グループに対するOracle Identity Cloud Serviceロールの管理

ここでは、Oracle Identity Cloud Serviceで作成したグループのロールの管理について説明します。

Oracle Identity Cloud Serviceのグループ・ロールについて

ロールをグループに割り当て、Oracle Identity Cloud Serviceで定義されている事前定義済ロールを持つOracle Cloudサービスにアクセスできます。サービス・インスタンスのみにアクセス権を付与することもできます。

Identity Cloud Serviceで管理されるサービスでは、次の2つのタイプの事前定義済のロールを使用できます。

  • サービス・アクセス・ロール - サービスを使用するためのアクセス権を付与します。
  • インスタンス・アクセス・ロール - サービスの特定のインスタンスへのアクセス権を付与します。これらの権限は、インスタンスの作成後にのみ付与できます。

より複雑なロール管理の詳細は、Oracle Identity Cloud Serviceグループの管理を参照してください。

各サービスで使用可能なロール

サービス固有のロールは、Oracle Cloudサービスごとに異なりますが、通常は、少なくとも1つの管理者ロールが含まれます。管理者ロールの詳細は、サービス管理者ロールについてを参照してください。このサービスの事前定義済ロールの詳細は、サービス固有のドキュメントを参照してください。

ロールの管理に必要な権限

Oracle Cloud Infrastructureコンソールを使用してロールを管理する前に、「アイデンティティ・プロバイダの詳細」ページへのアクセスを許可されている必要があります。このページにアクセスするには、アイデンティティ・プロバイダの検査を許可されているグループに属している必要があります。クラウド管理者である場合、またはOCI_Administratorsグループに属している場合は、この権限が含まれます。この権限を非管理者に付与するには、次のようなポリシーを作成する必要があります。

allow group GroupA to {USAGE_BUDGET_READ} in tenancy
allow group GroupA to {USAGE_BUDGET_INSPECT} in tenancy
allow group GroupA to {USAGE_BUDGET_MANAGE} in tenancy
allow group GroupA to {TENANCY_INSPECT} in tenancy

GroupAを権限付与先のグループの名前に置き換えます。

サービス・ロールを管理するには、そのサービスの管理者ロールが割り当てられている必要があります。

コンソールでのグループ・ロールの管理

ロールをグループに追加するには
  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「Identity」で、「Federation」をクリックします。
  2. Oracle Identity Cloud Serviceフェデレーションをクリックします。ほとんどのテナンシで、フェデレーションの名前はOracleIdentityCloudServiceになります。「アイデンティティ・プロバイダの詳細」ページが表示されます。
  3. 「グループ」をクリックします。

    グループのリストが表示されます。

  4. ロールを追加するグループの名前をクリックします。
  5. グループ詳細ページで、「ロールの管理」をクリックします。「ロールの管理」ページに、管理者アクセス権を持つサービスのリストが表示されます。このグループにすでに付与されているサービス・ロールとインスタンス・ロールも表示されます。

    管理者アクセス権がないサービスは表示されないことに注意してください。

  6. このグループのアクセス権を編集するサービスを検索し、「アクション」メニュー(アクション・メニュー)をクリックして、「サービス・アクセスの管理」をクリックします。選択したサービスのロールのリストが表示されます。
  7. グループに割り当てる各ロールを選択します。

  8. 「ロール選択の保存」をクリックします。
  9. このグループにサービス・ロールをさらに追加するには、ステップ6から8を繰り返します。
  10. 「ロール設定の適用」をクリックします。
  11. 確認ダイアログで「グループへの電子メールの送信」をクリックし、グループの各メンバーにこの変更を通知する電子メールを送信します。

    電子メール・クライアントが起動し、影響を受けるユーザーにアクセスの変更についての情報を示すデフォルトの電子メール・メッセージが表示されます。電子メールを作成されたとおりに送信することも、送信前に変更を加えることもできます。

  12. コンソールに戻り、「閉じる」をクリックします。
グループからロールを取り消すには
  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「Identity」で、「Federation」をクリックします。
  2. Oracle Identity Cloud Serviceフェデレーションをクリックします。ほとんどのテナンシで、フェデレーションの名前はOracleIdentityCloudServiceになります。「アイデンティティ・プロバイダの詳細」ページが表示されます。
  3. 「グループ」をクリックします。

    グループのリストが表示されます。

  4. ロールを削除するグループの名前をクリックします。
  5. グループ詳細ページで、「ロールの管理」をクリックします。「ロールの管理」ページに、管理者アクセス権を持つサービスのリストが表示されます。このグループにすでに付与されているサービス・ロールとインスタンス・ロールも表示されます。

    管理者アクセス権がないサービスは表示されないことに注意してください。

  6. このグループのアクセスを編集するサービスを検索し、「アクション」メニュー(アクション・メニュー)をクリックして、適宜「サービス・アクセスの管理」または「インスタンス・アクセスの管理」をクリックします。選択したサービスのロールのリストが表示されます。
  7. グループから削除する各ロールのチェック・ボックスを選択します。

  8. 適宜「ロール選択の保存」または「インスタンス設定の更新」をクリックします。
  9. このグループからさらにサービス・ロールまたはインスタンス・ロールを取り消すには、ステップ6から8までを繰り返します。
  10. 「ロール設定の適用」をクリックします。
  11. 確認ダイアログに、このセッションでアクセスを変更したサービスが表示されます。「閉じる」をクリックします。

コンソールでのインスタンス・ロールの管理

一部のサービスでは、サービスのインスタンスに対するアクセス権を付与できます。ユーザー(または組織内のユーザー)がインスタンスを作成したら、この手順を使用してインスタンスへのグループ・アクセスを管理します。

インスタンスへのグループ・アクセスの管理

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「Identity」で、「Federation」をクリックします。
  2. Oracle Identity Cloud Serviceフェデレーションをクリックします。ほとんどのテナンシで、フェデレーションの名前はOracleIdentityCloudServiceになります。「アイデンティティ・プロバイダの詳細」ページが表示されます。
  3. 「グループ」をクリックします。

    グループのリストが表示されます。

  4. グループ詳細ページで、「ロールの管理」をクリックします。「ロールの管理」ページに、管理者アクセス権を持つサービスのリストが表示されます。このグループにすでに付与されているサービス・ロールとインスタンス・ロールも表示されます。

    管理者アクセス権がないサービスは表示されないことに注意してください。

  5. このグループのアクセス権を編集するインスタンスを含むサービスを検索し、「アクション」メニュー(アクション・メニュー)「インスタンス・アクセスの管理」の順にクリックします。選択したサービスのインスタンスのリストが表示されます。
  6. インスタンスへのアクセスの管理ページで、このグループのアクセス権を編集するインスタンスの名前を検索します。

    • このインスタンスへのアクセス権を付与するには、「インスタンス・ロール」列で、グループに付与するロールを選択します。リストから複数のロールを選択できます。

    • このインスタンスへのアクセス権を削除するには、「インスタンス・ロール」列で、グループから削除するロールの横にある「x」をクリックします。
  7. このサービスに対するロールの編集が終了したら、「インスタンス設定の更新」をクリックします。
  8. このグループのインスタンス・ロールをさらに編集するには、ステップ6から7を繰り返します。
  9. 「ロールの管理」ページで、「ロール設定の適用」をクリックします。
  10. ロールを追加した場合は、確認ダイアログで「グループへの電子メールの送信」をクリックし、グループの各メンバーにこの変更を通知する電子メールを送信します。電子メール・クライアントが起動し、影響を受けるユーザーにアクセスの変更についての情報を示すデフォルトの電子メール・メッセージが表示されます。電子メールを作成されたとおりに送信することも、送信前に変更を加えることもできます。コンソールに戻り、「閉じる」をクリックします。

    ロールを取り消すと、確認ダイアログに、このセッションでアクセス権を変更したサービスが表示されます。「閉じる」をクリックします。