Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OCI IAM Identity Domains_IPアドレスによるOCIコンソールアクセスの...

Avatar for oracle4engineer oracle4engineer PRO
August 20, 2024
Technology
1
1.5k

OCI IAM Identity Domains_IPアドレスによるOCIコンソールアクセスの制御 / OCI IAM Identity Domains_Control OCI console access by IP Address

Avatar for oracle4engineer

oracle4engineer PRO

August 20, 2024
Tweet

More Decks by oracle4engineer

See All by oracle4engineer
OCI IAM Identity Domain_APEX管理者サイトとの認証連携/Identity Domain for APEX Admin Site
Avatar for oracle4engineer oracle4engineer
PRO
0
25
OCI IAM Identity Domain_パスワードセット後の”サインインへ進む”ボタン非表示/Identity Domain Hidden Continue to Sign In Button
Avatar for oracle4engineer oracle4engineer
PRO
0
30
[TechNight #91] Oracle Database 最新パフォーマンス分析手法
Avatar for oracle4engineer oracle4engineer
PRO
3
290
LLM拡張解体新書/llm-extension-deep-dive
Avatar for oracle4engineer oracle4engineer
PRO
27
8.7k
【Oracle Cloud ウェビナー】【入門&再入門】はじめてのOracle Cloud Infrastructure [+最新情報]
Avatar for oracle4engineer oracle4engineer
PRO
1
190
Zero Data Loss Autonomous Recovery Service サービス概要
Avatar for oracle4engineer oracle4engineer
PRO
2
8.1k
マーケットプレイス版Oracle WebCenter Content For OCI
Avatar for oracle4engineer oracle4engineer
PRO
3
1k
話題の MCP と巡る OCI RAG ソリューションの旅 - Select AI with RAG と Generative AI Agents ディープダイブ
Avatar for oracle4engineer oracle4engineer
PRO
6
170
【Oracle Cloud ウェビナー】インフラのプロフェッショナル集団KELが考えるOCIでのソリューション実現
Avatar for oracle4engineer oracle4engineer
PRO
1
150

Other Decks in Technology

See All in Technology
Power Automate のパフォーマンス改善レシピ / Power Automate Performance Improvement Recipes
Avatar for Takashi Shinohara karamem0
0
280
OpenTelemetry の Log を使いこなそう
Avatar for Shota Iwami biwashi
5
1.1k
激動の時代、新卒エンジニアはAIツールにどう向き合うか。 [LayerX Bet AI Day Countdown LT Day1 ツールの選択]
Avatar for tak tak848
0
620
With Devin -AIの自律とメンバーの自立
Avatar for こたにん kotanin0
2
910
KCD Lima: eBee in Peru!
Avatar for Liz Rice lizrice
0
110
少人数でも回る! DevinとPlaybookで支える運用改善
Avatar for ishikawa-pro ishikawa_pro
4
1.9k
FAST導入1年間のふりかえり〜現実を直視し、さらなる進化を求めて〜 / Review of the first year of FAST implementation
Avatar for Kyosuke Awata wooootack
1
210
[MIRU2025]Preference Optimization for Multimodal Large Language Models for Image Captioning Tasks
Avatar for Semantic Machine Intelligence Lab., Keio Univ. keio_smilab
PRO
0
130
M365アカウント侵害時の初動対応
Avatar for LHazy lhazy
7
5.2k
帳票構造化タスクにおけるLLMファインチューニングの性能評価
Avatar for yosukeyoshida yosukeyoshida
1
180
From Live Coding to Vibe Coding with Firebase Studio
Avatar for Firebase Thailand firebasethailand
1
330
地域コミュニティへの「感謝」と「恩返し」 / 20250726jawsug-tochigi
Avatar for kasacchiful kasacchiful
0
110

Featured

See All Featured
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
Avatar for Eileen M. Uchitelle eileencodes
26
2.9k
StorybookのUI Testing Handbookを読んだ
Avatar for Shingo Yamazaki zakiyama
30
5.9k
Raft: Consensus for Rubyists
Avatar for Patrick Van Stee vanstee
140
7k
JavaScript: Past, Present, and Future - NDC Porto 2020
Avatar for David Neal reverentgeek
50
5.5k
The Cost Of JavaScript in 2023
Avatar for Addy Osmani addyosmani
51
8.7k
Adopting Sorbet at Scale
Avatar for Ufuk Kayserilioglu ufuk
77
9.5k
Faster Mobile Websites
Avatar for Dean Hume deanohume
308
31k
Why You Should Never Use an ORM
Avatar for John Nunemaker jnunemaker
PRO
58
9.5k
Rails Girls Zürich Keynote
Avatar for Gregor Martynus gr2m
95
14k
The Success of Rails: Ensuring Growth for the Next 100 Years
Avatar for Eileen M. Uchitelle eileencodes
45
7.5k
A Modern Web Designer's Workflow
Avatar for Chris Coyier chriscoyier
695
190k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
Avatar for Michelle Schulp Hunt marktimemedia
31
2.4k

Transcript

  1. OCI IAM Identity Domains IPアドレスによるOCIコンソールへのアクセス制御 日本オラクル株式会社 2025/7/1

  2. Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、 情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以 下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買 決定を行う際の判断材料になさらないで下さい。 オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊 社の裁量により決定され、変更される可能性があります。 Copyright

    © 2025, Oracle and/or its affiliates 2

  3. 3 Copyright © 2025, Oracle and/or its affiliates はじめに Identity

    Domainsを持つOCIテナンシにおいて、OCIコンソールへのアクセスをIPアドレスにより制御(アクセス 許可 or 拒否) するためには、Identity Domainsのネットワークペリメータ機能 および サインオンポリシー機能を使い設定を行う必要があります。 本資料では、OCIコンソールアクセスのIPアドレス制御を実現するための下記の設定方法を説明します。 ・OCIコンソール用のMFA強制サインオンポリシー「Security Policy for OCI Console」を活用する方法 ⇒利用シーン(例):OCIコンソールアクセス時にMFA+IPアドレス制御の両方を実施したい場合

  4. OCIコンソール用のMFA強制サインオンポリシー 「Security Policy for OCI Console」を活用する方法 Copyright © 2025, Oracle

    and/or its affiliates 4

  5. 本手順で実現する内容 Copyright © 2025, Oracle and/or its affiliates 5 •

    OCIコンソール用MFA強制化サインオン・ポリシー「Security Policy for OCI Console」の設定内容を活かして、 MFA強制化に加えてIPアドレスによるアクセス制御の設定を追加します。 管理者 社内NWからのアクセス AND Administratorグループ所属 社内NWからのアクセス 社内以外NWからのアクセス 2要素認証要求 (MFA強制) 2要素認証要求 (MFA強制) アクセス拒否 条件 アクション 社 外 NW 社 内 NW 一般ユーザー 全員 2要素認証 (MFA強制) OCIコンソール パスワード認証 ルール:MFA for administrators ルール:MFA for all users ルール:新規 Security Policy for OCI Console 【 実 現 イ メ ー ジ 】 【 サ イ ン オ ン ポ リ シ ー 構 成 】 アクセス可 アクセス可 アクセス不可 アクセス許可 アクセス許可

  6. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 6 1) OCI管理者でOCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスし、テナント名(クラウド・アカウント名)を 入力し「Next」を選択します。 ドメイン選択画面にて”Default”を選択します。 ログイン画面にて管理者ユーザーのID/パスワードを指定し、MFAを実施し、OCIコンソールにログインします。

  7. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 7 2) 左上メニューより「アイデンティティとセキュリティ」ー「ドメイン」を選択します。

  8. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 8 3)ドメイン画面にて、適用済みフィルタ部分にてrootコンパートメントを指定し、アイデンティティ・ドメイン「Default」を選択します。 ※Defaultドメイン以外のアイデンティティ・ドメインに対してもIPアドレス制御を設定する場合には、ここで該当ドメインを選択し後続手順を実施します。

  9. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 9 4) ネットワーク・ペリメータを登録するため、メニュー「セキュリティ」を選択します。 ネットワーク・ペリメータ部分にて「ネットワーク・ペリメータの作成」を選択します。 ※ネットワークペリメータとは、IPアドレス制御の条件設定で使うIPアドレスを定義するための機能です。

  10. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 10 5)ネットワーク・ペリメータの作成画面にて、名前に適当な名前(今回はInternal NW)、 IPアドレスに社内NWのIPアドレスの範囲を指定し、「作成」を選択します。 ネットワーク・ペリメータではいくつかの方法でIPアドレスを登録可能 ・1つのIPアドレスを登録(例:10.0.0.1) ・カンマ区切りで複数のIPアドレスを登録(例:10.0.0.1,10.0.0.1,10.1.0.100) ・ハイフンを利用しIPアドレス範囲を登録(例:10.0.0.1-10.0.0.100) ・CIDR表記によるIPアドレス範囲を登録(例:10.0.0.1/16)

  11. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 11 6)ネットワーク・ペリメータが作成されたことを確認します。

  12. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 12 7) サインオン・ポリシーの設定のため、メニュー「ドメイン・ポリシー」を選択します。 サインオン・ポリシー部分の「Security Policy for OCI Console」がアクティブ化済になっていることを確認し、このポリシーを選択します。

  13. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 13 8) Security Policy for OCI Consoleの画面にて、メニュー「サインオン・ルール」を選択します。 サインオン・ルール部分の「MFA for administrators」の編集マークを開き、「サインオン・ルールの編集」を選択します。 確認画面にて「続行」を選択します。

  14. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 14 9) サインオン・ルール「MFA for administrators」の編集画面にて、”クライアントIPアドレスでフィルタ”部分にて下記を設定します。 ・次のネットワーク・ペリメータに制限します : チェックONにする ・ネットワーク・ペリメータ : 上記にて定義した社内NWを示すネットワーク・ペリメータを選択(例:Internal NW) 本手順ではデフォルトのMFA設定を そのままの状態に保つ内容になってます。 必要に応じてMFA要素の追加等を実施 してください。

  15. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 15 10) 同画面の後段にある「同意」をチェックONにし、理由部分に「MFA Configured in Custom Policy」を選択し、 「サインオン・ルールの編集」を選択します。 ※既にサインオンポリシー「Security Policy for OCI Console」を変更している場合には本手順は必要ありません。

  16. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 16 11) 続けてSecurity Policy for OCI Consoleの画面にて、サインオン・ルール「MFA for all users」の編集マークを開き、 「サインオン・ルールの編集」を選択します。 確認画面にて「続行」を選択します。

  17. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 17 12) サインオン・ルール「MFA for administrators」の編集画面にて、”クライアントIPアドレスでフィルタ”部分にて下記を設定します。 ・次のネットワーク・ペリメータに制限します : チェックONにする ・ネットワーク・ペリメータ : 上記にて定義した社内NWを示すネットワーク・ペリメータを選択(例:Internal NW) 「サインオン・ルールの編集」を選択します。 本手順ではデフォルトのMFA設定を そのままの状態に保つ内容になってます。 必要に応じてMFA要素の追加等を実施 してください。

  18. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 18 13) 続けて、社内NW以外からのアクセスの場合にはアクセス拒否をするための新規ルールを作成するため、 Security Policy for OCI Consoleの画面にて、「サインオン・ルールの追加」選択します。 確認画面で「続行」を選択します。

  19. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 19 14) サインオン・ルールの追加画面にて、ルール名に適当な名前(例:Not Internal NW)を指定します。 ”アクション”部分にて下記を設定します。 ・アクセスの拒否 : チェックONにする 「サインオン・ルールの追加」を選択します。

  20. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 20 15) Security Policy for OCI Consoleの画面にて、サインオン・ルールの優先度が下記になっていることを確認します。 1.MFA for administrators 2.MFA for all users 3.上記で新規作成したルール(例:Not Internal NW)

  21. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~確認 Copyright © 2025,

    Oracle and/or its affiliates 21 ※重要※ サインオンポリシーで間違った設定をした場合、管理者を含む全員がOCIコンソールにアクセスできなくなり、設定修正を行うことができない 状況になる可能性があります。 そのため、サインポリシーの動作確認をする場合には、OCIコンソールにログインした状態のセッション(ブラウザ)を残したまま、別セッションで 動作確認を行うことを強くお勧めします。

  22. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~確認 Copyright © 2025,

    Oracle and/or its affiliates 22 【社内NW+管理者(Administratorsグループ所属)でOCIコンソールへアクセスした場合】 OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスし、テナント名(クラウド・アカウント名)を 入力し「Next」を選択します。 ドメイン選択画面にて”Default”を選択します。 ログイン画面にて管理者ユーザーのID/パスワードを指定するとMFAを求められることを確認します。 MFA実施後、OCIコンソールにアクセスできることを確認します。

  23. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~確認 Copyright © 2025,

    Oracle and/or its affiliates 23 【社内NW+一般ユーザーでOCIコンソールへアクセスした場合】 OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスし、テナント名(クラウド・アカウント名)を 入力し「Next」を選択します。 ドメイン選択画面にて”Default”を選択します。 ログイン画面にて管理者ユーザーのID/パスワードを指定するとMFAを求められることを確認します。 MFA実施後、OCIコンソールにアクセスできることを確認します。

  24. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~確認 Copyright © 2025,

    Oracle and/or its affiliates 24 【社外NWからOCIコンソールへアクセスした場合】 OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスし、テナント名(クラウド・アカウント名)を 入力し「Next」を選択します。 ドメイン選択画面にて”Default”を選択します。 ログイン画面にてユーザーのID/パスワードを指定するとアクセス拒否の画面が表示されOCIコンソールにアクセスできないことを確認します。
  25. None