はじめに
OCIを業務利用し始めてログインできるユーザーを追加する際に、
困惑したのでまとめます。
OracleCloudのユーザ管理について
**OCI(Oracle Cloud Infrastructure)とOracle Cloud**は同じものだと思っていましたが、
ここがそもそも間違いでした。
**Oracle Cloudの中にOCI**というサービスが存在しています。
イメージはこんな感じ
そして**Oracle Cloudのユーザ管理は2通り**方法があります。
- Oracle Cloud 全体のユーザ管理 (Oracle Identity Cloud Service)
- OCI(Oracle Cloud Infrastructure) のユーザ管理
**OCIのログイン方法も2通り**があります。
- Oracle Cloud 全体のユーザ(Oracle Identity Cloud Service)でログイン
- OCI(Oracle Cloud Infrastructure) のユーザでログイン
サインイン画面だとここで別れてます。
全体のイメージはこんな感じ
どっちでログインすればいいのか
これが正解だとは思わないですが個人的に、
**OCI(Oracle Cloud Infrastructure) のユーザ**を使用すると、二重管理になってしまうため、
**Oracle Cloud 全体のユーザ管理 (Oracle Identity Cloud Service)**でログインするのが良いと思います。
※OCI-CLIなどで操作するユーザに関してはOCI側のみで作成してます。
Oracle Identity Cloud Service(IDCS)でログインできる仕組み
OCIのアイデンティティに**フェデレーションという機能が存在しています。
これを利用することでOracle Identity Cloud Service(IDCS)**と連携することができます。
フェデレーションで**IDCS User**を作成すると
**IDCSとOCIに自動でユーザが作成されます。
利用者はIDCSのユーザに紐づくパスワードで、OCI**にログインすることが出来るようになります。
フェデレーションで**IDCS Group**を作成すると
**IDCSにグループが作成されIDCS GroupとOCI**のグループと紐づけされます。
ユーザの追加方法
ダッシュボードから**「フェデレーション」**をクリック
**「OracleIdentityCloudService」**をクリック
IDCSユーザーの作成
**「IDCSユーザーの作成」**をクリック
- ユーザー名
- 電子メール
- 名
- 性
を入力して**「作成」**をクリック
IDCSグループの作成
グループから**「IDCSグループの作成」**をクリック
- 名前
- 説明
- ユーザーは先ほど作成したユーザーを選択
を入力して**「作成」**をクリック
を入力して**「パスワード・リセットURL」**はコピーしておきます。
IDCSグループとOCIのグループを紐づける
グループ・マッピングから**「マッピングの編集」**をクリック
**「マッピングの追加」**をクリック
先ほど作成したIDCSグループとOCIグループを選択します。
これでアクセス制御を行うことが出来るようになります。
作成したユーザーでログイン
ここでコピーした**「パスワード・リセットURL」にアクセスしてパスワードを決定する。
その後「サインインURL」**にアクセスしてログインする。
ユーザ、グループの削除方法
フェデレーションから**「IDCSユーザ」**を削除することで、OCIのユーザも削除されます。
OCI,Oracle Cloudの権限管理について
OCIの権限管理はグループに対してのポリシー
Oracle Cloudはダッシュボードからロールの設定を行うことで権限管理ができます。
おわりに
OCIのユーザ追加は困惑する箇所があると思いますので、参考になればと思います。
間違っている所などあればご指摘いただけると幸いです。