非フェデレーテッド・ユーザーへのOracle Content Managementインスタンスの作成の委任

非フェデレーテッド・ユーザー(SSOを介してサインインしないユーザー)にOracle Content Managementインスタンスの作成を委任するには、プライマリ・アカウント管理者が、グループを作成し、グループにユーザーを追加し、必要なポリシーを作成し、ユーザーにアプリケーション管理者ロールを付与し、機密アプリケーションを作成する必要があります。その後、ユーザーはアクセス・トークンを生成してインスタンスを作成できます。

1. 委任先のユーザーのグループを作成します。
   1. プライマリ・アカウント管理者としてOracle Cloudにサインインします。
   2. Infrastructureコンソールで、左上のをクリックしてナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックし、「アイデンティティ」で、「グループ」をクリックします。
   3. 「グループの作成」をクリックします。
   4. 名前と説明を入力して、「作成」をクリックします。
2. 委任先のユーザーを追加します。
   1. 作成したグループを開きます。
   2. グループへのユーザーの追加をクリックします。
   3. ユーザーの名前の入力を開始し、ユーザーを選択し、「追加」をクリックします。
3. グループがOracle Content Managementインスタンスを管理することを許可するためのポリシーを作成します。
   1. Infrastructureコンソールで、左上のをクリックしてナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックし、「アイデンティティ」で、「ポリシー」をクリックします。左側のスクロール・バーを使用して下にスクロールしないとメニュー・オプションが表示されないことがあります。
   2. コンパートメントを選択します。ルート・コンパートメントを選択してすべてのコンパートメントにポリシーを適用することも、特定のコンパートメントを選択することもできます。
   3. ポリシーの作成をクリックします。
   4. 名前と説明を入力します。
   5. 文ボックスで、次のいずれかを入力します。この場合、YourGroupNameを、作成したグループの名前に置き換え、必要に応じて、compartment_idを、選択した特定のコンパートメントのIDに置き換えます:
      • ルート・コンパートメントを選択した場合: allow group YourGroupName to manage oce-instance-family in tenancy
      • 特定のコンパートメントを選択した場合: allow group YourGroupName to manage oce-instance-family in compartment_id
   6. 「作成」をクリックします。
4. 委任されたユーザーが管理者でない場合は、Oracle Content Managementにオブジェクト・ストレージへのアクセスを許可するOCE_Internal_Storage_Policyも作成する必要があります。通常、このポリシーはインスタンス作成の一部として自動的に作成されますが、管理者以外はポリシーの作成を許可されないため、このバックグラウンド・プロセスは失敗し、ポリシーを手動で作成しないかぎり、Oracle Content Managementはオブジェクト・ストレージへのアクセス権を持たないままになります。
   1. 「ポリシー」ページで、適切なコンパートメントが選択されていることを確認します。ルート・コンパートメントを選択してすべてのコンパートメントにポリシーを適用することも、特定のコンパートメントを選択することもできます。
   2. ポリシーの作成をクリックします。
   3. 名前として「OCE_Internal_Storage_Policy」を入力し、説明を入力します。
   4. 「文」ボックスで、必要に応じて選択した特定のコンパートメントのIDでcompartment_idを置き換えて、次のいずれかを入力します:
      • ルート・コンパートメントを選択した場合: Allow service CEC to manage object-family in tenancy
      • 特定のコンパートメントを選択した場合: Allow service CEC to manage object-family in compartment compartment_id
   5. 「作成」をクリックします。
5. 独自のアクセス・トークンをすべて自分で生成できるように、IDCSで自分自身と委任ユーザーにアプリケーション管理者ロールを付与します。
   1. サブスクリプションに応じて、次のいずれかの方法でIDCSコンソールにアクセスします:
      • Infrastructureコンソールのフェデレーション・オプションを使用します:
        1. Infrastructureコンソールで、左上のをクリックしてナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックし、「アイデンティティ」で、「フェデレーション」をクリックします。
        2. 「フェデレーション」ページでOracleIdentityCloudServiceをクリックしてから、「アイデンティティ・プロバイダの詳細」ページでOracle Identity Cloud Service Consoleへのリンクをクリックします。IDCSコンソールが新しいウィンドウで開きます。
      • フェデレーション・オプションが表示されない場合は、ようこそ電子メールからアクセスできるInfrastructure Classicコンソールを使用します:
        1. Oracle Cloudへようこそ電子メールで、「はじめに」リンクをクリックし、ユーザー名とパスワードを入力します。
        2. Infrastructure Classicコンソールで、左上のをクリックしてナビゲーション・メニューを開き、「ユーザー」をクリックしてから「アイデンティティ」をクリックします。IDCSコンソールが新しいウィンドウで開きます。
   2. をクリックし、「セキュリティ」をクリックし、「管理者」をクリックします。
   3. アプリケーション管理者セクションを拡張します。
   4. 「追加」をクリックします。
   5. 自分自身と委任ユーザーを選択し、「OK」をクリックします。これらはIDCSユーザーであり、Oracle Cloudユーザーとは異なるため、必要な委任ユーザーが表示されない場合は、IDCSでそれらを作成します。

      IDCSコンソールを開いたまま、次のステップを完了します。

6. 機密アプリケーションを作成します。
   1. IDCSコンソールで、をクリックし、「アプリケーション」をクリックします。「アプリケーション」オプションが表示されない場合、アプリケーション管理者ロールがありません。
   2. 「追加」をクリックし、機密アプリケーションを選択します。
   3. 「詳細」ページで、名前として「OCE Trusted App」を入力し、「次」をクリックします。
   4. 「クライアント」ページで、次の手順を実行します。
      1. 「このアプリケーションをクライアントとして今すぐ構成」を選択します。
      2. 許容付与タイプで、リソース所有者、クライアント機密およびJWTアサーションを選択します。
      3. 「Identity Cloud Service管理APIへのクライアント・アクセスを付与」で、「追加」をクリックし、アプリケーション管理者を選択し、「追加」をクリックします。
      4. 「次」をクリックします。
   5. 「リソース」ページで、「後で実行するためにスキップ」を選択し、「次」をクリックします。
   6. Web層ポリシー・ページで、「後で実行するためにスキップ」を選択し、「次」をクリックします。
   7. 認可ページで、「終了」をクリックします。
   8. アプリケーションが作成された後、「アクティブ化」をクリックします。

      このページにとどまり、次の手順を実行します。

アクセス・トークンを生成するには:

1. 作成した機密アプリケーションをまだ表示していない場合は、IDCSコンソールで開きます。
2. アプリケーション詳細ページで、アクセス・トークンの生成をクリックし、カスタマイズ済範囲を選択し、アプリケーション管理者を選択し、トークンのダウンロードをクリックします。

個別環境で複数のインスタンスを作成、別のリージョンでインスタンスを作成、またはプライベート・インスタンスを作成しない場合、インスタンスの作成にスキップできます。