Oracle Cloud Infrastructureドキュメント

アイデンティティ・コレクションの作成

アイデンティティ・コレクションは、共有属性または名前付きアイデンティティに基づくアイデンティティのグループです。アイデンティティ・コレクションは、アイデンティティ・オーケストレーションを使用して統合システムからオンボーディングされたアイデンティティで構成されます。

アイデンティティ・コレクションでは、個々のアイデンティティではなくアイデンティティのコレクションの機能を構成できるため、タスクを簡略化できます。アイデンティティ・コレクションを使用して、
  • ポリシーを使用して、アイデンティティを適切なアクセス・バンドルまたはロールに関連付けます。
  • アクセス・レビュー・タスクをアイデンティティ・コレクションに委任します。
  • 承認ワークフローで承認者として割り当てます。

アイデンティティ・コレクションに移動

「アイデンティティ・コレクション」ページにアクセスする方法を次に示します:

  1. Oracle Access Governanceコンソールにサインインします。
  2. ナビゲーション・メニューアイコンをクリックし、「アクセス制御」「アイデンティティ・コレクション」の順に選択します。既存のアイデンティティ・コレクションを表示および管理したり、新しいアイデンティティ・コレクションを作成したりできる「アイデンティティ・コレクション」ページが表示されます。
  3. 新しいアイデンティティ・コレクションを作成するには、「アイデンティティ・コレクションを作成」ボタンをクリックします。

「新規アイデンティティ・コレクションの作成」ページが表示されます。

詳細の追加

「詳細の追加」タスクで、アイデンティティ・コレクションの詳細を入力できます。ここで、アイデンティティ・コレクションにわかりやすい名前を付け、そのサポート説明を追加できます。

ノート

デフォルトでは、ライセンス管理サービスで有効になっているすべてのアイデンティティは、カスタム属性を含むすべてのアイデンティティ・データ属性を利用してアイデンティティ・コレクションを作成できます。
  1. アイデンティティ・コレクションの名前を「名前」フィールドに入力します。
  2. 「説明」フィールドに、アイデンティティ・コレクションの説明を追加します。
  3. アイデンティティ・コレクションを識別または検索するタグを1つ以上追加します。
  4. 「メンバーシップを許可するために必要なアクセス・ガードレールを選択」で、このアイデンティティ・コレクションに関連付けるアクセス・ガードレールを追加します。
  5. 適切な承認ワークフローを選択して、このアイデンティティ・コレクションに対するすべてのリビジョン(更新または削除)が実装前にレビューされるようにします。デフォルトでは、「承認不要」が選択されています。Oracle Access Governanceでのリビジョン管理を参照してください。
  6. プリファレンスを設定したら、「次へ」を選択して「システムの追加」ステップに移動します。
  7. (オプション)「取消」をクリックして、現在のプロセスを取り消すことができます。

システムの追加

「システムの追加」タスクは、組織内で、アイデンティティの管理を選択したオーケストレート済システムが少なくとも1つある場合に表示されます。このオプションでは、作成するアイデンティティ・コレクションがオーケストレート済システム上のグループを管理するかどうかを選択できます。

  1. 「このアイデンティティ・コレクションはシステムのグループを管理しますか。」という質問に答えて、「はい」または「いいえ」を選択します。
  2. 回答が「いいえ」の場合、このアイデンティティ・コレクションはシステムのグループを管理せず、「次へ」を選択して「所有者の追加」ステップに移動できます。回答が「はい」の場合、このアイデンティティ・コレクションはシステム上のグループを管理し、次のステップを完了する必要があります。
  3. 「はい」を選択すると、アイデンティティ・コレクションがグループを管理するシステムの識別を求めるプロンプトが表示されます。「システムの追加」を選択します。「システムの追加」パネルで、ドロップダウン・リストからシステム名を選択します。このシステムで選択した(新規または既存の)グループは、このアイデンティティ・コレクションによって管理されます。
  4. システムのグループ詳細を完了します。必要な詳細は、選択したシステム・タイプによって異なります。
    システム内の既存のグループからアイデンティティ・コレクションを作成する場合は、「既存のグループの管理」チェック・ボックスを選択します。このオプションを選択した場合、グループ詳細を入力する必要はありません。
  5. システムのアカウント詳細を完了します。必要な詳細は、選択したシステム・タイプによって異なります。
  6. 「保存」をクリックして、システムのグループ詳細を保存します。
  7. 「次」をクリックしてアイデンティティ選択に進み、「ドラフトの保存」をクリックしてこれをドラフト・アイデンティティ・コレクションとして保存するか、「取消」をクリックして現在のプロセスを取り消します。

プライマリ所有者と追加所有者の追加

リソース所有権を関連付けるには、プライマリ所有者と追加所有者を追加します。これにより、これらの所有者は所有するリソースを管理(読取り、更新または削除)できるため、セルフサービスが促進されます。デフォルトでは、リソース作成者はリソース所有者として指定されます。1人のプライマリ所有者と最大20人の追加所有者をリソースに割り当てることができます。

リソース所有権を割り当てるには、アクティブなOracle Access Governanceユーザーが必要です。サービス・インスタンスに対して最初のオーケストレート済システムを設定する場合、「アイデンティティの管理」セクションからアイデンティティを有効にした後にのみ、所有者を割り当てることができます。
リソース所有権を割り当てるために特別なアプリケーション・ロールは必要ありません。任意のOracle Access Governanceアクティブ・ユーザーをリソースの所有者として割り当てることができます。すべての所有者は、所有するリソースの読取り、更新または削除を実行できます。ただし、キャンペーンで所有権レビューを実行するために承認ワークフローで所有者テンプレートを選択すると、「プライマリ所有者」がアクセス・レビューアとして割り当てられます。詳細は、Oracle Access Governanceで提供されるアクセス・レビューのタイプを参照してください。
  1. Oracle Access Governanceのナビゲーション・メニュー・アイコンナビゲーション・メニューから、「Service Administration」→「Orchestrated Systems」を選択します。
  2. 構成するオーケストレート済システムのアクション・メニューアクション・メニューから「統合の管理」オプションを選択します。選択したオーケストレート済システムの統合の管理ページが表示されます。
  3. ページの「システム設定」セクションで、「所有権設定」タイルの「管理」を選択します。これにより、選択したオーケストレート済システムの所有権設定ページが表示されます。
  4. 「プライマリ所有者は誰ですか。」フィールドで、Oracle Access Governanceのアクティブ・ユーザーをプライマリ所有者として選択します。
  5. 「他の所有者は誰ですか。」リストで、1つ以上の追加所有者を選択します。リソースに最大20人の追加所有者を追加できます。
    リストの「プライマリ所有者」を表示できます。すべての所有者は、所有するリソースを表示および管理できます。

アイデンティティの選択

「アイデンティティの選択」タスクでは、アイデンティティ・コレクションのアイデンティティを選択する必要があります。

次に基づいてアイデンティティを選択できます。
  • メンバーシップ・ルール: 特定の条件文に基づいて基準を設定します。1つ(「任意」)またはすべての(「すべて」)のいずれかのセット条件を満たす必要があります。使用可能な属性のリストは、調整されたシステムから取り込まれたデータによって決まります。
  • 名前付きアイデンティティ: アイデンティティ・コレクションに含めるフルネームで1人以上のユーザーを検索して選択します。使用可能なユーザーのリストは、調整されたシステムから取り込まれたデータによって決まります。
  • メンバーシップ・ルールと名前付きアイデンティティの両方: アイデンティティ・コレクションの基準を設定するために、メンバーシップ・ルールと名前付きアイデンティティの両方を組み合せることができます。
ノート

「除外の管理」を選択し、除外するアイデンティティを入力することで、アイデンティティ・コレクションから特定のメンバーを除外することもできます。

メンバーシップ・ルールに基づいたアイデンティティの追加

条件文に基づいてアイデンティティを追加するには、「メンバーシップ・ルール」タブを選択します。

設定された基準を満たすアイデンティティは、自動的にそのアイデンティティ・コレクションに含まれます。たとえば、アイデンティティ・コレクションの場合、条件付きルールをDepartment Equals Financeに設定すると、財務部門に属するすべてのヒューマン・アイデンティティがそのアイデンティティ・コレクションに含まれます。

アイデンティティの条件付きルールを設定するには、次の手順を実行します。

  1. いずれかのセット条件を満たす必要がある場合は「任意」を選択し、そのアイデンティティのすべてのセット条件を満たす必要がある場合は「すべて」を選択します。
  2. リストから属性名を選択します
    ノート

    オーケストレートされたシステムに基づいて、コア属性またはカスタム属性(あるいはその両方)を選択できます。カスタム属性を有効にするには、カスタム・アイデンティティ属性の表示および構成を参照してください
  3. 条件演算子を選択します。選択した属性のデータ型に基づいて、これらの演算子の使用方法は異なります。
  4. 属性値を入力します。
  5. さらに属性に対する条件文またはルールの追加を続行します。

    デフォルトでは、基準に一致するすべてのアイデンティティが含まれます。

  6. ただし、特定のアイデンティティを条件文から除外できます。

    「属性条件から#アイデンティティを除外」の横にある「除外の管理」ボタンをクリックし、アイデンティティ・コレクションから除外するアイデンティティを選択します。

    条件を設定したり、アイデンティティを追加すると、アイデンティティが除外され、適用されるメンバーシップ・ルールが画面の右側に反映されます。

  7. プリファレンスを設定したら、「次」を選択して「確認および送信」ステップに移動します。次の追加アクションのいずれかを選択できます:
    • ドラフトとして保存: 変更を保存し、後で戻ってアイデンティティを編集します。
    • 取消: 現在のプロセスを取り消します。
    • 戻る: 前のステップに戻ります。

名前付きアイデンティティに基づいたアイデンティティの追加

フルネームに基づいてアイデンティティを直接追加するには、「含まれる名前付きアイデンティティ」タブを選択します。

使用可能なすべてのアクティブ・アイデンティティ(「ライセンス管理」ページから構成)が表示されます。ユーザー・タイルでは、氏名、電子メール・アドレス、組織名などのユーザー詳細を表示できます。アイデンティティ・コレクションに含める1つ以上のユーザー・タイルを検索または選択します。アイデンティティを選択すると、そのアイデンティティが含まれている画面の右側に効果が表示されます。プリファレンスを設定したら、「次」を選択して「確認および送信」ステップに移動します。

レビューおよび送信

「確認および発行」ステップには、前のステップで追加した情報が表示されます。

アイデンティティ・コレクションのプレビューが表示されます。この場合は、ページの右側にある「アイデンティティ・コレクションのプレビュー」リンクをクリックします。アイデンティティ・コレクションのプレビューに問題がなければ、「作成」をクリックします。追加アクションを選択できます。
  • ドラフトとして保存: 変更を保存し、後でアイデンティティ・コレクションを編集します。
  • 取消: プロセスを取り消します。
  • 戻る: 前のステップに戻ります。