非フェデレーテッド・ユーザー(SSOを介してサインインしないユーザー)にOracle Content Managementインスタンスの作成を委任するには、プライマリ・アカウント管理者が、グループの作成、そのグループへのユーザーの追加、必要なポリシーの作成、ユーザーへのアプリケーション管理者ロールの付与、および機密アプリケーションの作成を行う必要があります。その後、ユーザーはアクセス・トークンを生成してインスタンスを作成できます。

1. 委任先のユーザーのグループを作成します。
   1. 「グループ」ページに移動します:
      • すでにOracle Cloudコンソールの「アイデンティティとセキュリティ」領域を表示している場合は、左側のナビゲーション・メニューで「グループ」をクリックします。
      • まだOracle Cloudコンソールが表示されていない場合:
        1. クラウド・アカウント管理者としてOracle Cloudにサインインします。アカウント名とログイン情報は、ようこそ電子メールに記載されています。
        2. Oracle Cloudコンソールで、をクリックし、「アイデンティティとセキュリティ」をクリックしてから、「アイデンティティ」の下の「グループ」をクリックします。
   2. 「グループの作成」をクリックします。
   3. 名前と説明を入力してから、「作成」をクリックします。
2. 委任先のユーザーを追加します。
   1. 作成したグループを開きます。
   2. 「ユーザーをグループに追加」をクリックします。
   3. ユーザー名の入力を開始してからユーザーを選択し、「追加」をクリックします。
3. グループがOracle Content Managementインスタンスを管理することを許可するポリシーを作成します。
   1. 左側のナビゲーション・メニューで「ポリシー」をクリックします。
   2. コンパートメントを選択します。ルート・コンパートメントを選択してすべてのコンパートメントにポリシーを適用することも、特定のコンパートメントを選択することもできます。
   3. 「ポリシーの作成」をクリックします。
   4. 名前と説明を入力します。
   5. 文ボックスで、次のいずれかを入力します。この場合、YourGroupNameを、作成したグループの名前に置き換え、必要に応じて、compartment_idを、選択した特定のコンパートメントのIDに置き換えます:
      • ルート・コンパートメントを選択した場合: allow group YourGroupName to manage oce-instance-family in tenancy
      • 特定のコンパートメントを選択した場合: allow group YourGroupName to manage oce-instance-family in compartment_id
   6. 「作成」をクリックします。
4. 委任ユーザーが管理者でない場合は、Oracle Content Managementにオブジェクト・ストレージへのアクセスを許可するOCE_Internal_Storage_Policyも作成する必要があります。通常、このポリシーはインスタンス作成の一部として自動的に作成されますが、管理者以外はポリシーの作成を許可されないため、このバックグラウンド・プロセスは失敗し、ポリシーを手動で作成しないかぎり、Oracle Content Managementはオブジェクト・ストレージへのアクセス権を持たないままになります。
   1. 「ポリシー」ページで、適切なコンパートメントが選択されていることを確認します。ルート・コンパートメントを選択してすべてのコンパートメントにポリシーを適用することも、特定のコンパートメントを選択することもできます。
   2. 「ポリシーの作成」をクリックします。
   3. 名前として「OCE_Internal_Storage_Policy」を入力し、説明を入力します。
   4. 「文」ボックスで、必要に応じて選択した特定のコンパートメントのIDでcompartment_idを置き換えて、次のいずれかを入力します:
      • ルート・コンパートメントを選択した場合: Allow service CEC to manage object-family in tenancy
      • 特定のコンパートメントを選択した場合: Allow service CEC to manage object-family in compartment compartment_id
   5. 「作成」をクリックします。
5. 独自のアクセス・トークンをすべて自分で生成できるように、IDCSで自分自身と委任ユーザーにアプリケーション管理者ロールを付与します。
   1. サブスクリプションに応じて、次のいずれかの方法でIDCSコンソールにアクセスします:
      • Oracle Cloudコンソールのフェデレーション・オプションを使用します:
        1. 左側のナビゲーション・メニューで「フェデレーション」をクリックします。
        2. 「フェデレーション」ページで、「OracleIdentityCloudService」をクリックしてから、アイデンティティ・プロバイダの詳細ページで、Oracle Identity Cloud Serviceコンソールへのリンクをクリックします。IDCSコンソールが新しいウィンドウで開きます。
      • フェデレーション・オプションが表示されない場合は、ようこそ電子メールからアクセスできるOracle Cloud Classicコンソールを使用します:
        1. 「Oracle Cloudへようこそ」という電子メールで、「はじめに」リンクをクリックして、ユーザー名とパスワードを入力します。
        2. Oracle Cloud Classicコンソールで、左上のをクリックしてナビゲーション・メニューを開き、「ユーザー」をクリックしてから「アイデンティティ」をクリックします。IDCSコンソールが新しいウィンドウで開きます。
   2. をクリックし、「セキュリティ」、「管理者」の順にクリックします。
   3. 「アプリケーション管理者」セクションを展開します。
   4. 「追加」をクリックします。
   5. 自分自身と委任ユーザーを選択し、「OK」をクリックします。これらはIDCSユーザーであり、Oracle Cloudユーザーとは異なるため、目的の委任ユーザーが表示されていない場合はIDCSで作成してください。

      IDCSコンソールを開いたまま、次のステップを完了します。

6. 機密アプリケーションを作成します。
   1. IDCSコンソールでをクリックし、「アプリケーション」をクリックします。「アプリケーション」オプションが表示されない場合、アプリケーション管理者ロールがありません。
   2. 「追加」をクリックし、「機密アプリケーション」を選択します。
   3. 「詳細」ページで、名前としてOCE Trusted Appと入力して、「次」をクリックします。
   4. 「クライアント」ページで、次の手順を実行します。
      1. 「今すぐこのアプリケーションをクライアントとして構成」を選択します。
      2. 「許可される権限付与タイプ」で、「リソース所有者」、「クライアント資格証明」および「JWTアサーション」を選択します。
      3. 「Identity Cloud Service管理APIへのクライアント・アクセスを付与」で、「追加」をクリックし、「アプリケーション管理者」を選択して、「追加」をクリックします。
      4. 「次」をクリックします。
   5. 「リソース」ページで、「後で実行するためにスキップ」を選択し、「次」をクリックします。
   6. 「Web層ポリシー」ページで、「後で実行するためにスキップ」を選択し、「次」をクリックします。
   7. 「認可」ページで、「終了」をクリックします。
   8. アプリケーションが作成されたら、「アクティブ化」をクリックします。

      このページにとどまり、次の手順を実行します。

アクセス・トークンを生成するには:

1. 作成した機密アプリケーションをまだ表示していない場合は、IDCSコンソールで開きます。
2. 「アプリケーション詳細」ページで、「アクセス・トークンの生成」をクリックし、「カスタマイズされたスコープ」、「アプリケーション管理者」の順に選択して、「トークンのダウンロード」をクリックします。

次の作業

ユーザーを委任した後、他の必要な高度なデプロイメント前タスクを実行するか、インスタンスの作成までスキップします:

• 様々なアイデンティティおよびセキュリティ要件に対応するために、セカンダリ・ドメインにインスタンスを作成します(たとえば、開発用に1つの環境、本番用に1つの環境など)。
• 他のデータ・センターで使用可能なサービスを使用するために、別のリージョンでインスタンスを作成します。
• アクセスを内部ネットワークに制限し、エンド・ユーザーが可能なかぎり最善で信頼性の高い接続を利用できるように、プライベート・インスタンスを作成します。
• Oracle Content Managementインスタンスを作成します。