Oracle Cloud Infrastructureドキュメント

ユーザー、グループおよびポリシー

Oracle Digital Assistantでは、Oracle Cloud Infrastructure Identity and Access Management (IAM)を認証および認可のベース・サービスとして使用します。

IAMには、次の2つの特徴があります:
  • アイデンティティ・ドメインを使用しないIAMこのフレーバは、ポリシーベースのアクセスを提供します。組織のテナンシ管理者は、どのユーザーがどのリソースにどのようにアクセスできるかを制御するコンパートメント、グループおよびポリシーを設定する必要があります。このプロセスの概要は、テナンシの設定を参照してください。

    アイデンティティ・ドメインなしでプロビジョニングされたデジタル・アシスタント・インスタンスでは、ポリシーによって、スキルとデジタル・アシスタントの開発、インサイト・データへのアクセス、およびサービスAPIのコールを実行できるユーザーを制御します。ポリシーの仕組みの詳細は、ポリシーの開始を参照してください。ポリシーの記述の詳細は、ポリシー・リファレンスを参照してください。

  • アイデンティティ・ドメインを使用したIAMこのフレーバは、ポリシーベースのアクセスに加えて、ロールベースのアクセスの可能性を提供します。ロールベースのアクセスを提供するには、組織のテナンシ管理者が、どのユーザーがどのリソースにどのようにアクセスできるかを制御するコンパートメント、グループおよびロールを設定する必要があります。このプロセスは、ポリシー・ステートメントを記述するかわりに事前定義済ロールを使用する点を除き、テナンシの設定で説明されているものと似ています。

    アイデンティティ・ドメイン機能を使用すると、Oracle Identity Cloud Service (IDCS)がアイデンティティ・プロバイダであった場合と同じ概念および手法を使用して、デジタル・アシスタントへのアクセスを管理できます。

    ノート

    アイデンティティ・ドメイン機能は、まだテナンシで使用できない可能性があります。この機能でテナンシが更新されたかどうかを判断するには、クラウド・アカウントにログインし、コンソールのナビゲーション・メニュー(ナビゲーション・メニュー・アイコン)を開き、「アイデンティティとセキュリティ」を選択します。ページの「アイデンティティ」セクションに「ドメイン」リンクが表示されている場合、アイデンティティ・ドメインはテナンシで使用できます。

IAMを通じて、Oracle Identity Cloud Service (IDCS)などの他のアイデンティティ・プロバイダとのフェデレーションを設定することもできます。

ノート

デジタル・アシスタント・インスタンスが、FusionベースのOracle Cloud Applicationsサービス(HCM CloudまたはSales Cloud)と組み合されている場合、IAMを使用してユーザーの権限を設定することはできません。かわりに、Oracle Identity Cloud Service (IDCS)を使用します。Oracle Digital Assistant for Fusion Applicationsスタート・ガイドを参照してください。

同様に、Gen 1クラウド・インフラストラクチャ(2019年以前)で最初にプロビジョニングされ、Gen 2インフラストラクチャに移行されたインスタンスがある場合も、IAMのかわりにIDCSを使用します。移行されたインスタンスでのユーザー・アクセスの管理を参照してください。

デジタル・アシスタントのポリシー

ユーザーをグループに編成する前に、ポリシーの動作に関する基本を学習し、どのポリシーをどのユーザー・グループに適用するかを決定する必要があります。

ポリシーは、リソース・タイプ動詞(リソース・タイプへのアクセスのレベルを記述)およびロケーション(通常はコンパートメントの名前)を指定するステートメントを使用して作成されます。

たとえば、ServiceDevelopersという名前のグループが、MyDigitalAssistantTestという名前のコンパートメント内のリソース・タイプoda-designuseできるようにするポリシー・ステートメントを作成できます。

リソース・タイプ

この表は、Oracle Digital Assistantで使用できるリソース・タイプを示しています。

リソース・タイプ 説明
oda-instance-resource インサイト・データのエクスポート、会話ログのエクスポート、動的エンティティの管理およびリソース・バンドルの管理にREST APIを使用できます。適用できる権限レベル(動詞)が3つあります。各権限レベル(inspectreadおよびuse)でカバーされるエンドポイントの詳細は、Oracle Digital Assistant REST APIを参照し、ページの左側のナビゲーションにある「権限」をクリックしてください。

ノート:スキルやチャネルの作成などを実行できるサービス・インスタンスAPIの場合、oda-designリソース・タイプのポリシーが必要です。

oda-design スキル、デジタル・アシスタントおよびチャネルのユーザー・インタフェースへのアクセスを可能にします。read権限レベルでは、ユーザーは作成されたアーティファクトを参照できます。useレベルでは、ユーザーはこれらのアーティファクトを積極的に開発、テストおよびデプロイできます。また、サービス・インスタンスAPIを使用して、これらのアーティファクトの管理を作成することもできます。
oda-insights スキルおよびデジタル・アシスタントのインサイトのユーザー・インタフェースへのアクセスを可能にします。
oda-instances Oracle Digital Assistantインスタンスのコンソールへのアクセスを可能にします。manage権限レベルでは、インスタンスを作成および削除できます。
oda-family このリソース・タイプは、Oracle Digital Assistantリソース・タイプのスーパーセットです。ポリシー定義でこのリソース・タイプとともに使用する各動詞(inspectreaduseおよびmanage)について、その動詞でカバーされるすべての操作が含まれます。たとえば、このリソース・タイプとmanage動詞を使用するポリシーがある場合、このポリシーでカバーされるユーザーには、Oracle Digital Assistantで使用可能なすべての権限が付与されます。

このリソース・タイプには、プライベート・エンドポイント機能に関連するリソース・タイプoda-private-endpointsおよびoda-private-endpoint-attachmentsも含まれます。

動詞

ポリシー定義で動詞を使用して、特定のユーザー・グループが特定のリソース・タイプに対して持つ権限レベルを設定します。たとえば、read動詞を使用して、読取り専用アクセスを許可します。

次に、Oracle Digital Assistantリソース・タイプのセットに定義されている動詞を示します。

動詞 説明
inspect 通常、リソースのコンテンツをリストする操作をカバーします。これは、最も制限されたアクセスを提供する動詞です。
read ユーザー・インタフェースの用語では、これは、通常、読取り専用アクセスを意味します。APIの用語では、通常、GET操作に適用されます。
use サービスのユーザー・インタフェース内のリソースに適用される場合、これにより、通常、それらのリソースの開発、テストおよびデプロイが可能になります。APIレベルでは、通常、GET、PUT、POST、PATCHおよびDELETE操作が可能になりますが、影響の大きい操作は除かれます(インスタンスの作成やデータのパージなど)。
manage 通常、インスタンスの作成やデータのパージなどの影響の大きい操作を含め、ユーザーはリソース・タイプの操作セット全体を実行できます。

ポリシー・セットの例

次の表は、IAMポリシーのパターンと、Oracle Digital Assistantの一般的な例を示しています。

IAMポリシー ポリシー・ステートメントのパターン
サービス管理者のポリシー
  • Allow group <name_of_your_Service_Administrators_Group> to manage oda-family in compartment <your_digital_assistant_compartment>
サービス開発者のポリシー
  • Allow group <name_of_your_Service_Developers_Group> to use oda-design in compartment <your_digital_assistant_compartment>
  • Allow group <name_of_your_Service_Developers_Group> to use oda-insights in compartment <your_digital_assistant_compartment>

また、これらのユーザーがOCIコンソールでデジタル・アシスタント・インスタンスの詳細を表示できるようにする場合は、次の文を追加できます。

  • Allow group <name_of_your_Service_Developers_Group> to read oda-instances in compartment <your_digital_assistant_compartment>
サービス・ビジネス・ユーザーのポリシー
  • Allow group <name_of_your_Service_Business_Users_Group> to read oda-design in compartment <your_digital_assistant_compartment>
  • Allow group <name_of_your_Service_Business_Users_Group> to use oda-insights in compartment <your_digital_assistant_compartment>

また、これらのユーザーがOCIコンソールでデジタル・アシスタント・インスタンスの詳細を表示できるようにする場合は、次の文を追加できます。

  • Allow group <name_of_your_Service_Business_Users_Group> to read oda-instances in compartment <your_digital_assistant_compartment>
デジタル・アシスタントAPIユーザーのポリシー
  • Allow group <name_of_your_Digital_Assistant_API_Users_Group> to use oda-instance-resource in compartment <your_digital_assistant_compartment>
  • Allow group <name_of_your_Digital_Assistant_API_Users_Group> to use oda-design in compartment <your_digital_assistant_compartment>

ノート

最初の文では、インサイトのエクスポート、動的エンティティの管理、リソース・バンドルの管理などのタスクについて、REST API内のすべてのエンドポイントにアクセスできます。より制限されたアクセスのために、inspectおよびread動詞を使用してポリシーを作成することもできます。どのエンドポイントがどの動詞でカバーされているかを確認するには、これらのAPIのドキュメントを参照してください。

2番目の文では、サービス・インスタンスAPIにアクセスできます。これにより、スキルやチャネルの作成などの操作が可能になります。

コンパートメントの作成

コンパートメントによってOracle Cloudのリソースをパーティション化できるため、リソースへのアクセスをより適切に制御できます。デジタル・アシスタント・インスタンスへのアクセス権をユーザーに付与するポリシーを記述する場合、コンパートメント名はポリシー・ステートメントの一部になります。

ノート

tenant全体のリソースに対するアクセス権をユーザーに付与するポリシーを記述することもできますが、これは非常に単純な設定としては最適です(複数のデジタル・アシスタント・インスタンスを使用する予定がない場合など)。

コンパートメントを作成するには:

  1. インフラストラクチャ・コンソールで、左上のナビゲーション・メニュー・アイコンをクリックしてナビゲーション・メニューを開き、「アイデンティティとセキュリティ」を選択し、「コンパートメント」をクリックします。
  2. 「コンパートメントの作成」をクリックします。
  3. 必要な値を入力して、「コンパートメントの作成」をクリックします。

新規IAMユーザーの作成

どのユーザーもまだユーザー・アカウントを持っていない場合は、IAMで作成します。

  1. インフラストラクチャ・コンソールで、左上のナビゲーション・メニュー・アイコンをクリックしてナビゲーション・メニューを開き、「アイデンティティとセキュリティ」を選択し、「ユーザー」をクリックします。

  2. 「ユーザーの作成」をクリックします。

  3. 「ユーザーの作成」ダイアログで、特に次に注意して必要な詳細を入力します:

    • 「名前」の値は、電子メール・アドレスまたは一意の名前です。これは、ユーザーがインスタンスにログインするために使用する名前です。
    • 「電子メール」の値は、パスワードの回復に使用されます。

  4. 「作成」をクリックします。

  5. ユーザーが作成されたら、そのユーザーを選択して「パスワードの作成/リセット」をクリックします。

  6. 「コピー」をクリックします。

  7. パスワードを安全な場所に貼り付け、ユーザーに提供します。

    ユーザーはそのパスワードでログインした後、ただちに変更する必要があります。

グループの作成

グループは、ポリシーで参照できるユーザーのコレクションです。グループを作成して、どのユーザーがどこにアクセスできるかを管理します。

次に、設定可能なユーザー・グループのセットの例を示します。

ユーザー・グループ 説明と目的
サービス管理者 Oracle Digital Assistantサービス・インスタンスを管理、制御および開発するための完全に自由なアクセス権を持ちます。
サービス開発者 デジタル・アシスタントを開発およびトレーニングする権限を持ちます。ただし、公開済のデジタル・アシスタントまたはスキルを削除したり、データをパージすることはできません。これらの権限は、サービス管理者権限のサブセットです。
サービス・ビジネス・ユーザー 主として読取り専用アクセス。スキルおよびデジタル・アシスタントのテスターの使用やインサイト・レポートの表示に加え、サンプル発話の追加によるトレーニング・コーパスの拡張(再トレーニング)も可能です。これらの権限は、サービス開発者権限のサブセットです。事業部門のユーザーおよびアナリスト向けです。
外部サービス・ユーザー Oracle Digital Assistant REST APIをコールする権限を持ちます。Oracle Digital Assistant APIには、3つの異なる権限レベル(inspectreadおよびuse動詞)があります。そのため、2つまたは3つの権限レベルで個別のグループを作成できます。

グループを作成するには:

  1. インフラストラクチャ・コンソールで、左上のナビゲーション・メニュー・アイコンをクリックしてナビゲーション・メニューを開き、「アイデンティティとセキュリティ」を選択し、「グループ」をクリックします。

    テナンシのグループのリストが表示されます。

  2. 「グループの作成」をクリックします。

  3. 次を入力します:

    • 名前: グループの一意の名前。名前は、テナンシ内のすべてのグループで一意である必要があります。これは後で変更できません。
    • 説明: わかりやすい説明。これは必要に応じて後で変更できます。
    • タグ: オプションで、タグを適用できます。リソースの作成権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用すべきかわからない場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。

  4. 「グループの作成」をクリックします。

グループへのIAMユーザーの追加

各ユーザーにサービスへのアクセス権を付与するには、グループに各ユーザーを追加する必要があります。

  1. インフラストラクチャ・コンソールで、左上のナビゲーション・メニュー・アイコンをクリックしてナビゲーション・メニューを開き、「アイデンティティとセキュリティ」を選択し、「グループ」をクリックします。

    テナンシのグループのリストが表示されます。

  2. リストでグループを検索します。

  3. グループをクリックします。

  4. 「ユーザーをグループに追加」をクリックします。

  5. ドロップダウン・リストからユーザーを選択して、「ユーザーの追加」をクリックします。

IAMグループへのIDCSユーザーのマップ

デジタル・アシスタントにアクセスする必要があるチーム・メンバーのユーザー・アカウントがOracle Identity Cloud Service (IDCS)で設定されている場合、それらのユーザーをIAMグループにマップできます。

  1. インフラストラクチャ・コンソールで、左上のナビゲーション・メニュー・アイコンをクリックしてナビゲーション・メニューを開き、「アイデンティティとセキュリティ」を選択し、「フェデレーション」をクリックします。

  2. 「OracleIdentityCloudService」リンクをクリックします。

  3. 左側のナビゲーションで、「グループ・マッピング」をクリックします。

  4. 「マッピングの編集」をクリックします。

  5. 「マッピングの追加」をクリックします。

  6. 「アイデンティティ・プロバイダ・グループ」フィールドで、デジタル・アシスタントへのアクセス権を付与するユーザーのIDCSグループを選択します。

  7. 「OCIグループ」フィールドで、これらのユーザーに提供するアクセス権に一致するIAMグループを選択します。

  8. 「送信」をクリックします。

ポリシーの作成

ユーザー・グループに適用するIAMポリシーを定義します。

ポリシーを作成するには:

  1. インフラストラクチャ・コンソールで、左上のナビゲーション・メニュー・アイコンをクリックしてナビゲーション・メニューを開き、「アイデンティティとセキュリティ」を選択し、「ポリシー」をクリックします。

    表示しているコンパートメント内のポリシーのリストが表示されます。

  2. 表示されているコンパートメント以外のコンパートメントにポリシーをアタッチする場合は、左側の「コンパートメント」ドロップダウン・リストから目的のコンパートメントを選択します。ポリシーがアタッチされている場所によって、後で変更または削除できるユーザーが制御されます(ポリシー・アタッチメントを参照)。

  3. 「ポリシーの作成」をクリックします。

  4. 次を入力します:

    • 名前: ポリシーの一意の名前。この名前は、テナンシ内のすべてのポリシー間で一意である必要があります。これは後で変更できません。
    • 説明: わかりやすい説明。これは必要に応じて後で変更できます。
    • ポリシーのバージョニング: 動詞とリソースに関するサービスの定義を変更したときにポリシーを最新に保つ場合は、「ポリシーを最新の状態に維持」を選択します。または、特定の日付に最新であった定義に従ってアクセスを制限する場合、「バージョンの日付の使用」を選択し、その日付をYYYY-MM-DDのフォーマットで入力します。詳細は、ポリシー言語バージョンを参照してください。
    • ステートメント: ポリシー・ステートメント。使用する適切な書式については、ポリシーの基本およびポリシー構文も参照してください。複数のステートメントを追加する場合は、「+」をクリックします。
    • タグ: オプションで、タグを適用できます。リソースの作成権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用すべきかわからない場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。

  5. 「作成」をクリックします。

新しいポリシーは、通常は10秒以内に有効になります。

Oracle Digital Assistantポリシーの定義方法の例は、ポリシー・セットの例を参照してください。

IAMポリシーの背景の詳細は、ポリシーの仕組みを参照してください。

Oracle Functionsの設定およびポリシー

Oracle Functionsを使用して、いずれかのスキルのコード・カスタム・コンポーネント・コードをホストする場合は、ファンクション開発用にテナンシを構成する必要があります。これには、開発者の権限を設定することと、そのコードを含むファンクションをコールする権限をデジタル・アシスタント・インスタンスに付与することが含まれます。

一般的なステップは次のとおりです:

  1. ファンクションおよびVirtual Cloud Network (VCN)のコンパートメントを設定します。
  2. VCNを設定します。
  3. ネットワーク・アクセスの権限を設定します。
  4. ファンクション開発者の権限を設定します。
  5. デジタル・アシスタント・インスタンス(1つまたは複数)の動的グループを設定します。
  6. 動的グループにファンクションへのアクセス権を付与するポリシーを定義します。

次のトピックでは、これらのステップを簡単に説明します。詳細な背景情報が必要な場合は、ファンクション開発のためのテナンシの構成を参照してください。

ファンクションおよびネットワーク・リソースのコンパートメントの作成

テナンシでは、ファンクションとネットワーク・リソースに別々のコンパートメントを使用する必要があります。これにより、それぞれに固有のポリシーを記述できます。

コンパートメントを作成するには:

  1. インフラストラクチャ・コンソールで、左上のナビゲーション・メニュー・アイコンをクリックしてナビゲーション・メニューを開き、「アイデンティティとセキュリティ」を選択し、「コンパートメント」をクリックします。

  2. 「コンパートメントの作成」をクリックします。
  3. ファンクション専用のコンパートメントに必要な値を入力して、「コンパートメントの作成」をクリックします。
  4. 「コンパートメントの作成」を再度クリックし、ネットワーク・リソース専用のコンパートメントの値を入力します。

Virtual Cloud Network (VCN)の設定

チームがファンクションを作成してデプロイするには、ファンクションのサブネットを含むVirtual Cloud Network (VCN)が必要です。

VCNを作成する最も簡単な方法は、インターネット接続性を持つVCNウィザードを使用して必要なアーティファクトを作成することです。Oracle Cloud InfrastructureドキュメントOracle Functionsで使用するVCNおよびサブネットの作成を参照してください。

ノート

VCNはファンクションをデプロイするリージョンで作成する必要があります。

ネットワーク・アクセス権限の設定

ネットワーク・リソースを管理するユーザーの権限を設定するには:

  1. まだ作成していない場合は、これらのユーザーのグループを作成します。

    1. インフラストラクチャ・コンソールで、左上のナビゲーション・メニュー・アイコンをクリックしてナビゲーション・メニューを開き、「アイデンティティとセキュリティ」を選択し、「グループ」をクリックします。

    2. 「グループの作成」をクリックします。

    3. テナンシ内のすべてのグループに対してグループの名前が一意であることを確認し、ウィザードを完了します。これは後で変更できません。

    4. 「グループの作成」をクリックします。

  2. 適切なユーザーをグループに追加します。

    • ユーザーごとに、「ユーザーをグループに追加」をクリックして、ドロップダウン・リストからユーザーを選択し、「ユーザーの追加」をクリックします。

  3. グループに必要なポリシーを作成します:
    1. インフラストラクチャ・コンソールのナビゲーション・メニューで、「アイデンティティとセキュリティ」を選択し、「ポリシー」をクリックします。

    2. 「ポリシーの作成」をクリックします。

    3. 次のフィールドに特に注意して、ウィザードを完了します:

      • 名前: ポリシーの一意の名前を入力します。この名前は、テナンシ内のすべてのポリシー間で一意である必要があります。これは後で変更できません。
      • ステートメント: 次のポリシー・ステートメントを追加します。このとき、<group-name>および<network-resources-compartment-name>を、それぞれ適切なユーザー・グループおよびコンパートメントの名前で置き換えます:
        Allow group <group-name> to manage virtual-network-family in compartment <network-resources-compartment-name>
        ポリシーのフォーマットの詳細は、ポリシーの基本およびポリシー構文を参照してください。

ファンクション開発者の権限の設定

ファンクション開発者の権限を設定するには:

  1. まだ作成していない場合は、これらのユーザーのグループを作成します。

    1. インフラストラクチャ・コンソールで、左上のナビゲーション・メニュー・アイコンをクリックしてナビゲーション・メニューを開き、「アイデンティティとセキュリティ」を選択し、「グループ」をクリックします。

    2. 「グループの作成」をクリックします。

    3. テナンシ内のすべてのグループに対してグループの名前が一意であることを確認し、ウィザードを完了します。これは後で変更できません。

    4. 「グループの作成」をクリックします。

  2. 適切なユーザーをグループに追加します。

    • ユーザーごとに、「ユーザーをグループに追加」をクリックして、ドロップダウン・リストからユーザーを選択し、「ユーザーの追加」をクリックします。

  3. グループに必要なポリシーを作成します:
    1. インフラストラクチャ・コンソールのナビゲーション・メニューで、「アイデンティティとセキュリティ」を選択し、「ポリシー」をクリックします。

    2. 「ポリシーの作成」をクリックします。

    3. 次のフィールドに特に注意して、ウィザードを完了します:

      • 名前: ポリシーの一意の名前を入力します。この名前は、テナンシ内のすべてのポリシー間で一意である必要があります。これは後で変更できません。
      • ステートメント: 次のポリシー・ステートメントを追加します(最初のステートメントの後は毎回「+」をクリックします)。このとき、<group-name><network-resources-compartment-name>および<functions-compartment-name>を、適切なユーザー・グループおよびコンパートメントの名前で置き換えます:
        Allow group <group-name> to use virtual-network-family in compartment <network-resources-compartment-name>
Allow group <group-name> to manage functions-family in compartment <functions-compartment-name>
Allow group <group-name> to read metrics in compartment <functions-compartment-name>
Allow group <group-name> to manage logging-family in compartment <functions-compartment-name>
Allow group <group-name> to manage repos in tenancy
Allow group <group-name> to read objectstorage-namespaces in tenancy
      ノート

      最初のステートメントは、その後の3つのステートメントとは異なるコンパートメントに適用されます。最初のポリシー・ステートメントにはネットワーク・リソース用に設定したコンパートメントを指定し、次の3つのステートメントにはファンクション開発用に設定したコンパートメントを指定してください。

動的グループの作成

デジタル・アシスタントがOracle Functionsで作成された関数をコールしたり、他のOCIサービス(言語など)を起動できるようにするには、デジタル・アシスタント・サービス・インスタンス自体に権限を付与する必要があります(インスタンスのユーザーではありません)。これを行うには、まず、そのインスタンスと一致するルールを含む動的グループを作成する必要があります。その後、その動的グループにポリシーを適用して、必要な権限を付与できます。

次に、デジタル・アシスタント・インスタンスの動的グループを作成するステップを示します。

  1. インフラストラクチャ・コンソールで、左上のナビゲーション・メニュー・アイコンをクリックしてナビゲーション・メニューを開き、「アイデンティティとセキュリティ」を選択し、「動的グループ」をクリックします。
  2. 「動的グループの作成」をクリックして、「動的グループの作成」ダイアログを開きます。
  3. 「名前」および「説明」の値を入力します。

    名前は、テナンシのすべてのグループ(動的グループおよびユーザー・グループ)で一意である必要があります。これは後で変更できません。

  4. 「一致ルール」セクションで、コンポーネントへのアクセス権を与えるインスタンス(1つまたは複数)を照合するための1つ以上のルールを追加します。

    インスタンスまたはインスタンスを含むコンパートメントのルールを追加できます。

    ヒント:

    「ルール・ビルダー」リンクをクリックすると、ルール構文のヘルプを表示できます。

    特定のコンパートメントのデジタル・アシスタント・インスタンスに使用できるルールを次に示します。 

    
  resource.type = 'odainstance',
  resource.compartment.id = '<ocid-of-compartment-containing-DigitalAssistant-instance>'
  5. 「作成」をクリックします。
例: 単一インスタンスの動的グループ

次に、単一デジタル・アシスタント・インスタンスの動的グループを作成するステップを示します。

  1. インスタンスのOCIDを取得します。これを行うには次のステップに従います:
    1. インフラストラクチャ・コンソールで、左上のナビゲーション・メニュー・アイコンをクリックしてナビゲーション・メニューを開き、「分析およびAI」を選択して、「デジタル・アシスタント」(ページの「AIサービス」カテゴリ内に表示される)を選択します。
    2. 「コンパートメント」パネルからコンパートメントを選択します。
    3. インスタンスを選択します。
    4. このページの「インスタンス情報」セクションで、インスタンスのOCIDの「コピー」リンクをクリックします。
  2. インフラストラクチャ・コンソールのナビゲーション・メニューで、「アイデンティティとセキュリティ」を選択し、「動的グループ」をクリックします。
  3. 「動的グループの作成」をクリックして、「動的グループの作成」ダイアログを開きます。
  4. 「名前」および「説明」の値を入力します。
  5. 「ルール・ビルダー」リンクをクリックします。
  6. 「一致ルールの作成」ダイアログの「インスタンスとの一致」フィールドで、「インスタンスOCID」を選択します。
  7. 「値」フィールドに、コピーしたOCIDを貼り付けます。
  8. 「ルールの追加」をクリックします。
  9. 「作成」をクリックします。

Oracle Functionsにアクセスするためのポリシーの作成

インスタンスによってOracle Functionsのファンクションを起動できるするために動的グループを作成したら、その動的グループがファンクションにアクセスするためのポリシーを作成します:

  1. インフラストラクチャ・コンソールで、左上のナビゲーション・メニュー・アイコンをクリックしてナビゲーション・メニューを開き、「アイデンティティとセキュリティ」を選択し、「ポリシー」をクリックします。

    表示しているコンパートメント内のポリシーのリストが表示されます。

  2. コンパートメントのリストから、ポリシーをアタッチするコンパートメントを選択します。これによって、後でポリシーの変更または削除を行えるユーザーが制御されます(ポリシー・アタッチメントを参照してください)。

  3. 「ポリシーの作成」をクリックします。

  4. 次のフィールドに特に注意して、ウィザードを完了します:

    • 名前: ポリシーの一意の名前を入力します。この名前は、テナンシ内のすべてのポリシー間で一意である必要があります。これは後で変更できません。
    • ステートメント: 次のフォーマットでポリシー・ステートメントを入力します:
      Allow dynamic-group <name_of_your_dynamic_group> to use fn-invocation in compartment <name_of_your_Functions_compartment>

OCI言語のポリシー

デジタル・アシスタントでOCI言語翻訳サービスとして構成する場合は、適切なポリシーを作成して、デジタル・アシスタント・インスタンスに使用権限を付与する必要があります。

スキルおよびデジタル・アシスタントでOCI Languageサービスを使用するために必要な設定ステップおよびポリシー(またはポリシー)は、デジタル・アシスタント・インスタンスの設定方法、およびOCI Languageサービスを同じOCIテナンシで使用できるかどうかによって異なります。

同じテナンシでのOCI言語の設定

OCI Universal Creditプログラムを介してデジタル・アシスタント・インスタンスをプロビジョニングした場合は、一般的なステップは次のとおりです:

  1. テナンシのOCIコンソールで、OCI Languageサービスをサブスクライブします。
  2. オプションで、OCI言語をコールするデジタル・アシスタント・インスタンスの動的グループを作成します。「動的グループの作成」を参照してください。
  3. デジタル・アシスタント・インスタンスが言語サービスを使用できるようにするポリシーを作成します。

    動的グループがない場合、ポリシーは次の形式になります。

    Allow any-user to use ai-service-language-family in compartment <name_of_your_compartment> where request.principal.id='<ocid_of_your_Digital_Assistant_instance>'
    動的グループがある場合、ポリシーは次の形式になります。
    Allow dynamic-group <name_of_your_dynamic_group> to use ai-service-language-family in compartment <name_of_your_Language_compartment>

    OCIコンソールでポリシーを作成するステップは、ポリシーの作成を参照してください。

別のテナンシでのOCI言語の設定

OCI LanguageサービスがOracle Digital Assistantと同じOCIテナンシで使用できない場合は、Universal Creditモデル(UCM)テナンシをプロビジョニングし、テナンシが相互に機能するように構成する必要があります。これは、次の場合に適用されます:

  • Oracle Digital Assistant Platform for SaaSサブスクリプションがあり、そのOCIテナンシでデジタル・アシスタント・インスタンスを使用しています。

    この場合、Oracle Digital Assistantテナントとクライアント(UCM)テナントの両方のポリシーが必要です。

  • デジタル・アシスタント・インスタンスは、FusionベースのOracle Cloud Applicationsサービスのサブスクリプションでペアリングされます

    この場合、クライアント(UCM)テナントに対するポリシーのみが必要です。

どちらの場合も、クライアント・テナントのポリシーに、Oracle Supportにサービス・リクエスト(SR)を提出して取得するUCMベースのテナントのOracle Cloud Identifier (OCID)を指定する必要があります。

Oracle Digital Assistant Platform for SaaSサブスクリプションがあり、そのOCIテナンシでデジタル・アシスタントを使用している場合のステップを次に示します。

  1. Universal Creditプログラム・テナンシで、OCI Languageサービスをサブスクライブします。
  2. OCI Languageサブスクリプションがあるテナンシで、次の形式でadmitポリシーを追加します:
    define tenancy digital-assistant-tenancy as <tenancy-ocid> 
admit any-user of tenancy digital-assistant-tenancy to use ai-service-language-family in compartment <chosen-compartment> where request.principal.id = '<digital-assistant-instance-OCID>'
  3. デジタル・アシスタント・インスタンスがあるOCIテナンシで、次の形式でendorseポリシーを追加します:
    endorse any-user to use ai-service-language-family in any-tenancy where request.principal.type = '<ocid_of_your_Digital_Assistant_instance>'

    OCIコンソールでポリシーを作成するステップは、ポリシーの作成を参照してください。

デジタル・アシスタント・インスタンスがFusionベースのOracle Cloud Applicationsサービスのサブスクリプションでペアリングされているが、Oracle Digital Assistant Platform for SaaSサブスクリプションを持っていない場合のステップを次に示します:

  1. Oracle CloudのUniversal Creditプログラムを通じて、別のOracle Cloudテナンシを入手しましょう。「Oracle Cloudサブスクリプションの購入」を参照してください。
  2. Universal Creditプログラム・テナンシで、OCI Languageサービスをサブスクライブします。
  3. Oracle Supportにサービス・リクエスト(SR)を送信して、次のことを行います。
    • Oracle管理のデジタル・アシスタント・インスタンスにポリシーを作成して、OCI Languageサービスを使用できるようにします。
    • UCMテナンシのポリシー定義で使用できるOracle管理のデジタル・アシスタント・インスタンスのOCIDを決定し、デジタル・アシスタント・インスタンスに言語サービスへのアクセス権限を付与します。

    SRに次の情報を提供すること。

    • OCI Languageサービスに使用しているUCMテナンシのルート・コンパートメントのOCID。(Oracle Supportは、これを使用してデジタル・アシスタント・インスタンスにポリシーを作成し、OCI Languageサービスを使用できるようにします。)
    • デジタル・アシスタント・インスタンスのUIのURL。(これは、次のステップで作成するadmitポリシーで必要なOCIDをサポートに提供できるようにするためです。)
  4. OCI Languageをサブスクライブしたテナンシで、デジタル・アシスタントがOCI Languageを使用できるようにするポリシーを作成します。文では、サービス・リクエストの結果として付与されるOCIDを使用します。文は次の書式を使用します。
    define tenancy digital-assistant-tenancy as <tenancy-ocid> 
admit any-user of tenancy digital-assistant-tenancy to use ai-service-language-family in compartment <chosen-compartment> where request.principal.id = '<digital-assistant-instance-OCID>'

    OCIコンソールでポリシーを作成するステップは、ポリシーの作成を参照してください。

ロールベースのアクセスおよびアイデンティティ・ドメイン

デジタル・アシスタント・インスタンスの作成時に、そのインスタンスのロールベースのアクセスを有効にしている場合は、アイデンティティ・ドメイン内のOracle Cloud Infrastructure IAMグループおよびユーザーにロールを割り当てることができます。

デジタル・アシスタント・インスタンスがプロビジョニングされているテナンシには、ルート・コンパートメントにデフォルトのアイデンティティ・ドメインが含まれます。アイデンティティ・ドメイン機能が有効になる前にテナンシがすでに存在していた場合、アイデンティティ・ドメインが有効なときにテナンシに存在していたすべてのユーザーおよびグループがデフォルトのアイデンティティ・ドメインに含まれます。

ルート・コンパートメントまたは他のコンパートメントで、テナントに追加のアイデンティティ・ドメインを作成できます。たとえば、次のような操作を実行できます。

  • ルート(デフォルト)コンパートメントには、管理者専用のデフォルト・ドメインを作成します。
  • 別のコンパートメント(Devなど)で、開発環境のユーザーおよびグループ用のドメインを作成します
  • 別のコンパートメント(Prodなど)で、本番環境のユーザーおよびグループ用のドメインを作成します。

アイデンティティ・ドメインの作成

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。「ドメイン」ページが表示されます。
  2. まだ選択していない場合は、ドメインを作成するコンパートメントを選択します。
  3. 「ドメインの作成」をクリックします。
  4. 「ドメインの作成」ページで必要な情報を入力します。Oracle Cloud Infrastructureドキュメントのアイデンティティ・ドメインの作成 を参照してください。

IAMのユーザー・ロール

デジタル・アシスタントのインスタンスがロールベースのアクセス用に設定されている場合は、次のいずれかのロールを割り当てて、チーム・メンバーにインスタンスへのアクセス権を付与します。

  • ServiceBusinessUser.このロールは、ビジネス・ユーザーがスキルおよびデジタル・アシスタントがどのように使用されているかを分析するために設計されています。このロールを持つユーザーは、次の操作を行うことができます。
    • すでに作成されているスキル、デジタル・アシスタントおよびチャネルを表示します。
    • スキルのドラフト・バージョンに発話を追加するためのリトレーナの使用など、スキルおよびデジタル・アシスタントにインサイト機能を使用します。
  • ServiceDeveloper.このロールは、スキルやデジタル・アシスタントを拡張、更新、開発する開発者向けに設計されています。この役割を持つユーザーは、次のことを実行できます:
    • スキルとデジタル・アシスタントを開発、テスト、トレーニング、導入し、チャネルを作成します。
    • スキルおよびデジタル・アシスタントには、リトレーナを使用してスキルのドラフト・バージョンに発話を追加するなど、インサイト機能を使用します。
  • ServiceAdministrator.このロールは管理者向けに設計されており、データのパージや公開済スキルの削除などの操作を行う権限を付与します。この役割を持つユーザーは、次のことを実行できます:
    • Oracle Digital AssistantインスタンスのOCIコンソールにアクセスします。
    • スキルとデジタル・アシスタントを開発、テスト、トレーニング、導入し、チャネルを作成します。
    • スキルおよびデジタル・アシスタントには、リトレーナを使用してスキルのドラフト・バージョンに発話を追加するなど、インサイト機能を使用します。

アイデンティティ・ドメインでのユーザーの作成

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
  2. まだ選択されていない場合は、新しいユーザーを追加するグループを含むドメインが存在するコンパートメントを選択します。
  3. 「名前」列で、ユーザーを作成するグループのドメインをクリックします。
  4. 「ユーザー」をクリックします
  5. 「ユーザーの作成」をクリックします
  6. 「ユーザーの作成」画面で、ユーザーの姓名とそのユーザー名を入力し、ユーザーに割り当てる1つ以上のグループを選択します。
  7. 「作成」をクリックします。

    新しいユーザーは選択したグループに追加され、ポリシー・ステートメントによってグループに割り当てられた権限を保有します。

  8. 表示されるユーザー詳細ページで、必要に応じてユーザー情報を編集し、ユーザーのパスワードをリセットできます。
  9. クラウド・アカウントへのサインインに必要な資格証明を新しいユーザーに提供します。サインイン時に、新しいパスワードを入力するように求められます。

アイデンティティ・ドメインでのグループの作成

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
  2. まだ選択されていない場合は、グループを作成するドメインが存在するコンパートメントを選択します。
  3. 「名前」列に、instances.Theドメイン概要ページを作成および管理するためのグループを作成するドメインが表示されます。
  4. 「グループ」をクリックします。ドメインの「グループ」ページが表示されます。
  5. 「グループの作成」をクリックします。
  6. 「グループの作成」画面で、グループに名前(たとえば、oci-integration-admins)を割り当て、説明を入力します。
  7. 「作成」をクリックします。

アイデンティティ・ドメインでのロールの割当て

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
  2. まだ選択されていない場合は、デジタル・アシスタント・ロールを割り当てるユーザーまたはグループを含むドメインが存在するコンパートメントを選択します。
  3. 「名前」列で、ロールを割り当てるユーザーまたはグループのドメインをクリックします。
  4. ナビゲーション・ペインで、「Oracle Cloud Services」をクリックします。
  5. 「名前」列で、グループ・ロールを割り当てるデジタル・アシスタント・インスタンスをクリックします。
  6. ナビゲーション・ペインで、「アプリケーション・ロール」をクリックします。
  7. 「アプリケーション・ロール」リストで、割り当てるロールを見つけます。右端のメニュー・アイコンをクリックし、「グループの割当て」または「ユーザーの割当て」を選択します。
  8. サービス・ロールを割り当てるユーザーまたはグループを選択し、「割当て」をクリックします。