ユーザーのOracle Identity Cloud Serviceロールの管理

ロールをユーザーに割り当て、Oracle Identity Cloud Serviceで定義されている事前定義済のロールを持つOracle Cloudサービスにアクセスできるようにすることができます。サービス・インスタンスのみにアクセス権を付与することもできます。

Identity Cloud Serviceで管理されるサービスでは、次の2つのタイプの事前定義済のロールを使用できます。

• サービス・アクセス・ロール - サービスを使用するためのアクセス権を付与します。
• インスタンス・アクセス・ロール - サービスの特定のインスタンスへのアクセス権を付与します。これらは、インスタンスの作成後にのみ付与できます

その他の管理権限の割当てなど、より複雑なロール管理の詳細は、Oracle Identity Cloud Serviceユーザーの管理を参照してください。

サービス固有のロールは、Oracle Cloudサービスごとに異なりますが、通常は、少なくとも1つの管理者ロールが含まれます。管理者ロールの詳細は、サービス管理者ロールについてを参照してください。このサービスの事前定義済ロールの詳細は、サービス固有のドキュメントを参照してください。

Oracle Cloud Infrastructureコンソールを使用してロールを管理する前に、「アイデンティティ・プロバイダの詳細」ページへのアクセスを許可されている必要があります。このページにアクセスするには、アイデンティティ・プロバイダの検査を許可されているグループに属している必要があります。この権限を非管理者に付与するには、次のようなポリシーを作成する必要があります。

allow group GroupA to {USAGE_BUDGET_READ} in tenancy
allow group GroupA to {USAGE_BUDGET_INSPECT} in tenancy
allow group GroupA to {USAGE_BUDGET_MANAGE} in tenancy
allow group GroupA to {TENANCY_INSPECT} in tenancy

GroupAを権限付与先のグループの名前に置き換えます。

別のユーザーのサービス・ロールを管理するには、Oracle Identity Cloud Serviceで適切なロールが割り当てられている必要があります。管理者ロールの理解を参照してください。

1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」を選択します。「アイデンティティ」で、「ユーザー」を選択します。テナンシのユーザーのリストが表示されます。

   デフォルトでは、すべてのアイデンティティ・プロバイダに属するユーザーが表示されます。Identity Cloud Serviceのフェデレーションに属するユーザーのみを表示するには、他のアイデンティティ・プロバイダのチェックボックスを選択解除します。

2. 編集するユーザーの名前をクリックします。

3. ユーザー詳細ページで、「ロールの管理」をクリックします。「ロールの管理」ページに、管理者アクセス権を持つサービスのリストが表示されます。このユーザーにすでに付与されているサービス・ロールとインスタンス・ロールも表示されます。

   管理者アクセス権がないサービスは表示されないことに注意してください。

4. このユーザーのアクセス権を編集するサービスを検索し、「アクション」メニュー()をクリックして、適宜「サービス・アクセスの管理」または「インスタンス・アクセスの管理」をクリックします。選択したサービスのロールのリストが表示されます。

5. ユーザーのアクセス権を次のように編集します。

   • ユーザーに付与する各ロールを選択します。

   • ユーザーから削除する各ロールの横の「x」をクリックします。グループを通じて付与されたロールは削除できないことに注意してください。これらのロールは読取り専用です。

     ノート
     
     ユーザーにクラウド・アカウント管理者ロールが割り当てられている場合、そのユーザーの個別の資格ロールは削除できません。
6. 適宜「ロール設定の適用」または「インスタンス設定の更新」をクリックします。
7. ロールをユーザーに付与する場合は、確認ダイアログで「ユーザーへの電子メールの送信」をクリックし、この変更を通知する電子メールをユーザーに送信します。

8. ユーザーに送信できるデフォルトの電子メール・メッセージとともに電子メール・クライアントが起動します。図に示すように電子メールを送信することも、送信前に変更を加えることもできます。

9. コンソールに戻り、「閉じる」をクリックします。

一部のサービスでは、サービスのインスタンスに対するアクセス権を付与できます。ユーザー(または組織内のユーザー)がインスタンスを作成した後、この手順を使用して、インスタンスへの個々のユーザー・アクセスを管理します。

インスタンスへのユーザー・アクセスの管理

1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」を選択します。「アイデンティティ」で、「ユーザー」を選択します。

   テナンシのユーザーのリストが表示されます。

   デフォルトでは、すべてのアイデンティティ・プロバイダに属するユーザーが表示されます。Identity Cloud Serviceのフェデレーションに属するユーザーのみを表示するには、他のアイデンティティ・プロバイダのチェックボックスを選択解除します。

2. 編集するユーザーの名前をクリックします。

3. ユーザー詳細ページで、「ロールの管理」をクリックします。「ロールの管理」ページに、管理者アクセス権を持つサービスのリストが表示されます。このユーザーにすでに付与されているサービス・ロールとインスタンス・ロールも表示されます。

   管理者アクセス権がないサービスは表示されないことに注意してください。

4. このユーザーのアクセス権を編集するインスタンスを含むサービスを検索し、「アクション」メニュー()、「インスタンス・アクセスの管理」の順にクリックします。選択したサービスのインスタンスのリストが表示されます。

5. 「インスタンスへのアクセスの管理」ページで、このユーザーのアクセス権を編集するインスタンスの名前を検索します。

   このインスタンスへのアクセス権を付与するには:

   「インスタンス・ロール」列で、ユーザーに付与するロールを選択します。リストから複数のロールを選択できます。

   このインスタンスへのアクセス権を削除するには:

   「インスタンス・ロール」列で、ユーザーから削除するロールの横の「x」をクリックします。

6. ロールの編集が終了したら、「インスタンス設定の更新」をクリックします。
7. 「ロールの管理」ページで、「ロール設定の適用」をクリックします。
8. ロールをユーザーに付与する場合は、確認ダイアログで「ユーザーへの電子メールの送信」をクリックし、この変更を通知する電子メールをユーザーに送信します。
9. ユーザーに送信できるデフォルトの電子メール・メッセージとともに電子メール・クライアントが起動します。図に示すように電子メールを送信することも、送信前に変更を加えることもできます。
10. コンソールに戻り、「閉じる」をクリックします。