前提条件

オーセンティケータ・アプリケーションのインストール

アクセスに多要素認証(MFA)を使用するには、Oracle Cloudコンソール(IAM)にアカウント管理者およびアイデンティティ・ドメイン管理者が必要です。MFAが有効になっている場合、ユーザーはまずユーザー名とパスワードを入力する必要があります。これが最初の要素(ユーザーが知っているもの)となります。次に、登録済MFAデバイスから検証コードの入力を求められます。これは2番目の要素(ユーザーが持っているもの)です。この要素の組合せにより、サインイン時にユーザーのアイデンティティを確認するセキュリティの追加レイヤーが追加されます。

MFAを有効にする前に、サポートされているオーセンティケータ・アプリケーションがモバイル・デバイスにインストールされていることを確認します。たとえば、Oracle Mobile AuthenticatorやGoogle Authenticatorなどがあります。アプリケーションを使用してデバイスを登録し、サインインするたびに時間ベースのワンタイム・パスコード(TOTP)を生成します。

サービス管理者へのアクセス権の付与

このプロセスは、2024年10月以降にUK Governmentリージョン(OC4)で環境が作成される場合にのみ必要です。2024年10月より前に作成された環境の場合、このプロセスは必要ありません。サービス管理者はすでに環境へのアクセス権を持っています。このプロセスは、環境が作成された時期に関係なく、新しく作成されたサービス管理者には必要です。

このような場合、サービス管理者に適切なポリシーを割り当て、アプリケーション環境管理でアプリケーションと関連メトリックおよびダッシュボードを表示および管理できるようにする必要があります。このようなポリシーを割り当てるには、ポリシーを割り当てるグループにサービス管理者を追加します。複数のグループ(それぞれに独自のポリシーがある)を作成し、それらのグループにユーザーを割り当てることができます。このようにして、ユーザーの各グループが実行できるアクティビティを細かく制御できます。

サービス管理者にアクセス権を付与するには:

1. アプリケーション環境管理にアイデンティティ・ドメイン管理者としてサインインします。
2. オプション: 必要に応じて、ポリシーを割り当てるユーザーを作成します。ユーザーの作成: Oracle Cloudコンソール(IAM)を参照してください
3. オプション: ポリシー管理を容易にするためにこれらのユーザーをグループに追加する場合は、デフォルトドメインにグループを作成し、これらのユーザーをメンバーとして追加します。または、これらのユーザーを既存のグループに割り当てます。
   1. 左側のパネルで、「グループ」をクリックします。
   2. デフォルト・ドメインのグループで、「グループの作成」をクリックします。
   3. グループの一意の名前と説明を入力します。
   4. グループ・メンバーとして追加するユーザーを検索して選択します。
   5. 「作成」をクリックします。
4. 左側のパネルで、「アイデンティティとセキュリティ」をクリックします。
   
   
   
   
5. 左側のパネルの「コンパートメント」で、ポリシーを定義する環境を選択します。
   
   
   
   
6. 「ポリシーの作成」をクリックして、必要な読取りポリシーおよび管理ポリシーを作成します。
   1. 「ポリシーの作成」で、ポリシーの名前と説明を入力します。
   2. 「コンパートメント」で正しい環境が選択されていることを確認します。
   3. 「ポリシー・ビルダー」で、次のようなポリシー・ステートメントを入力します
      • 管理ポリシー・ステートメント。GROUP_NAMEは、ステップ3ですでに作成したグループの名前に置き換えてください。

        Allow group 'GROUP_NAME' to manage epm-planning-environment-family in tenancy
        Allow group 'GROUP_NAME' to read organizations-subscriptions in tenancy
        Allow group 'GROUP_NAME' to read organizations-assigned-subscriptions in tenancy
        Allow group 'GROUP_NAME' to read organizations-subscription-regions in tenancy
        Allow group 'GROUP_NAME' to read app-listing-environments in tenancy
        Allow group 'GROUP_NAME' to read metrics in tenancy
        Allow group 'GROUP_NAME' to inspect domains in tenancy
        Allow group 'GROUP_NAME' to read announcements in tenancy 
        

      • 読取りポリシー・ステートメント。GROUP_NAMEは、すでに作成したグループの名前に置き換えてください。

        Allow group 'GROUP_NAME' to read epm-planning-environment-family in tenancy
        Allow group 'GROUP_NAME' to read organizations-subscriptions in tenancy
        Allow group 'GROUP_NAME' to read organizations-assigned-subscriptions in tenancy
        Allow group 'GROUP_NAME' to read organizations-subscription-regions in tenancy
        Allow group 'GROUP_NAME' to read app-listing-environments in tenancy
        Allow group 'GROUP_NAME' to read metrics in tenancy
        Allow group 'GROUP_NAME' to inspect domains in tenancy
        Allow group 'GROUP_NAME' to read announcements in tenancy