Oracle Cloud Infrastructureドキュメント

Oracle Access Governance Integrationの機能概要: オーケストレート済システムでサポートされる操作

Oracle Access Governanceでは、認可ソースまたは管理対象システムとして、多くのネイティブ、直接または専門のアプリケーションおよびシステムとの統合が可能です。

この統合サポートでは、オーケストレート済システムの構成、データ・ロード、アカウントの作成と失効、パスワードの変更、ロールの割当てと削除などのユースケースを管理できます。

オーケストレート済システムの構成

アプリケーションまたはシステムをOracle Access Governanceと統合できるようにするために実行する必要がある最初のタスクは、オーケストレート済システムの設定および構成です。これにより、データのロード元または権限の管理元のターゲット・アプリケーションまたはシステムへの接続方法に関するOracle Access Governanceの詳細が示されます。オプションで、次のような初期データロードを実行する前に、Orchestrated Systemのさらに要素を構成できます。

データのロード

オーケストレート済システムを設定および検証した後、データロードを実行して、選択した構成モード(「認可ソース」または「管理対象システム」)に応じて、アイデンティティおよびアカウントの詳細を取り込むことができます。

認可ソース・モードでロードされたデータは、オーケストレート済システムからのユーザー・データで構成されます。ユーザーが新規の場合は、Oracle Access Governanceで新しいアイデンティティが作成されます。アイデンティティがOracle Access Governanceにすでに存在する場合は、オーケストレート済システムで開始された更新が適用されます。

管理対象システム・モードでロードされるデータは、オーケストレート済システムからのアカウント・データおよび権限で構成されます。アカウントがOracle Access Governanceからプロビジョニングされている場合、オーケストレートされたシステムで、関連付けられた権限とともに新しいアカウントが作成されます。オーケストレート済システムから直接ロードされたアカウントおよび権限は、Oracle Access Governanceで管理できます。管理対象システム・アカウントに関連付けられた権限を修正できます。アカウントに権限が1つしか割り当てられていない場合、この権限を修正すると、アカウントも取り消されます。

アカウントの作成

Oracle Access Governanceでは、次の2つの方法でアカウントを作成できます。
  • オーケストレート済システムからアカウント・データを取り込みます。
  • アプリケーション権限を含むロール、ポリシーまたはアクセス・バンドルがアイデンティティに割り当てられている場合。Oracle Access Governanceにアイデンティティがある場合は、Oracle Access Governanceコンソールの「新規アクセスのリクエスト」機能を使用してアカウントをリクエストできます。アクセス・バンドルまたは承認済の権限に対してアクセス・リクエストを行うと、プロビジョニング操作が開始されます。プロビジョニング・プロセスでは、Oracle Access Governanceで管理される既存のアカウントがない場合は、選択したアプリケーションでアカウントを作成します。Oracle Access Governanceで管理されるアカウントがすでに存在する場合、そのアカウントの権限はアクセス・バンドルの値に基づいて更新されます。

アカウントの作成の詳細は、「アクセスのリクエスト」を参照してください。

割当て権限

Oracle Access Governanceの「新規アクセスのリクエスト」機能を使用して、アカウントに権限を割り当てることができます。これにより、アプリケーションに適用可能な権限を含むアクセス・バンドルをリクエストできます。直接またはOracle Access Governanceのロールまたはポリシーを介してアクセス・バンドルをリクエストすると、プロビジョニング操作が開始され、参照されるアクセス・バンドルに含まれる権限でアプリケーションの権限が更新されます。

権限割当ての詳細は、「アクセスのリクエスト」を参照してください。ロールおよびポリシーの詳細は、「ロールの管理」および「ポリシーの管理」を参照してください。

権限の削除

アカウントに割り当てられているロール、ポリシーまたはアクセス・バンドルから権限を取り消すことで、アカウントから権限を削除できます。この場合、権限割当ては、ロール、ポリシーまたはアクセス・バンドルが適用されるすべてのユーザーから取り消されます。以前にアプリケーションにプロビジョニングされた2つの権限「管理」および「開発者」を持つアクセス・バンドルがあるとします。これらの権限を含むアクセス・バンドルを更新して、開発者を削除し、コンポーザを追加することで、管理およびコンポーザを含むアクセス・バンドルを作成できます。この変更は、Developerロールを削除してコンポーザ・ロールを割り当てることにより、次のプロビジョニング操作後に反映されます。Adminは引き続き割り当てられます。

権限を削除する別の方法は、特定のアカウントからロール、ポリシーまたはアクセス・バンドルの割当てを取り消すことです。これは、アクセス・レビューで取消し操作を使用して行われます。

権限割当ての詳細は、「ロールの削除」「ポリシーの削除」または「アクセス・バンドルの管理」→「アクセス・バンドルの削除」を参照してください。

AG_ServiceDesk_Adminロールを持つユーザーは、「権限の取消し」操作を使用して、「アイデンティティの管理」ページから権限を直接取り消すことができます。これらの権限の付与タイプは、DIRECTまたはREQUESTを介して付与されるアクセス・バンドルのいずれかである必要があります。Oracle Cloud Infrastructure (OCI)またはOracle Identity Governance (OIG)システムの権限を取り消すことはできません。詳細なステップは、アカウントの1つ以上の権限の取消しを参照してください。

パスワードのリセット

Oracle Access Governanceで管理されるアカウントのパスワードは、「マイ・アクセス」ページからリセットできます。システム生成パスワードを使用するか、管理者が設定したものに基づいて手動で独自のパスワードを作成します。パスワードの変更の詳細は、Change Account PasswordおよびConfigure Password Policyを参照してください。

アカウントの失効

アクセス・レビューでアカウントを取り消すと、プロビジョニング・タスクが作成され、対応するアプリケーションのアカウントが取り消されます。アカウントの取消しの詳細は、「ロールの削除」または「ポリシーの削除」を参照してください。

AG_ServiceDesk_Adminロールを持つユーザーは、「アカウントの無効化」操作を使用して、「アイデンティティの管理」ページからOracle Access Governanceで管理されているアカウントを直接無効化できるようになりました。無効にすると、関連するすべてのアクセスが取り消されます。アカウントは、引き続きOracle Access Governanceで管理できます。詳細なステップは、Oracle Access Governanceで管理されるアカウントの無効化および有効化を参照してください。

アカウントは、アカウントの削除操作を使用して削除できます。削除されたアカウントの場合、関連するすべてのアクセスが削除され、Oracle Access Governanceからアカウントを管理できなくなります。詳細なステップは、Oracle Access Governanceで管理されるアカウントの削除を参照してください。

アカウントの有効化

AG_ServiceDesk_Adminロールを持つユーザーは、「アイデンティティの管理」ページから「アカウントの有効化」操作を使用して、アカウントおよびアクセスを再プロビジョニングできます。有効にすると、すべてのアカウントおよびアクセスがOracle Access Governanceに再プロビジョニングされます。詳細なステップは、Oracle Access Governanceで管理されるアカウントの無効化または有効化を参照してください。