グループに対するOracle Identity Cloud Serviceロールの管理

ここでは、Oracle Identity Cloud Serviceで作成したグループのロールの管理について説明します。

Oracle Identity Cloud Serviceのグループ・ロールについて

ロールをグループに割り当て、Oracle Identity Cloud Serviceで定義されている事前定義済ロールを持つOracle Cloudサービスにアクセスできます。サービス・インスタンスのみにアクセス権を付与することもできます。

Identity Cloud Serviceで管理されるサービスでは、次の2つのタイプの事前定義済のロールを使用できます。

サービス・アクセス・ロール - サービスを使用するためのアクセス権を付与します。
インスタンス・アクセス・ロール - サービスの特定のインスタンスへのアクセス権を付与します。これらの権限は、インスタンスの作成後にのみ付与できます。

より複雑なロール管理の詳細は、Oracle Identity Cloud Serviceグループの管理を参照してください。

各サービスで使用可能なロール

サービス固有のロールは、Oracle Cloudサービスごとに異なりますが、通常は、少なくとも1つの管理者ロールが含まれます。管理者ロールの詳細は、サービス管理者ロールについてを参照してください。このサービスの事前定義済ロールの詳細は、サービス固有のドキュメントを参照してください。

ロールの管理に必要な権限

Oracle Cloud Infrastructureコンソールを使用してロールを管理する前に、「アイデンティティ・プロバイダの詳細」ページへのアクセスを許可されている必要があります。このページにアクセスするには、アイデンティティ・プロバイダの検査を許可されているグループに属している必要があります。クラウド管理者である場合、またはOCI_Administratorsグループに属している場合は、この権限が含まれます。この権限を非管理者に付与するには、次のようなポリシーを作成する必要があります。

Allow group GroupA to inspect identity-providers in tenancy

GroupAを権限付与先のグループの名前に置き換えます。

サービス・ロールを管理するには、そのサービスの管理者ロールが割り当てられている必要があります。

コンソールでのグループ・ロールの管理

ロールをグループに追加するには

ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「フェデレーション」をクリックします。
Oracle Identity Cloud Serviceフェデレーションをクリックします。ほとんどのテナンシで、フェデレーションの名前はOracleIdentityCloudServiceになります。「アイデンティティ・プロバイダの詳細」ページが表示されます。
「グループ」をクリックします。

グループのリストが表示されます。
ロールを追加するグループの名前をクリックします。
グループ詳細ページで、「ロールの管理」をクリックします。「ロールの管理」ページに、管理者アクセス権を持つサービスのリストが表示されます。このグループにすでに付与されているサービス・ロールとインスタンス・ロールも表示されます。

管理者アクセス権がないサービスは表示されないことに注意してください。
このグループのアクセス権を編集するサービスを検索し、「アクション」メニュー()、「サービス・アクセスの管理」の順にクリックします。選択したサービスのロールのリストが表示されます。
グループに割り当てる各ロールを選択します。
「ロール選択の保存」をクリックします。
このグループにサービス・ロールをさらに追加するには、ステップ6から8を繰り返します。
「ロール設定の適用」をクリックします。
確認ダイアログで「グループへの電子メールの送信」をクリックし、グループの各メンバーにこの変更を通知する電子メールを送信します。

電子メール・クライアントが起動し、影響を受けるユーザーにアクセスの変更についての情報を示すデフォルトの電子メール・メッセージが表示されます。電子メールを作成されたとおりに送信することも、送信前に変更を加えることもできます。
コンソールに戻り、「閉じる」をクリックします。

グループからロールを取り消すには

ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「フェデレーション」をクリックします。
Oracle Identity Cloud Serviceフェデレーションをクリックします。ほとんどのテナンシで、フェデレーションの名前はOracleIdentityCloudServiceになります。「アイデンティティ・プロバイダの詳細」ページが表示されます。
「グループ」をクリックします。

グループのリストが表示されます。
ロールを削除するグループの名前をクリックします。
グループ詳細ページで、「ロールの管理」をクリックします。「ロールの管理」ページに、管理者アクセス権を持つサービスのリストが表示されます。このグループにすでに付与されているサービス・ロールとインスタンス・ロールも表示されます。

管理者アクセス権がないサービスは表示されないことに注意してください。
このグループのアクセス権を編集するサービスを検索し、「アクション」メニュー()をクリックして、適宜「サービス・アクセスの管理」または「インスタンス・アクセスの管理」をクリックします。選択したサービスのロールのリストが表示されます。
グループから削除する各ロールのチェックボックスを選択します。
適宜「ロール選択の保存」または「インスタンス設定の更新」をクリックします。
このグループからさらにサービス・ロールまたはインスタンス・ロールを取り消すには、ステップ6から8までを繰り返します。
「ロール設定の適用」をクリックします。
確認ダイアログに、このセッションでアクセスを変更したサービスが表示されます。「閉じる」をクリックします。

コンソールでのインスタンス・ロールの管理

一部のサービスでは、サービスのインスタンスに対するアクセス権を付与できます。ユーザー(または組織内のユーザー)がインスタンスを作成したら、この手順を使用してインスタンスへのグループ・アクセスを管理します。

インスタンスへのグループ・アクセスの管理

ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「フェデレーション」をクリックします。
Oracle Identity Cloud Serviceフェデレーションをクリックします。ほとんどのテナンシで、フェデレーションの名前はOracleIdentityCloudServiceになります。「アイデンティティ・プロバイダの詳細」ページが表示されます。
「グループ」をクリックします。

グループのリストが表示されます。
グループ詳細ページで、「ロールの管理」をクリックします。「ロールの管理」ページに、管理者アクセス権を持つサービスのリストが表示されます。このグループにすでに付与されているサービス・ロールとインスタンス・ロールも表示されます。

管理者アクセス権がないサービスは表示されないことに注意してください。
このグループのアクセス権を編集するインスタンスを含むサービスを検索し、「アクション」メニュー()をクリックして、「インスタンス・アクセスの管理」をクリックします。選択したサービスのインスタンスのリストが表示されます。
インスタンスへのアクセスの管理ページで、このグループのアクセス権を編集するインスタンスの名前を検索します。
- このインスタンスへのアクセス権を付与するには、「インスタンス・ロール」列で、グループに付与するロールを選択します。リストから複数のロールを選択できます。
- このインスタンスへのアクセス権を削除するには: 「インスタンス・ロール」列で、グループから削除するロールの横にある「x」をクリックします。
このサービスに対するロールの編集が終了したら、「インスタンス設定の更新」をクリックします。
このグループのインスタンス・ロールをさらに編集するには、ステップ6から7を繰り返します。
「ロールの管理」ページで、「ロール設定の適用」をクリックします。
ロールを追加した場合は、確認ダイアログで「グループへの電子メールの送信」をクリックし、グループの各メンバーにこの変更を通知する電子メールを送信します。電子メール・クライアントが起動し、影響を受けるユーザーにアクセスの変更についての情報を示すデフォルトの電子メール・メッセージが表示されます。電子メールを作成されたとおりに送信することも、送信前に変更を加えることもできます。コンソールに戻り、「閉じる」をクリックします。

ロールを取り消すと、確認ダイアログに、このセッションでアクセス権を変更したサービスが表示されます。「閉じる」をクリックします。