Oracle Cloud Infrastructureドキュメント

Oracle Access GovernanceとOracle Cloud Enterprise Performance Management間の統合の構成

Oracle Access GovernanceとOracle Cloud Enterprise Performance Managementアプリケーション間の接続を管理対象システムとして確立できます。構成するには、Oracle Access GovernanceコンソールでOrchestrated Systemsを使用します。

前提条件

Oracle Cloud Enterprise Performance Managementオーケストレート済システムをインストールおよび構成する前に。次の前提条件およびタスクを考慮する必要があります。

  • Oracle Access Governanceサービス・インスタンスには、Oracle Cloud Infrastructureとの既存のアクティブな接続が必要です。
  • Oracle Access Governanceに接続するには、Oracle Cloud Enterprise Performance Managementのサービス管理者サービス・ロールが必要です。

OCIでのサービス・ユーザーの作成

ドメイン管理者としてOCIで新しいサービス・ユーザーを作成します。

OCI IAMアイデンティティ・ドメインにサービス・ユーザー・アカウントを作成します。
  1. https://cloud.oracle.comに移動します。
  2. 「アイデンティティとセキュリティ」にナビゲートし、「ドメイン」をクリックします。
  3. Oracle Cloud Enterprise Performance Managementサービス・インスタンスが配置されているコンパートメントを選択し、ドメインを選択します。
  4. 「ユーザーの管理」タブを選択します。
  5. 「作成」をクリックします。
  6. 「名」および「姓」フィールドに、ユーザー名を入力します。
  7. ユーザーがEメール・アドレスを使用してサインインするには、「ユーザー名としてEメール・アドレスを使用」チェック・ボックスを有効にして、ユーザー・アカウントのEメール・アドレスを入力します。
  8. ユーザーにユーザー名を使用してサインインさせるには、「ユーザー名として電子メール・アドレスを使用」チェック・ボックスをクリアして、ユーザーのユーザー名を入力します。

サービス・ユーザーへのアイデンティティ管理者の割当て

Identity Domain Administratorロールをサービス・ユーザーに割り当てます。

  1. 「ドメイン」ページで、「管理者」タブを選択します。
  2. 「Identity Domain Administrator」セクションで、「Add users」をクリックします。
  3. サービス・ユーザーを検索します。
  4. サービス・ユーザー・チェック・ボックスを選択し、「ユーザーの追加」をクリックします。

EPMロールの割当て

Oracle EPMのサービス管理者アプリケーション・ロールをサービス・ユーザーに割り当てます。

  1. 「Oracleクラウド・サービス」タブに移動します。
  2. EPM Cloudサービス・インスタンスを選択します。
  3. 「アプリケーション・ロール」タブを選択してください。
  4. 「サービス管理者」ロールを見つけて選択します。
  5. サービス管理者ロールに対して、「アクション」アイコンを選択し、「ユーザーの管理」を選択します。
  6. 「ユーザーの割当て」を選択します。
  7. 前のステップで作成したサービス・ユーザーを選択し、「割当て」をクリックします。

署名証明書および署名キーの作成

PEMフォーマットの信頼できる認証局(CA)によって発行された証明書を使用して、セキュアな認証と互換性を確保するか、OCI証明書サービスを利用して証明書を効率的に生成および管理します。

証明書を作成するには、OCI IAMでの証明書の作成で説明されているステップを参照してください。

信頼できるパートナ証明書としての証明書のインポート

証明書を信頼できるパートナ証明書としてOCI IAMドメインにインポートします。

  1. 「アイデンティティとセキュリティ」にナビゲートし、「ドメイン」をクリックします。
  2. Oracle Access Governanceサービス・インスタンスが配置されているコンパートメントを選択し、ドメインを選択します。
  3. 「セキュリティ」タブを選択します。
  4. 「証明書のインポート」をクリックします。
  5. キーストア・ファイル証明書別名を生成する際に指定した別名を入力し、.cerファイルをインポートします。
  6. 「インポート」をクリックします。

統合機密タイプ・アプリケーションの作成

OCI IAMで機密タイプの統合アプリケーションを作成するには、Identity Domain Administratorロールが必要です。

  1. 「アイデンティティとセキュリティ」にナビゲートし、「ドメイン」をクリックします。
  2. 「ドメイン」を選択します。
  3. 「統合アプリケーション」タブをクリックします。
  4. 「Add application」をクリックします。
  5. 「機密アプリケーション」タイルを選択し、「ワークフローの起動」をクリックします。
  6. 「詳細」ページで、次を入力します:
    1. 機密アプリケーションの名前と説明を入力します。
    2. 「送信」をクリックします。
OAuth構成の編集
  1. OAuth構成タブを選択します。
  2. 「OAuth構成の編集」を選択します。
  3. 「このアプリケーションをクライアントとして今すぐ構成」を選択します。
  4. 「JWTアサーション」および「リフレッシュ・トークン」権限付与タイプを選択します。
  5. 「クライアント・タイプ」オプションとして「信頼済」を選択します。
  6. 証明書のインポート
  7. 「許可された操作」として「代理」を選択します。
  8. ログイン試行を特定のIPまたは範囲に制限するには network perimeterを選択し、それ以外の場合は Anywhereを選択します。
  9. 「トークン発行ポリシー」で、「すべて」を選択します。
  10. 「送信」をクリックします。
  11. アプリケーションをアクティブ化し、「アクション」アイコンをクリックし、「アクティブ化」を選択します。ステータスは「非アクティブ」から「アクティブ」に変更されます。

構成

接続の詳細を入力することで、Oracle Cloud Enterprise Performance ManagementとOracle Access Governanceの間の接続を確立できます。これを実現するには、Oracle Access Governanceコンソールで使用可能な調整されたシステム機能を使用します。

「Orchestrated Systems」ページに移動します。

Oracle Access Governanceコンソールの「Orchestrated Systems」ページでは、オーケストレート済システムの構成を開始します。

次のステップに従って、Oracle Access Governanceコンソールの「Orchestrated Systems」ページにナビゲートします。
  1. Oracle Access Governanceのナビゲーション・メニュー・アイコンナビゲーション・メニューから、「Service Administration」→「Orchestrated Systems」を選択します。
  2. ワークフローを開始するには、「オーケストレート済システムの追加」ボタンを選択します。

システムの選択

ワークフローの「システムの選択」ステップで、Oracle Access Governanceと統合するシステムのタイプを指定できます。

「検索」フィールドを使用して、名前で必要なシステムを検索できます。

  1. 「Oracle Cloud Enterprise Performance Management」を選択します。
  2. 「次へ」をクリックします。

詳細の追加

名前、説明、構成モードなどの詳細を追加します。

ワークフローの「詳細の追加」ステップで、オーケストレート済システムの詳細を入力します:
  1. 「名前」フィールドに、接続先のシステムの名前を入力します。
  2. 「説明」フィールドに、システムの説明を入力します。
  3. このオーケストレート済システムの場合、Oracle Access Governanceは権限を管理できます
  4. 前提条件チェック・ボックスを読み、選択します: すでにアクティブなOracle Cloud Infrastructureオーケストレート済システムがあります。これは、サービス・インスタンスのOracle Cloud Infrastructureとの既存のアクティブな接続が必要であることを示します。
  5. 「次へ」をクリックします。

所有者の追加

プライマリ所有者と追加の所有者を編成済システムに追加して、リソースを管理できるようにします。

リソース所有権を関連付けるには、プライマリ所有者と追加所有者を追加します。これにより、これらの所有者は所有するリソースを管理(読取り、更新または削除)できるため、セルフサービスが促進されます。デフォルトでは、リソース作成者はリソース所有者として指定されます。1人のプライマリ所有者と最大20人の追加所有者をリソースに割り当てることができます。
ノート

サービス・インスタンスに対して最初のオーケストレート済システムを設定する場合、「アイデンティティの管理」セクションからアイデンティティを有効にした後にのみ所有者を割り当てることができます。
所有者を追加するには:
  1. 「プライマリ所有者は誰ですか。」フィールドで、Oracle Access Governanceのアクティブ・ユーザーをプライマリ所有者として選択します。
  2. 「他の所有者は誰ですか。」リストで1つ以上の追加所有者を選択します。リソースに最大20人の追加所有者を追加できます。
リストの「プライマリ所有者」を表示できます。すべての所有者は、所有するリソースを表示および管理できます。

アカウント設定

通知設定を含むオーケストレート済システムを設定する際のアカウント設定の管理方法の詳細と、アイデンティティが組織を移動または離れた場合のデフォルト・アクションの概要を示します。

ワークフローの「アカウント設定」ステップで、システムが管理対象システムとして構成されている場合、Oracle Access Governanceでアカウントを管理する方法を入力します:
  1. 権限が要求され、アカウントがまだ存在しない場合は、このオプションを選択して新しいアカウントを作成します。このオプションはデフォルトで選択されています。選択すると、権限が要求されたときにアカウントが存在しない場合、Oracle Access Governanceによってアカウントが作成されます。このオプションをクリアすると、権限はオーケストレート済システム内の既存のアカウントに対してのみプロビジョニングされます。アカウントが存在しない場合、プロビジョニング操作は失敗します。
  2. アカウント作成時の通知電子メールの受信者を選択します。デフォルトの受信者は「ユーザー」です。受信者が選択されていない場合、アカウントの作成時に通知は送信されません。
    • ユーザー
    • ユーザー・マネージャ
  3. 既存のアカウントの構成
    ノート

    これらの構成を設定できるのは、システム管理者によって許可されている場合のみです。グローバル・アカウント終了設定が有効になっている場合、アプリケーション管理者は、調整されたシステム・レベルでアカウント終了設定を管理できません。
    1. 早期終了開始時のアカウントの処理の選択: 早期終了の開始時に実行する処理を選択します。これは、正式な退職日より前にアイデンティティ・アクセスを取り消す必要がある場合に発生します。
      • 削除: Oracle Access Governanceで管理されているすべてのアカウントおよび権限を削除します。
        ノート

        特定のオーケストレート済システムでアクションがサポートされていない場合、アクションは実行されません。
      • 無効化: すべてのアカウントを無効化し、Oracle Access Governanceで管理される権限を無効化します。
        • 無効化されたアカウントの権限の削除: 残存アクセス権がゼロであることを確認するには、これを選択して、アカウントの無効化時に直接割り当てられた権限およびポリシーで付与された権限を削除します。
      • アクションなし: アイデンティティにOracle Access Governanceによる早期終了のフラグが付けられている場合、アクションは実行されません。
    2. 退職日のアカウントの処理の選択: 正式な退職時に実行する処理を選択します。これは、正式な退職日にIDアクセスを取り消す必要がある場合に発生します。
      • 削除: Oracle Access Governanceで管理されているすべてのアカウントおよび権限を削除します。
        ノート

        特定のオーケストレート済システムで「削除」アクションがサポートされていない場合、アクションは実行されません。
      • 無効化: すべてのアカウントを無効化し、Oracle Access Governanceで管理される権限を無効化します。
        • 無効化されたアカウントの権限の削除: 残存アクセス権がゼロであることを確認するには、これを選択して、アカウントの無効化時に直接割り当てられた権限およびポリシーで付与された権限を削除します。
        ノート

        特定のオーケストレート済システムで「無効化」アクションがサポートされていない場合は、アカウントが削除されます。
      • アクションなし: Oracle Access Governanceでは、アカウントおよび権限に対するアクションは実行されません。
  4. アイデンティティが企業を離れたときは、そのアカウントへのアクセス権を削除する必要があります。
    ノート

    これらの構成を設定できるのは、システム管理者によって許可されている場合のみです。グローバル・アカウント終了設定が有効になっている場合、アプリケーション管理者は、調整されたシステム・レベルでアカウント終了設定を管理できません。

    アカウントに対する次のアクションのいずれかを選択します。

    • 削除: Oracle Access Governanceで管理されているすべてのアカウントおよび権限を削除します。
    • 無効化: すべてのアカウントを無効化し、権限を非アクティブとしてマークします。
      • 無効化されたアカウントの権限の削除: アカウントの無効化時に直接割り当てられ、ポリシーで付与された権限を削除して、残存アクセスをゼロにします。
    • アクションなし: アイデンティティが組織を離れるときにアクションを実行しません。
    ノート

    これらのアクションは、オーケストレートされたシステム・タイプでサポートされている場合にのみ使用できます。たとえば、「削除」がサポートされていない場合、「無効化」および「アクションなし」オプションのみが表示されます。
  5. アカウントのすべての権限が削除された場合(アイデンティティが部門間を移動する場合など)、アカウントの処理を決定する必要がある場合があります。オーケストレート済システム・タイプでサポートされている場合、次のいずれかのアクションを選択します。
    • 削除
    • 使用不可
    • 処理なし
  6. アクセス・ガバナンスで作成されていないアカウントの管理: オーケストレート済システムで直接作成されるアカウントを管理する場合に選択します。これにより、既存のアカウントを調整し、Oracle Access Governanceから管理できます。
ノート

システムを管理対象システムとして構成しない場合、ワークフローのこのステップは表示されますが、有効になりません。この場合、ワークフローの「統合設定」ステップに直接進みます。
ノート

オーケストレート済システムで、汎用RESTおよびデータベース・アプリケーション表の統合と同様に動的スキーマ検出が必要な場合は、オーケストレート済システムの作成時に通知電子メールの宛先(ユーザー、Usermanager)のみを設定できます。モーバーおよびリーバの無効化/削除ルールは設定できません。これを行うには、オーケストレート済システムを作成してから、「オーケストレート済システム・アカウント設定の構成」の説明に従ってアカウント設定を更新する必要があります。

統合設定

Oracle Cloud Enterprise Performance Managementシステムへの接続の詳細を入力します。

  1. ワークフローの「統合設定」ステップで、Oracle Access GovernanceがOracle Cloud Enterprise Performance Managementシステムに接続できるようにするために必要な詳細を入力します。
    統合設定
    パラメータ名 説明

    EPMホスト名

    		Oracle Cloud Enterprise Performance ManagementシステムにアクセスするためのURL。例:
    <http|https://epm-test.example.com>
    OCIドメイン名 統合アプリケーションが作成されるOCI IAMドメイン名を入力します。
    ドメインURL OCI IAMドメインURLを入力します。ドメインURLを検索するには、アイデンティティ・ドメインURLの検索を参照してください。

    EPMアプリケーションのOracle Cloud Service名

    Oracle Cloud Enterprise Performance Managementクラウド・サービス名。

    クライアントID

    		OCI IAM機密アプリケーションのクライアントID。

    クライアント・シークレット

    		OCI IAM機密アプリケーションのクライアント・シークレット。

    プライベート・キー

    		暗号化された秘密キー(.pem)を入力します。

    証明書エイリアス

    		証明書の生成中に構成された証明書別名を入力します。

    ユーザー名は何ですか。

    		EPMユーザー名
    どのOCIオーケストレート済システムを使用する必要がありますか。 リストで依存OCI Orchestratedシステム名を選択します。
  2. 「追加」をクリックして、オーケストレート済システムを作成します。

完了

さらにカスタマイズを実行するか、データ・ロードをアクティブ化して実行するかの詳細を指定して、オーケストレート済システムの構成を終了します。

ワークフローの最後のステップは、「終了」です。

データ・ロードを実行する前にオーケストレート済システムをさらに構成するか、デフォルト構成を受け入れてデータ・ロードを開始するかを選択できます。次の中から1つ選択します。
  • システムでデータ・ロードを有効化する前にカスタマイズします
  • 指定されたデフォルトで、データ・ロードのアクティブ化と準備を行います

構成後処理

Oracle Cloud Enterprise Performance Managementシステムに関連付けられた構成後ステップはありません。