非フェデレーテッド・ユーザー(SSOを介してサインインしないユーザー)にOracle Content Managementインスタンスの作成を委任するには、プライマリ・アカウント管理者が、グループを作成し、グループにユーザーを追加し、必要なポリシーを作成し、ユーザーにアプリケーション管理者ロールを付与し、機密アプリケーションを作成する必要があります。その後、ユーザーはアクセス・トークンを生成してインスタンスを作成できます。
注:
Oracle Identity Cloud Service (IDCS)のセカンダリ・ドメインでインスタンスを作成する場合でも、IDCSの
プライマリ・ドメインでこのトピックで説明されているステップを実行します。
- 委任先のユーザーのグループを作成します。
- プライマリ・アカウント管理者としてOracle Cloudにサインインします。
- Infrastructureコンソールで、左上の
をクリックしてナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックし、「アイデンティティ」で、「グループ」をクリックします。
- 「グループの作成」をクリックします。
- 名前と説明を入力して、「作成」をクリックします。
- 委任先のユーザーを追加します。
- 作成したグループを開きます。
- グループへのユーザーの追加をクリックします。
- ユーザーの名前の入力を開始し、ユーザーを選択し、「追加」をクリックします。
- グループがOracle Content Managementインスタンスを管理することを許可するためのポリシーを作成します。
- Infrastructureコンソールで、左上の
をクリックしてナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックし、「アイデンティティ」で、「ポリシー」をクリックします。左側のスクロール・バーを使用して下にスクロールしないとメニュー・オプションが表示されないことがあります。
- コンパートメントを選択します。ルート・コンパートメントを選択してすべてのコンパートメントにポリシーを適用することも、特定のコンパートメントを選択することもできます。
- ポリシーの作成をクリックします。
- 名前と説明を入力します。
- 文ボックスで、次のいずれかを入力します。この場合、
YourGroupName
を、作成したグループの名前に置き換え、必要に応じて、compartment_id
を、選択した特定のコンパートメントのIDに置き換えます:
- ルート・コンパートメントを選択した場合:
allow group YourGroupName to manage oce-instance-family in tenancy
- 特定のコンパートメントを選択した場合:
allow group YourGroupName to manage oce-instance-family in compartment_id
- 「作成」をクリックします。
- 委任されたユーザーが管理者でない場合は、Oracle Content Managementにオブジェクト・ストレージへのアクセスを許可する
OCE_Internal_Storage_Policy
も作成する必要があります。通常、このポリシーはインスタンス作成の一部として自動的に作成されますが、管理者以外はポリシーの作成を許可されないため、このバックグラウンド・プロセスは失敗し、ポリシーを手動で作成しないかぎり、Oracle Content Managementはオブジェクト・ストレージへのアクセス権を持たないままになります。
- 「ポリシー」ページで、適切なコンパートメントが選択されていることを確認します。ルート・コンパートメントを選択してすべてのコンパートメントにポリシーを適用することも、特定のコンパートメントを選択することもできます。
- ポリシーの作成をクリックします。
- 名前として「
OCE_Internal_Storage_Policy
」を入力し、説明を入力します。
- 「文」ボックスで、必要に応じて選択した特定のコンパートメントのIDで
compartment_id
を置き換えて、次のいずれかを入力します:
- ルート・コンパートメントを選択した場合:
Allow service CEC to manage object-family in tenancy
- 特定のコンパートメントを選択した場合:
Allow service CEC to manage object-family in compartment compartment_id
- 「作成」をクリックします。
- 独自のアクセス・トークンをすべて自分で生成できるように、IDCSで自分自身と委任ユーザーにアプリケーション管理者ロールを付与します。
- サブスクリプションに応じて、次のいずれかの方法でIDCSコンソールにアクセスします:
- Infrastructureコンソールのフェデレーション・オプションを使用します:
- Infrastructureコンソールで、左上の
をクリックしてナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックし、「アイデンティティ」で、「フェデレーション」をクリックします。
- 「フェデレーション」ページでOracleIdentityCloudServiceをクリックしてから、「アイデンティティ・プロバイダの詳細」ページでOracle Identity Cloud Service Consoleへのリンクをクリックします。IDCSコンソールが新しいウィンドウで開きます。
- フェデレーション・オプションが表示されない場合は、ようこそ電子メールからアクセスできるInfrastructure Classicコンソールを使用します:
- Oracle Cloudへようこそ電子メールで、「はじめに」リンクをクリックし、ユーザー名とパスワードを入力します。
- Infrastructure Classicコンソールで、左上の
をクリックしてナビゲーション・メニューを開き、「ユーザー」をクリックしてから「アイデンティティ」をクリックします。IDCSコンソールが新しいウィンドウで開きます。
をクリックし、「セキュリティ」をクリックし、「管理者」をクリックします。
- アプリケーション管理者セクションを拡張します。
- 「追加」をクリックします。
- 自分自身と委任ユーザーを選択し、「OK」をクリックします。これらはIDCSユーザーであり、Oracle Cloudユーザーとは異なるため、必要な委任ユーザーが表示されない場合は、IDCSでそれらを作成します。
IDCSコンソールを開いたまま、次のステップを完了します。
- 機密アプリケーションを作成します。
- IDCSコンソールで、
をクリックし、「アプリケーション」をクリックします。「アプリケーション」オプションが表示されない場合、アプリケーション管理者ロールがありません。
- 「追加」をクリックし、機密アプリケーションを選択します。
- 「詳細」ページで、名前として
「OCE Trusted App」
を入力し、「次」をクリックします。
- 「クライアント」ページで、次の手順を実行します。
- 「このアプリケーションをクライアントとして今すぐ構成」を選択します。
- 許容付与タイプで、リソース所有者、クライアント機密およびJWTアサーションを選択します。
- 「Identity Cloud Service管理APIへのクライアント・アクセスを付与」で、「追加」をクリックし、アプリケーション管理者を選択し、「追加」をクリックします。
- 「次」をクリックします。
- 「リソース」ページで、「後で実行するためにスキップ」を選択し、「次」をクリックします。
- Web層ポリシー・ページで、「後で実行するためにスキップ」を選択し、「次」をクリックします。
- 認可ページで、「終了」をクリックします。
- アプリケーションが作成された後、「アクティブ化」をクリックします。
このページにとどまり、次の手順を実行します。
任意のユーザー(自分または委任ユーザー)が
Oracle Content Managementインスタンスを作成する準備が完了した場合、IDCSアクセス・トークンを生成して、インスタンスの作成時にそのアクセス・トークンを入力する必要があります。
注:
トークンは1時間後に失効するため、後で別のインスタンスを作成する場合などは、トークンを再生成する必要があります。
アクセス・トークンを生成するには:
- 作成した機密アプリケーションをまだ表示していない場合は、IDCSコンソールで開きます。
- アプリケーション詳細ページで、アクセス・トークンの生成をクリックし、カスタマイズ済範囲を選択し、アプリケーション管理者を選択し、トークンのダウンロードをクリックします。
個別環境で複数のインスタンスを作成、別のリージョンでインスタンスを作成、またはプライベート・インスタンスを作成しない場合、インスタンスの作成にスキップできます。