Oracle Cloud Infrastructureドキュメント

アクセス・バンドルの作成

アクセス・バンドルは、リソース、アプリケーション機能および機能へのアクセスをリクエスト可能なユニットにパッケージ化する権限の集合です。特定のアクセス・バンドルは、単一のターゲットに関連付けられます。

概要

アクセス・バンドルでは、各権限へのアクセス権を個別に付与する必要はありませんが、そのリソースのアクセス・バンドルをリクエストできます。これにより、リソース権限を持つアカウントのプロビジョニング・プロセスが簡略化されます。

: ターゲット・アプリケーションのOracle Apexを使用して、開発者のアクセス・バンドルを作成できます。このバンドルをApex Developer Accessと呼び、開発者がアプリケーションを使用するために必要な読取り権限、編集権限および作成権限を選択できます。組織内の開発者がApexへの開発者アクセスをリクエストする必要がある場合、開発者はバンドルをリクエストするだけで、3つの個別の権限はリクエストできません。これらの権限は、Oracle Access Governanceポリシーを使用して自動割当てできます。

Oracle Access Governanceのアクセス・バンドルを使用したアクセスの管理

Microsoft Entra ID (以前のAzure Active Directory)およびMicrosoft Active Directoryのグループを管理できます。

Oracle Cloud Infrastructure(OCI)オーケストレート・システム
権限を管理するドメインの場合、権限はOCI IAMグループおよびアプリケーション・ロールとしてパッケージ化されます。次のことを実行できます。
  • グループ割当て: アクセス・バンドルにOCI IAMグループをバンドルします。このグループは、ポリシーまたはアクセス・リクエストを介してアイデンティティに割り当てることができます。
  • アプリケーション・ロールの割当て: OCIクラウド・サービスのアプリケーション・ロールをアクセス・バンドルにバンドルします。アクセス・バンドルは、ポリシーまたはアクセス・リクエストを介してアイデンティティに割り当てることができます。

アクセス・バンドルに移動

「アクセス・バンドル」ページに移動するには:

  1. 管理者またはアクセス制御管理者アプリケーション・ロールのいずれかが割り当てられたユーザーでOracle Access Governanceコンソールにサインインします。
  2. 次のいずれかのオプションを選択して、「アクセス・バンドル」ページにナビゲートできます:
    • ナビゲーション・メニューナビゲーション・メニュー・アイコンをクリックし、「アクセス制御」「アクセス・バンドル」を選択します。
    • コンソールのホームページで、「アクセス制御」タブをクリックし、「アクセス・バンドルの管理」タイルの「選択」ボタンをクリックします。
    どちらのオプションを選択しても、「アクセス・バンドル」ページにナビゲートし、アクセス・バンドルを作成、表示および管理できます。
  3. 新しいアクセス・バンドルを作成するには、「アクセス・バンドルの作成」ボタンをクリックします。「新規アクセス・バンドルの作成」ページが表示されます。

バンドルの設定

「バンドル設定」タスクで、アクセス・バンドルに関する一般設定を入力できます。また、ポリシーの作成時にこのアクセス・バンドルの検索に使用できるわかりやすいタグを追加することもできます。

  1. 「このバンドルを使用するシステムは何ですか。」フィールドで、オーケストレート済システムを選択します。
    統合システムから取り込まれたデータに応じて、選択可能なアプリケーションが表示されます。
  2. [OCI-only]アプリケーション・ロールまたはOCI IAMグループを選択する「どのドメイン?」フィールドでドメインを選択します。
  3. [OCI-only] 「権限のタイプ」フィールドで、次のいずれかを選択します。
    • アプリケーション・ロール: OCIアプリケーション・ロールをアクセス・バンドルにパッケージ化し、アイデンティティに割り当てます。
    • グループ・アクセス: アクセス・バンドルにOCI IAMグループをパッケージ化して割り当てます。
    アプリケーション・ロールグループ・アクセスを1つのアクセス・バンドルに組み合せることはできません。Oracle Access Governanceでロールを作成し、2つの個別のアクセス・バンドルを関連付けることができます。これらは、セルフ・サービス・フローを介してリクエストすることも、Oracle Access Governanceポリシーを介してプロビジョニングすることもできます。詳細は、Manage Rolesを参照してください。
  4. 使用可能な選択肢から、このバンドルをリクエストできるユーザーを選択します。
    • 全員: すべてのアイデンティティが、このアクセス・バンドルへのアクセスをリクエストできます。
    • 誰もいない: アクセス・バンドルは、ポリシーを介して管理者のみが割り当てることができます。セルフサービス・フローを介してこのアクセス・バンドルへのアクセスを要求することはできません。
    • 組織のメンバー: セルフサービス・フローを介してこのバンドルへのアクセスをリクエストできるのは、特定の組織のメンバーのみです。Oracle Access Governance Organizationの管理の詳細は、組織の作成と管理を参照してください。
  5. 「組織のメンバー」で、このアクセス・バンドルへのアクセスをリクエストできる1つ以上の組織名を選択します。
  6. 「どの承認ワークフローを使用するか」フィールドで、適切な承認ワークフローを選択します。
    表示されるリストは、Oracle Access Governanceコンソールで作成されたカスタム承認ワークフローに基づいています。詳細は、承認ワークフローの作成を参照してください。
    ノート

    「誰もいない」を選択した場合、ポリシーを使用してアクセス・バンドルをプロビジョニングできるため、このフィールドは無効になります。
  7. 「アクセス・ガードレール違反またはSoD違反のないリクエストの自動承認」チェック・ボックスを選択すると、アクセス・リクエストによってアクセス・ガードレールまたは職務分掌(SoD)に対する違反が発生した場合にのみ、選択した承認ワークフローがトリガーされます。それ以外の場合は、リクエストが自動承認されます。
  8. 「タグを追加しますか。」フィールドで、このアクセス・バンドルのタグを1つ以上選択します。たとえば、 General-org Database Admin などです。
  9. 「アクセスを許可するために必要なアクセス・ガードレールを選択」リストで、適切なアクセス・ガードレールを選択して、アクセス・バンドルの職務または制約のアクセス分離を強制します。詳細は、アクセス・ガードレール- 予防的アクセス制御制約の施行を参照してください。
  10. 「次へ」をクリックして、権限の選択タスクに進みます。

権限の選択

「権限の選択」タスクでは、このアクセス・バンドルに含める権限を選択できます。オーケストレート済システムに基づいて、アカウント・プロビジョニングに必要な追加属性が表示される場合があります。デフォルト属性の詳細は、調整済の特定のシステム記事を参照してください。OCIの場合、OCI IAMグループまたはアプリケーション・ロールを選択できます。

  1. ターゲット・アプリケーションに関連付けられた1つ以上の権限を選択します。あるいは、「検索」フィールドを使用して、必要な権限またはロールを検索することもできます。
  2. 権限を選択したら、「次へ」をクリックして「詳細の追加」タスクに移動します。

プライマリ所有者と追加所有者の追加

リソース所有権を関連付けるには、プライマリ所有者と追加所有者を追加します。これにより、これらの所有者は所有するリソースを管理(読取り、更新または削除)できるため、セルフサービスが促進されます。デフォルトでは、リソース作成者はリソース所有者として指定されます。1人のプライマリ所有者と最大20人の追加所有者をリソースに割り当てることができます。

リソース所有権を割り当てるには、アクティブなOracle Access Governanceユーザーが必要です。サービス・インスタンスに対して最初のオーケストレート済システムを設定する場合、「アイデンティティの管理」セクションからアイデンティティを有効にした後にのみ、所有者を割り当てることができます。
リソース所有権を割り当てるために特別なアプリケーション・ロールは必要ありません。任意のOracle Access Governanceアクティブ・ユーザーをリソースの所有者として割り当てることができます。すべての所有者は、所有するリソースの読取り、更新または削除を実行できます。ただし、キャンペーンで所有権レビューを実行するために承認ワークフローで所有者テンプレートを選択すると、「プライマリ所有者」がアクセス・レビューアとして割り当てられます。詳細は、Oracle Access Governanceで提供されるアクセス・レビューのタイプを参照してください。
  1. Oracle Access Governanceのナビゲーション・メニュー・アイコンナビゲーション・メニューから、「Service Administration」→「Orchestrated Systems」を選択します。
  2. 構成するオーケストレート済システムのアクション・メニューアクション・メニューから「統合の管理」オプションを選択します。選択したオーケストレート済システムの統合の管理ページが表示されます。
  3. ページの「システム設定」セクションで、「所有権設定」タイルの「管理」を選択します。これにより、選択したオーケストレート済システムの所有権設定ページが表示されます。
  4. 「プライマリ所有者は誰ですか。」フィールドで、Oracle Access Governanceのアクティブ・ユーザーをプライマリ所有者として選択します。
  5. 「他の所有者は誰ですか。」リストで、1つ以上の追加所有者を選択します。リソースに最大20人の追加所有者を追加できます。
    リストの「プライマリ所有者」を表示できます。すべての所有者は、所有するリソースを表示および管理できます。

時間制限アクセス

アクセスを日数または時間数で制限するには、有効期限を設定します。また、失効時にアクセスが取り消される前に、ユーザーが拡張をリクエストできるようにすることもできます。期限付きアクセスにより、アイデンティティは必要な期間のみアクセスできるようになり、セキュリティが向上します。

時間制限付きアクセスは、セルフサービス・アクセス・リクエストにのみ適用され、ポリシーを介してアクセスが付与される場合には適用されません。
  1. アクセスを許可する期間: 次のいずれかを選択します。
    1. 無期限: 時間制限なしで永続的なアクセスを許可します。アクセスが取り消されるのは、手動で取り消された場合、またはアカウントが無効になっている場合のみです。
    2. 最大日数[1-365]: アクセス権を付与する最大日数を入力します。アクセスはこの期間後に取り消されます。
    3. 最大時間数[1-24]: アクセスを許可する最大時間数を入力します。アクセスは、指定した時間後に取り消されます。
  2. 失効までに何日/時間前に通知を送信しますか。: アクセスする日数または時間数の選択に基づいて、失効までの日数または時間数を入力して、ユーザーにEメール通知を送信します。
  3. 許可される最大延長日数/時間数は何ですか。: アクセスの日数または時間数の選択に基づいて、アクセスの期限が切れた後の延長に許可される最大日数/時間数を入力します。許可されている場合、アイデンティティは「マイ・アクセス」ページからセルフサービス・アクセス拡張リクエストを発行できます。
    • アクセス・バンドルが時間制限の場合、拡張期間はアクセス・バンドルの構成によって決定されます。
    • アクセス・バンドルが無期限の場合、拡張はデフォルトで最大90日間許可されます。
  4. 拡張リクエストに使用する承認ワークフローはどれですか。: 拡張リクエストの承認に使用する適切な承認ワークフローを選択します。

詳細の追加

この「詳細の追加」タスクでは、アクセス・バンドルに名前を付け、サポート説明を追加し、アカウント・プロファイルを添付できます。

  1. 「名前」フィールドにアクセス・バンドルの名前を入力します。
  2. 「説明」フィールドに、アクセス・バンドルの説明を追加します。
    ノート

    画面のその他のフィールドは、前のタスクで選択したターゲット・タイプおよび権限によって異なります。
  3. 「アカウント・プロファイルを使用しますか。」フィールドで、次のいずれかのアクションを選択します。詳細は、「Oracle Access Governanceでのアカウント・プロファイルの設定」を参照してください。
    • はい: 「どのアカウント・プロファイル?」リストからアカウント・プロファイルを選択します。
    • いいえ: 管理対象システムに応じて表示される他のフィールドに値を入力します。
  4. 「次」をクリックして、「確認および送信」タスクに進みます。

レビューおよび送信

「確認および送信」タスクには、前のタスクで追加した情報が表示されます。

すべてが正しく見える場合は、「作成」をクリックしてアクセス・バンドルを作成します。追加アクションを選択できます。
  • 取消: プロセスを取り消します。
  • 戻る: 前のステップに戻ります。
  • ドラフトとして保存: アクセス・バンドルをドラフト・コピーとして保存します。これにより、アクセス・バンドルが「アクセス・バンドル」画面に「ドラフト」ステータスで表示されます。