ユーザー管理のライフサイクル
ユーザー・ライフ・サイクルとは、特定のイベントまたは時間の要因に基づいて、アイデンティティ・ドメインでユーザー・アカウントを作成、管理および削除するプロセス・フローを説明する用語です。
ユーザー・アカウントは、ライフ・サイクルの様々なステージを遷移します。ステージには、存在しない、非アクティブ、アクティブおよび削除済があります。
ユーザー・ライフ・サイクルの遷移ごとに、ビジネス要件を定義できます。次の表に示すサンプル・シナリオを使用して、ユーザー・ライフ・サイクルの遷移とビジネス目的を結び付けます。
現行の状態 | 操作 | サンプル・シナリオ | プロセスの説明 |
---|---|---|---|
存在しません | 作成 | 人事管理(HR)が新規採用者のユーザー・プロファイル情報を入力します。 |
新規採用者の開始日が将来の日付ではない場合、ユーザー・アカウントは「アクティブ」ステータスで導入されます。 新規採用者の開始日が将来の日付である場合、ユーザー・アカウントが作成され、非アクティブ化されます。 |
非アクティブ | アクティブ化 | ユーザーの開始日が有効になります。 |
ユーザー・アカウントがアクティブ化され、ユーザーは、サインインしてこのOracle Cloudサービスを使用できるようになります。ユーザーは、ユーザー・アカウントに割り当てられているすべてのグループ、アプリケーションおよび管理ロール権限にアクセスできます。 |
アクティブ | 変更(M) | ユーザーが新しい役職に昇進します。HRは、ユーザーの役職名を変更します。 |
新しいグループ、アプリケーションおよび管理ロールがユーザー・アカウントに割り当てられます。無関係になった古いグループ、アプリケーションおよび管理ロールは、ユーザー・アカウントから削除されます。 |
アクティブ | 非アクティブ化 | ユーザーが会社から1年間の長期休暇を取得します。HRは、ユーザーの最終労働日にユーザー・アカウントを手動で非アクティブ化します。ユーザーは、一定期間の後に会社に復帰します。HRは、ユーザー・アカウントをアクティブ化します。 | ユーザー・アカウントが非アクティブ化され、ユーザーは、サインインしてこのOracle Cloudサービスを使用できなくなります。ユーザー・アカウントは再度アクティブ化できます。 |
アクティブ | 削除 | ユーザーが会社から退職します。HRは、ユーザーの最終労働日にユーザー・アカウントを手動で削除します。 |
ユーザー・アカウントは削除されます。ユーザー・アカウントに割り当てられたすべてのグループ、アプリケーションおよび管理ロール権限は、ワークフローの一環として取り消されます。 ユーザーを除去(削除)しても、そのユーザーの監査データはシステムに残ります。削除したユーザーの監査データを手動で(すぐに)パージするには、削除したユーザーの監査データのパージを参照してください。 |
次の概念は、ユーザー・ライフサイクル管理に不可欠です:
-
ユーザー・アカウント: ユーザー・アカウントは、アイデンティティ・ドメイン内のユーザーを表し、ユーザーが属しているOracle Cloudサービスへのアクセスを可能にします。アイデンティティ・ドメインでは、ユーザーとユーザー・アカウント間に1対1の関係があります。デフォルトでは、すべてのユーザーが各自のアカウントを使用して、セルフサービス機能を実行できます。ユーザーは、プロファイルの更新、パスワードのリセット、アカウントのロック解除、および電子メール・プリファレンスの変更を行うことができます。
-
管理者ロール: ユーザー・アカウントにIAMの管理機能を提供できます。これを行うには、管理者ロールをユーザー・アカウントに割り当てます。ロールへのユーザーの割当てを参照してください。
-
グループ: アイデンティティ・ドメインでは、グループを介して簡単かつ制御された権限管理が提供されます。グループは、アイデンティティ・ドメイン内のユーザー・アカウントとアプリケーション間のリンクです。グループは、ユーザー・アカウントまたは他のグループに付与する権限の管理を容易にするように設計されています。グループの管理を参照してください。
-
アプリケーション: Oracleアプリケーションは、完全なモジュール式のエンタープライズ・アプリケーションのセットであり、混在環境においてクラウドに対応しながらシームレスに共存するように基礎から開発されています。
IAMのアイデンティティ・ドメインを使用して、2つの方法でOracleアプリケーションへのアクセス権を付与できます:
-
直接: ユーザーをアプリケーションに割り当てます
-
間接: グループをアプリケーションに割り当てます。グループのメンバーであるすべてのユーザーに、アプリケーションへのアクセス権が付与されます。
ユーザーおよびグループにOracleアプリケーションへのアクセス権を付与する以外に、ユーザーおよびグループにアプリケーション内の資格へのアクセス権を付与できます。たとえば、IAMを使用して、John DoeとJane DoeにOracle Java Cloud Serviceへのアクセス権を付与します。John DoeにはOracle Java Cloud Serviceに対する管理者権限を付与しますが、Jane Doeにはユーザー権限のみを付与するとします。
Oracleアプリケーションの各資格は、アプリケーション・ロールで表されます。John DoeをOracle Java Cloud Serviceのアプリケーション管理者ロールに割り当てることで、John DoeはこのOracle Cloudサービスにアクセスできるだけでなく、そのサービス内で管理者として振る舞うこともできます。
IAMを使用して、アプリケーションおよびアプリケーション・ロールに対するユーザーとグループのアクセス権を付与および取り消す方法の詳細は、アプリケーションの管理を参照してください。
-