Oracle Cloud InfrastructureコンソールでのOracle Identity Cloud Serviceユーザーおよびグループの管理

ここでは、Oracle Cloud Infrastructureコンソールを使用してOracle Identity Cloud Serviceのユーザーおよびグループを管理する方法を説明します。開始する前に、基本的なフェデレーションの概念を理解します。アイデンティティ・プロバイダによるフェデレートを参照してください。

コンソールでのOracle Identity Cloud Serviceユーザーおよびグループの操作の概要

Oracle Cloud Infrastructureコンソールでは、Oracle Identity Cloud Service (IDCS)との統合が提供され、コンソールでIDCSユーザーおよびグループに対する多数の管理タスクを実行できます。

ユーザー管理タスク

コンソールでは、次のユーザー管理タスクを実行できます。

  • ユーザーの追加
  • ユーザーの削除
  • グループへのユーザーの追加
  • サービスおよびインスタンスにアクセスするためのロールのユーザーへの割当て
  • ユーザー・パスワードのリセット

ユーザー管理タスクの詳細は、『Oracle Identity Cloud Serviceの管理』Oracle Identity Cloud Serviceユーザーの管理に関する項を参照してください。

グループ管理タスク

コンソールでは、次のグループ管理タスクを実行できます。

  • グループの追加
  • グループの削除
  • グループへのユーザーの追加
  • IDCSグループをIAMグループにマップ

グループ管理タスクの詳細は、『Oracle Identity Cloud Serviceの管理』Oracle Identity Cloud Serviceグループの管理に関する項を参照してください。

必要なポリシーと権限

コンソールでOracle Identity Cloud Serviceのユーザーおよびグループを管理するには、Oracle Cloud Infrastructure IAMサービスおよびOracle Identity Cloud Serviceの両方で権限を付与される必要があります。

OCI_Administratorsのグループのメンバーには、Oracle Cloud Infrastructureでグループおよびポリシーを作成するために必要な権限があります。

重要:Oracle Identity Cloud Serviceフェデレーション内にユーザーおよびグループを作成するには、アイデンティティ・ドメイン管理者ロール、またはそのロールを付与されたグループのメンバーである必要があります。Oracle Identity Cloud Serviceのロールの詳細は、『Oracle Identity Cloud Serviceの管理』を参照してください。

必要な権限を持つユーザーをすばやく作成するには、Oracle Cloud管理者権限を持つユーザーの追加を参照してください。

Oracle Identity Cloud Serviceグループの操作

コンソールでは、次のタスクを実行してOracle Identity Cloud Serviceのグループを管理できます。

  • グループの追加
  • グループの削除
  • 名前と説明を編集
  • グループへのユーザーの追加
  • ユーザーをグループから削除
  • グループをOracle Cloud Infrastructureグループにマップ

Oracle Cloud Infrastructureコンソールで実行できないタスクがあります。Oracle Cloud製品の一部の事前定義済アプリケーション・ロールを追加するには、Identity Cloud Serviceコンソールでロールを割り当てる必要があります。Oracle Identity Cloud Serviceの使用の詳細は、『Oracle Identity Cloud Serviceの管理』を参照してください。

Oracle Identity Cloud ServiceのグループのメンバーがOracle Cloud Infrastructureの権限を持つようにするには、IDCSグループをIAMのグループにマップする必要があります。IDCSで新しいグループを設定する前に、Oracle Cloud Infrastructureのグループに権限を割り当てる方法を理解しておいてください。Identity and Access Managementの概要を参照してください。

Oracle Identity Cloud Serviceユーザーの操作

コンソールでは、次のタスクを実行してOracle Identity Cloud Serviceのユーザーを管理できます。

  • ユーザーの追加
  • ユーザーの削除
  • ユーザーの詳細を編集
  • グループへのユーザーの追加
  • ロールをユーザーに追加
  • ユーザーをグループから削除
  • ユーザー・パスワードのリセット

コンソールで実行できないユーザー管理タスク

Oracle Cloudコンソールでは、次のOracle Identity Cloud Serviceユーザー機能およびタスクの管理はサポートされていません。

  • マルチファクタ認証の管理

これらのタスクの管理の詳細は、『Oracle Identity Cloud Serviceの管理』を参照してください。

コンソールでのOracle Identity Cloud Serviceグループの管理

Oracle Identity Cloud Serviceでグループを作成するには

この手順では、Oracle Identity Cloud Serviceで新規グループを作成します。オプションで、作成時にユーザーをグループに追加できます。Oracle Cloud Infrastructureグループにマップするまで、このグループにはOracle Cloud Infrastructureの権限がありません。

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「Identity」で、「Federation」をクリックします。テナンシ内のフェデレーションのリストが表示されます。
  2. Oracle Identity Cloud Serviceフェデレーションをクリックします。ほとんどのテナンシで、フェデレーションの名前はOracleIdentityCloudServiceになります。「アイデンティティ・プロバイダの詳細」ページが表示されます。
  3. 「リソース」で、「グループ」をクリックします。

    既存のグループのリストが表示されます。

  4. 「IDCSグループの作成」をクリックします。
  5. 次を入力します:

    • 名前:グループの一意の名前。機密情報の入力は避けてください。
    • 説明: わかりやすい説明。これは必要に応じて後で変更できます。
    • ユーザー:このグループにOracle Identity Cloud Serviceユーザーを追加します。ユーザーは、グループの作成時に追加することも、後で追加することもできます。リストからユーザーを選択します。特定のユーザーを検索するには、ユーザー名を入力して入力したとおりにリストをフィルタリングします。
  6. 「作成」をクリックします。

Oracle Identity Cloud Serviceでグループを作成した後、ユーザー・サービスにグループ権限を付与します。

Oracle Identity Cloud ServiceグループをIAMグループにマップするには
  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「Identity」で、「Federation」をクリックします。
  2. Oracle Identity Cloud Serviceフェデレーションをクリックします。ほとんどのテナンシで、フェデレーションの名前はOracleIdentityCloudServiceになります。「アイデンティティ・プロバイダの詳細」ページが表示されます。
  3. 「マッピングの編集」をクリックします。

  4. 「アイデンティティ・プロバイダの編集」ダイアログで、「+マッピングの追加」をクリックします。
  5. マップするアイデンティティ・プロバイダ・グループをリストから選択します。リストをスクロールしないでグループを見つけるには、グループ名を入力して、入力したとおりにリストをフィルタできます。

  6. このIdentity Cloud ServiceグループをマップするOCIグループを選択します。リストをスクロールしないでグループを見つけるには、グループ名を入力して、入力したとおりにリストをフィルタできます。
  7. さらにマッピングを追加するには、「+マッピングの追加」をクリックしてマッピングの追加を続行します。

  8. OCIマップ済ユーザー・グループの下にあるリストから、このグループをマップするグループを選択します。

このグループのメンバーに、OCIマップ済ユーザー・グループに付与する権限が付与されます。

ロールをグループに追加するには

Oracle Cloud Infrastructureサービスは、ポリシーを使用してサービスへのアクセスを制御します。ただし、一部のOracle Cloudサービスでは、ロールを使用してアクセスを管理します。この手順では、IDCSグループにロールを追加する方法について説明します。

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「Identity」で、「Federation」をクリックします。テナンシのアイデンティティ・プロバイダのリストが表示されます。
  2. 「Oracle Identity Cloud Serviceコンソール」リンクをクリックします。

    Identity Cloud Serviceコンソールが表示されます。

  3. Identity Cloud Serviceコンソールで、ナビゲーション・ドロワーを展開し、「アプリケーション」をクリックします。

    アプリケーションのリストが表示されます。アプリケーションが対応するサービスがアプリケーション名の下に表示されていることに注意してください。たとえば、JAASアプリケーション・エントリの下にはOracle Java Cloud Serviceが表示されます。

  4. 目的のサービスの名前をクリックします。

    詳細ページが表示されます。

  5. 「アプリケーション・ロール」をクリックします。

    ロールが表示されます。

  6. 割り当てるロールのメニューをクリックし、「グループの割当て」を選択します。

  7. ロールに割り当てるグループを選択し、「OK」をクリックします。
  8. 「アプリケーション」ブレッドクラムをクリックして、アプリケーションのリストに戻ります。
  9. このグループに割り当てるロールごとに、ステップ4から7を繰り返します。
グループからロールを削除するには
  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「Identity」で、「Federation」をクリックします。テナンシのアイデンティティ・プロバイダのリストが表示されます。
  2. 「Oracle Identity Cloudコンソール」リンクをクリックします。

    Identity Cloud Serviceコンソールが表示されます。

  3. Identity Cloud Serviceコンソールで、ナビゲーション・ドロワーを展開し、「アプリケーション」をクリックします。

    アプリケーションのリストが表示されます。アプリケーションが対応するサービスがアプリケーション名の下に表示されていることに注意してください。たとえば、JAASアプリケーション・エントリの下にはOracle Java Cloud Serviceが表示されます。

  4. 目的のサービスの名前をクリックします。

    詳細ページが表示されます。

  5. 「アプリケーション・ロール」をクリックします。

    ロールが表示されます。

  6. グループから削除するロールのメニューをクリックし、「グループ取消」を選択します。

  7. ロールを削除するグループを選択し、「OK」をクリックします。
  8. 「アプリケーション」ブレッドクラムをクリックして、アプリケーションのリストに戻ります。
  9. このグループから削除するロールごとに、ステップ4から7を繰り返します。
Oracle Identity Cloud Serviceグループの詳細を編集するには
  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「Identity」で、「Federation」をクリックします。
  2. Oracle Identity Cloud Serviceフェデレーションをクリックします。ほとんどのテナンシで、フェデレーションの名前はOracleIdentityCloudServiceになります。「アイデンティティ・プロバイダの詳細」ページが表示されます。
  3. 「リソース」で、「グループ」をクリックします。

    フェデレーション内の既存グループのリストが表示されます。

  4. 編集するグループを検索し、その名前をクリックします。

    グループ詳細ページが表示されます。

  5. 「編集」をクリックします。

  6. グループ名または説明を更新できます。機密情報の入力は避けてください。

    注意

    グループ名を変更すると、Oracle Cloud Infrastructure (OCI)グループへのマッピングが解除されます。グループ名を変更する場合は、既存のグループ・マッピングを削除して、新しい名前で新しいマッピングを追加してください。マッピングの編集に関する前のタスクを参照してください。

  7. 「更新」をクリックして変更内容を保存します。
グループにユーザーを追加するには
  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「Identity」で、「Federation」をクリックします。
  2. Oracle Identity Cloud Serviceフェデレーションをクリックします。ほとんどのテナンシで、フェデレーションの名前はOracleIdentityCloudServiceになります。「アイデンティティ・プロバイダの詳細」ページが表示されます。
  3. 「リソース」で、「グループ」をクリックします。

    既存のグループのリストが表示されます。

  4. ユーザーを追加するグループを検索します。

    ユーザー・グループ詳細ページが表示されます。

  5. 「IDCSユーザーの追加」をクリックします。

  6. このグループに追加するユーザーを「ユーザー」リストから選択します。
  7. 「追加」をクリックします。
グループからユーザーを削除するには
  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「Identity」で、「Federation」をクリックします。
  2. Oracle Identity Cloud Serviceフェデレーションをクリックします。ほとんどのテナンシで、フェデレーションの名前はOracleIdentityCloudServiceになります。「アイデンティティ・プロバイダの詳細」ページが表示されます。
  3. 「リソース」で、「グループ」をクリックします。

    既存のグループのリストが表示されます。

  4. ユーザーを削除するグループを検索します。

    ユーザーのリストがグループ詳細ページに表示されます。

  5. 削除するユーザーを検索し、「アクション」メニュー(アクション・メニュー)をクリックします。
  6. 「ユーザーの削除」をクリックします。

  7. プロンプトが表示されたら確認します。
グループを削除するには
  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「Identity」で、「Federation」をクリックします。
  2. Oracle Identity Cloud Serviceフェデレーションをクリックします。ほとんどのテナンシで、フェデレーションの名前はOracleIdentityCloudServiceになります。「アイデンティティ・プロバイダの詳細」ページが表示されます。
  3. 「リソース」で、「グループ」をクリックします。

    既存のグループのリストが表示されます。

  4. 編集するグループを検索し、その名前をクリックします。

    グループ詳細ページが表示されます。

  5. 「削除」をクリックします。

  6. プロンプトが表示されたら確認します。
Oracle Cloud Infrastructureリソースに対するグループ権限を付与するポリシーを作成します

Oracle Identity Cloud Serviceで作成したグループは、Oracle Cloud Infrastructureグループに割り当てたポリシーを介してOracle Cloud Infrastructureのリソースにアクセスする権限を取得します。このステップを完了する前に、新しいグループに付与する権限を決定する必要があります。詳細は、ポリシーの開始および共通ポリシーを参照してください。

前提条件:ポリシーを書き込むグループおよびコンパートメントはすでに存在している必要があります。

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ポリシー」をクリックします。表示しているコンパートメント内のポリシーのリストが表示されます。
  2. 表示しているコンパートメント以外のコンパートメントにポリシーをアタッチする場合は、左側のリストから目的のコンパートメントを選択します。ポリシーがアタッチされている場所によって、後で変更または削除できるユーザーが制御されます(ポリシー・アタッチメントを参照)。
  3. 「ポリシーの作成」をクリックします。
  4. 次を入力します:
    • 名前: ポリシーの一意の名前。この名前は、テナンシ内のすべてのポリシー間で一意である必要があります。これは後で変更できません。機密情報の入力は避けてください。
    • 説明: わかりやすい説明。これは必要に応じて後で変更できます。
    • ステートメント:ポリシー・ステートメント。使用する適切な書式については、ポリシーの基本およびポリシー構文も参照してください。複数のステートメントを追加する場合は、「+」をクリックします。

      例:

      指定したコンパートメント内のすべてのリソースをグループが管理できるようにするには、次のようなステートメントを入力します。

      Allow group <OCI_group_name> to manage all-resources in compartment <compartment_name>

      ポリシーの例の詳細は、共通ポリシーを参照してください。

    • タグ: リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかがわからない場合は、このオプションをスキップするか、管理者に連絡してください。タグは後で適用できます。
  5. 「作成」をクリックします。

コンソールでのOracle Identity Cloud Serviceユーザーの管理

Oracle Identity Cloud Serviceでユーザーを追加すると、ユーザーもOracle Cloud Infrastructureに自動的にプロビジョニングされます。このプロビジョニング済ユーザーは、APIキーや認証トークンなどのOracle Cloud Infrastructure資格証明を持つことができます。このプロビジョニングの詳細は、フェデレーテッド・ユーザーのユーザー・プロビジョニングを参照してください。

ユーザーを作成するには
  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「Identity」で、「Federation」をクリックします。
  2. Oracle Identity Cloud Serviceフェデレーションをクリックします。ほとんどのテナンシで、フェデレーションの名前はOracleIdentityCloudServiceになります。「アイデンティティ・プロバイダの詳細」ページが表示されます。
  3. 「IDCSユーザーの作成」をクリックします。
  4. 「IDCSユーザーの作成」ダイアログで、次のように入力します:

    • ユーザー名: 新規ユーザーの一意の名前または電子メール・アドレスを入力します。この値はユーザーのコンソールへのログインになり、テナンシ内の他のすべてのユーザー間で一意である必要があります。
    • 電子メール: このユーザーの電子メール・アドレスを入力します。最初のサインイン資格証明は、この電子メール・アドレスに送信されます。
    • 名: ユーザーの名を入力します。
    • 姓: ユーザーの姓を入力します。
    • 電話番号: オプションで、電話番号を入力します。
    • グループ:オプションで、このユーザーを追加するグループを選択します。
  5. 「ユーザーの作成」をクリックします。
重要

Oracle Cloud Infrastructureで権限を持つユーザーには、Oracle Cloud Infrastructureグループにマップされているグループにそのユーザーを割り当てる必要があります。または、新しいグループを作成する場合、このマッピングを後から実行することもできます。マッピングが完了するまで、ユーザーはコンソールにサインインできません。

ユーザー作成プロセスでは、入力したアドレスに送信される電子メールが生成されます。電子メールには、Oracle Cloud InfrastructureConsoleで使用する新しいユーザーのユーザー名およびパスワードが含まれています。

このユーザーのAPIキー、認証トークン、顧客秘密キーまたはSMTP資格証明を追加するには、フェデレーテッド・ユーザーのユーザー機能の管理を参照してください。

ユーザーを編集するには
  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「Identity」で、「Federation」をクリックします。
  2. Oracle Identity Cloud Serviceフェデレーションをクリックします。ほとんどのテナンシで、フェデレーションの名前はOracleIdentityCloudServiceになります。「アイデンティティ・プロバイダの詳細」ページが表示されます。
  3. 「リソース」で、「ユーザー」をクリックします。

    既存のユーザーのリストが表示されます。

  4. 編集するユーザーを見つけて、その名前をクリックします。

    「ユーザーの詳細」ページが表示されます。

  5. 「編集」をクリックします。

  6. フィールドを更新します。
  7. 完了した後、「保存」をクリックします。
ユーザーのパスワードをリセットするには
  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「Identity」で、「Federation」をクリックします。
  2. Oracle Identity Cloud Serviceフェデレーションをクリックします。ほとんどのテナンシで、フェデレーションの名前はOracleIdentityCloudServiceになります。「アイデンティティ・プロバイダの詳細」ページが表示されます。
  3. 「リソース」で、「ユーザー」をクリックします。

    フェデレーション内の既存のユーザー・グループのリストが表示されます。

  4. パスワードをリセットするユーザーを検索して、名前をクリックします。

    「ユーザーの詳細」ページが表示されます。

  5. 「パスワードのリセット」をクリックします。

    ユーザーのパスワードがリセットされます。このユーザーは、パスワード・リセットのステップを完了するまで自分のアカウントにアクセスできません。

  6. 「電子メール・パスワードの手順」をクリックして、ユーザーにパスワード・リンクおよび作業手順を送信します。

    パスワード・リンクは24時間有効です。ユーザーが期限内にパスワードをリセットしない場合、そのユーザーの「パスワードのリセット」をクリックして新しいパスワード・リンクを生成できます。

APIキー、認証トークンまたは他のOracle Cloud Infrastructure資格証明を追加するには
  1. ユーザーの詳細を表示します:

    • 自分の資格証明を追加する場合: ページ上部のナビゲーション・バーの右上にある「プロファイル」メニュー(「プロファイル」メニュー・アイコン)を選択し、「ユーザー設定」またはアカウント名をクリックします。
    • 管理者が別のユーザーの資格証明を追加する場合: ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「Identity」で、「Federation」をクリックします。

      Oracle Identity Cloud Serviceフェデレーションをクリックします。ほとんどのテナンシで、フェデレーションの名前はOracleIdentityCloudServiceになります。「アイデンティティ・プロバイダの詳細」ページが表示されます。

      リストからユーザーを検索し、「OCI同期済ユーザー」リンクをクリックします。

  2. ユーザーの資格証明を追加します。

これらの資格証明の詳細は、ユーザー資格証明の管理を参照してください。

ユーザーを削除するには
  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「Identity」で、「Federation」をクリックします。
  2. Oracle Identity Cloud Serviceフェデレーションをクリックします。ほとんどのテナンシで、フェデレーションの名前はOracleIdentityCloudServiceになります。「アイデンティティ・プロバイダの詳細」ページが表示されます。
  3. 「リソース」で、「ユーザー」をクリックします。

    フェデレーション内の既存のユーザー・グループのリストが表示されます。

  4. 削除するユーザーを検索して、名前をクリックします。

    「ユーザーの詳細」ページが表示されます。

  5. 「削除」をクリックします。

グループ・マッピングの管理

Oracle Identity Cloud Serviceのグループ・マッピングを追加するには
  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「Identity」で、「Federation」をクリックします。

    テナンシのアイデンティティ・プロバイダのリストが表示されます。

  2. Oracle Identity Cloud Serviceフェデレーションをクリックします。ほとんどのテナンシで、フェデレーションの名前はOracleIdentityCloudServiceになります。「アイデンティティ・プロバイダの詳細」ページが表示されます。
  3. 「プロバイダの詳細の編集」をクリックします。
  4. 少なくとも1つのマッピングを追加します。

    1. 「+ (マッピングの追加)」をクリックします。
    2. 「アイデンティティ・プロバイダ・グループ」の下のリストからOracle Identity Cloud Serviceグループを選択します。
    3. 「OCIグループ」の下のリストから、このグループをマップするIAMグループを選択します。

    4. 作成するマッピングごとに前述のサブステップを繰り返し、「送信」をクリックします。

変更は、通常ホーム・リージョン内で数秒以内に有効になります。変更がすべてのリージョンに伝播されるまで数分間待機します。

Oracle Cloud InfrastructureグループにマップされたOracle Identity Cloud Serviceグループのメンバーであるユーザーは、「ユーザー」ページのコンソールにリストされます。これらのユーザーに追加の資格証明を割り当てる方法の詳細は、フェデレーテッド・ユーザーのユーザー機能の管理を参照してください。

グループ・マッピングを更新または削除するには
  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「Identity」で、「Federation」をクリックします。

    テナンシのアイデンティティ・プロバイダのリストが表示されます。

  2. アイデンティティ・プロバイダをクリックして詳細を表示します。
  3. 「マッピングの編集」をクリックします。
  4. マッピングを更新(または「X」をクリックしてマッピングを削除)してから、「送信」をクリックします。

このアクションの結果、フェデレーテッド・ユーザーがOracle Cloud Infrastructureにマップされているグループにメンバーシップを持たなくなった場合、フェデレーテッド・ユーザーのプロビジョニング済ユーザーもOracle Cloud Infrastructureから削除されます。通常、このプロセスには数分かかります。