登録完了後のAzureへのOracleDBユーザーの追加
Azure Active Directoryのこのトピックのステップを実行して、OracleDB for Azureの追加Azureユーザーへのアクセスを提供する方法について学習します。
重要
OCI IAMでアイデンティティ・フェデレーションを使用する場合、アイデンティティ・フェデレーションが機能するには、Azureユーザーの姓と電子メール・アドレスが、Azure Active Directoryに存在する必要があります。完全自動オンボーディングを使用してOracleDB for Azureを設定すると、アイデンティティ・フェデレーションが自動的に作成されます。「ガイド付きオンボーディング」を使用してOracleDB for Azureを設定する場合はオプションです。
OCI IAMでアイデンティティ・フェデレーションを使用する場合、アイデンティティ・フェデレーションが機能するには、Azureユーザーの姓と電子メール・アドレスが、Azure Active Directoryに存在する必要があります。完全自動オンボーディングを使用してOracleDB for Azureを設定すると、アイデンティティ・フェデレーションが自動的に作成されます。「ガイド付きオンボーディング」を使用してOracleDB for Azureを設定する場合はオプションです。
- Oracle Database Serviceエンタープライズ・アプリケーションおよび必要なARMロールに、ユーザーを割り当てます。このユーザー構成は、Azureポータル・アクセス用のOracleDBに必要であることに注意してください。手順については、「OracleDB for Azure enterprise application ARM roles to users」を参照してください。
- ユーザーがOracleDB for Azureにアクセスするサブスクリプションで、ユーザーにコントリビュータ・ロールを割り当てます。ユーザーには、データベース、データベース・システム・インフラストラクチャ、ネットワーキングなどのOracleDB for Azureリソースを管理するための完全なアクセス権がありますが、Azureのロールベースのアクセス制御(RBAC)のロールを、他のAzureユーザーに割り当てることはできません。「Azureサブスクリプション内でユーザーにAzure ARMロールにOracleDBを割り当てるには」を参照してください。
- ユーザーを適切なOracleDB for Azureユーザー・グループに割り当てます。These groups control access to OracleDB for Azure products like Autonomous Database and to resources like Oracle Support service requests.詳細は、「Azureユーザー・グループのOracleDBにユーザーを追加するには」を参照してください。
重要
現在OracleDB for AzureポータルにログインしているAzureユーザーのOracleDB for Azureロールを更新すると、ユーザーがポータルからログアウトして再度ログインするまで、更新は有効になりません。
手順
Azureエンタープライズ・アプリケーションのARMロールにOracleDBをユーザーに割り当てるには
このトピックでは、Oracle Database Serviceエンタープライズ・アプリケーションにユーザーを割り当て、必要なARMロールをそのユーザーに割り当てて、OracleDB for Azureポータルやその他のリソースにアクセスできるようにする方法を説明します。
ユーザーには、少なくともマルチクラウド・リンクのユーザー・ロールが必要になります。(一部のアカウントでは、このロールがクラウド・リンク・ユーザー・ロールと呼ばれます。)次のロールが使用可能で、ユーザーやグループに割り当てることができます:
| 表示名 | アプリケーション・ロール | 説明 |
|---|---|---|
|
ODSAマルチクラウド・リンク管理者 (一部のアカウントでは、クラウド・リンク管理者と呼ばれる場合があります) |
次のうち、アカウントで利用可能なものを使用します: odsa-multicloud-link-administrator または cloudlink-administrator |
OracleDB for Azureマルチクラウド・リンク・リソースのあらゆる面を管理できます。このリソースは、AzureアカウントとOCIアカウントの間のリンクを管理します。また、AzureサブスクリプションからOracleDB for Azureへのリンクや、その他のクロスクラウド構成も管理します。 |
| OracleDB for Azureリーダー | odsa-reader | すべてのOracleDB for Azureリソースへの読取り専用アクセス。サービスの監査に使用されます。 |
| ODSAデータベース・ファミリ管理者 | odsa-db-family-administrator | Exadata、Base Database、Autonomous Databaseなど、OracleDB for Azureのすべてのデータベース製品のあらゆる面を管理できます。 |
| ODSAデータベース・ファミリ・リーダー | odsa-db-family-reader | Exadata、Base Database、Autonomous Databaseなど、OracleDB for Azureのすべてのデータベース製品に対する読取り専用の権限。 |
| ODSA Exaインフラストラクチャ管理者 | odsa-exa-infra-administrator |
Exadata専用インフラストラクチャのあらゆる面を管理できます:
|
| ODSA Exaデータベース管理者 | odsa-exa-cdb-administrator |
コンテナ・データベース(CDB)レベルで、次のExadataデータベース・リソースを管理できます:
|
| ODSA Exa PDB管理者 | odsa-exa-pdb-administrator | Exadataプラガブル・データベース(PDB)を管理できます。 |
| ODSA BaseDBインフラストラクチャ管理者 | odsa-basedb-infra-administrator |
Base Databaseインフラストラクチャの次のリソースを管理できます:
|
| ODSA BaseDBデータベース管理者 | odsa-basedb-cdb-administrator |
コンテナ・データベース(CDB)レベルで、次のBase Databaseリソースを管理できます:
|
| ODSA BaseDB PDB管理者 | odsa-basedb-pdb-administrator | Base Databaseプラガブル・データベース(PDB)を管理できます。 |
| ODSA ADB-S DB管理者 | odsa-adbs-db-administrator | Autonomous Databaseおよびバックアップを管理できます。 |
| ODSAネットワーク・リンク管理者 | odsa-network-administrator | Can manage all aspects of OracleDB for Azure network resources, with permission to create, read, update, and delete resources. |
| ODSAネットワーク・リンク・ユーザー | networklink-user | OracleDB for Azureネットワーク・リソースのリスト、読取りおよび更新を行うことができます。 |
| ODSAコスト管理管理者 | odsa-costmgmt-administrator | コスト管理の使用状況レポートを管理できます。 |
| ODSAコスト管理リーダー | odsa-costmgmt-read | コスト管理の使用状況レポートを読み取ることができます。 |
| ODSAサポート管理者 | odsa-support-administrator | Oracleサポート・リクエスト(SR)を管理できます。 |
| ODSAサポート・リーダー | odsa-support-reader | Oracleサポート・リクエスト(SR)を読み取ることができます。 |
手順:
- AzureアカウントのAzure Active Directoryに移動します。
- 「Manage」で、「Enterprise applications」をクリックします。
- エンタープライズ・アプリケーションのリストで、Oracle Database Serviceアプリケーションの名前をクリックして、アプリケーションの概要ページを表示します。
- 「Assign users and groups」をクリックします。
- 「+ Add user/group」をクリックします。「Add Assignment」ページが表示されます。
- 「Users」の「None Selected」をクリックします。
- 「Users」パネルで、割り当てるユーザーを探し、「Select」をクリックします。
- 「Select a role」の「None Selected」をクリックします。
- ユーザーに割り当てるARMロールを選択します。
- 「選択」をクリックします。「Select a role」パネルが閉じます。
- 割当て情報を確認してから、「Assign」をクリックしてARMロール割当てを完了します。
次の手順
- ユーザーがOracleDB for Azureへのアクセスに使用するサブスクリプション内で、ユーザーにARMロールを割り当てます。手順は、「Azureサブスクリプション内でユーザーにAzure ARMロールにOracleDBを割り当てるには」を参照してください。
- ユーザーを1つ以上のOracleDB for Azureデータベース管理者グループに割り当てて、データベース・リソースを作成および管理します。詳細は、「Azureユーザー・グループのOracleDBにユーザーを追加するには」を参照してください。
- ネットワーキング、コスト管理、Oracle Supportおよびその他のOracleDB for Azureサービス・リソースの適切なユーザー・グループにユーザーを割り当てます。詳細は、「Azureユーザー・グループのOracleDBにユーザーを追加するには」を参照してください。
Azureサブスクリプション内でAzure ARMロールにOracleDBを割り当てるには
すべてのOracleDB for Azureユーザーには、OracleDB for Azureで使用するサブスクリプションごとにContributor ARMロールが必要です。さらに、Azure Event Grid、Azure Monitorを使用する予定、またはAzure VNETとのネットワーク・ピアリングを必要とするExadataおよびベース・データベースを含むOracleDB for Azureシステムをプロビジョニングする予定のOracleDB for Azureユーザーには、次のARMロールが必要です:
- EventGridデータ送信者: OracleDB for AzureリソースからEvent Gridのトピックにイベントを送信できます。詳細は、「Authorizing access to Event Grid resources」を参照してください。
- メトリック・パブリッシャのモニター: Oracle DatabaseメトリックをAzure Monitorに公開できます。詳細は、「Getting started with Azure Metrics Explorer」を参照してください。
- ネットワーク・コントリビュータ: Azureネットワークを管理できますが、アクセスすることはできません。OracleDB for Azureは、指定されたAzure Virtual Network (VNET)でOCI Virtual Cloud Networkをピアリングします。
このタスクを開始する前に、Azure用のOracleDBユーザーのAzureエンタープライズ・アプリケーションARMロールにOracleDBをユーザーに割り当てるにはのステップを完了します。
- Azureポータルにログインし、「Subscriptions」を選択します。
- 左側のパネルで、「Access control (IAM)」をクリックします。
- 「+ Add」をクリックし、「Add role assignment」を選択します。
- デフォルトでは、「Role」タブが選択されています。表示されたロールのリストで、「Contributor」ロールを選択します。
- 「Members」タブをクリックし、「Selected role」フィールドに「Contributor」と表示されることを確認します。
- 「+ Select members」をクリックします。「Select members」パネルが開きます。
- メンバーのリストで、コントリビュータ・ロールを割り当てるユーザーを選択します。リストされた結果にユーザーが表示されない場合は、検索機能を使用できます。
- 「Select」ボタンをクリックします。「Select members」パネルが閉じます。
- 「Add role assignment」ページで、「Review + assign」ボタンをクリックします。
- 「Review + assign」タブに表示される割当ての詳細を確認します。
- 「Review + assign」ボタンを再度クリックして、割当てを保存します。
-
次のARMロールに対して、ステップ3から11を繰り返します:
- EventGridデータ送信者
- メトリック・パブリッシャのモニター
- ネットワーク・コントリビュータ
- EventGridデータ送信者
次の手順
- 適切なOracleDB for Azureデータベース管理者グループにユーザーを割り当て、OracleDB for Azureでデータベース・リソースを作成および管理します。管理者グループは、データベース・タイプ(Exadata、Base DatabaseおよびAutonomous Database)ごとに使用できます。詳細は、「Azureユーザー・グループのOracleDBにユーザーを追加するには」を参照してください。
- ネットワーキング、コスト管理、Oracle Supportおよびその他のOracleDB for Azureサービス・リソースの適切なユーザー・グループにユーザーを割り当てます。詳細は、「Azureユーザー・グループのOracleDBにユーザーを追加するには」を参照してください。
Azureユーザー・グループのOracleDBにユーザーを追加するには
このタスクで説明するユーザー・グループは、OracleDB for Azureのデプロイメント中に事前に構成されています。ユーザーは、OracleDB for Azureユーザー・グループを作成する必要はありません。
このタスクを開始する前に、「Azureエンタープライズ・アプリケーションのARMロールにOracleDBをユーザーに割り当てるには」および「Azureサブスクリプション内のユーザーにAzure ARMロールにOracleDBを割り当てるには」のステップを完了します。
- AzureアカウントのAzure Active Directoryに移動します。
- 「Manage」で、「Enterprise applications」をクリックします。
- エンタープライズ・アプリケーションのリストで、Oracle Database Serviceアプリケーションの名前をクリックして、アプリケーションの概要ページを表示します。
- 「Manage」で、「Users and groups」をクリックします。
- ユーザーのリストで、ユーザーの名前をクリックして、ユーザーの「Profile」ページを開きます。
- 「Manage」で、「Groups」をクリックします。
- 「+ Add memberships」をクリックします。
- 「Select groups」パネルで、1つ以上のOracleDB for Azureユーザー・グループを選択します。
- 「Select」をクリックして選択内容を確認し、「Select groups」パネルを閉じます。グループの割当てが完了するまで、少し時間がかかります。「Refresh」をクリックして、ユーザーに必要なグループ・メンバーシップがあることを確認します。