ユーザーの設定
Oracle Access Governanceインスタンスの作成前または作成後に、Oracle Access Governanceを使用する予定のユーザーのユーザー・アカウントを設定できます。
ユーザーおよびグループの設定について
Oracle Access Governanceを使用する予定のユーザーのユーザー・アカウントを設定します。
Oracle Access Governance(およびOracle Cloud Infrastructure)のユーザーを管理する方法は、アイデンティティ・ドメインがクラウド・アカウントで使用可能かどうかによって異なります。
- Oracle Cloud Infrastructure Identity and Access Management (IAM)アイデンティティ・ドメイン: 一部のOracle Cloudリージョンはアイデンティティ・ドメインを使用するように更新されました。これらのリージョンのいずれかに新しいクラウド・アカウントがある場合、アイデンティティ・ドメインを使用して、Oracle Access GovernanceとOracle Cloud Infrastructureの両方でタスクを実行するユーザーを管理します。
- Oracle Identity Cloud Service : 既存のクラウド・アカウントがある場合、または現在アイデンティティ・ドメインを提供していないリージョンにOracle Access Governanceをデプロイする場合は、フェデレーテッドOracle Identity Cloud Serviceを使用して、Oracle Access Governanceでタスクを実行するユーザーを管理します。また、Oracle Cloud Infrastructure Identity and Access Managementを使用して、Oracle Cloud Infrastructureコンソールを使用してOracle Access Governanceデプロイメントを作成および管理するユーザーを管理します。
クラウド・アカウントがアイデンティティ・ドメインを提供するかどうかを簡単に判断できます。Oracle Cloud Infrastructure Consoleで、「アイデンティティとセキュリティ」に移動します。「アイデンティティ」で、「ドメイン」を確認します。
- 「ドメイン」が表示される場合は、アイデンティティ・ドメインを使用して、Oracle Cloud InfrastructureおよびOracle Access Governanceデプロイメントのユーザーとグループを管理します。アイデンティティ・ドメインを使用したOracle Access Governanceのユーザーおよびグループのオンボードを参照してください。
- 「ドメイン」が表示されない場合は、フェデレーテッドOracle Identity Cloud Serviceを使用してOracle Access Governanceユーザーを管理し、IAMを使用してOracle Cloud Infrastructureユーザーを管理します。Oracle Identity Cloud Serviceを使用したOracle Access Governanceのユーザーおよびグループのオンボードを参照してください。
次の表に、2つの構成の違いを示します。
| アイデンティティ・ドメインを使用するクラウド・アカウント | アイデンティティ・ドメインを使用しないクラウド・アカウント |
|---|---|
| ユーザーおよびグループはIAMで構成されます。 |
ユーザーとグループは、IAMとOracle Identity Cloud Serviceの両方で構成され、フェデレーションを介してリンクされます。 |
| ドメインのユーザー、グループ、動的グループおよびアプリケーションを管理するための単一の統合コンソールを提供します。 | Oracle Cloud Infrastructure Identity and Access ManagementをOracle Identity Cloud Serviceとフェデレートする必要があります。 |
| 単一の資格証明セットおよび統合認証プロセスを使用して、より多くのアプリケーションにシングル・サインオンを提供します。 | Oracle Identity Cloud Serviceの個別のフェデレーテッド資格証明が必要です。 |
| 「フェデレーション」ページには、Oracle Identity Cloud Serviceのエントリはリストされません。 | 「フェデレーション」ページには、クラウド・アカウントで自動的にフェデレートされる最初のOracle Identity Cloud Serviceであるoracleidenitycloudserviceがリストされます。 |
アイデンティティ・ドメインを使用したOracle Access Governanceのユーザーおよびグループのオンボード
Oracle Access Governanceインスタンスがアイデンティティ・ドメインをアイデンティティ管理に使用する場合、Oracle Identity Governanceのプロビジョニング、外部IDプロバイダ(IDP)または自己登録プロファイルを使用して、Oracle Access Governanceを使用する予定のユーザーのユーザー・アカウントをオンボーディングします。これらのユーザーはグループに割り当てられ、オンボーディングが完了すると、Oracle Access Governanceアプリケーション・ロールにマップされます)
Oracle Cloud Infrastructure Cloud管理者は、次のいずれかの方法を使用して、ユーザーがOracle Access Governanceアプリケーションにアクセスできるようにします。
アプローチ1: 外部アイデンティティ・プロバイダ(IDP)からのフェデレーテッド認証の設定
- 外部IDPとのフェデレーションを設定します:
- アイデンティティ・ドメインと外部IDPの間のフェデレーテッド・ログインを設定します。ユーザーは、IDPによって管理される既存のログインとパスワードを使用してサインインし、Oracle Access Governanceのリソースおよび機能にアクセスできます。
- 詳細は、Oracle Cloud Infrastructureドキュメントのアイデンティティ・プロバイダの管理を参照してください。
- SAMLジャストインタイム・プロビジョニングを有効にします。
- このプロセスでは、ユーザーがアイデンティティ・ドメインにまだ存在していないOracle Cloud Infrastructureに初めてサインインしようとしたときに、ユーザー・アカウントが自動的に作成されます。
- 詳細は、Oracle Cloud InfrastructureドキュメントのSAMLジャストインタイム・プロビジョニングについてを参照してください。
アプローチ2: Oracle Identity Cloud Serviceアプリケーションを使用したOracle Cloud Infrastructure Identity and Access ManagementによるOracle Identity Governanceのプロビジョニングの構成
- Oracle Identity Cloud Serviceアプリケーションを構成します。
- コネクタのインストール・パッケージをダウンロードし、内容をOIG_HOME/server/ConnectorDefaultDirectoryディレクトリにコピーします。詳細は、コネクタのインストール・パッケージのダウンロードを参照してください。
- Oracle Cloud Infrastructure Consoleにログインし、「機密」タイプのアプリケーションを作成します。詳細は、コネクタを使用したアプリケーションの作成を参照してください。
- 作成されたアプリケーションからクライアントIDおよびクライアント・シークレットをコピーします。これは、ITResourceのcustomAuthHeadersで使用されます。
- Oracle Identity Governanceとターゲット・システム(この場合はOracle Access Governance)の間の通信を保護するためにSSLを構成します。詳細は、コネクタのSSLの構成を参照してください。
- グループの作成: Oracle Cloud Infrastructureコンソールにログインし、Oracle Access GovernanceロールにマップするOracle Identity Governanceグループのグループを作成します。
- Oracle Identity GovernanceにIDCSアプリケーションを作成します。詳細は、コネクタを使用したアプリケーションの作成を参照してください。
- グループ参照リコンシリエーション・ジョブを実行します。
- アクセス・ガバナンス・グループのメンバーシップを持つユーザーにIDCSアプリケーションをプロビジョニングします。
アプローチ3: 自己登録プロファイル
自己登録プロファイルを作成して、ユーザーがOracle Cloud Infrastructure Identity and Access Managementで自分のアカウントを作成できるようにします。詳細は、自己登録プロファイルの作成を参照してください。
Oracle Identity Cloud Serviceを使用したOracle Access Governanceのユーザーおよびグループのオンボード
Oracle Access Governanceインスタンスでアイデンティティ管理にOracle Identity Cloud Serviceを使用する場合は、Oracle Identity Governanceのプロビジョニング、外部アイデンティティ・プロバイダ(IDP)または自己登録プロファイルを使用して、Oracle Access Governanceを使用する予定のユーザーのユーザー・アカウントをオンボーディングします。これらのユーザーはグループに割り当てられ、オンボーディングが完了すると、Oracle Access Governanceアプリケーション・ロールにマップされます。
Oracle Cloud Infrastructure Cloud管理者は、次のいずれかの方法を使用して、ユーザーがOracle Access Governanceアプリケーションにアクセスできるようにします。
アプローチ1: 外部アイデンティティ・プロバイダ(IDP)からのフェデレーテッド認証の設定
- 外部IDPとのフェデレーションを設定します:
- アイデンティティ・ドメインと外部IDPの間のフェデレーテッド・ログインを設定します。ユーザーは、IDPによって管理される既存のログインとパスワードを使用してサインインし、Oracle Access Governanceのリソースおよび機能にアクセスできます。
- 詳細は、Oracle Cloud Infrastructureドキュメントのアイデンティティ・プロバイダによるフェデレートを参照してください。
- SAMLジャストインタイム・プロビジョニングを有効にします。
- このプロセスでは、ユーザーがアイデンティティ・ドメインにまだ存在していないOracle Cloud Infrastructureに初めてサインインしようとしたときに、ユーザー・アカウントが自動的に作成されます。
- 詳細は、Oracle Cloud Infrastructureドキュメントのフェデレーテッド・ユーザーのユーザー・プロビジョニングを参照してください。
アプローチ2: Oracle Identity Cloud Serviceアプリケーションを使用したOracle Cloud Infrastructure Identity and Access ManagementによるOracle Identity Governanceのプロビジョニングの構成
- Oracle Identity Cloud Serviceアプリケーションを構成します。
- コネクタのインストール・パッケージをダウンロードし、内容をOIG_HOME/server/ConnectorDefaultDirectoryディレクトリにコピーします。詳細は、コネクタのインストール・パッケージのダウンロードを参照してください。
- Oracle Cloud Infrastructure Consoleにログインし、「機密」タイプのアプリケーションを作成します。詳細は、コネクタを使用したアプリケーションの作成を参照してください。
- 作成されたアプリケーションからクライアントIDおよびクライアント・シークレットをコピーします。これは、ITResourceのcustomAuthHeadersで使用されます。
- Oracle Identity Governanceとターゲット・システム(この場合はOracle Access Governance)の間の通信を保護するためにSSLを構成します。詳細は、コネクタのSSLの構成を参照してください。
- グループの作成: Oracle Cloud Infrastructureコンソールにログインし、Oracle Access GovernanceロールにマップするOracle Identity Governanceグループのグループを作成します。
- Oracle Identity GovernanceにIDCSアプリケーションを作成します。詳細は、コネクタを使用したアプリケーションの作成を参照してください。
- グループ参照リコンシリエーション・ジョブを実行します。
- アクセス・ガバナンス・グループのメンバーシップを持つユーザーにIDCSアプリケーションをプロビジョニングします。
アプローチ3: 自己登録プロファイル
自己登録プロファイルを作成して、ユーザーがOracle Cloud Infrastructure Identity and Access Managementで自分のアカウントを作成できるようにします。詳細は、自己登録プロファイルの作成を参照してください。
ユーザーおよびグループへのアクセス・ガバナンス・アプリケーション・ロールの割当て
- 「ドメイン」がリストされている場合は、「アイデンティティ・ドメイン・ユーザー用」メソッドを使用します。
- 「ドメイン」がリストされておらず、フェデレーテッドOracle Identity Cloud Service (IDCS)メソッドを使用してユーザーを管理する場合は、「非アイデンティティ・ドメイン・ユーザー」メソッドを使用します。
アイデンティティ・ドメイン・ユーザー向け
Oracle Access Governanceアプリケーション・ロールをユーザーおよびグループに割り当てる方法は次のとおりです:
- Webブラウザを開き、https://cloud.oracle.comに移動します。
- Cloud Account Administratorの名前を「Cloud Account Name」フィールドに入力し、「Next」をクリックします。
- クラウド・インフラストラクチャ・サインイン・ページで、Oracle Cloud Infrastructure直接サインインの下にサインイン資格証明を入力します。「Sign In」をクリックします。
- 左上隅の
アイコンをクリックして、ナビゲーション・メニューを表示します。 - ナビゲーション・メニューで「アイデンティティおよびセキュリティ」をクリックします。
- 「アイデンティティ」リスト内の「ドメイン」を選択します。
- 左側のペインの「コンパートメント」リストで、Oracle Access Governanceの関連コンパートメントを選択します。
- 使用可能なドメイン・リストで、Oracle Access Governanceに関連するドメイン・リンクを選択します。選択したドメインのページが表示されます。
- 左側のペインで、「Oracle Cloud Services」タブを選択します。
- Oracle Access Governanceクラウド・サービスを選択します。
- 左側のペインの「リソース」セクションで、「アプリケーション・ロール」を選択します。
- 「アプリケーション・ロール」セクションで、割り当てるアプリケーション・ロールに対応する
アイコンを選択します。 - 「割当て済ユーザー」カテゴリに対応する「管理」リンクを選択します。「ユーザー割当ての管理」ウィンドウが表示されます。ノート
アプリケーション・ロールをユーザー・グループに割り当てるには、「割当て済グループ」カテゴリに対応する「管理」リンクを選択します。 - 「使用可能なユーザーの表示」リンクを選択します。
- 使用可能なユーザーのリストで、ユーザー名に対応するチェック・ボックスを選択し、「割当て」をクリックします。
アプリケーション・ロールが、選択したユーザーまたはグループに割り当てられます。同じものを確認するには、「使用可能なユーザー」または「使用可能なグループ」リストで名前を表示します。
アイデンティティ・ドメイン以外のユーザーの場合
Oracle Access Governanceアプリケーション・ロールをユーザーおよびグループに割り当てる方法は次のとおりです:
- サービス管理者チーム・ロールとして割り当てられたユーザーを使用して、Oracle Identity Cloud Serviceコンソールにサインインします。
- 左上隅のアイコンをクリックして、ナビゲーション・メニューを表示します。
- 「Oracle Cloud Services」をクリックし、Oracle Access Governanceサービス・インスタンスを選択します。
- 「アプリケーション・ロール」タブをクリックします。Oracle Access Governanceで使用可能なすべてのアプリケーション・ロールが表示されます。
- 割り当てるアプリケーション・ロールに対応する
ロール・メニュー・アイコンをクリックし、要件に従って「ユーザーの割当て」または「グループの割当て」を選択します。