はじめに
OAC(Oracle Analytics Cloud)にログインするためには、事前にOCI Identity Domainにユーザーを登録しておき、さらにOACのアプリケーションロールに登録する必要があります。
アプリケーションロールとは、OACが管理するユーザーの役割に名前を付けたもので、「ユーザーグループ」のようなものです。
OACインスタンスを作成すると、いくつかのアプリケーションロールが事前定義されます。
これらのアプリケーションロールを「ビルトインのアプリケーションロール」と呼びます。
ビルトインのアプリケーションロール
| アプリケーションロール | 説明 |
|---|---|
| BI Service Administrator | コンソールを使用して Oracle Analytics Cloudを管理し、他のユーザーに権限を委任することを許可します。このアプリケーションロールには、利用可能なすべての権限が割り当てられます。 |
| BI Data Model Author | セマンティック・モデラーを使用してOracle Analytics Cloudでセマンティック・モデルを作成および管理できるようにします 。 |
| BI Dataload Author | 使用されません。 |
| DV Content Author | ワークブックを作成したり、データ ソースに接続したり、データセットを作成したり、データ・ビジュアリゼーションのためにデータをロードしたりできるようにします。 |
| BI Content Author | 分析、ダッシュボード、ピクセルパーフェクト・レポートを作成し、他のユーザーと共有できるようにします。 |
| DV Consumer | データ・ビジュアリゼーションを使用できるようにします。 |
| BI Consumer | レポート(ワークブック、分析、ダッシュボード、ピクセルパーフェクト レポート) を 表示および実行できるようにします。 |
これらのアプリケーションロールは、入れ子になっていますのでユーザーをアプリケーションロールに割り当てる際には注意してください。
次の公式ドキュメントに、アプリケーションロールの関係性が図示されています。
OCIのユーザーにOACを利用してもらうには
DV Consumerアプリケーションロールを割り当てれば、誰かが作成して表示権限を設定してくれたワークブックを見ることができます。
ワークブックの新規作成も実施してもらうためには、DV Content Authorを割り当てます。
また、2人めの管理者が必要であれば(必要と思います)、BI Service Adminisratorを割り当てます。
アプリケーションロールへユーザーを登録
OACに管理者(OACインスタンスを作成したユーザー)としてログインします。
左上のナビゲータアイコンをクリックし、「コンソール」に移動します。
「管理と運用」セクションにある「ロールと権限」をクリックします。
「ユーザー」タブには、OCI Identity Domainに作成してあるユーザーが表示されます。
「アプリケーションロール」タブに移動し、定義済み「BI Service Administrator」をクリックすると、既に2人のユーザーが登録されていることがわかります。
この2人は、このOACインスタンスの管理者です。
さらに管理者を追加する場合は、「ユーザーの追加」をクリックしてユーザーを追加します。
他のアプリケーションロールにユーザーを追加する場合も手順は同じです。
アプリケーションロールにグループを登録
「グループ」タブには、OCI Identity Domainに作成してあるグループが表示されます。
「アプリケーションロール」タブに移動し、定義済み「BI Service Administrator」をクリックして「グループ」タブに移動すると、既に「OAC_Service_Admins」グループが登録されていることがわかります。
「OAC_Service_Admins」グループに所属するユーザーは、このOACインスタンスの管理者です。
さらに別のグループを管理者として追加する場合は、「グループの追加」をクリックしてグループを追加します。
他のアプリケーションロールにグループを追加する場合も手順は同じです。
アプリケーションロールにIDCSアプリケーションロールを登録
Identity Domainにもアプリケーションロールがある
OCI管理コンソールにログインし、OACインスタンスの詳細を開きます。
「追加情報」に移動して、アプリケーションをクリックします。
ANALYTICSINST_xxxの管理画面が表示されます。
ここにも「アプリケーションロール」というタブがあり、クリックしてみるといくつか登録されているのがわかります。
OACのアプリケーションロールと名前は同じですが、別々のオブジェクトです。
ややこしいので、ここから先はそれぞれOACアプリケーションロール、IDCSアプリケーションロールと呼ぶことにします。
作成した覚えのないこれらのIDCSアプリケーションロールは、OACインスタンス作成時に自動的に作成されたもので、「ServiceAdministrator」だけ割り当て済みユーザーが1になっています。
OACインスタンスを作成したユーザーが自動で登録されているためです。
IDCSアプリケーションロールをOACアプリケーションロールに割り当てる
ふたたび画面はOACのコンソール、「ロールと権限」に戻ります。
「アプリケーションロール」タブに移動し、定義済み「BI Service Administrator」をクリックして「IDCSアプリケーションロール」タブに移動すると、既に「ServiceAdministrator」IDCSアプリケーションロールが登録されていることがわかります。
このIDCSアプリケーションロールに所属するユーザーは、このOACインスタンスの管理者です。
さらに別のIDCSアプリケーションロールを管理者に追加する場合は、「IDCSアプリケーションロールの追加」をクリックしてグループを追加します。
OACインスタンスを作成したユーザーは、「ServiceAdminisrator」IDCSアプリケーションロールに自動的に所属します。
「ServiceAdmnistrator」IDCSアプリケーションロールは、「BI Service Administrator」OACアプリケーションロールに自動的に所属します。
よって、OACインスタンスを作成したユーザーは自動的にそのOACインスタンスの管理者になります。
おわりに
ちょっとややこしかったでしょうか?
OACを利用するには、ユーザーは必ずいずれかのOACアプリケーションロールに所属する必要があります。
OACアプリケーションロールには、Identity Domainユーザー、グループ、アプリケーションロールを割り当てることができます。
運用上は、個別のユーザーを割り当てるよりも、Identity DomainのグループをOACアプリケーションロールに割り当てるのが現実的ではないでしょうか。