グループに対するOracle Identity Cloud Serviceロールの管理
ここでは、Oracle Identity Cloud Serviceで作成したグループのロールの管理について説明します。
Oracle Identity Cloud Serviceのグループ・ロールについて
ロールをグループに割り当て、Oracle Identity Cloud Serviceで定義されている事前定義済ロールを持つOracle Cloudサービスにアクセスできます。サービス・インスタンスのみにアクセス権を付与することもできます。
Identity Cloud Serviceで管理されるサービスでは、次の2つのタイプの事前定義済のロールを使用できます。
- サービス・アクセス・ロール - サービスを使用するためのアクセス権を付与します。
- インスタンス・アクセス・ロール - サービスの特定のインスタンスへのアクセス権を付与します。これらの権限は、インスタンスの作成後にのみ付与できます。
より複雑なロール管理の詳細は、Oracle Identity Cloud Serviceグループの管理を参照してください。
各サービスで使用可能なロール
サービス固有のロールは、Oracle Cloudサービスごとに異なりますが、通常は、少なくとも1つの管理者ロールが含まれます。管理者ロールの詳細は、サービス管理者ロールについてを参照してください。このサービスの事前定義済ロールの詳細は、サービス固有のドキュメントを参照してください。
ロールの管理に必要な権限
Oracle Cloud Infrastructureコンソールを使用してロールを管理する前に、「アイデンティティ・プロバイダの詳細」ページへのアクセスを許可されている必要があります。このページにアクセスするには、アイデンティティ・プロバイダの検査を許可されているグループに属している必要があります。クラウド管理者である場合、またはOCI_Administratorsグループに属している場合は、この権限が含まれます。この権限を非管理者に付与するには、次のようなポリシーを作成する必要があります。
allow group GroupA to {USAGE_BUDGET_READ} in tenancy
allow group GroupA to {USAGE_BUDGET_INSPECT} in tenancy
allow group GroupA to {USAGE_BUDGET_MANAGE} in tenancy
allow group GroupA to {TENANCY_INSPECT} in tenancyGroupAを権限付与先のグループの名前に置き換えます。
サービス・ロールを管理するには、そのサービスの管理者ロールが割り当てられている必要があります。
コンソールでのグループ・ロールの管理
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「Identity」で、「Federation」をクリックします。
- Oracle Identity Cloud Serviceフェデレーションをクリックします。ほとんどのテナンシで、フェデレーションの名前はOracleIdentityCloudServiceになります。「アイデンティティ・プロバイダの詳細」ページが表示されます。
-
「グループ」をクリックします。
グループのリストが表示されます。
- ロールを追加するグループの名前をクリックします。
-
グループ詳細ページで、「ロールの管理」をクリックします。「ロールの管理」ページに、管理者アクセス権を持つサービスのリストが表示されます。このグループにすでに付与されているサービス・ロールとインスタンス・ロールも表示されます。
管理者アクセス権がないサービスは表示されないことに注意してください。
- このグループのアクセス権を編集するサービスを検索し、「アクション」メニュー(
)をクリックして、「サービス・アクセスの管理」をクリックします。選択したサービスのロールのリストが表示されます。 -
グループに割り当てる各ロールを選択します。
- 「ロール選択の保存」をクリックします。
- このグループにサービス・ロールをさらに追加するには、ステップ6から8を繰り返します。
- 「ロール設定の適用」をクリックします。
-
確認ダイアログで「グループへの電子メールの送信」をクリックし、グループの各メンバーにこの変更を通知する電子メールを送信します。
電子メール・クライアントが起動し、影響を受けるユーザーにアクセスの変更についての情報を示すデフォルトの電子メール・メッセージが表示されます。電子メールを作成されたとおりに送信することも、送信前に変更を加えることもできます。
- コンソールに戻り、「閉じる」をクリックします。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「Identity」で、「Federation」をクリックします。
- Oracle Identity Cloud Serviceフェデレーションをクリックします。ほとんどのテナンシで、フェデレーションの名前はOracleIdentityCloudServiceになります。「アイデンティティ・プロバイダの詳細」ページが表示されます。
-
「グループ」をクリックします。
グループのリストが表示されます。
- ロールを削除するグループの名前をクリックします。
-
グループ詳細ページで、「ロールの管理」をクリックします。「ロールの管理」ページに、管理者アクセス権を持つサービスのリストが表示されます。このグループにすでに付与されているサービス・ロールとインスタンス・ロールも表示されます。
管理者アクセス権がないサービスは表示されないことに注意してください。
- このグループのアクセスを編集するサービスを検索し、「アクション」メニュー()をクリックして、適宜「サービス・アクセスの管理」または「インスタンス・アクセスの管理」をクリックします。選択したサービスのロールのリストが表示されます。
-
グループから削除する各ロールのチェック・ボックスを選択します。
- 適宜「ロール選択の保存」または「インスタンス設定の更新」をクリックします。
- このグループからさらにサービス・ロールまたはインスタンス・ロールを取り消すには、ステップ6から8までを繰り返します。
- 「ロール設定の適用」をクリックします。
- 確認ダイアログに、このセッションでアクセスを変更したサービスが表示されます。「閉じる」をクリックします。
コンソールでのインスタンス・ロールの管理
一部のサービスでは、サービスのインスタンスに対するアクセス権を付与できます。ユーザー(または組織内のユーザー)がインスタンスを作成したら、この手順を使用してインスタンスへのグループ・アクセスを管理します。
インスタンスへのグループ・アクセスの管理
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「Identity」で、「Federation」をクリックします。
- Oracle Identity Cloud Serviceフェデレーションをクリックします。ほとんどのテナンシで、フェデレーションの名前はOracleIdentityCloudServiceになります。「アイデンティティ・プロバイダの詳細」ページが表示されます。
-
「グループ」をクリックします。
グループのリストが表示されます。
-
グループ詳細ページで、「ロールの管理」をクリックします。「ロールの管理」ページに、管理者アクセス権を持つサービスのリストが表示されます。このグループにすでに付与されているサービス・ロールとインスタンス・ロールも表示されます。
管理者アクセス権がないサービスは表示されないことに注意してください。
- このグループのアクセス権を編集するインスタンスを含むサービスを検索し、「アクション」メニュー()、「インスタンス・アクセスの管理」の順にクリックします。選択したサービスのインスタンスのリストが表示されます。
-
インスタンスへのアクセスの管理ページで、このグループのアクセス権を編集するインスタンスの名前を検索します。
-
このインスタンスへのアクセス権を付与するには、「インスタンス・ロール」列で、グループに付与するロールを選択します。リストから複数のロールを選択できます。
- このインスタンスへのアクセス権を削除するには、「インスタンス・ロール」列で、グループから削除するロールの横にある「x」をクリックします。
-
- このサービスに対するロールの編集が終了したら、「インスタンス設定の更新」をクリックします。
- このグループのインスタンス・ロールをさらに編集するには、ステップ6から7を繰り返します。
- 「ロールの管理」ページで、「ロール設定の適用」をクリックします。
-
ロールを追加した場合は、確認ダイアログで「グループへの電子メールの送信」をクリックし、グループの各メンバーにこの変更を通知する電子メールを送信します。電子メール・クライアントが起動し、影響を受けるユーザーにアクセスの変更についての情報を示すデフォルトの電子メール・メッセージが表示されます。電子メールを作成されたとおりに送信することも、送信前に変更を加えることもできます。コンソールに戻り、「閉じる」をクリックします。
ロールを取り消すと、確認ダイアログに、このセッションでアクセス権を変更したサービスが表示されます。「閉じる」をクリックします。