ユーザーの追加

このトピックでは、簡単なハンズオン・チュートリアルにより、ユーザーとグループを追加して、Oracle Cloud Infrastructureリソースを使用するための権限を付与する単純なポリシーを作成します。

これらの手順を使用すると、すばやくユーザーを追加して機能を試すことができます。IAMサービスの機能とクラウド・リソースへのアクセスの管理方法を完全に理解するには、Identity and Access Managementの概要を参照してください。

すべてのOracle Cloud Servicesのユーザー管理の概要は、「ユーザー、ユーザー・アカウントおよびロールの管理」を参照してください。

ユーザー、グループおよびポリシーについて

Oracle Cloud Infrastructure Servicesにアクセスするためのユーザー権限は、そのユーザーが属しているグループ に基づきます。グループの権限は、ポリシー によって定義されます。ポリシーは、グループのメンバーが実行できるアクションとそのコンパートメントを定義します。ユーザーは、自分がメンバーに含まれているグループに設定されたポリシーに基づいてサービスにアクセスし、操作を実行できます。

Oracle Identity Cloud Serviceフェデレーテッド・ユーザーについて

Oracle Cloud Infrastructureにサインアップすると、テナンシは、Oracle Identity Cloud Service (IDCS)にアイデンティティ・プロバイダとして統合されます。IDCSでユーザーおよびグループを作成し、Oracle Cloud製品とともに使用できます。Oracle Cloud Infrastructureでこれらのユーザーに権限を付与するには、IDCSのステップとOracle Cloud Infrastructureのステップを実行する必要があります。

IDCSユーザーおよびグループは、コンソールで直接作成できます。次の各項の例には、Oracle Cloud Infrastructure Servicesを使用できるIDCSユーザーの作成例が含まれます。

フェデレーテッド・ユーザーの管理の詳細は、Oracle Cloud Infrastructure ConsoleでのOracle Identity Cloud Serviceユーザーおよびグループの管理を参照してください。

また、Oracle Cloud InfrastructureIAMサービスをアイデンティティ・プロバイダとして使用して、IAMサービスでユーザーおよびグループを排他的に管理できます。これらのユーザーには、Oracle Cloud Infrastructure Servicesのみを使用する権限を付与できます。IAMサービスでユーザーを管理する場合、「ユーザーの管理」を参照してください。

サンプル・ユーザーおよびグループ

必要なアクセス権限を持つユーザーの設定方法を理解するには、次のタスクを実行して、これら2つの基本的なタイプのユーザーを設定します:

  • 完全な管理者権限を持つIDCSフェデレーテッド・ユーザー(クラウド管理者)
  • 1つのコンパートメントのみを使用する権限を持つIDCSフェデレーテッド・ユーザー

Oracle Cloud Administrator権限を持つユーザーの追加

このタスクで作成するユーザーには、デフォルト管理者の完全な管理者権限が付与されます。これは、そのユーザーがすべてのコンパートメントに対する完全なアクセス権を持ち、Oracle Identity Cloud Serviceで管理される他のサービスとともに、Oracle Cloud Infrastructureのすべてのリソースを作成して管理できることを意味します。このタスクを完了するには、クラウド管理者権限が必要です。

クラウド管理者ユーザーの作成
  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「フェデレーション」をクリックします。
  2. Oracle Identity Cloud Serviceフェデレーションをクリックします。ほとんどのテナンシで、フェデレーションの名前はOracleIdentityCloudServiceになります。 「アイデンティティ・プロバイダの詳細」ページが表示されます。
  3. 「IDCSユーザーの作成」をクリックします。
  4. 「IDCSユーザーの作成」ダイアログで、次のように入力します:

    • ユーザー名: 新規ユーザーの一意の名前または電子メール・アドレスを入力します。この値がコンソールに対するユーザーのログインになります。テナンシ内の他のすべてのユーザー間で一意である必要があります。
    • 電子メール: このユーザーの電子メール・アドレスを入力します。最初のサインイン資格証明は、この電子メール・アドレスに送信されます。
    • 名: ユーザーの名を入力します。
    • 姓: ユーザーの姓を入力します。
    • 電話番号: オプションで、電話番号を入力します。
    • グループ: このステップはスキップできます。このユーザーに完全な管理者権限を付与します。
  5. 「作成」をクリックします。

    ユーザーがOracle Identity Cloud Serviceで作成されます。このユーザーは、パスワード・リセットのステップを完了するまで自分のアカウントにアクセスできません。

  6. 「電子メール・パスワードの手順」をクリックして、ユーザーにパスワード・リンクおよび作業手順を送信します。電子メール・アプリケーションが起動しない場合は、リセットの手順をコピーし、手動でユーザーに電子メールで送信します。

    パスワード・リンクは24時間有効です。ユーザーが期限内にパスワードをリセットしない場合、そのユーザーの「パスワードのリセット」をクリックして新しいパスワード・リンクを生成できます。

  7. 「閉じる」をクリックしてダイアログを閉じます。「アイデンティティ・プロバイダの詳細」ページの「ユーザー」リストに戻ります。
  8. 作成したユーザーの名前をクリックします。「ユーザーの詳細」ページが表示されます。
  9. 「ロールの管理」をクリックします。
  10. 「クラウド・アカウント管理者ロールの追加」の横にあるチェック・ボックスを選択します。
  11. 「ロール設定の適用」をクリックします。
  12. ユーザーに付与されている権限をダイアログで確認できます。ユーザーにこれらの更新を通知するには、「ユーザーへの電子メールの送信」をクリックします。「閉じる」をクリックすると、ダイアログが閉じます。

コンパートメントの作成とそのコンパートメントへのアクセス権を持つユーザーの追加

この例では、"Sandbox"というコンパートメントを作成し、そのコンパートメントのみへのアクセス権を持つユーザーを作成します。

手順の概要: Sandboxコンパートメントとそのすべてのリソースへのアクセス権を付与するには、グループ(SandboxGroup)を作成し、アクセス・ルールを定義するポリシー(SandboxPolicy)を作成します。

Identity Cloud Serviceで作成されたユーザーに対してアクセスを有効にするには、IDCS (IDCSSandboxGroup)でグループを作成し、SandboxGroupにマップします。

最後に、IDCSユーザーを作成してIDCSSandboxGroupに追加します。

サンドボックス・コンパートメントの作成
  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「コンパートメント」をクリックします。
  2. 「コンパートメントの作成」をクリックします。
  3. 次を入力します:
    • 名前: Sandboxと入力します。
    • 説明: 説明(必須)を入力します。例: ユーザーがOCIを試すためのサンドボックス・コンパートメント
  4. 「コンパートメントの作成」をクリックします。

    コンパートメントがリストに表示されます。

Oracle Cloud Infrastructureグループの作成

次に、ポリシーの作成対象となる"SandboxGroup"を作成します。

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「グループ」をクリックします。
  2. 「グループの作成」をクリックします。
  3. 「グループの作成」ダイアログで:

    • 名前: SandboxGroupなど、グループの一意の名前を入力します。

      名前に空白を含めることはできません。

    • 説明: 説明(必須)を入力します。
  4. 「作成」をクリックします。
ポリシーの作成

SandboxコンパートメントのSandboxGroup権限を付与するポリシーを作成します。

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ポリシー」をクリックします。
  2. 「リスト範囲」で、自分がルート・コンパートメントにいることを確認します。
  3. 「ポリシーの作成」をクリックします。
  4. SandboxPolicyなど、ポリシーの一意の「名前」を入力します。

    名前に空白を含めることはできません。

  5. 「説明」(必須)を入力します。例: Sandboxコンパートメントに対する完全な権限をユーザーに付与します
  6. 次の「ステートメント」を入力します:

    Allow group SandboxGroup to manage all-resources in compartment Sandbox
    このステートメントにより、SandboxGroupグループのメンバーに、Sandboxコンパートメントに対する完全なアクセス権が付与されます。
  7. 「作成」をクリックします。
Oracle Identity Cloud Serviceグループの作成

次に、Oracle Identity Cloud Serviceで"IDCS_SandboxGroup"を作成します。

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「フェデレーション」をクリックします。
  2. Oracle Identity Cloud Serviceフェデレーションをクリックします。ほとんどのテナンシで、フェデレーションの名前はOracleIdentityCloudServiceになります。 「アイデンティティ・プロバイダの詳細」ページが表示されます。
  3. 「リソース」で、「グループ」をクリックします。
  4. 「IDCSグループの作成」をクリックします。
  5. 「IDCSグループの作成」ダイアログで、次のように入力します:

    • 名前: IDCS_SandboxGroupなど、グループの一意の名前を入力します。

      名前に空白を含めることはできません。

    • 説明: 説明(必須)を入力します。
  6. 「作成」をクリックします。

    グループが作成され、「アイデンティティ・プロバイダの詳細」ページに表示されます。次に、グループをマップします。

Oracle Cloud InfrastructureグループへのOracle Identity Cloud Serviceグループのマップ

次に、作成したOracle Cloud InfrastructureグループにOracle Identity Cloud Serviceグループをマップする必要があります。マッピングにより、IDCSグループのメンバーに、OCIグループに付与した権限が付与されます。

  1. 「アイデンティティ・プロバイダの詳細」ページで、「グループ・マッピング」をクリックします。グループ・マッピングが表示されます。
  2. 「マッピングの編集」をクリックします。
  3. 「+ (マッピングの追加)」をクリックします。
  4. 「アイデンティティ・プロバイダ・グループ」メニュー・リストから、IDCS_SandboxGroupを選択します。
  5. 「OCIグループ」メニュー・リストから、SandboxGroupを選択します。
  6. 「送信」をクリックします。

Oracle Cloud InfrastructureグループにマップされたOracle Identity Cloud Serviceグループのメンバーであるユーザーは、「ユーザー」ページのコンソールにリストされます。これらのユーザーに追加の資格証明を割り当てる方法の詳細は、フェデレーテッド・ユーザーのユーザー機能の管理を参照してください。

ユーザーの作成
  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「フェデレーション」をクリックします。
  2. Oracle Identity Cloud Serviceフェデレーションをクリックします。ほとんどのテナンシで、フェデレーションの名前はOracleIdentityCloudServiceになります。 「アイデンティティ・プロバイダの詳細」ページが表示されます。
  3. 「IDCSユーザーの作成」をクリックします。
  4. 「IDCSユーザーの作成」ダイアログで、次のように入力します:

    • ユーザー名: 新規ユーザーの一意の名前または電子メール・アドレスを入力します。この値がコンソールに対するユーザーのログインになります。テナンシ内の他のすべてのユーザー間で一意である必要があります。
    • 電子メール: このユーザーの電子メール・アドレスを入力します。最初のサインイン資格証明は、この電子メール・アドレスに送信されます。
    • 名: ユーザーの名を入力します。
    • 姓: ユーザーの姓を入力します。
    • 電話番号: オプションで、電話番号を入力します。
    • グループ: IDCS_SandboxGroupなど、前のステップで作成したグループを選択します。
  5. 「作成」をクリックします。

    ユーザーがOracle Identity Cloud Serviceで作成されます。このユーザーは、パスワード・リセットのステップを完了するまで自分のアカウントにアクセスできません。

  6. 「電子メール・パスワードの手順」をクリックして、ユーザーにパスワード・リンクおよび作業手順を送信します。

    パスワード・リンクは24時間有効です。ユーザーが期限内にパスワードをリセットしない場合、そのユーザーの「パスワードのリセット」をクリックして新しいパスワード・リンクを生成できます。

このユーザーがサインインすると、アクセス権を持つコンパートメントを表示できますが、Sandboxコンパートメント内のリソースの表示、作成および管理のみが可能です。このユーザーは、他のユーザーまたはグループを作成できません。