特定のジョブ・ファンクションを使用したOracle Cloudユーザーの管理
Fusion Applications環境を操作するための事前定義済の権限を持つユーザーを追加します。
テナンシのデフォルト管理者は、クラウド・アカウントの作成時に定義されました。デフォルト管理者は、すべてのアプリケーション・サブスクリプションの表示および管理を含め、すべてのサービスに対してすべてのタスクを実行できます。
このトピックでは、Oracle CloudコンソールでFusion Applications環境を操作する追加のユーザーを設定する方法について説明します。通常、これらの追加の管理ユーザーは、より具体的なジョブ・ファンクションを備えているため、デフォルトの管理ユーザーと比較してアクセス権および権限が削減されます。アプリケーションで作業するためにエンド・ユーザーを追加する必要がある場合は、アプリケーション・ドキュメントOracle Fusion Cloud Applications Suiteを参照してください。
Applications環境管理は、認証および認可のためにIdentity and Access Management Service (IAMサービス)と統合されます。IAMは、ポリシーを使用してグループに権限を付与します。ユーザーは、自分が属するグループに基づいてリソース(アプリケーション環境など)にアクセスできます。デフォルト管理者は、グループ、ポリシーおよびユーザーを作成して、リソースへのアクセス権を付与できます。
このトピックでは、環境管理を開始するためにアカウントに特定のユーザー・タイプを作成するための基本的な手順を示します。IAMサービスを使用したOracle Cloudコンソールでのユーザーの管理の詳細は、ユーザーの管理を参照してください。
環境管理のユーザー・ロールとアプリケーション・ユーザー・ロールの違いの理解
ここで説明する環境ユーザー・ロールには、アプリケーション環境を管理または操作するためのアクセス権があります。付与された権限のレベルに応じて、Oracle Cloudアカウントにサインインし、環境の詳細ページにナビゲートして、環境を管理または監視するタスクを実行できます。これらのロールには、Fusion Applications環境管理者、環境セキュリティ管理者、環境固有のマネージャおよび環境モニターが含まれます。
アプリケーション・ユーザー・ロールには、(アプリケーションURLを介して)アプリケーションにサインインし、アプリケーションを管理、開発または使用するアクセス権があります。これらのユーザーの管理方法については、アプリケーションのドキュメントを参照してください。
-
Fusion管理者の追加の詳細は、Fusion管理者を追加または削除するにはを参照してください。
- アプリケーション・ロールの詳細は、アプリケーション・ドキュメントを参照するか、一般的なリファレンスについてはすべてのオファリングに共通ロールを参照してください。
テナント管理者の追加
この手順では、テナンシ管理者グループに別のユーザーを追加する方法について説明します。管理者グループのメンバーは、Oracle Cloudコンソールのすべての機能およびサービスにアクセスできます。
この手順は、アプリケーション・サービス・コンソールにサインインするためのアクセス権をユーザーに付与するものではありません。アプリケーションにユーザーを追加するには、アプリケーションのドキュメントを参照してください。
管理者を追加するには:
- ナビゲーション・メニューを開き、「インフラストラクチャ」で「アイデンティティとセキュリティ」を選択します。「アイデンティティ」で、「ドメイン」を選択します。
- ドメインを選択し、「ユーザー管理」を選択します。
- 「ユーザー」で、「作成」を選択します。
- ユーザーの姓名を入力します。
- ユーザーが自分の電子メール・アドレスでサインインできるようにするには:
- 「ユーザー名として電子メール・アドレスを使用」チェック・ボックスを選択したままにします。
- 「ユーザー名/電子メール」フィールドに、ユーザー・アカウントの電子メール・アドレスを入力します。
- ユーザーが自分のユーザー名でサインインできるようにするには:
- 「ユーザー名として電子メール・アドレスを使用」トグルをクリアします。
- 「ユーザー名」フィールドに、ユーザーがコンソールへのサインインに使用するユーザー名とパスワードを入力します。
- 「電子メール」フィールドに、ユーザー・アカウントの電子メール・アドレスを入力します。
- 「グループ」で、「管理者」チェック・ボックスを選択します。
- (オプション)「タグ」セクションで、ユーザーに1つ以上のタグを追加します。
リソースを作成する権限を持つ場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済タグを適用するには、タグ・ネームスペースを使用する権限を持つ必要があります。タグ付けの詳細は、リソース・タグを参照してください。 タグを適用するかどうかがわからない場合は、このオプションをスキップするか、管理者に問い合せてください。タグは後で適用できます。
- 「作成」を選択します。
新しいユーザーに指定されたアドレスに、ようこそ電子メールが送信されます。新しいユーザーは、電子メールに記載されているアカウントのアクティブ化手順に従ってサインインし、テナンシの使用を開始できます。
コンパートメントを使用したジョブ・ロールのリソースのグループ化
コンパートメントは、リソースを論理的にグループ化できるアクセス管理(IAM)機能です。これにより、コンパートメントにアクセスできるユーザーを指定して、リソースにアクセスできるユーザーを制御できます。
たとえば、特定のテスト環境とその関連リソースのみへのアクセスを許可する制限付きアクセス・ポリシーを作成するには、これらのリソースを独自のコンパートメントに配置し、コンパートメント内のリソースのみへのアクセスを許可するポリシーを作成します。詳細は、コンパートメントの選択を参照してください。
ジョブ・ロールに指定されたアクセス権を持つユーザーの追加
完全な管理者アクセス権を持たないユーザーの場合、Oracle Cloudコンソールで特定のアプリケーション環境へのアクセス権を持つグループを作成できますが、Oracle Cloudコンソールで他の管理タスクを実行することはできません。
Oracle Cloudコンソールでアプリケーション環境およびサブスクリプションを表示する権限をユーザーに付与するには、次を実行する必要があります:
- アイデンティティ・ドメインを検索します。
- グループを作成します。
- グループにリソースへの適切なアクセス権を付与するポリシーを作成します。
- ユーザーを作成し、グループに追加します。
次の手順では、グループ、ポリシーおよびユーザーの作成を順を追って説明します。デフォルトの管理者、またはIAMリソースを管理するためのアクセス権が付与されている別のユーザーが、これらのタスクを実行できます。
アイデンティティ・ドメインは、ユーザーとロールの管理、ユーザーのフェデレーションとプロビジョニング、Oracle Single Sign-On (SSO)構成を介したセキュアなアプリケーション統合、およびOAuth管理のためのコンテナです。ポリシーを記述する場合は、グループが属するアイデンティティ・ドメインを識別する必要があります。
テナンシ内のアイデンティティ・ドメインを検索するには:
ナビゲーション・メニューを開き、「インフラストラクチャ」で「アイデンティティとセキュリティ」を選択します。「アイデンティティ」で、「ドメイン」を選択します。
「ドメイン」リスト・ページが開きます。すべてのテナンシにデフォルト・ドメインが含まれます。テナンシには、OracleIdentityCloudServiceドメインと、組織によって作成された他のドメインも含まれる場合があります。
ポリシーを作成する前に、アクセス権を付与するリソースを把握しておく必要があります。リソース(またはリソース・タイプとも呼ばれる)は、ポリシーがアクセス権を付与する対象です。作成するジョブ・ロールのポリシー・ステートメントのリストを確認するには、ジョブ・ロールのポリシー・リファレンスを参照してください。
- 前のタスクの「ドメイン」ページがまだ表示されている場合は、「グループの作成」の説明に従って、ページの左側で「ポリシー」を選択します。
または:
ナビゲーション・メニューを開き、「インフラストラクチャ」で「アイデンティティとセキュリティ」を選択します。「アイデンティティ」で、「ポリシー」を選択します。
ポリシーのリストが表示されます。
- 「ポリシーの作成」を選択します。
- 次の情報を入力します:
- 名前: ポリシーの一意の名前。名前は、テナンシ内のすべてのポリシーで一意である必要があります。これは後で変更できません。機密情報を入力しないでください。
- 説明: わかりやすい説明。これは、必要に応じて後で変更できます。機密情報を入力しないでください。
- コンパートメント: テナンシ(ルート・コンパートメント)が選択されていることを確認します。
- 「ポリシー・ビルダー」セクションで、「手動エディタの表示」を選択して、フリーフォーム・テキスト入力テキスト・ボックスを表示します。
- アクセス権を付与するリソースに対する適切なステートメントを入力します。共通ジョブ・ロール用にコピーして貼り付けることができるステートメントについては、ジョブ・ロールのポリシー・リファレンスを参照してください。
各文の'<identity-domain-name>'/'<your-group-name>'は、前のステップで作成した正しいアイデンティティ・ドメイン名、グループ名およびその他の変数に置き換えてください。
たとえば、OracleIdentityCloudServiceドメインに作成した"FA-Admins"というグループがあるとします。このグループに、Fusion Applicationsサービス管理者権限を付与します。
- ドキュメントのジョブ・ロールの ポリシー・リファレンスに移動します。
- Fusion Applicationsサービス管理者を検索します。「コピー」を選択して、ポリシー・ステートメントをコピーします。
- ポリシー・エディタに移動し、ドキュメントからステートメントを貼り付け、各ステートメントで'<identity-domain-name>'/'<your-group-name>'の値を更新します。この例では、更新は'OracleIdentityCloudService'/'FA-Admins'になります。
- 「作成」を選択します。
- Oracle Cloudコンソールのホーム・ページの「クイック・アクション」で「テナンシへのユーザーの追加」を選択します。
現在のドメイン内のユーザーのリストが表示されます。
- 「作成」を選択します。
- ユーザーの名と姓を入力します。
- ユーザーが自分の電子メール・アドレスでサインインできるようにするには:
- 「ユーザー名として電子メール・アドレスを使用」チェック・ボックスを選択したままにします。
- 「ユーザー名/電子メール」フィールドに、ユーザー・アカウントの電子メール・アドレスを入力します。
- ユーザーが自分のユーザー名でサインインできるようにするには:
- 「ユーザー名として電子メール・アドレスを使用」トグルをクリアします。
- 「ユーザー名」フィールドに、ユーザーがコンソールへのサインインに使用するユーザー名とパスワードを入力します。
- 「電子メール」フィールドに、ユーザー・アカウントの電子メール・アドレスを入力します。
- 「グループ」で、ユーザー・アカウントに割り当てる各グループのチェック・ボックスを選択します。
- (オプション)「タグ」セクションで、ユーザーに1つ以上のタグを追加します。
リソースを作成する権限を持つ場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済タグを適用するには、タグ・ネームスペースを使用する権限を持つ必要があります。タグ付けの詳細は、リソース・タグを参照してください。 タグを適用するかどうかがわからない場合は、このオプションをスキップするか、管理者に問い合せてください。タグは後で適用できます。
- 「作成」を選択します。
ジョブ・ロールのポリシー・リファレンス
ユーザーに対して設定する特定の共通ジョブ・ロールがあります。特定のジョブ・ファンクションに必要な権限を付与するポリシーを作成できます。この項では、一般的なジョブ・ファンクションのポリシーの例を示します。
この項の例では、説明されているロールに必要なすべてのポリシー・ステートメントを示します。次の表は、各ステートメントで付与される権限の詳細を示しています。ポリシーを介して付与されたアクセス権を持つユーザーを作成するには、指定したポリシーをコピーして貼り付け、グループ名を置き換えます。詳細は、ポリシーの作成タスクを参照してくださいすべてのステートメントが不要な場合(たとえば、アプリケーションがOracle Digital Assistantと統合されていない場合)、ステートメントを削除できます。
ここに示すガイドラインに従って、次のタイプのロールを設定します:
Fusion Applications環境管理者は、テナンシ(アカウント)内のFusion Applications環境および管理に必要なすべてのタスクを実行できます。Fusion Applications環境管理者は、環境をサポートする関連アプリケーションおよびサービスと対話することもできます。これらのタスクを完全に実行するには、Fusion Applications環境管理者に複数のサービスおよびリソースに対する権限が必要です。
このポリシーを作成する際は、次のことを把握しておく必要があります。
- グループ名
- グループが存在するアイデンティティ・ドメインの名前。
- 環境およびその他のリソースが配置されているコンパートメント名。コンパートメントの詳細は、コンパートメントを使用したジョブ・ロールのリソースのグループ化を参照してください。ポリシーの作成後にリソースをコンパートメントに移動できますが、ポリシーを記述する前にコンパートメントが存在している必要があります。
コピーして貼り付けるポリシーの例:
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to use vcns in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read vaults in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read keys in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to use key-delegate in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read lockbox-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage oda-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage vbstudio-instances in tenancy
Define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
Endorse group '<identity-domain-name>'/'<your-group-name>' to read objects in tenancy usage-report次の表は、前述のポリシーの各ステートメントがアクセス権を付与する対象を示しています:
| ポリシー・ステートメント | 説明 |
|---|---|
|
Fusion Applications環境および環境ファミリに対する完全な管理権限を付与します。作成、更新、リフレッシュおよびメンテナンスのアクティビティが含まれます。 |
|
コンソールでアプリケーション・サブスクリプションにアクセスするためのサブスクリプション関連情報の読取り権限を付与します。サブスクリプションの表示に必要です。テナンシ・レベルである必要があります。 |
|
アプリケーション・ホーム・ページでアプリケーション情報を表示する権限を付与します。 |
|
FAリソースに表示されるメトリック・チャートおよびデータへのアクセス権を付与します。 |
|
読取りアナウンスメントへのアクセス権を付与します。 |
|
ネットワーク・アクセス・ルールを追加または編集するためのアクセス権を付与します。 |
|
Oracle Digital Assistant統合アプリケーションを管理する権限を付与します |
|
Visual Studio統合アプリケーションを管理する権限を付与します。 |
|
月次使用状況メトリック・レポートを表示する権限を付与します。 |
Fusion Applications環境管理者によるFusion Applications環境の作成後、環境管理者は特定の環境を管理できますが、環境の作成や削除、他の環境へのアクセスはできません。たとえば、本番環境にのみアクセスできるProd-Adminsというグループと、非本番環境にのみアクセスできるTest-Adminsというグループを設定できます。
環境管理者が実行できるタスク:
- 言語パック、環境メンテナンス・オプション、ネットワーク・アクセス・ルールの更新
- メトリックのモニター
- 環境のリフレッシュ(非本番のみ)
- アプリケーション管理者の追加
環境管理者が実行できないタスク:
- 環境の作成
- 環境の削除
- 他の環境へのアクセス
次に、このロールに必要なすべてのポリシー・ステートメントを示すポリシーの例を示します。次の表は、各ステートメントで付与される権限の詳細を示しています。この権限セットを持つユーザーを作成するには、このポリシーをコピーして貼り付け、グループ名とコンパートメント名を置き換えます。詳細は、ポリシーの作成タスクを参照してください
このポリシーを作成する際は、次のことを把握しておく必要があります。
- グループ名
- グループが存在するアイデンティティ・ドメインの名前。
- 環境およびその他のリソースが配置されているコンパートメント名。コンパートメントの詳細は、コンパートメントを使用したジョブ・ロールのリソースのグループ化を参照してください。ポリシーの作成後にリソースをコンパートメントに移動できますが、ポリシーを記述する前にコンパートメントが存在している必要があります。
コピーして貼り付けるポリシーの例:
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-environment in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-scheduled-activity in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-refresh-activity in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-work-request in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-environment-group in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to use vcns in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage oda-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage vbstudio-instances in tenancy
Define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
Endorse group '<identity-domain-name>'/'<your-group-name>' to read objects in tenancy usage-report次の表は、前述のポリシーの各ステートメントがアクセス権を付与する対象を示しています:
| ポリシー・ステートメント | 説明 |
|---|---|
|
指定されたコンパートメント内のFusion Applications環境を管理する権限を付与します。 |
|
指定されたコンパートメント内の環境のスケジュール済メンテナンス・アクティビティを表示する権限を付与します。 |
|
指定されたコンパートメント内の環境に対する環境リフレッシュ・リクエストを作成する権限を付与します。本番環境には適用されません。 |
|
指定されたコンパートメント内の環境に対する作業リクエストを表示する権限を付与します。 |
|
テナンシ内のすべての環境ファミリの環境ファミリ詳細を表示する権限を付与します。 |
|
コンソールでアプリケーション・サブスクリプションにアクセスするためのサブスクリプション関連情報の読取り権限を付与します。サブスクリプションの表示に必要です。テナンシ・レベルである必要があります。 |
|
アプリケーション・ホーム・ページでアプリケーション情報を表示する権限を付与します。 |
|
指定されたコンパートメント内のFAリソースに表示されるメトリック・チャートおよびデータへのアクセス権を付与します。 |
|
指定されたコンパートメント内のvcnsのネットワーク・アクセス・ルールを追加または編集するためのアクセス権を付与します。 |
|
読取りアナウンスメントへのアクセス権を付与します。 |
|
指定されたコンパートメント内のOracle Digital Assistant統合アプリケーションを管理する権限を付与します。 |
|
Oracle Integration統合アプリケーションを管理する権限を付与します。ご使用の環境でこの統合を使用しない場合は不要です。 |
|
指定されたコンパートメント内のVisual Studio統合アプリケーションを管理する権限を付与します。 |
|
月次使用状況メトリック・レポートを表示する権限を付与します。 |
このロールに含まれるポリシーにより、グループ・メンバーはFusion Applications環境および関連アプリケーションの詳細とステータスの表示を読取り専用で許可されます。環境読取り専用ユーザーは変更できません。
次に、ロールに必要なすべてのポリシー・ステートメントを示すポリシーの例を示します。次の表は、各ステートメントで付与される権限の詳細を示しています。この権限セットを持つユーザーを作成するには、このポリシーをコピーして貼り付け、グループ名を置き換えます。詳細は、ポリシーの作成タスクを参照してください
このポリシーを作成する際は、次のことを把握しておく必要があります。
- グループ名
- グループが存在するアイデンティティ・ドメインの名前。
- 環境およびその他のリソースが配置されているコンパートメント名。コンパートメントの詳細は、コンパートメントを使用したジョブ・ロールのリソースのグループ化を参照してください。ポリシーの作成後にリソースをコンパートメントに移動できますが、ポリシーを記述する前にコンパートメントが存在している必要があります。
コピーして貼り付けるポリシーの例:
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read oda-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read vbstudio-instances in tenancy
Define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
Endorse group '<identity-domain-name>'/'<your-group-name>' to read objects in tenancy usage-report次の表は、前述のポリシーの各ステートメントがアクセス権を付与する対象を示しています:
| ポリシー・ステートメント | 説明 |
|---|---|
|
Fusion Applications環境および環境ファミリのすべての処理を表示する権限を付与します。 |
|
コンソールでアプリケーション・サブスクリプションにアクセスするためのサブスクリプション関連情報の読取り権限を付与します。サブスクリプションの表示に必要です。テナンシ・レベルである必要があります。 |
|
アプリケーション・ホーム・ページでアプリケーション情報を表示する権限を付与します。 |
|
FAリソースに表示されるメトリック・チャートおよびデータを表示するためのアクセス権を付与します。 |
|
お知らせを表示するためのアクセス権を付与します。 |
|
Oracle Digital Assistant統合アプリケーションを表示する権限を付与します |
|
Visual Studio統合アプリケーションを表示する権限を付与します。 |
|
月次使用状況メトリック・レポートを表示する権限を付与します。 |
このロールに含まれるポリシーにより、グループ・メンバーは、指定されたコンパートメント内で環境リフレッシュを実行できます。グループ・メンバーには、Fusion Applications環境の詳細への読取り専用アクセス権もあります。環境のリフレッシュは、このロールで実行できる唯一のアクションです。
次に、ロールに必要なすべてのポリシー・ステートメントを示すポリシーの例を示します。次の表は、各ステートメントで付与される権限の詳細を示しています。この権限セットを持つユーザーを作成するには、このポリシーをコピーして貼り付け、グループ名を置き換えます。詳細は、ポリシーの作成タスクを参照してください
このポリシーを作成する際は、次のことを把握しておく必要があります。
- グループ名。
- グループが存在するアイデンティティ・ドメインの名前。
- 環境が配置されているコンパートメントの名前。
コピーして貼り付けるポリシーの例:
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read oda-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read vbstudio-instances in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-refresh-activity in compartment <your-compartment-name>
次の表は、前述のポリシーの各ステートメントがアクセス権を付与する対象を示しています:
| ポリシー・ステートメント | 説明 |
|---|---|
|
Fusion Applications環境および環境ファミリのすべての処理を表示する権限を付与します。 |
|
コンソールでアプリケーション・サブスクリプションにアクセスするためのサブスクリプション関連情報の読取り権限を付与します。サブスクリプションの表示に必要です。テナンシ・レベルである必要があります。 |
|
アプリケーション・ホーム・ページでアプリケーション情報を表示する権限を付与します。 |
|
FAリソースに表示されるメトリック・チャートおよびデータを表示するためのアクセス権を付与します。 |
|
お知らせを表示するためのアクセス権を付与します。 |
|
Oracle Digital Assistant統合アプリケーションを表示する権限を付与します |
|
Visual Studio統合アプリケーションを表示する権限を付与します。 |
|
指定されたコンパートメントにあるFusion Applications環境でリフレッシュを実行する権限を付与します。 |
環境セキュリティ管理者は、Fusion Applications環境のセキュリティ機能を管理します。セキュリティ機能には、顧客管理キーおよびOracle Managed Access (緊急ガラスとも呼ばれる)が含まれます。これらの機能に対するサブスクリプションを、ご使用の環境で有効にする前に購入しておく必要があります。詳細は、Oracle Break Glassの顧客管理キーおよび環境に対するBreak Glassのサポートを参照してください。
環境セキュリティ管理者が実行できるタスク:
- Vaultサービスのボールトおよびキーを作成します。
- キーのローテーション
- Fusion Applications環境のキー・ローテーションの検証
- キーの無効化および有効化
次に、このロールに必要なすべてのポリシー・ステートメントを示すポリシーの例を示します。次の表は、各ステートメントで付与される権限の詳細を示しています。この権限セットを持つユーザーを作成するには、このポリシーをコピーして貼り付け、グループ名とコンパートメント名を置き換えます。詳細は、ポリシーの作成タスクを参照してください
このポリシーを作成する際は、次のことを把握しておく必要があります。
- グループ名
- グループが存在するアイデンティティ・ドメインの名前。
- 環境およびその他のリソースが配置されているコンパートメント名。コンパートメントの詳細は、コンパートメントを使用したジョブ・ロールのリソースのグループ化を参照してください。ポリシーの作成後にリソースをコンパートメントに移動できますが、ポリシーを記述する前にコンパートメントが存在している必要があります。
コピーして貼り付けるポリシーの例:
Allow group '<identity-domain-name>'/'<your-group-name>' to manage vaults in tenancy where request.permission not in ('VAULT_DELETE', 'VAULT_MOVE')
Allow group '<identity-domain-name>'/'<your-group-name>' to manage keys in tenancy where request.permission not in ('KEY_DELETE', 'KEY_MOVE')
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-environment-group in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-environment in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage lockbox-family in tenancy
次の表は、前述のポリシーの各ステートメントがアクセス権を付与する対象を示しています:
| ポリシー・ステートメント | 説明 |
|---|---|
|
テナンシ内のボールトを作成および管理する権限を付与しますが、ボールトを削除したり、ボールトを別のコンパートメントに移動する機能は許可しません。 |
|
テナンシ内の環境のキーを作成および管理する権限を付与しますが、キーを削除したり、キーを別のコンパートメントに移動する機能は許可しません。 |
|
Fusion Applications環境グループの詳細を読み取る権限を付与します。 |
|
Fusion Applications環境の詳細を読み取る権限を付与します。 |
ユーザーを削除しています
会社を辞めたユーザーを削除します。詳細なステップは、ユーザーの削除を参照してください。
アイデンティティ・ドメインでのユーザーの管理の詳細は、ユーザー管理のライフサイクルを参照してください。
グループからのユーザーの削除
グループがアクセス権を付与するリソースにアクセスする必要がなくなった場合は、グループからユーザーを削除します。詳細なステップは、グループからのユーザーの削除を参照してください。