Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OCI IAM Identity Domains REST API利用ガイド(基本編)/Identity Domain REST API(Basic)

oracle4engineer
PRO
February 21, 2023
Technology
0
870

OCI IAM Identity Domains REST API利用ガイド(基本編)/Identity Domain REST API(Basic)

oracle4engineer
PRO

February 21, 2023
Tweet

More Decks by oracle4engineer

See All by oracle4engineer
[自動バックアップのコスト比較]リカバリ・サービス (RCV/ZRCV) とオブジェクト・ストレージ
oracle4engineer
PRO
1
140
Oracle Cloud Infrastructure:2024年4月度サービス・アップデート
oracle4engineer
PRO
1
110
シン・Kafka / shin-kafka
oracle4engineer
PRO
7
2.7k
Autonomous Database Cloud 技術詳細 / adb-s_technical_detail_jp
oracle4engineer
PRO
14
35k
Oracleデータベースって何だ!?
oracle4engineer
PRO
4
250
Oracle Exadata Database Service on Cloud@Customer (ExaDB-C@C) - UI スクリーン・キャプチャ集
oracle4engineer
PRO
2
1.1k
Exadata Database Service on Dedicated Infrastructure(ExaDB-D) UI スクリーン・キャプチャ集
oracle4engineer
PRO
2
1.5k
Oracle Cloud Infrastructure:2024年3月度サービス・アップデート
oracle4engineer
PRO
2
270
【詳説】Oracle Data Guard Broker
oracle4engineer
PRO
1
290

Other Decks in Technology

See All in Technology
コードを書く隙間を見つけて生きていく技術/Findy 思考の現在地
fujiwara3
24
5.2k
レガシーをぶっ壊せ。AEONで始めるDevRelの話 / Qiita Night 2024-2-22
aeonpeople
3
150
「ふりかえりのふりかえり」をふりかえり、実のあるふりかえりにする
naitosatoshi
0
220
[2024年3月版] Databricksのシステムアーキテクチャ
databricksjapan
8
1.9k
4年前、あるじゃん老害エンジニアLT合戦に登壇、米国西海岸コンピュータ歴史博物館体験記の続編
toshi_atsumi
0
200
AWS を使う上で知っておきたいオンプレミス知識/aws-on-premise-essentials
emiki
1
4.2k
Delivering Millions of Messages within seconds @ Duolingo
pelelgrino
0
330
人間の尊厳、幸福、アクセシビリティ / 第116回「WEB TOUCH MEETING」アクセシビリティSP
nulabinc
PRO
2
180
SIEMを用いて、セキュリティログ分析の可視化と分析を実現し、PDCAサイクルを回してみた
coconala_engineer
0
220
KubeCon EU 2024 Recap “Kubernetes Policy Time Machine: Where to Next?”
ryysud
0
110
クラウドサインにおけるプロダクトマネージャーの役割と開発プロセス / 20240410_cloudsign-PdM
bengo4com
1
680
2024/4/26 コンピュータ歴史博物館解説告知
toshi_atsumi
0
200

Featured

See All Featured
Keith and Marios Guide to Fast Websites
keithpitt
408
22k
How STYLIGHT went responsive
nonsquared
92
4.8k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
18
1.7k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
29
6k
The Pragmatic Product Professional
lauravandoore
24
5.8k
Docker and Python
trallard
33
2.7k
Visualization
eitanlees
135
14k
Making Projects Easy
brettharned
108
5.5k
Build your cross-platform service in a week with App Engine
jlugia
225
17k
Testing 201, or: Great Expectations
jmmastey
27
6.3k
Clear Off the Table
cherdarchuk
83
310k
No one is an island. Learnings from fostering a developers community.
thoeni
14
2.1k

Transcript

  1. OCI IAM Identity Domains REST API利用ガイド(基本編) 2023年2月21日 日本オラクル株式会社

  2. Copyright © 2023, Oracle and/or its affiliates 2 Safe harbor

    statement The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, timing, and pricing of any features or functionality described for Oracle’s products may change and remains at the sole discretion of Oracle Corporation.

  3. アジェンダ Copyright © 2022, Oracle and/or its affiliates 3 1.

    REST APIを利用するための事前準備 ・OCI IAM Identity Domainでの機密アプリケーションの作成 ※アプリケーションからREST APIを実行するケース 2. 各種REST API紹介 ・アクセストークンの取得 ・ユーザー全検索 ・ユーザー作成 ・ユーザー作成(初期パスワード指定+WelcomeメールOFF) ・ユーザーパスワード設定(更新) ・グループ全検索 ・グループ作成(メンバーなし) ・グループへのユーザーアサイン ・監査イベントの取得(開始・終了日付指定) 補足)手動で不定期にREST APIを実行する場合にアクセス・トークンを取得する方法 ※上記1.の代わりに実施

  4. 参考資料 Copyright © 2023, Oracle and/or its affiliates 4 •

    OCI IAM Identity Domains REST APIドキュメント https://docs.oracle.com/en/cloud/paas/iam-domains-rest-api/index.html • IDCS REST APIドキュメント 日本語:https://docs.oracle.com/cd/E83857_01/paas/identity-cloud/rest-api/index.html 英語: https://docs.oracle.com/en/cloud/paas/identity-cloud/rest-api/index.html ※基本的にはIDCSとOCI IAM Identity DomainsでREST APIに違いはないため、 利用例等が記載されているIDCSドキュメントも参考資料として利用してください。

  5. 1. REST APIを利用するための事前準備 ・OCI IAM Identity DomainでのOAuth機密アプリケーションの作成 ※アプリケーションからREST APIを実行するケース Copyright

    © 2023, Oracle and/or its affiliates 5

  6. 1. REST APIを利用するための事前準備 OCI IAM Identity DomainでのOAuth機密アプリケーションの作成 Copyright © 2023,

    Oracle and/or its affiliates 6 1)OCI管理者またはドメイン管理者でOCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。 テナント名(クラウド・アカウント名)を入力し「Next」を選択します。 アイデンティティ・ドメインの選択にて対象ドメイン(今回は「Default」)を選択し、ID/パスワードを入力しOCIコンソールにログインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にログインすることになります。 ※環境によりドメイン選択画面は表示されません。

  7. 1. REST APIを利用するための事前準備 OCI IAM Identity DomainでのOAuth機密アプリケーションの作成 Copyright © 2023,

    Oracle and/or its affiliates 7 2)メニューより「アイデンティティとセキュリティ」ー「アイデンティティ」を選択します。

  8. 1. REST APIを利用するための事前準備 OCI IAM Identity DomainでのOAuth機密アプリケーションの作成 Copyright © 2023,

    Oracle and/or its affiliates 8 3)「ドメイン」を選択、コンパートメントに「ルートコンパートメント」を指定し、ドメイン「Default」を選択します。

  9. 1. REST APIを利用するための事前準備 OCI IAM Identity DomainでのOAuth機密アプリケーションの作成 Copyright © 2023,

    Oracle and/or its affiliates 9 4)Defaultドメイン詳細画面にて、ドメインURLをコピーして控えておきます。 ※このURLは後続の手順で利用します。

  10. 1. REST APIを利用するための事前準備 OCI IAM Identity DomainでのOAuth機密アプリケーションの作成 Copyright © 2023,

    Oracle and/or its affiliates 10 5)左側メニューより「アプリケーション」を選択し、「アプリケーションの追加」を選択します。 アプリケーションの追加画面にて「機密アプリケーション」を選択し、「ワークフローの起動」を選択します。

  11. 1. REST APIを利用するための事前準備 OCI IAM Identity DomainでのOAuth機密アプリケーションの作成 Copyright © 2023,

    Oracle and/or its affiliates 11 6)名前、説明に適当な値を指定し、「次」を選択します。

  12. 1. REST APIを利用するための事前準備 OCI IAM Identity DomainでのOAuth機密アプリケーションの作成 Copyright © 2023,

    Oracle and/or its affiliates 12 7)クライアント構成部分にて「このアプリケーションをクライアントとして今すぐ構成します」をチェックONにします。 認可部分の権限付与タイプにて「クライアント資格証明」をチェックONにします。

  13. 1. REST APIを利用するための事前準備 OCI IAM Identity DomainでのOAuth機密アプリケーションの作成 Copyright © 2023,

    Oracle and/or its affiliates 13 8)画面をスクロールダウンし、トークン発行ポリシー部分にて「特定」をチェックONにします。 「アプリケーション・ロールの追加」をチェックONにし、「ロールの追加」を選択します。

  14. 1. REST APIを利用するための事前準備 OCI IAM Identity DomainでのOAuth機密アプリケーションの作成 Copyright © 2023,

    Oracle and/or its affiliates 14 9)アプリケーション・ロールの追加画面にて「Identity Domain Administrator」をチェックONにし、「追加」を選択します。

  15. 1. REST APIを利用するための事前準備 OCI IAM Identity DomainでのOAuth機密アプリケーションの作成 Copyright © 2023,

    Oracle and/or its affiliates 15 10)アプリケーション・ロールに「Identity Domain Administrator」が追加されたことを確認し、「次」を選択します。 ※本機密アプリケーションより発行されたアクセス・トークンはIdentity Domain管理者権限を持つことになるため扱いにはご注意お願いします。

  16. 1. REST APIを利用するための事前準備 OCI IAM Identity DomainでのOAuth機密アプリケーションの作成 Copyright © 2023,

    Oracle and/or its affiliates 16 11)Web層ポリシー部分にて「スキップして後で実行」をチェックONにし、「終了」を選択します。

  17. 1. REST APIを利用するための事前準備 OCI IAM Identity DomainでのOAuth機密アプリケーションの作成 Copyright © 2023,

    Oracle and/or its affiliates 17 12)登録したアプリケーション詳細画面にて「アクティブ化」を選択します。 アクティブ化確認画面にて「アプリケーションのアクティブ化」を選択します。

  18. 1. REST APIを利用するための事前準備 OCI IAM Identity DomainでのOAuth機密アプリケーションの作成 Copyright © 2023,

    Oracle and/or its affiliates 18 13)登録したアプリケーションがアクティブ化されたことを確認します。 画面をスクロールダウンし、Oauth構成の一般情報にある「クライアントID」と「クライアント・シークレット」を控えておきます。

  19. 2. 各種REST API紹介 Copyright © 2023, Oracle and/or its affiliates

    19

  20. 2. 各種REST API紹介 – アクセス・トークン取得 Copyright © 2023, Oracle and/or

    its affiliates 20 1) 次のコマンドを実行して、対象アイデンティティドメインのREST APIでアクセス・トークン(1時間有効)を取得します。 curl -k -X POST -u "{機密アプリのクライアントID(上記1.で取得)}:{機密アプリのクライアントシークレット(上記1.で取得)}" -H "Content-Type: application/x-www-form-urlencoded;charset=UTF-8" -d "grant_type=client_credentials&scope=urn:opc:idm:__myscopes__" "https://{アイデンティティドメインURL(上記1.で取得)}/oauth2/v1/token" 2) レスポンスより「"access_token":"~"」の~部分がアクセス・トークンになるので控えておきます。 ここから ここまで ・・・・・・・・・・・・・ ※参考マニュアル:https://docs.oracle.com/cd/E83857_01/paas/identity-cloud/rest-api/op-oauth2-v1-token-post.html

  21. 2. 各種REST API紹介 – ユーザー全検索 Copyright © 2023, Oracle and/or

    its affiliates 21 1) 次のコマンドを実行して、登録済みの全ユーザーリストを取得します。 curl -k -X GET -H "Content-Type: application/json" -H "Authorization: Bearer {上記にて取得したアクセストークン}" "https://{アイデンティティドメインURL(上記1.で取得)}/admin/v1/Users" 2) レスポンスとしてユーザー情報が表示されていることを確認します。 ・・・・・・・・・・・・・ ※参考マニュアル:https://docs.oracle.com/cd/E83857_01/paas/identity-cloud/rest-api/op-admin-v1-users-get.html

  22. 2. 各種REST API紹介 – ユーザー作成(初期パスワードなし+Welcomeメールあり) Copyright © 2023, Oracle and/or

    its affiliates 22 1) ファイルcreate_user.jsonを下記内容で作成します。 本例では、属性として[姓、名、ユーザー名、メールアドレス(会社)、優先言語]を指定しています。 curl -k -X POST -H "Content-Type: application/json" -H "Authorization: Bearer {上記にて取得したアクセストークン}" "https://{アイデンティティドメインURL(上記1.で取得)}/admin/v1/Users" –d @create_user.json 3) レスポンスとして作成したユーザー情報が表示されていることを確認します。 { "schemas": [ "urn:ietf:params:scim:schemas:core:2.0:User" ], "name": { "givenName": "Test001", "familyName": "Oracle" }, "userName": "oracle001", "emails": [ { "value": "[email protected]", "type": "work", "primary": true } ], "PreferredLanguage": "ja" } 2) 次のコマンドを実行し、上記create_user.jsonの内容でユーザー作成を行います。 ※参考マニュアル:https://docs.oracle.com/cd/E83857_01/paas/identity-cloud/rest-api/op-admin-v1-users-post.html

  23. 2. 各種REST API紹介 – ユーザー作成(初期パスワード指定+Welcomeメールなし) Copyright © 2023, Oracle and/or

    its affiliates 23 1) ファイルcreate_user.jsonを下記内容で作成します。 本例では、属性として[姓、名、ユーザー名、メールアドレス(会社)、優先言語、パスワード、Welcome通知OFF]を指定しています。 curl -k -X POST -H "Content-Type: application/json" -H "Authorization: Bearer {上記にて取得したアクセストークン}" "https://{アイデンティティドメインURL(上記1.で取得)}/admin/v1/Users" –d @create_user.json 3) レスポンスとして作成したユーザー情報が表示されていることを確認します。 { "schemas": [ "urn:ietf:params:scim:schemas:core:2.0:User" ], "name": { "givenName": "Test002", "familyName": "Oracle" }, "userName": "oracle002", "emails": [ { "value": "[email protected]", "type": "work", "primary": true } ], "PreferredLanguage": "ja", "password": "Welcome123456!", "urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User":{ "bypassNotification": true } } 2) 次のコマンドを実行し、上記create_user.jsonの内容でユーザー作成を行います。 ※初期パスワードを指定しユーザー作成を行った場合、 対象ユーザーが初回ログインするとパスワード変更画面に 強制遷移しパスワード変更が求められます。 ※参考マニュアル:https://docs.oracle.com/cd/E83857_01/paas/identity-cloud/rest-api/op-admin-v1-users-post.html

  24. 2. 各種REST API紹介 – パスワード更新(パスワード指定) Copyright © 2023, Oracle and/or

    its affiliates 24 2) ファイルpassword_user.jsonを下記内容で作成します。 curl -k -X PUT -H "Content-Type:application/json;charset=UTF-8" -H "Authorization: Bearer {上記にて取得したアクセストークン}" "https://{アイデンティティドメインURL(上記1.で取得)}/admin/v1/UserPasswordChanger/{対象ユーザーのID}" –d @password_user.json 4) レスポンスとして更新ユーザー情報が表示されていることを確認します。 { "password": "IdentityDomain123!", "schemas": [ "urn:ietf:params:scim:schemas:oracle:idcs:UserPasswordChanger" ] } 3) 次のコマンドを実行し、上記password_user.jsonの内容でユーザーパスワード変更を行います。 1) 上記の「ユーザー全検索」により、パスワード更新の対象ユーザーのIDを控えておきます。 検索結果の「・・・・"id":"~"・・・・・」の~の部分がIDになります。 ※参考マニュアル:https://docs.oracle.com/cd/E83857_01/paas/identity-cloud/rest-api/op-admin-v1-userpasswordchanger-id-put.html

  25. 2. 各種REST API紹介 – グループ全検索 Copyright © 2023, Oracle and/or

    its affiliates 25 1) 次のコマンドを実行して、登録済みの全グループリストを取得します。 curl -k -X GET -H "Content-Type: application/json" -H "Authorization: Bearer {上記にて取得したアクセストークン}" "https://{アイデンティティドメインURL(上記1.で取得)}/admin/v1/Groups" 2) レスポンスとしてユーザー情報が表示されていることを確認します。 ・・・・・・・・・・・・・ ※参考マニュアル:https://docs.oracle.com/cd/E83857_01/paas/identity-cloud/rest-api/op-admin-v1-groups-get.html

  26. 2. 各種REST API紹介 – グループ作成(メンバーなし) Copyright © 2023, Oracle and/or

    its affiliates 26 1) ファイルcreate_group.jsonを下記内容で作成します。 本例では、属性として[表示名、externalID、説明]を指定しています。 curl -k -X POST -H "Content-Type: application/json" -H "Authorization: Bearer {上記にて取得したアクセストークン}" "https://{アイデンティティドメインURL(上記1.で取得)}/admin/v1/Groups" –d @create_group.json 3) レスポンスとして作成したグループ情報が表示されていることを確認します。 { "displayName": "Example Group1", "externalId": "123456", "urn:ietf:params:scim:schemas:oracle:idcs:extension:group:Group": { "creationMechanism": "api", "description": "Example Group1 Description" }, "schemas": [ "urn:ietf:params:scim:schemas:core:2.0:Group", "urn:ietf:params:scim:schemas:oracle:idcs:extension:group:Group", "urn:ietf:params:scim:schemas:extension:custom:2.0:Group" ] } 2) 次のコマンドを実行し、上記create_group.jsonの内容でグループ作成を行います。 ※参考マニュアル:https://docs.oracle.com/cd/E83857_01/paas/identity-cloud/rest-api/op-admin-v1-groups-post.html

  27. 2. 各種REST API紹介 – グループへのユーザーアサイン(1/2) Copyright © 2023, Oracle and/or

    its affiliates 27 2) ファイルgroup_member.jsonを下記内容で作成します。 本例では、2ユーザーをメンバーとして追加します。 { "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ], "Operations": [ { "op": "add", "path": "members", "value": [ { "value": "f9bf7127c90a45468a2389fdab26a6ce", "type": "User" }, { "value": "bb7a80a2ee204a6ea72a12efdbe5898c", "type": "User" } ] } ] } 1) 上記の「グループ全検索」等により、対象グループのIDを控えておきます。 また、「ユーザー全検索」等により、グループメンバーに追加するユーザーのIDも同様に控えておきます。 検索結果の「・・・・"id":"~"・・・・・」の~の部分がIDになります。 グループメンバーに追加するユーザーのIDを指定

  28. 2. 各種REST API紹介 – グループへのユーザーアサイン(2/2) Copyright © 2023, Oracle and/or

    its affiliates 28 curl -k -X PATCH -H "Content-Type:application/json;charset=UTF-8" -H "Authorization: Bearer {上記にて取得したアクセストークン}" "https://{アイデンティティドメインURL(上記1.で取得)}/admin/v1/Groups/{対象グループのID}" –d @password_user.json 3) 次のコマンドを実行し、上記group_member.jsonの内容でグループへのメンバー追加を行います。 4) レスポンスとして作成したメンバー追加したグループ情報が表示されていることを確認します。 ※参考マニュアル:https://docs.oracle.com/cd/E83857_01/paas/identity-cloud/rest-api/op-admin-v1-groups-id-patch.html

  29. 2. 各種REST API紹介 – 監査イベントの取得(開始・終了日付指定) Copyright © 2023, Oracle and/or

    its affiliates 29 1) 次のコマンドを実行して、指定期間内の保存済み監査イベント情報を取得します。 curl -k -X GET -H "Content-Type: application/json" -H "Authorization: Bearer {上記にて取得したアクセストークン}" "https://{アイデンティティドメインURL(上記1.で取得)}/admin/v1 /AuditEvents?sortBy=timestamp&sortOrder=descending&filter=timestamp%20ge%20%22{開始日(例:2022-04- 04T00:00:00Z)}%22%20and%20timestamp%20le%20%22{終了日(例:2022-04-11T00:00:00Z)}%22" 2) レスポンスとして監査イベント情報が表示されていることを確認します。 ・・・・・・・・・・・・・ 補足)上記コマンドは、下記コマンドのURL部分のスペースを%20へ、”を%22へ変換したコマンド curl -k -X GET -H "Content-Type: application/json" -H "Authorization: Bearer {上記にて取得したアクセストークン}" "https://{アイデンティティドメインURL(上記1.で取得)}/admin/v1 /AuditEvents?sortBy=timestamp&sortOrder=descending&filter=timestamp ge "{開始日(例:2022-04-04T00:00:00Z)}" and timestamp le "{終了日(例:2022-04-11T00:00:00Z)}"" ※参考マニュアル:https://docs.oracle.com/cd/E83857_01/paas/identity-cloud/rest-api/op-admin-v1-auditevents-get.html

  30. 補足) 手動で不定期にREST APIを実行する場合にアクセス・トークンを取得する方法 ※上記1.の代わりに実施 Copyright © 2022, Oracle and/or its

    affiliates 30

  31. 手動で不定期にREST APIを実行する場合にアクセス・トークンを取得する方法 Copyright © 2022, Oracle and/or its affiliates 31

    1)OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。 テナント名(クラウド・アカウント名)を入力し「Next」を選択します。 アイデンティティ・ドメインの選択にて対象ドメイン(今回は「Default」)を選択し、 OCI管理者またはドメイン管理者のID/パスワードを 入力しOCIコンソールにログインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にログインすることになります。 ※環境によりドメイン選択画面は表示されません。 管理者が手動にて不定期にREST APIを実行する場合には、上記1.の手順(アクセス・トークン発行用機密アプリケーション作成)の代わりに OCIコンソールから都度アクセス・トークンを取得する方法を利用可能です。

  32. 手動で不定期にREST APIを実行する場合にアクセス・トークンを取得する方法 Copyright © 2022, Oracle and/or its affiliates 32

    2) OCIコンソールにログインした後、画面右上のアバターマークより 「自分のプロファイル」を選択します。

  33. 手動で不定期にREST APIを実行する場合にアクセス・トークンを取得する方法 Copyright © 2022, Oracle and/or its affiliates 33

    3) 画面左下のリソース部分より「自分のアクセス・トークン」を選択します。

  34. 手動で不定期にREST APIを実行する場合にアクセス・トークンを取得する方法 Copyright © 2022, Oracle and/or its affiliates 34

    4) 「アイデンティティ。ドメインAPIを呼び出します」をチェックONにし、 アプリケーション・ロールの選択部分に「Identity Domain Administrator」を選択します。 必要に応じて、トークン失効までの分数にトークン有効分数を変更し、「トークンのダウンロード」を選択します。 取得したアクセス・トークンを用いてREST APIを操作します。 ※この場合、上記2.の「アクセス・トークン取得」は実施不要です。
  35. None