特定のジョブ・ファンクションを使用したOracle Cloudユーザーの管理
Fusion Applications環境を操作するための事前定義済の権限を持つユーザーを追加します。
テナンシのデフォルト管理者は、クラウド・アカウントの作成時に定義されました。デフォルト管理者は、すべてのアプリケーション・サブスクリプションの表示および管理を含め、すべてのサービスに対してすべてのタスクを実行できます。
このトピックでは、Oracle CloudコンソールでFusion Applications環境を操作する追加のユーザーを設定する方法について説明します。通常、これらの追加の管理ユーザーは、より具体的なジョブ・ファンクションを備えているため、デフォルトの管理ユーザーと比較してアクセス権および権限が削減されます。アプリケーションで作業するためにエンド・ユーザーを追加する必要がある場合は、アプリケーション・ドキュメントOracle Fusion Cloud Applications Suiteを参照してください。
Applications環境管理は、認証および認可のためにIdentity and Access Management Service (IAMサービス)と統合されます。IAMは、ポリシーを使用してグループに権限を付与します。ユーザーは、自分が属するグループに基づいてリソース(アプリケーション環境など)にアクセスできます。デフォルト管理者は、グループ、ポリシーおよびユーザーを作成して、リソースへのアクセス権を付与できます。
このトピックでは、環境管理を開始するためにアカウントに特定のユーザー・タイプを作成するための基本的な手順を示します。IAMサービスを使用したOracle Cloudコンソールでのユーザーの管理の詳細は、ユーザーの管理を参照してください。
環境管理のユーザー・ロールとアプリケーション・ユーザー・ロールの違いの理解
ここで説明する環境ユーザー・ロールには、アプリケーション環境を管理または操作するためのアクセス権があります。付与された権限のレベルに応じて、Oracle Cloudアカウントにサインインし、環境の詳細ページにナビゲートして、環境を管理または監視するタスクを実行できます。これらのロールには、Fusion Applications環境管理者、環境セキュリティ管理者、環境固有のマネージャおよび環境モニターが含まれます。
アプリケーション・ユーザー・ロールには、(アプリケーションURLを介して)アプリケーションにサインインし、アプリケーションを管理、開発または使用するアクセス権があります。これらのユーザーの管理方法については、アプリケーションのドキュメントを参照してください。
-
Fusion管理者の追加の詳細は、Fusion管理者を追加または削除するにはを参照してください。
- アプリケーション・ロールの詳細は、アプリケーション・ドキュメントを参照するか、一般的なリファレンスについてはすべてのオファリングに共通ロールを参照してください。
テナント管理者の追加
この手順では、テナンシ管理者グループに別のユーザーを追加する方法について説明します。管理者グループのメンバーは、Oracle Cloudコンソールのすべての機能およびサービスにアクセスできます。
この手順では、アプリケーション・サービス・コンソールにサインインするためのアクセス権をユーザーに付与しません。アプリケーションにユーザーを追加するには、アプリケーションのドキュメントを参照してください。
管理者を追加するには:
- Oracle Cloudコンソールのホーム・ページで、「テナンシへのユーザーの追加」をクリックします。デフォルト・ドメイン内のユーザーのリストが表示されます。
- 「ユーザーの作成」をクリックします。
- ユーザーの「名」および「姓」を入力します。
- ユーザーが自分の電子メール・アドレスでログインできるようにするには:
- 「ユーザー名として電子メール・アドレスを使用」チェック・ボックスは選択したままにします。
- 「ユーザー名/電子メール」フィールドに、ユーザー・アカウントの電子メール・アドレスを入力します。
または
ユーザーが自分のユーザー名でログインできるようにするには:- 「ユーザー名として電子メール・アドレスを使用」チェック・ボックスの選択を解除します。
- 「ユーザー名」フィールドに、ユーザーがコンソールへのログインに使用するユーザー名を入力します。
- 「電子メール」フィールドに、ユーザー・アカウントの電子メール・アドレスを入力します。
- 「このユーザーを割り当てるグループの選択」で、管理者のチェック・ボックスを選択します。
- 「作成」をクリックします。
新しいユーザーに指定されたアドレスに、ようこそ電子メールが送信されます。新しいユーザーは、電子メールに記載されているアカウントのアクティブ化手順に従ってサインインし、テナンシの使用を開始できます。
コンパートメントを使用したジョブ・ロールのリソースのグループ化
コンパートメントは、リソースを論理的にグループ化できるアクセス管理(IAM)機能です。これにより、コンパートメントにアクセスできるユーザーを指定して、リソースにアクセスできるユーザーを制御できます。
たとえば、特定のテスト環境とその関連リソースのみへのアクセスを許可する制限付きアクセス・ポリシーを作成するには、これらのリソースを独自のコンパートメントに配置し、コンパートメント内のリソースのみへのアクセスを許可するポリシーを作成します。詳細は、コンパートメントの選択を参照してください。
ジョブ・ロールに指定されたアクセス権を持つユーザーの追加
完全な管理者アクセス権を持たないユーザーの場合、Oracle Cloudコンソールで特定のアプリケーション環境へのアクセス権を持つグループを作成できますが、Oracle Cloudコンソールで他の管理タスクを実行することはできません。
Oracle Cloudコンソールでアプリケーション環境およびサブスクリプションを表示する権限をユーザーに付与するには、次を実行する必要があります:
- アイデンティティ・ドメインを検索します。
- グループを作成します。
- グループにリソースへの適切なアクセス権を付与するポリシーを作成します。
- ユーザーを作成し、グループに追加します。
次の手順では、グループ、ポリシーおよびユーザーの作成を順を追って説明します。デフォルトの管理者、またはIAMリソースを管理するためのアクセス権が付与されている別のユーザーが、これらのタスクを実行できます。
アイデンティティ・ドメインは、ユーザーとロールの管理、ユーザーのフェデレーションとプロビジョニング、Oracle Single Sign-On (SSO)構成を介したセキュアなアプリケーション統合、およびOAuth管理のためのコンテナです。ポリシーを記述する場合は、グループが属するアイデンティティ・ドメインを識別する必要があります。
テナンシ内のアイデンティティ・ドメインを検索するには:
ナビゲーション・メニューを開き、「インフラストラクチャ」で、「アイデンティティとセキュリティ」をクリックしてメニューを展開し、「アイデンティティ」で、「ドメイン」をクリックします。
すべてのテナンシにはデフォルト・ドメインが含まれます。テナンシには、OracleIdentityCloudServiceドメインおよび組織によって作成された他のドメインも含まれる場合があります。
- Oracle Cloudコンソールのホーム・ページの「クイック・アクション」で、「テナンシへのユーザーの追加」をクリックします。このアクションにより、現在のドメイン内のユーザーのリストに移動します。
- 左側のリソースのリストで、「グループ」をクリックします。
- 「グループの作成」をクリックします。
- 次を入力します:
- 名前: グループの一意の名前("environment-viewers"など)。名前は、テナンシ内のすべてのグループで一意である必要があります。これは後で変更できません。
- 説明: わかりやすい説明。これは、必要に応じて後で変更できます。
- 拡張オプション - タグ: オプションで、タグを適用できます。リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済タグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用する必要があるかどうかがわからない場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
- 「作成」をクリックします。
ポリシーを作成する前に、アクセス権を付与するリソースを把握しておく必要があります。リソース(またはリソース・タイプとも呼ばれる)は、ポリシーがアクセス権を付与する対象です。作成するジョブ・ロールのポリシー・ステートメントのリストを確認するには、ジョブ・ロールのポリシー・リファレンスを参照してください。
- 「ポリシー」ページに移動します。
- 前のステップの「グループ」ページを表示したままの場合は、ページ上部のブレッドクラム・リンクで「ドメイン」をクリックします。「ドメイン」ページで、ページの左側にある「ポリシー」をクリックします。
- それ以外の場合は、ナビゲーション・メニューを開き、「インフラストラクチャ」で「アイデンティティとセキュリティ」をクリックしてメニューを展開し、「アイデンティティ」で「ポリシー」をクリックします。ポリシーのリストが表示されます。
- ポリシーの作成をクリックします。
- 次を入力します:
- 名前: ポリシーの一意の名前。名前は、テナンシ内のすべてのポリシーで一意である必要があります。これは後で変更できません。
- 説明: わかりやすい説明。これは、必要に応じて後で変更できます。
- コンパートメント: テナンシ(ルート・コンパートメント)が選択されていることを確認します。
- ポリシー・ビルダーで、「手動エディタの表示」を切り替えて、フリーフォーム・テキスト入力のテキスト・ボックスを表示します。
- アクセス権を付与するリソースに対する適切なステートメントを入力します。共通ジョブ・ロール用にコピーして貼り付けることができるステートメントについては、ジョブ・ロールのポリシー・リファレンスを参照してください。
各文の'<identity-domain-name>'/'<your-group-name>'は、前のステップで作成した正しいアイデンティティ・ドメイン名、グループ名およびその他の変数に置き換えてください。
たとえば、OracleIdentityCloudServiceドメインに作成した"FA-Admins"というグループがあるとします。このグループに、Fusion Applicationsサービス管理者権限を付与します。
- ドキュメント(次を参照)のジョブ・ロールのポリシー・リファレンスに移動します。
- Fusion Applicationsサービス管理者を検索します。「コピー」をクリックして、ポリシー・ステートメントをコピーします。
- ポリシー・エディタに移動し、ドキュメントからステートメントを貼り付け、各ステートメントで'<identity-domain-name>'/'<your-group-name>'の値を更新します。この例では、更新は'OracleIdentityCloudService'/'FA-Admins'になります。
- 「作成」をクリックします。
- Oracle Cloudコンソールのホーム・ページの「クイック・アクション」で、「テナンシへのユーザーの追加」をクリックします。
- 「ユーザーの作成」をクリックします。
- ユーザーの「名」および「姓」を入力します。
- ユーザーが自分の電子メール・アドレスでログインできるようにするには:
- 「ユーザー名として電子メール・アドレスを使用」チェック・ボックスは選択したままにします。
- 「ユーザー名/電子メール」フィールドに、ユーザー・アカウントの電子メール・アドレスを入力します。
または
ユーザーが自分のユーザー名でログインできるようにするには:- 「ユーザー名として電子メール・アドレスを使用」チェック・ボックスの選択を解除します。
- 「ユーザー名」フィールドに、ユーザーがコンソールへのログインに使用するユーザー名を入力します。
- 「電子メール」フィールドに、ユーザー・アカウントの電子メール・アドレスを入力します。
- ユーザーをグループに割り当てるには、ユーザー・アカウントに割り当てる各グループのチェック・ボックスを選択します。
- 「作成」をクリックします。
ジョブ・ロールのポリシー・リファレンス
ユーザーに対して設定する特定の共通ジョブ・ロールがあります。特定のジョブ・ファンクションに必要な権限を付与するポリシーを作成できます。この項では、一般的なジョブ・ファンクションのポリシーの例を示します。
この項の例では、説明されているロールに必要なすべてのポリシー・ステートメントを示します。次の表は、各ステートメントで付与される権限の詳細を示しています。ポリシーを介して付与されたアクセス権を持つユーザーを作成するには、指定したポリシーをコピーして貼り付け、グループ名を置き換えます。詳細は、前述のポリシーの作成タスクを参照してください。すべてのステートメントが不要な場合(たとえば、アプリケーションがOracle Digital Assistantと統合されていない場合)、ステートメントを削除できます。
ここに示すガイドラインに従って、次のタイプのロールを設定します:
Fusion Applications環境管理者は、テナンシ(アカウント)内のFusion Applications環境および管理に必要なすべてのタスクを実行できます。Fusion Applications環境管理者は、環境をサポートする関連アプリケーションおよびサービスと対話することもできます。これらのタスクを完全に実行するには、Fusion Applications環境管理者に複数のサービスおよびリソースに対する権限が必要です。
このポリシーを作成する際には、次のことを把握しておく必要があります:
- グループ名
- グループが存在するアイデンティティ・ドメインの名前。
- 環境およびその他のリソースが配置されているコンパートメント名。コンパートメントの詳細は、コンパートメントを使用したジョブ・ロールのリソースのグループ化を参照してください。ポリシーの作成後にリソースをコンパートメントに移動できますが、ポリシーを記述する前にコンパートメントが存在している必要があります。
コピーして貼り付けるポリシーの例:
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to use vcns in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read vaults in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read keys in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to use key-delegate in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read lockbox-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage oda-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage vbstudio-instances in tenancy
Define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
Endorse group '<identity-domain-name>'/'<your-group-name>' to read objects in tenancy usage-report
次の表は、前述のポリシーの各ステートメントがアクセス権を付与する対象を示しています:
ポリシー・ステートメント | 説明 |
---|---|
|
Fusion Applications環境および環境ファミリに対する完全な管理権限を付与します。作成、更新、リフレッシュおよびメンテナンスのアクティビティが含まれます。 |
|
コンソールでアプリケーション・サブスクリプションにアクセスするためのサブスクリプション関連情報の読取り権限を付与します。サブスクリプションの表示に必要です。テナンシ・レベルである必要があります。 |
|
アプリケーション・ホーム・ページでアプリケーション情報を表示する権限を付与します。 |
|
FAリソースに表示されるメトリック・チャートおよびデータへのアクセス権を付与します。 |
|
読取りアナウンスメントへのアクセス権を付与します。 |
|
ネットワーク・アクセス・ルールを追加または編集するためのアクセス権を付与します。 |
|
Oracle Digital Assistant統合アプリケーションを管理する権限を付与します |
|
Visual Studio統合アプリケーションを管理する権限を付与します。 |
|
月次使用状況メトリック・レポートを表示する権限を付与します。 |
Fusion Applications環境管理者によるFusion Applications環境の作成後、環境管理者は特定の環境を管理できますが、環境の作成や削除、他の環境へのアクセスはできません。たとえば、本番環境にのみアクセスできるProd-Adminsというグループと、非本番環境にのみアクセスできるTest-Adminsというグループを設定できます。
環境管理者が実行できるタスク:
- 言語パック、環境メンテナンス・オプション、ネットワーク・アクセス・ルールの更新
- メトリックのモニター
- 環境のリフレッシュ(非本番のみ)
- アプリケーション管理者の追加
環境管理者が実行できないタスク:
- 環境の作成
- 環境の削除
- 他の環境へのアクセス
次の例は、このロールに必要なすべてのポリシー・ステートメントを示しています。次の表は、各ステートメントで付与される権限の詳細を示しています。この権限セットを持つユーザーを作成するには、このポリシーをコピーして貼り付け、グループ名とコンパートメント名を置き換えます。詳細は、前述のポリシーの作成タスクを参照してください。
このポリシーを作成する際には、次のことを把握しておく必要があります:
- グループ名
- グループが存在するアイデンティティ・ドメインの名前。
- 環境およびその他のリソースが配置されているコンパートメント名。コンパートメントの詳細は、コンパートメントを使用したジョブ・ロールのリソースのグループ化を参照してください。ポリシーの作成後にリソースをコンパートメントに移動できますが、ポリシーを記述する前にコンパートメントが存在している必要があります。
コピーして貼り付けるポリシーの例:
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-environment in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-scheduled-activity in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-refresh-activity in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-work-request in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-environment-group in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to use vcns in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage oda-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage vbstudio-instances in tenancy
Define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
Endorse group '<identity-domain-name>'/'<your-group-name>' to read objects in tenancy usage-report
次の表は、前述のポリシーの各ステートメントがアクセス権を付与する対象を示しています:
ポリシー・ステートメント | 説明 |
---|---|
|
指定されたコンパートメント内のFusion Applications環境を管理する権限を付与します。 |
|
指定されたコンパートメント内の環境のスケジュール済メンテナンス・アクティビティを表示する権限を付与します。 |
|
指定されたコンパートメント内の環境に対する環境リフレッシュ・リクエストを作成する権限を付与します。本番環境には適用されません。 |
|
指定されたコンパートメント内の環境に対する作業リクエストを表示する権限を付与します。 |
|
テナンシ内のすべての環境ファミリの環境ファミリ詳細を表示する権限を付与します。 |
|
コンソールでアプリケーション・サブスクリプションにアクセスするためのサブスクリプション関連情報の読取り権限を付与します。サブスクリプションの表示に必要です。テナンシ・レベルである必要があります。 |
|
アプリケーション・ホーム・ページでアプリケーション情報を表示する権限を付与します。 |
|
指定されたコンパートメント内のFAリソースに表示されるメトリック・チャートおよびデータへのアクセス権を付与します。 |
|
指定されたコンパートメント内のvcnsのネットワーク・アクセス・ルールを追加または編集するためのアクセス権を付与します。 |
|
読取りアナウンスメントへのアクセス権を付与します。 |
|
指定されたコンパートメント内のOracle Digital Assistant統合アプリケーションを管理する権限を付与します。 |
|
Oracle Integration統合アプリケーションを管理する権限を付与します。ご使用の環境でこの統合を使用しない場合は不要です。 |
|
指定されたコンパートメント内のVisual Studio統合アプリケーションを管理する権限を付与します。 |
|
月次使用状況メトリック・レポートを表示する権限を付与します。 |
このロールに含まれるポリシーにより、グループ・メンバーは読取り専用アクセスでFusion Applications環境および関連アプリケーションの詳細とステータスを表示できます。環境読取り専用ユーザーは変更できません。
次は、ロールに必要なすべてのポリシー・ステートメントを示すポリシーの例です。次の表は、各ステートメントで付与される権限の詳細を示しています。この権限セットを持つユーザーを作成するには、このポリシーをコピーして貼り付け、グループ名を置き換えます。詳細は、前述のポリシーの作成タスクを参照してください。
このポリシーを作成する際には、次のことを把握しておく必要があります:
- グループ名
- グループが存在するアイデンティティ・ドメインの名前。
- 環境およびその他のリソースが配置されているコンパートメント名。コンパートメントの詳細は、コンパートメントを使用したジョブ・ロールのリソースのグループ化を参照してください。ポリシーの作成後にリソースをコンパートメントに移動できますが、ポリシーを記述する前にコンパートメントが存在している必要があります。
コピーして貼り付けるポリシーの例:
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read oda-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read vbstudio-instances in tenancy
Define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
Endorse group '<identity-domain-name>'/'<your-group-name>' to read objects in tenancy usage-report
次の表は、前述のポリシーの各ステートメントがアクセス権を付与する対象を示しています:
ポリシー・ステートメント | 説明 |
---|---|
|
Fusion Applications環境および環境ファミリのすべての処理を表示する権限を付与します。 |
|
コンソールでアプリケーション・サブスクリプションにアクセスするためのサブスクリプション関連情報の読取り権限を付与します。サブスクリプションの表示に必要です。テナンシ・レベルである必要があります。 |
|
アプリケーション・ホーム・ページでアプリケーション情報を表示する権限を付与します。 |
|
FAリソースに表示されるメトリック・チャートおよびデータを表示するためのアクセス権を付与します。 |
|
お知らせを表示するためのアクセス権を付与します。 |
|
Oracle Digital Assistant統合アプリケーションを表示する権限を付与します |
|
Visual Studio統合アプリケーションを表示する権限を付与します。 |
|
月次使用状況メトリック・レポートを表示する権限を付与します。 |
このロールに含まれるポリシーにより、グループ・メンバーは、指定されたコンパートメント内で環境リフレッシュを実行できます。グループ・メンバーには、Fusion Applications環境の詳細への読取り専用アクセス権もあります。環境のリフレッシュは、このロールで実行できる唯一のアクションです。
次は、ロールに必要なすべてのポリシー・ステートメントを示すポリシーの例です。次の表は、各ステートメントで付与される権限の詳細を示しています。この権限セットを持つユーザーを作成するには、このポリシーをコピーして貼り付け、グループ名を置き換えます。詳細は、前述のポリシーの作成タスクを参照してください。
このポリシーを作成する際には、次のことを把握しておく必要があります:
- グループ名
- グループが存在するアイデンティティ・ドメインの名前。
- 環境が配置されているコンパートメントの名前。
コピーして貼り付けるポリシーの例:
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read oda-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read vbstudio-instances in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-refresh-activity in compartment <your-compartment-name>
次の表は、前述のポリシーの各ステートメントがアクセス権を付与する対象を示しています:
ポリシー・ステートメント | 説明 |
---|---|
|
Fusion Applications環境および環境ファミリのすべての処理を表示する権限を付与します。 |
|
コンソールでアプリケーション・サブスクリプションにアクセスするためのサブスクリプション関連情報の読取り権限を付与します。サブスクリプションの表示に必要です。テナンシ・レベルである必要があります。 |
|
アプリケーション・ホーム・ページでアプリケーション情報を表示する権限を付与します。 |
|
FAリソースに表示されるメトリック・チャートおよびデータを表示するためのアクセス権を付与します。 |
|
お知らせを表示するためのアクセス権を付与します。 |
|
Oracle Digital Assistant統合アプリケーションを表示する権限を付与します |
|
Visual Studio統合アプリケーションを表示する権限を付与します。 |
|
指定されたコンパートメントにあるFusion Applications環境でリフレッシュを実行する権限を付与します。 |
環境セキュリティ管理者は、Fusion Applications環境のセキュリティ機能を管理します。セキュリティ機能には、顧客管理キーおよびOracle Managed Access (緊急アクセスとも呼ばれる)が含まれます。これらの機能に対するサブスクリプションは、ご使用の環境で有効にする前に購入しておく必要があります。詳細は、Oracle Break Glassの顧客管理キーおよび環境に対するBreak Glassのサポートを参照してください。
環境セキュリティ管理者が実行できるタスク:
- Vaultサービスのボールトおよびキーを作成します。
- キーのローテーション
- Fusion Applications環境のキー・ローテーションの検証
- キーの無効化および有効化
次の例は、このロールに必要なすべてのポリシー・ステートメントを示しています。次の表は、各ステートメントで付与される権限の詳細を示しています。この権限セットを持つユーザーを作成するには、このポリシーをコピーして貼り付け、グループ名とコンパートメント名を置き換えます。詳細は、前述のポリシーの作成タスクを参照してください。
このポリシーを作成する際には、次のことを把握しておく必要があります:
- グループ名
- グループが存在するアイデンティティ・ドメインの名前。
- 環境およびその他のリソースが配置されているコンパートメント名。コンパートメントの詳細は、コンパートメントを使用したジョブ・ロールのリソースのグループ化を参照してください。ポリシーの作成後にリソースをコンパートメントに移動できますが、ポリシーを記述する前にコンパートメントが存在している必要があります。
コピーして貼り付けるポリシーの例:
Allow group '<identity-domain-name>'/'<your-group-name>' to manage vaults in tenancy where request.permission not in ('VAULT_DELETE', 'VAULT_MOVE')
Allow group '<identity-domain-name>'/'<your-group-name>' to manage keys in tenancy where request.permission not in ('KEY_DELETE', 'KEY_MOVE')
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-environment-group in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-environment in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage lockbox-family in tenancy
次の表は、前述のポリシーの各ステートメントがアクセス権を付与する対象を示しています:
ポリシー・ステートメント | 説明 |
---|---|
|
テナンシ内のボールトを作成および管理する権限を付与しますが、ボールトを削除したり、ボールトを別のコンパートメントに移動する機能は許可しません。 |
|
テナンシ内の環境のキーを作成および管理する権限を付与しますが、キーを削除したり、キーを別のコンパートメントに移動する機能は許可しません。 |
|
Fusion Applications環境グループの詳細を読み取る権限を付与します。 |
|
Fusion Applications環境の詳細を読み取る権限を付与します。 |
ユーザーを削除しています
会社を出るときにユーザーを削除します。アイデンティティ・ドメインでのユーザーの管理の詳細は、ユーザー管理のライフサイクルを参照してください。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
- 作業するアイデンティティ・ドメインの名前をクリックします。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。次に、「ユーザー」をクリックします。
- 削除する各ユーザー・アカウントの隣にあるチェック・ボックスを選択します。
- 「その他のアクション」、をクリックし、「削除」をクリックします。
- 「ユーザーの削除」ダイアログ・ボックスで、「ユーザーの削除」をクリックします。ユーザーがグループのメンバーである場合は、警告メッセージが表示されます。削除を確認するには「はい」をクリックします。
グループからのユーザーの削除
グループがアクセス権を付与するリソースへのアクセスが不要になった場合、ユーザーをグループから削除します。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
- 作業するアイデンティティ・ドメインの名前をクリックします。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。次に、「ユーザー」をクリックします。
- 変更するユーザー・アカウントをクリックします。
- 「グループ」をクリックします
- ユーザー・アカウントから削除する各グループのチェックボックスを選択します。
- 「ユーザーをグループから削除」をクリックします。
- 選択内容を確認します。