Oracle Cloud Infrastructureドキュメント

アイデンティティ・ドメインを使用しないクラウド・アカウントでのユーザーおよびグループの設定

クラウド・アカウントの作成前にアイデンティティ・ドメインを使用するようにまだ更新されていないリージョン内のクラウド・アカウントの場合、ユーザーおよびグループはOracle Cloud Infrastructure Identity and Access Management (IAM)およびOracle Identity Cloud Service (IDCS)で設定されます。

ノート

この項は、アイデンティティ・ドメインを使用しないクラウド・アカウントにのみ適用されます。クラウド・アカウントでアイデンティティ・ドメインを使用しているかどうかがわからない場合は、ユーザーおよびグループの設定についてを参照してください。

Oracle Cloud Infrastructure IAM、IDCSおよび必要な情報を提供するドキュメントの詳細は、Oracle Cloud Infrastructureドキュメントのアイデンティティおよびアクセス管理の概要クラウド・アイデンティティのために使用するドキュメントを参照してください。

アイデンティティ・ドメインがない場合、次の図に示すように、ロールはIDCSグループに割り当てられ、フェデレーションを使用してOracle Cloud Infrastructure IAMグループにリンクされます。


idcs-iam-config.pngの説明が続きます
図idcs-iam-config.pngの説明

Oracle Visual Builderフェデレーションの理解

クラウド・アカウントでアイデンティティ・ドメインを使用しない場合、Oracle Cloud Infrastructure Identity and Access Management (IAM)は、テナンシでOracle Identity Cloud Service (IDCS)とフェデレートされている必要があります。

ユーザー・フェデレーションとは、複数のアイデンティティ管理システム間でユーザーのアイデンティティおよび属性をリンクすることです。Oracle Visual Builderフェデレーションとは、アイデンティティがIDCSおよびOracle Cloud Infrastructure Identity and Access Management (IAM)でリンクされていることを意味します。

Oracle Visual Builderでは、IDCSとIAMの両方を使用してユーザーおよびグループを管理します:

  • IDCSでユーザーを作成および管理します。デフォルトで、ほとんどのテナンシはIDCSとフェデレートされます。Oracle Identity Cloud Serviceの詳細は、『Oracle Identity Cloud Serviceの管理』管理者ロールの理解に関する項を参照してください。

  • Oracle Cloud InfrastructureのIAMサービスのポリシーを使用して権限を管理します。

IDCSとのフェデレーションのバックグラウンド情報は、アイデンティティ・プロバイダによるフェデレーションおよびOracle Identity Cloud Serviceのフェデレーションを参照してください。

テナンシにフェデレーションが必要かどうかが、クラウド・アカウントが作成された時期や、プロビジョニングするOracle Visual Builderバージョンなどの複数の要因によって決まります。テナンシは次の可能性があります:

  • すでに完全にフェデレート済:アイデンティティ・ドメインを使用するためにまだ更新されていないリージョンのほぼすべてのアカウントがこのカテゴリに分類されます。この項のトピックで説明するように、標準ステップに従ってユーザーとグループを設定します。

  • 大部分がフェデレート済: 2018年12月21日より前に作成された古いアカウントがある場合、最後のフェデレーション・ステップを完了する必要があります。この項のトピックで説明するように、ステップに従ってユーザーおよびグループを設定します。マッピング・ステップ(IDCSおよびOCIグループのマッピング)で、情報を入力するよう求められます。

  • フェデレーションが必要:商用データ・センターで政府SKUを使用してOracle Visual Builderを構成する場合、通常はユーザーとグループの設定の一環として手動フェデレーション・ステップを実行する必要があります。テナンシの手動フェデレートを参照してください。

フェデレーションについて確信がありませんか。「Oracle Cloud Infrastructure IAMとOracle Cloud Identity Service間でテナンシがフェデレートされていますか。」を参照してください

IDCSグループおよびユーザーの作成

Visual Builderインスタンスへのアクセス権を付与するには、ユーザーにVisual Builderロールを割り当てます。各IDCSユーザーにロールを個別に付与するか、ユーザーのIDCSグループを作成してそのグループにロールを割り当てることができます。Oracle Identity Cloud Serviceグループを作成し、後でOracle Cloud Infrastructure Identity and Access Managementアイデンティティにマップできます。

ユーザーまたはグループを作成する前に、使用可能なOracle Visual Builderのロールおよび権限について学習します。
  1. OCIコンソールにサインインします。
  2. 左上隅で、「ナビゲーション・メニュー」「Menu」アイコンをクリックします。
  3. 「アイデンティティとセキュリティ」を選択し、「アイデンティティ」「フェデレーション」を選択します。

    「フェデレーション」画面が表示され、OracleIdentityCloudServiceというアイデンティティ・プロバイダが含まれます。これは、Oracle Identity Cloud Serviceストライプとクラウド・アカウントのOCIテナンシ間のデフォルト・フェデレーションです。

  4. OracleIdentityCloudServiceをクリックします。
  5. IDCSユーザーおよびグループを作成し、ユーザーをグループに追加します。
  6. 「Oracle Identity Cloud Serviceコンソール」リンクをクリックします。
  7. 左上隅で、「ナビゲーション・メニュー」 「Menu」アイコンをクリックし、「Oracle Cloud Services」を選択します。
  8. Visual Builderサービス名をクリックします。
  9. 「アプリケーション・ロール」タブをクリックします。
  10. ロールの隣に表示されるメニュー・オプション・アイコンをクリックし、「ユーザーの割当て」を選択します。ロールをグループに割り当てる場合は、「グループの割当て」を選択します。
  11. ロールに追加する各ユーザーまたはグループの名前の横にあるチェック・ボックスを選択し、「OK」をクリックします。

Oracle Cloud Infrastructureのグループおよびポリシーの作成

他の非管理ユーザーがVisual Builderインスタンスを作成および管理できるようにするには、非管理ユーザーのOCIグループを作成し、正しいOCIポリシーを割り当てます。

テナント管理者であり、Visual Builderインスタンスを自分で作成する場合は、この手順をスキップします。
  1. OCIコンソールにサインインします。
  2. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「グループ」をクリックします。
  3. OCIグループを作成します

    「グループの作成」画面で、IDCSグループと区別するグループに名前(たとえば、oci-visualbuilder-admins)を割り当て、説明を入力します。

  4. 次の1つ以上の文を使用してポリシーを作成します:

    表3-1グループのポリシー・ステートメントの構文

    ポリシー 構文
    グループがコンパートメント内のVisual Builderインスタンスを管理(作成、削除、編集、移動および表示)できるようにします Allow group <group_name> to manage visualbuilder-instances in compartment <compartment-name>

    次に例を示します:

    Allow group VBInstanceAdmins to manage visualbuilder-instances in compartment MyVBCompartment
    グループがテナンシのすべてのVisual Builderインスタンスを管理(作成、削除、編集、移動および表示)できるようにします Allow group <group_name> to manage visualbuilder-instances in tenancy

    次に例を示します:

    Allow group VBInstanceAdmins to manage visualbuilder-instances in tenancy
    カスタム・エンドポイントを使用する場合は、グループにコンパートメントのシークレットおよびボールトへのアクセスを許可します。

    allow group <group-name> to manage secrets in compartment <secrets-compartment>

    allow group <group-name> to manage vaults in compartment <secrets-compartment>

    次に例を示します:

    Allow group VBInstanceAdmins to manage secrets in compartment MySecretCompartment

    および

    Allow group VBInstanceAdmins to manage vaults in compartment MySecretCompartment

IDCSおよびOCIグループのマッピング

IAMのインスタンス管理者グループを、前に作成したIDCSグループにマッピングできるようになりました。詳細は、「IDCSグループのOCIグループへのマップ」を参照してください。

  1. OCIナビゲーション・メニューを開き、「アイデンティティおよびセキュリティ」をクリックします。「アイデンティティ」で、「フェデレーション」をクリックします。
  2. 「フェデレーション」ページで、「OracleIdentityCloudService」リンクを選択します。
  3. 「リソース」オプションから、「グループ・マッピング」を選択します。
  4. 「マッピングの編集」をクリックします。
  5. 「アイデンティティ・プロバイダの編集」ダイアログで、下部にある「マッピングの追加」をクリックします。
    1. 資格証明の入力を求める次のダイアログが表示された場合は、IDCSアカウントのCOMPUTEBAREMETAL IDCSアプリケーションからこの情報を入力します。このダイアログは、テナンシが大部分はフェデレートされており、この最後のステップのみが必要であることを示します。フェデレーションの理解を参照してください。(この情報が見つからない場合は、サービス・リクエストを申請して、Oracle Supportからヘルプを取得します。)
      complete-federation.pngの説明が続きます
      図plet-federation.pngの説明

    2. 「続行」をクリックします。
  6. アイデンティティ・プロバイダ・グループ」フィールドでIDCSグループを選択し、「OCIグループ」フィールドでOCIグループを選択してください。
  7. 「送信」をクリックします。

読取り専用アクセス用のOracle Cloud Infrastructureユーザーの追加と割当て

表示専用グループを作成してそのポリシーを追加した後、Oracle Visual Builderインスタンスに対する読取り専用アクセス用のユーザーを追加します。

  1. OCIユーザーを追加します。
    1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ユーザー」をクリックします。
    2. 「ユーザーの作成」をクリックします。
    3. フィールドに入力してユーザーを特定します。
    4. 「作成」をクリックします。
  2. 読取り専用グループにユーザーを割り当てます。
    1. 「アイデンティティ」オプションから「グループ」を選択します。
    2. 作成した読取り専用グループ(たとえば、oci-visualbuilder-viewers)を選択します。
    3. 「ユーザーをグループに追加」をクリックします。
    4. 「ユーザーをグループに追加」ダイアログで、作成したユーザーを選択し、「追加」をクリックします。
  3. ユーザーのパスワードを作成します。
    1. 「グループ詳細」画面の「グループ・メンバー」表で、追加したユーザーを選択します。
    2. 「パスワードの作成/リセット」をクリックします。「パスワードの作成/リセット」ダイアログには、ワンタイム・パスワードが表示されます。
    3. 「コピー」「閉じる」の順にクリックします。
  4. 読取り専用ユーザーにサインインするために必要な情報を提供します。
    1. 電子メールのパスワードをユーザーにコピーします。
    2. 「ユーザー名」および「パスワード」フィールドを使用してサインインするよう読取り専用ユーザーに指示します。
      admin-oci-signin.pngの説明が続きます
      図admin-oci-signin.pngの説明

    3. サインインすると、ユーザーは新しいパスワードの入力を求められます。
    4. Visual Builderインスタンスを表示します。
      読取り専用ユーザーは、ナビゲーション・ペインで「ビジュアル・ビルダー」を選択してビジュアル・ビルダー・インスタンスを表示できます。

グループへのOracle Visual Builderサービス・ロールの割当て

Visual Builderインスタンスが作成されたら、Visual Builderインスタンスの機能を操作できるように、Visual BuilderロールをOracle Visual Builderのユーザー・グループに割り当てます。

ノート

個々のユーザーではなく選択したグループにVisual Builderサービス・ロールを割り当てることがベスト・プラクティスです。

Oracle Visual Builderには、機能へのアクセスを制御する一連のサービス・ロールの標準セットが用意されています。組織で使用するVisual Builder機能に応じて、付与されるサービス・ロールに名前を付けられるグループの作成を選択できます。たとえば、管理権限の場合はVBServiceAdministratorsです。

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「フェデレーション」をクリックします。
  2. 「フェデレーション」画面で、OracleIdentityCloudServiceリンクを選択して、デフォルトのOracle Identity Cloud Serviceアイデンティティ・フェデレーションを表示します。
  3. 「アイデンティティ・プロバイダの詳細」ページで、「リソース」オプションから「グループ」を選択します。
  4. 表から、グループ内のユーザーにアクセス権を付与するIDCSグループを選択します。
  5. グループの詳細ページで、「サービス・ロールの管理」をクリックします。
  6. 「サービス・ロールの管理」ページで、Visual Builderサービス(VISUALBUILDERAUTO)を見つけます。右端のタスク・メニューをクリックし、「インスタンス・アクセスの管理」を選択します。
    「アクセスの管理」画面にインスタンスがリストされます。インスタンスごとにロールを個別に割り当てる必要があることに注意してください。

    • インスタンス名は次の形式になります: displayname-tenancyid-regionid

    • インスタンスURLは次の形式になります: https://displayname-tenancyid-regionid.visualbuilder.ocp.oraclecloud.com/ic/home/
  7. 「アクセスの管理」オプションで、指定した1つ以上のインスタンスに含まれるグループのインスタンス・ロールを選択します。
  8. 「インスタンス設定の保存」「サービス・ロール設定の適用」の順にクリックします。