サイン・アップ完了後のAzureへのOracleDB for Azureユーザーの追加
Azure Active Directoryのこのトピックのステップを実行して、OracleDB for Azureの追加Azureユーザーへのアクセスを提供する方法について学習します。
重要
OCI IAMでアイデンティティ・フェデレーションを使用する場合、アイデンティティ・フェデレーションが機能するには、Azureユーザーの姓と電子メール・アドレスが、Azure Active Directoryに存在する必要があります。完全自動オンボーディングを使用してAzureにOracleDBを設定すると、アイデンティティ・フェデレーションが自動的に作成されます。「ガイド付きオンボーディング」を使用してAzureにOracleDBを設定する場合はオプションです。
OCI IAMでアイデンティティ・フェデレーションを使用する場合、アイデンティティ・フェデレーションが機能するには、Azureユーザーの姓と電子メール・アドレスが、Azure Active Directoryに存在する必要があります。完全自動オンボーディングを使用してAzureにOracleDBを設定すると、アイデンティティ・フェデレーションが自動的に作成されます。「ガイド付きオンボーディング」を使用してAzureにOracleDBを設定する場合はオプションです。
- Oracle Database Serviceエンタープライズ・アプリケーションおよび必要なARMロールに、ユーザーを割り当てます。このユーザー構成は、Azureポータル・アクセスのOracleDBに必要です。手順については、「OracleDB for Azure enterprise application ARM roles to users」を参照してください。
- ユーザーがAzureのOracleDBにアクセスするサブスクリプションで、ユーザーにコントリビュータ・ロールを割り当てます。ユーザーには、データベース、データベース・システム・インフラストラクチャ、ネットワーキングなどのAzureリソースのOracleDBを管理するための完全なアクセス権がありますが、Azureのロールベースのアクセス制御(RBAC)のロールを、他のAzureユーザーに割り当てることはできません。「Azureサブスクリプション内でユーザーにAzure ARMロールにOracleDBを割り当てるには」を参照してください。
- Azureユーザー・グループの適切なOracleDBにユーザーを割り当てます。これらのグループは、Autonomous DatabaseなどのAzure製品およびOracle Supportサービス・リクエストなどのリソースに対するOracleDBへのアクセスを制御します。詳細は、「Azureユーザー・グループのOracleDBにユーザーを追加するには」を参照してください。
重要
現在AzureのOracleDB for AzureポータルにログインしているAzureユーザーのAzureロールのOracleDBを更新すると、ユーザーがポータルからログアウトして再度ログインするまで、更新は有効になりません。
手順
Azureエンタープライズ・アプリケーションのARMロールにOracleDBをユーザーに割り当てるには
このトピックでは、Oracle Database Serviceエンタープライズ・アプリケーションにユーザーを割り当て、必要なARMロールを割り当てて、Azureポータルやその他のリソースのOracleDBにアクセスできるようにする方法を説明します。
ユーザーには、少なくともマルチクラウド・リンクのユーザー・ロールが必要になります。(一部のアカウントでは、このロールがクラウド・リンク・ユーザー・ロールと呼ばれます。)次のロールが使用可能で、ユーザーやグループに割り当てることができます:
| 表示名 | アプリケーション・ロール | 内容 |
|---|---|---|
|
ODSAマルチクラウド・リンク管理者 (一部のアカウントでは、クラウド・リンク管理者と呼ばれる場合があります) |
次のうち、アカウントで利用可能なものを使用します: odsa-multicloud-link-administrator または cloudlink-administrator |
Azureマルチクラウド・リンク・リソースのOracleDBのすべての面を管理できます。このリソースは、AzureアカウントとOCIアカウントの間のリンクを管理します。また、AzureサブスクリプションからOracleDB for Azureへのリンクや、その他のクロスクラウド構成も管理します。 |
| Azureリーダーの場合はOracleDB | odsa-reader | AzureリソースのすべてのOracleDBへの読取り専用アクセス。サービスの監査に使用されます。 |
| ODSAデータベース・ファミリ管理者 | odsa-db-family-administrator | Exadata、Base Database、Autonomous Databaseなど、OracleDB for Azureのすべてのデータベース製品のあらゆる面を管理できます。 |
| ODSAデータベース・ファミリ・リーダー | odsa-db-family-reader | Exadata、Base Database、Autonomous Databaseなど、AzureのOracleDB内のすべてのデータベース製品に対する読取り専用権限。 |
| ODSA Exaインフラストラクチャ管理者 | odsa-exa-infra-administrator |
Exadata専用インフラストラクチャのあらゆる面を管理できます:
|
| ODSA Exaデータベース管理者 | odsa-exa-cdb-administrator |
コンテナ・データベース(CDB)レベルで、次のExadataデータベース・リソースを管理できます:
|
| ODSA Exa PDB管理者 | odsa-exa-pdb-administrator | Exadataプラガブル・データベース(PDB)を管理できます。 |
| ODSA BaseDBインフラストラクチャ管理者 | odsa-basedb-infra-administrator |
Base Databaseインフラストラクチャの次のリソースを管理できます:
|
| ODSA BaseDBデータベース管理者 | odsa-basedb-cdb-administrator |
コンテナ・データベース(CDB)レベルで、次のBase Databaseリソースを管理できます:
|
| ODSA BaseDB PDB管理者 | odsa-basedb-pdb-administrator | Base Databaseプラガブル・データベース(PDB)を管理できます。 |
| ODSA ADB-S DB管理者 | odsa-adbs-db-administrator | Autonomous Databasesおよびバックアップを管理できます。 |
| ODSAネットワーク・リンク管理者 | odsa-network-administrator | Azureネットワーク・リソースのOracleDBのすべての側面を、リソースの作成、読取り、更新および削除を実行する権限を使用して管理できます。 |
| ODSAネットワーク・リンク・ユーザー | networklink-user | Azureネットワーク・リソースのOracleDBをリスト、読取りおよび更新できます。 |
| ODSAコスト管理管理者 | odsa-costmgmt-administrator | コスト管理の使用状況レポートを管理できます。 |
| ODSAコスト管理リーダー | odsa-costmgmt-read | コスト管理の使用状況レポートを読み取ることができます。 |
| ODSAサポート管理者 | odsa-support-administrator | Oracleサポート・リクエスト(SR)を管理できます。 |
| ODSAサポート・リーダー | odsa-support-reader | Oracleサポート・リクエスト(SR)を読み取ることができます。 |
手順:
- AzureアカウントのAzure Active Directoryに移動します。
- 「Manage」で、「Enterprise applications」をクリックします。
- エンタープライズ・アプリケーションのリストで、Oracle Database Serviceアプリケーションの名前をクリックして、アプリケーションの概要ページを表示します。
- 「Assign users and groups」をクリックします。
- 「+ Add user/group」をクリックします。「Add Assignment」ページが表示されます。
- 「Users」の「None Selected」をクリックします。
- 「Users」パネルで、割り当てるユーザーを探し、「Select」をクリックします。
- 「Select a role」の「None Selected」をクリックします。
- ユーザーに割り当てるARMロールを選択します。
- 「選択」をクリックします。「Select a role」パネルが閉じます。
- 割当て情報を確認してから、「Assign」をクリックしてARMロール割当てを完了します。
次の手順。
- ユーザーがAzureのOracleDBへのアクセスに使用するサブスクリプション内で、ユーザーにARMロールを割り当てます。手順は、「Azureサブスクリプション内でユーザーにAzure ARMロールにOracleDBを割り当てるには」を参照してください。
- Azureデータベース管理者グループの1つ以上のOracleDBにユーザーを割り当てて、データベース・リソースを作成および管理します。詳細は、「Azureユーザー・グループのOracleDBにユーザーを追加するには」を参照してください。
- ネットワーキング、コスト管理、Oracle Supportおよびその他のAzureサービス・リソース用のOracleDBの適切なユーザー・グループにユーザーを割り当てます。詳細は、「Azureユーザー・グループのOracleDBにユーザーを追加するには」を参照してください。
Azureサブスクリプション内でAzure ARMロールにOracleDBを割り当てるには
AzureユーザーのすべてのOracleDBには、AzureのOracleDBで使用するサブスクリプションごとにContributor ARMロールが必要です。さらに、Azure Event Grid、Azure Monitorを使用する予定のAzureユーザー、またはAzure VNETとのネットワーク・ピアリングを必要とするExadataおよびBase Databaseを含むAzureシステムにOracleDBをプロビジョニングする予定のAzureユーザーには、次のARMロールが必要です。
- EventGridデータ送信者: OracleDB for AzureリソースからEvent Gridのトピックにイベントを送信できます。詳細は、「Authorizing access to Event Grid resources」を参照してください。
- メトリック・パブリッシャのモニター: Oracle DatabaseメトリックをAzure Monitorに公開できます。詳細は、「Getting started with Azure Metrics Explorer」を参照してください。
- ネットワーク・コントリビュータ: Azureネットワークを管理できますが、アクセスすることはできません。Azureの場合、OracleDBは、指定されたAzure Virtual Network (VNET)でOCI Virtual Cloud Networkをピアリングします。
このタスクを開始する前に、OracleDB for AzureユーザーのAzureエンタープライズ・アプリケーションARMロールのOracleDBをユーザーに割り当てるにはのステップを完了します。
- Azureポータルにログインし、「Subscriptions」を選択します。
- 左側のパネルで、「Access control (IAM)」をクリックします。
- 「+ Add」をクリックし、「Add role assignment」を選択します。
- デフォルトでは、「Role」タブが選択されています。表示されたロールのリストで、「Contributor」ロールを選択します。
- 「Members」タブをクリックし、「Selected role」フィールドに「Contributor」と表示されることを確認します。
- 「+ Select members」をクリックします。「Select members」パネルが開きます。
- メンバーのリストで、コントリビュータ・ロールを割り当てるユーザーを選択します。リストされた結果にユーザーが表示されない場合は、検索機能を使用できます。
- 「Select」ボタンをクリックします。「Select members」パネルが閉じます。
- 「Add role assignment」ページで、「Review + assign」ボタンをクリックします。
- 「Review + assign」タブに表示される割当ての詳細を確認します。
- 「Review + assign」ボタンを再度クリックして、割当てを保存します。
-
次のARMロールに対して、ステップ3から11を繰り返します:
- EventGridデータ送信者
- メトリック・パブリッシャのモニター
- ネットワーク・コントリビュータ
- EventGridデータ送信者
次の手順。
- Azure用のOracleDBでデータベース・リソースを作成および管理するには、Azureデータベース管理者グループの適切なOracleDBにユーザーを割り当てます。管理者グループは、データベース・タイプ(Exadata、Base DatabaseおよびAutonomous Database)ごとに使用できます。詳細は、「Azureユーザー・グループのOracleDBにユーザーを追加するにはを参照してください。
- ネットワーキング、コスト管理、Oracle Supportおよびその他のAzureサービス・リソース用のOracleDBの適切なユーザー・グループにユーザーを割り当てます。詳細は、「Azureユーザー・グループのOracleDBにユーザーを追加するにはを参照してください。
Azureユーザー・グループのOracleDBにユーザーを追加するには
このタスクで説明するユーザー・グループは、Azureのデプロイメント用にOracleDBで事前に構成されています。Azureユーザー・グループに対してOracleDBを作成する責任はありません。
このタスクを開始する前に、「Azureエンタープライズ・アプリケーションのARMロールにOracleDBをユーザーに割り当てるには」および「Azureサブスクリプション内のユーザーにAzure ARMロールにOracleDBを割り当てるには」のステップを完了します。
- AzureアカウントのAzure Active Directoryに移動します。
- 「Manage」で、「Enterprise applications」をクリックします。
- エンタープライズ・アプリケーションのリストで、Oracle Database Serviceアプリケーションの名前をクリックして、アプリケーションの概要ページを表示します。
- 「Manage」で、「Users and groups」をクリックします。
- ユーザーのリストで、ユーザーの名前をクリックして、ユーザーの「Profile」ページを開きます。
- 「Manage」で、「Groups」をクリックします。
- 「+ Add memberships」をクリックします。
- 「Select groups」パネルで、Azureユーザー・グループのOracleDBを1つ以上選択します。
- 「Select」をクリックして選択内容を確認し、「Select groups」パネルを閉じます。グループの割当てが完了するまで、少し時間がかかります。「Refresh」をクリックして、ユーザーに必要なグループ・メンバーシップがあることを確認します。