Oracle Cloud Infrastructureドキュメント

アイデンティティ・ドメインを使用しないクラウド・アカウントでのユーザーおよびグループの設定

クラウド・アカウントの作成前にアイデンティティ・ドメインを使用するようにまだ更新されていないリージョン内のクラウド・アカウントの場合、ユーザーおよびグループはOracle Cloud Infrastructure Identity and Access Management (IAM)およびOracle Identity Cloud Service (IDCS)に設定されます。

ノート

このセクションは、アイデンティティ・ドメインを使用しないクラウド・アカウントにのみ適用されます。クラウド・アカウントでアイデンティティ・ドメインが使用されているかどうかがわからない場合は、ユーザーおよびグループの設定についてを参照してください。

Oracle Cloud Infrastructure IAM、IDCSおよび必要な情報が記載されたドキュメントの詳細は、クラウド・アイデンティティに使用するドキュメンテーション(Oracle Cloud Infrastructureドキュメントのアイデンティティおよびアクセス管理の概要)を参照してください。

アイデンティティ・ドメインがない場合、ロールはIDCSグループに割り当てられ、次の図に示すように、フェデレーションを使用してOracle Cloud Infrastructure IAMグループにリンクされます。


idcs-iam-config.pngの説明が続きます
図idcs-iam-config.pngの説明

Oracle Visual Builderフェデレーションの理解

クラウド・アカウントでアイデンティティ・ドメインを使用しない場合、Oracle Cloud Infrastructure Identity and Access Management (IAM)は、テナンシでOracle Identity Cloud Service (IDCS)とフェデレートする必要があります。

ユーザー・フェデレーションは、複数のアイデンティティ管理システム間でユーザーのアイデンティティおよび属性をリンクします。Oracle Visual Builderフェデレーションとは、IDCSおよびOracle Cloud Infrastructure Identity and Access Management (IAM)でアイデンティティがリンクされていることを意味します。

Oracle Visual Builderでは、IDCSとIAMの両方を使用してユーザーとグループを管理します。

  • IDCSでユーザーを作成および管理します。デフォルトでは、ほとんどのテナンシはIDCSとフェデレートされます。Oracle Identity Cloud Serviceの詳細は、『Oracle Identity Cloud Serviceの管理』管理者ロールの理解を参照してください。

  • Oracle Cloud Infrastructure IAMサービスのポリシーを使用して権限を管理します。

IDCSとのフェデレーションのバックグラウンド情報は、アイデンティティ・プロバイダとのフェデレートおよびOracle Identity Cloud Serviceとのフェデレートを参照してください。

テナンシがフェデレーションを必要としているかどうかは、クラウド・アカウントが作成された時期や、プロビジョニングするOracle Visual Builderバージョンなどの複数の要因によって異なります。テナンシは次の可能性があります:

  • すでに完全にフェデレートされています: アイデンティティ・ドメインを使用するようにまだ更新されていないリージョン内のすべてのアカウントがこのカテゴリに分類されます。この項のトピックの説明に従って、ユーザーとグループを設定する標準的なステップに従います。

  • 大部分がフェデレート済: 2018年12月21日より前に作成された古いアカウントがある場合、最後のフェデレーション・ステップを完了する必要があります。このセクションのトピックの説明に従って、ユーザーおよびグループを設定する手順に従います。マッピング・ステップ(IDCSおよびOCIグループのマッピング)で、情報を入力するよう求められます。

  • フェデレーションが必要: 商業データ・センターで政府SKUを使用してOracle Visual Builderを構成する場合、多くの場合、ユーザーとグループの設定の一環として、手動フェデレーション・ステップを実行する必要があります。テナンシのManually Federatingを参照してください。

フェデレーションについて確信がありませんか。Oracle Cloud Infrastructure IAMとOracle Cloud Identity Service間でテナンシがフェデレートされていますか。を参照してください。

IDCSグループおよびユーザーの作成

Visual Builderインスタンスへのアクセス権を付与するには、ユーザーにVisual Builderロールを割り当てます。各IDCSユーザーにロールを個別に付与することも、IDCSユーザー・グループを作成してそのロールをグループに割り当てることもできます。Oracle Identity Cloud Serviceグループを作成し、後でOracle Cloud Infrastructure Identity and Access Managementアイデンティティにマップできます。

ユーザーまたはグループを作成する前に、使用可能なOracle Visual Builderのロールおよび権限について学習します。
  1. OCIコンソールにログインします。
  2. 左上隅で、「ナビゲーション・メニュー」メニュー・アイコンをクリックします。
  3. 「アイデンティティとセキュリティ」を選択し、「アイデンティティ」「フェデレーション」を選択します。

    「フェデレーション」画面が表示されます(OracleIdentityCloudServiceというアイデンティティ・プロバイダが含まれます)。これは、Oracle Identity Cloud Serviceストライプとクラウド・アカウントのOCIテナンシのデフォルト・フェデレーションです。

  4. OracleIdentityCloudServiceをクリックします。
  5. IDCSユーザーおよびグループを作成し、グループにユーザーを追加します。
  6. Oracle Identity Cloud Serviceコンソールのリンクをクリックします。
  7. 左上隅で、「ナビゲーション・メニュー」 「メニュー」アイコンをクリックし、「Oracle Cloud Services」を選択します。
  8. Visual Builderサービス名をクリックします。
  9. 「アプリケーション・ロール」タブをクリックします。
  10. ロールの横に表示されるメニュー・オプション・アイコンをクリックして、ユーザーの割当てを選択します。ロールをグループに割り当てる場合は、グループの割当てを選択します。
  11. ロールに追加する各ユーザーまたはグループの名前の横にあるチェック・ボックスを選択し、「OK」をクリックします。

Oracle Cloud Infrastructureグループおよびポリシーの作成

他の管理者以外のユーザーがVisual Builderインスタンスを作成および管理できるようにするには、管理者以外のユーザーのOCIグループを作成し、正しいOCIポリシーを割り当てます。

テナント管理者で、自分でVisual Builderインスタンスを作成する場合は、この手順をスキップします。
  1. OCIコンソールにログインします。
  2. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「グループ」をクリックします
  3. OCIグループを作成します

    「グループの作成」画面で、IDCSグループから区別するグループに名前(たとえば、oci-visualbuilder-admins)を割り当て、説明を入力します。

  4. 次の1つ以上の文を使用してポリシーを作成します:

    表3- 1グループのポリシー・ステートメントの構文

    ポリシー 構文
    グループがコンパートメント内のVisual Builderインスタンスを管理(作成、削除、編集、移動および表示)できるようにします Allow group <group_name> to manage visualbuilder-instances in compartment <compartment-name>

    次に例を示します:

    Allow group VBInstanceAdmins to manage visualbuilder-instances in compartment MyVBCompartment
    グループがテナンシのすべてのVisual Builderインスタンスを管理(作成、削除、編集、移動および表示)できるようにします Allow group <group_name> to manage visualbuilder-instances in tenancy

    次に例を示します:

    Allow group VBInstanceAdmins to manage visualbuilder-instances in tenancy
    カスタム・エンドポイントを使用する場合は、グループにコンパートメントのシークレットおよびボールトへのアクセスを許可します。

    allow group <group-name> to manage secrets in compartment <secrets-compartment>

    allow group <group-name> to manage vaults in compartment <secrets-compartment>

    次に例を示します:

    Allow group VBInstanceAdmins to manage secrets in compartment MySecretCompartment

    および

    Allow group VBInstanceAdmins to manage vaults in compartment MySecretCompartment

IDCSおよびOCIグループのマッピング

IAM内のインスタンス管理者グループを、前に作成したIDCSグループにマップできるようになりました。詳細は、OCIグループへのIDCSグループのマップを参照してください。

  1. OCIナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします「アイデンティティ」で、「フェデレーション」をクリックします。
  2. 「フェデレーション」ページで、「OracleIdentityCloudService」リンクを選択します。
  3. 「リソース」オプションから、「グループ・マッピング」を選択します。
  4. 「マッピングの編集」をクリックします。
  5. 「アイデンティティ・プロバイダの編集」ダイアログで、下部にある「マッピングの追加」をクリックします。
    1. 資格証明の入力を求める次のダイアログが表示された場合は、IDCSアカウントのCOMPUTEBAREMETAL IDCSアプリケーションからこの情報を入力します。このダイアログは、テナンシが大部分はフェデレートされており、この最後のステップのみが必要であることを示します。フェデレーションの理解を参照してください。(この情報が見つからない場合は、サービス・リクエストを申請して、Oracle Supportからヘルプを取得します。)
      complete_federation.pngの説明が続きます
      図complete_federation.pngの説明

    2. 「続行」をクリックします。
  6. 「アイデンティティ・プロバイダ・グループ」フィールドでIDCSグループを選択し、「OCIグループ」フィールドでOCIグループを選択します。
  7. 「送信」をクリックします。

読取り専用アクセス用のOracle Cloud Infrastructureユーザーの追加と割当て

表示専用グループの作成とそのポリシーの追加後に、Oracle Visual Builderインスタンスに対する読取り専用アクセス用のユーザーを追加します。

  1. OCIユーザーを追加します。
    1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ユーザー」をクリックします
    2. 「ユーザーの作成」をクリックします。
    3. フィールドに入力してユーザーを特定します。
    4. 「作成」をクリックします
  2. 読取り専用グループにユーザーを割り当てます。
    1. 「アイデンティティ」オプションから「グループ」を選択します。
    2. 作成した読取り専用グループ(たとえば、oci-visualbuilder-viewers)を選択します。
    3. 「ユーザーをグループに追加」をクリックします。
    4. 「ユーザーをグループに追加」ダイアログで、作成したユーザーを選択し、「追加」をクリックします。
  3. ユーザーのパスワードを作成します。
    1. 「グループ詳細」画面の「グループ・メンバー」表で、追加したユーザーを選択します。
    2. 「パスワードの作成/リセット」をクリックします。「パスワードの作成/リセット」ダイアログには、ワンタイム・パスワードが表示されます。
    3. 「コピー」「閉じる」の順にクリックします。
  4. 読取り専用ユーザーにサインインするために必要な情報を提供します。
    1. 電子メールのパスワードをユーザーにコピーします。
    2. 「ユーザー名」および「パスワード」フィールドを使用してサインインするよう読取り専用ユーザーに指示します。
      admin-oci-signin.pngの説明が続きます
      図admin-oci-signin.pngの説明

    3. ログイン時に、ユーザーは新しいパスワードを入力するように求められます。
    4. Visual Builderインスタンスを表示します。
      読取り専用ユーザーは、ナビゲーション・ペインで「ビジュアル・ビルダー」を選択してVisual Builderインスタンスを表示できます。

Oracle Visual Builderサービス・ロールのグループへの割当て

Visual Builderインスタンスの作成後、Visual BuilderロールをOracle Visual Builderのユーザー・グループに割り当てて、Visual Builderインスタンスの機能を使用できるようにします。

ノート

個々のユーザーではなく、選択したグループにVisual Builderサービス・ロールを割り当てることをお薦めします。

Oracle Visual Builderには、機能へのアクセスを制御するサービス・ロール・セットの標準セットが用意されています。組織で使用するVisual Builderの機能に応じて、付与されているサービス・ロールに名前を付けたグループの作成を選択できます。たとえば、管理権限の場合はVBServiceAdministratorsです。

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「フェデレーション」をクリックします。
  2. 「フェデレーション」画面で、OracleIdentityCloudServiceリンクを選択して、デフォルトのOracle Identity Cloud Serviceアイデンティティ・フェデレーションを表示します。
  3. 「アイデンティティ・プロバイダの詳細」ページで、「リソース」オプションから「グループ」を選択します。
  4. 表から、グループ内のユーザーにアクセス権を付与するIDCSグループを選択します。
  5. 「グループ詳細」ページで、「サービス・ロールの管理」をクリックします。
  6. 「サービス・ロールの管理」ページで、Visual Builderサービス(VISUALBUILDERAUTO)を見つけます。右端のタスク・メニューをクリックし、「インスタンス・アクセスの管理」を選択します。
    「アクセスの管理」画面にインスタンスがリストされます。インスタンスごとに個別にロールを割り当てる必要があります。

    • インスタンス名は次のフォーマットになります: displayname-tenancyid-regionid

    • インスタンスURLは次のフォーマットになります: https://displayname-tenancyid-regionid.visualbuilder.ocp.oraclecloud.com/ic/home/
  7. 「アクセスの管理」オプションで、指定した1つ以上のインスタンスに含まれるグループのインスタンス・ロールを選択します。
  8. 「インスタンス設定の保存」「サービス・ロール設定の適用」をクリックします。