの作成と削除を安全に制限できます。 これにより、翻訳者やパートナなどの外部コントリビュータと連携できます。
ノート:
外部ユーザーは、「プライベート・インスタンス」ではサポートされていません。システムの外部ユーザーを活用するために必要なステップがいくつかあります:
- システムの「外部ユーザー使用可能」。
-
新しい外部ユーザーを招待するには、電子メール・アドレスを入力してfolders、「標準サイト」またはconversationsにメンバーとして追加します。 その電子メール・アドレスを持つユーザーがまだ存在しない場合は、名前やロケーションなどの追加情報を入力するよう求められ、招待でき、Oracle Content Managementで新しい外部ユーザーが自動的にプロビジョニングされます。
別の方法として、管理者は、他のユーザーを追加する場合と同様に外部ユーザーを追加し、外部ユーザー・アプリケーション・ロールを割り当てることができます。
- Oracle Content Management内の適切なファイル、フォルダおよびその他のオブジェクトへのアクセス権を付与します。 外部ユーザーをオブジェクトのメンバーとして追加する場合は、その完全なEメール・アドレスを入力する必要があります。
外部ユーザーは、次のことができます:
- Oracle Content Management webクライアントにアクセスします。
- アクセス権が付与されたファイル、フォルダ、会話およびサイトを操作します。 他のユーザーと同様に、外部ユーザーがアイテムを編集できるようにするにはコントリビュータである必要があります。
- コントリビュータ・アクセス権を持つフォルダに新規ファイルを作成し、作成したファイルを削除します。
- コントリビュータ・アクセス権を持つサイトに対して、次のアクションを実行します:
- サイトを削除およびリストアします。
- テンプレートをコピーしてエクスポートします。
- コンポーネントおよびレイアウトをエクスポートします。
- サイトのバニティ・ドメインを表示します。
- すべてのサイト・ビルダー機能を利用します。
- (パブリック・グループではなく)メンバーシップ・ベースのグループに追加してください。
- 通常の共有および貢献Eメール通知を受信します。
- ドキュメント・マネージャ・コンポーネントを使用して、特定のフォルダにリンクします。
- webクライアントを使用する場合と同じ権限でAPIにアクセスします。
様々なレベルのアクセスを任意のユーザーに提供できますが、ユーザーがonlyを標準の「外部ユーザー」ロールにしている場合は、次のことはできません:
- デスクトップ・クライアントまたはモバイル・アプリケーションにアクセスします。
- 新しいフォルダ(アクセス権が付与されたフォルダを除く)、会話、サイトおよびテーマを作成します。
- 他のユーザー・ファイルを削除します。
- すべてのオブジェクトに対してマネージャ・ロールを割り当てます。
- ガバナンス・サイトの作成承認リストに含まれていること。
- パブリック・グループの一部にしてください。
- 独自のグループを作成したり、既存のグループ・メンバーシップを変更したり、メンバー・グループから自分自身を削除します。
- 翻訳またはローカリゼーション・ポリシーを参照します。
- サイト・バニティ・ドメインを変更します。
新規フォルダ・メンバーのデフォルト・リソース・ロールの設定
組織内のユーザーは他のユーザーとフォルダを共有したり、共有フォルダ内のリソース・ロールを割り当てたりできます。 次のロールを使用できます。
- ビューア: ビューアはファイルおよびフォルダを表示できますが、何かを変更することはできません。
- ダウンローダ: ダウンローダはファイルをダウンロードし、自分のコンピュータに保存することもできます。
- コントリビュータ: コントリビュータはファイルの変更、ファイルの更新、新規ファイルのアップロードおよびファイルの削除を行うこともできます。
- マネージャ: マネージャは他のロールの権限をすべて持ち、他のユーザーをメンバーとして追加したり、削除できます。
デフォルトのリソース・ロールを変更するには:
-
Oracle Content Management webアプリケーションにサービス管理者としてサインインしたら、ナビゲーション・メニューの管理領域で「システム」をクリックします。
- 「システム」メニューで、「ユーザー」をクリックします。
- 「メンバー」の「フォルダに追加された新しいメンバーの既定のロール」リストで、フォルダへの追加時にデフォルトでユーザーに割り当てられるリソース・ロールを選択します。
ユーザー・プロファイル・データの同期化
ユーザーの既存のプロファイル情報を、アイデンティティ・ストアの情報と置き換えることができます:
-
Oracle Content Management webアプリケーションにサービス管理者としてサインインしたら、ナビゲーション・メニューの管理領域で「システム」をクリックします。
- 「システム」メニューで、「ユーザー」をクリックします。
- 同期するプロファイル・データの所有者であるユーザーを検索し、ユーザー名の横にある「編集」をクリックして、ユーザー詳細ページで「プロファイルをすぐに同期」をクリックします。
ユーザーに対する会話メンバーシップ・メッセージの表示
デフォルトでユーザー会話メンバーシップ・メッセージ(ユーザーが会話に追加され、追加したユーザー)を表示するかどうかを構成します。 ユーザーは「スタンドアロンの会話でこの表示設定を変更」を実行できます。
-
Oracle Content Management webアプリケーションにサービス管理者としてサインインしたら、ナビゲーション・メニューの管理領域で「システム」をクリックします。
- 「システム」メニューで、「ユーザー」をクリックします。
- 「検索」タブで、デフォルトを設定するユーザーを検索します。 テキスト・ボックスにユーザー名、表示名または電子メール・アドレスの一部を入力し、「検索」をクリックします。
- ユーザー名の横にある「編集」をクリックします。
- 「デフォルトでの会話のメンバーシップ・メッセージの表示」チェック・ボックスを選択して、「保存」をクリックします。
ユーザーのストレージ割当て制限のオーバーライド
「デフォルトの割当て制限の設定」では、ユーザーに割り当てられるストレージ領域の量を確認できます。 特定のユーザーのデフォルトをオーバーライドする必要がある場合は、次の手順を使用して実行できます。
-
Oracle Content Management webアプリケーションにサービス管理者としてサインインしたら、ナビゲーション・メニューの管理領域で「システム」をクリックします。
- 「システム」メニューで、「ユーザー」をクリックします。
- 設定をオーバーライドするユーザーを検索し、ユーザー名の横の「編集」をクリックします。
- 「ユーザー割当て容量」ボックスに、割当量をギガバイトで入力し、「保存」をクリックします。
ユーザーが使用したストレージの大きさが使用済ストレージの横に表示されます。
ファイル所有権の転送
あるユーザーが組織を退社した場合またはロールが変更になった場合、そのファイルおよびフォルダを別のユーザーに割り当てて、そのストレージ割当てに使用可能な合計割当て制限に追加できます。 ユーザーのコンテンツの全ライブラリを他のユーザーに割り当てることができます。 コンテンツは新しいユーザーのルート・フォルダにフォルダとして表示されます。 すべての共有アクション(メンバー、パブリック・リンクなど)は、そのまま残ります。
-
Oracle Content Management webアプリケーションにサービス管理者としてサインインしたら、ナビゲーション・メニューの管理領域で「システム」をクリックします。
- 「システム」メニューで、「ユーザー」をクリックします。
- 次のいずれかの方法を使用して、移管するファイルの所有者であるユーザーを検索します。
- アクティブなユーザーを検索するには、「検索」タブでテキスト・ボックスにユーザー名、表示名または電子メール・アドレスの一部を入力し、「検索」をクリックします。 ユーザー名をクリックするか、ユーザーの横にある「編集」をクリックして、ユーザー・プロパティを開きます。
- プロビジョニング解除されたユーザーを検索するには、「プロビジョニング解除されたユーザー」タブをクリックします。 組織のシステムから削除されたすべてのユーザーのリストが、名前でソートされて表示されます。 このリストは定期的にリフレッシュされますが、「プロファイル・データの同期」をクリックして、手動で更新することもできます。
削除されたすべてのユーザーのCSVファイルをダウンロードするには、「プロビジョニング解除されたユーザーのエクスポート」をクリックします。
- 「所有権の転送」をクリックします。 アクティブなユーザーの場合、ボタンはプロパティの下部にあります。 プロビジョニング解除されたユーザーの場合、ユーザーの横にあるボタンをクリックします。
- コンテンツを受け取るユーザーのユーザー名、表示名または電子メール・アドレスの一部を入力し、「検索」をクリックします。
- コンテンツの移管先のユーザーを選択します。 移管されるコンテンツの大きさだけ受信者の割当て制限が増加するというメッセージが表示されます。 また、解放されて再び使用可能な合計割当て制限に追加されるストレージの大きさも表示されます。
- 「転送」をクリックします。 コンテンツが転送されて、プロビジョニング解除されたアカウントが失われたことがリストに示されます。
または、プロビジョニング解除されたユーザーの場合、コンテンツを削除できます。 「プロビジョニング解除されたユーザー」タブで、削除対象のコンテンツを持つユーザーの横にある「コンテンツの削除」をクリックします。
ユーザーは、自分のフォルダの所有権を移管することもできます。
同期されていないグループの表示および再同期
Oracle Content Management内のグループが同期していないと思われる場合は、不一致のレポートを表示し、グループを手動で再同期できます。 たとえば、ユーザーがグループ・メンバーシップを介してアクセス権を持つアイテムにアクセスできない場合、グループは同期していない可能性があります。
グループ同期の不一致を表示するには:
-
Oracle Content Management webアプリケーションにサービス管理者としてサインインしたら、ナビゲーション・メニューの管理領域で「システム」をクリックします。
- 「システム」メニューで、「ユーザー」をクリックします。
- 「グループ同期」タブをクリックします。
- 同期されていないと思われるグループを検索し、「同期ステータスのチェック」をクリックします。
- Oracle Content Managementのグループが同期していないことがレポートに表示された場合は、「同期化」をクリックします。
ノート:
共有が制限されているグループおよびサイト・ビジターのみを含むグループは同期できません。
ユーザーの一時割当て制限のオーバーライド
デフォルトでは、最大アップロードおよび同期ファイル・サイズは2G~ (「ドキュメント」ページで設定)です。 2 Gbを超えるファイルを同時にアップロードできるようにするため、ユーザーのデフォルトの一時ストレージ割当て制限は5 gbです。 最大ファイル・サイズを大きく設定した場合、ユーザーの一時ストレージの割当て制限は、2.5回まで自動的に増加します(たとえば、最大ファイル・サイズを10GBに設定した場合、ユーザーの一時ストレージの割当て制限は25GBに設定されます)。
この一時ストレージ割当て制限の設定は、通常の状況では十分ですが、特定のユーザーに一時ストレージ割当て制限を増やす必要がある場合は、設定をオーバーライドできます。
-
Oracle Content Management webアプリケーションにサービス管理者としてサインインしたら、ナビゲーション・メニューの管理領域で「システム」をクリックします。
- 「システム」メニューで、「ユーザー」をクリックします。
- 設定をオーバーライドするユーザーを検索し、ユーザー名の横の「編集」をクリックします。
- 「一時割当て制限」ボックスに、割当量をギガバイトで入力し、「保存」をクリックします。
リンクされたデバイスへのアクセスの取消し
ユーザーはデバイスを変更するかデバイスを紛失した場合に、リンクされたデバイスの1つへのアクセスを取り消すことができますが、管理者としてこのアクションを実行する必要がある場合があります。 リンクされたデバイスへのアクセス権限を取り消すと、ユーザーのサインイン・セッションが終了します。 自分または他のユーザーがデバイスからOracle Content Managementにアクセスしようとすると、アカウントはサインアウトされ、そのアカウントのデバイスに保存されているすべてのローカル・コンテンツが削除されます。
デバイスに対するアクセスの取消しは1つのアカウントのみに影響するため、個人が複数のユーザー・アカウントを持っている場合は、Oracle Content Managementへのすべてのアクセスをブロックし、デバイスに格納されているすべてのローカル・コンテンツを削除するために、各ユーザー・アカウントに対して個別にアクセスを取り消す必要があります。
-
Oracle Content Management webアプリケーションにサービス管理者としてサインインしたら、ナビゲーション・メニューの管理領域で「システム」をクリックします。
- 「システム」メニューで、「ユーザー」をクリックします。
- デバイス・アクセスを取り消すユーザーを検索し、ユーザー名の横の「編集」をクリックします。
- 「リンクされたデバイス」で、適切なデバイスの横にある「失効」をクリックします。
グループの設定の変更
グループの共有および通知設定を変更し、グループを再同期できます。
グループの設定を変更する手順:
-
Oracle Content Management webアプリケーションにサービス管理者としてサインインしたら、ナビゲーション・メニューの管理領域で「システム」をクリックします。
- 「システム」メニューで、「ユーザー」をクリックします。
- 設定を変更するグループを検索し、グループの名前の横の「編集」をクリックします。
- ユーザーがグループをオブジェクト(ドキュメントやサイトなど)に追加できないようにするためにグループを共有に使用しない場合は、「共有には使用できません」を選択します。
- このグループに通知を送信しない場合は、「通知は送信されません」を選択します。
- グループが同期しているかどうかを確認するには、「同期ステータスのチェック」をクリックします。 ステータスを示すメッセージが表示されます。
グループ情報を再同期する必要がある場合は、「同期化」をクリックします。