Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OCI IAM Identity Domains_IPアドレスによるOCIコンソールアクセスの...

Avatar for oracle4engineer oracle4engineer PRO
August 20, 2024
Technology
2.7k
1

OCI IAM Identity Domains_IPアドレスによるOCIコンソールアクセスの制御 / OCI IAM Identity Domains_Control OCI console access by IP Address

Avatar for oracle4engineer

oracle4engineer PRO

August 20, 2024

More Decks by oracle4engineer

See All by oracle4engineer
Oracle AI Databaseデータベース・サービスのメンテナンス(BaseDB/ExaDB-D/ExaDB-XS)
Avatar for oracle4engineer oracle4engineer
PRO
4
1.4k
Oracle AI Database@Google Cloud:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
6
1.5k
Oracle AI Database@Azure:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
6
1.9k
Oracle AI Database@AWS:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
4
2.9k
CrossplaneによるCloud Native Control Plane
Avatar for oracle4engineer oracle4engineer
PRO
0
98
OCI Oracle AI Database Services新機能アップデート(2026/03-2026/05)
Avatar for oracle4engineer oracle4engineer
PRO
0
370
Oracle Cloud Infrastructure IaaS 新機能アップデート 2026/3 - 2026/5
Avatar for oracle4engineer oracle4engineer
PRO
1
260
マーケットプレイス版Oracle WebCenter Content For OCI
Avatar for oracle4engineer oracle4engineer
PRO
5
1.8k
Oracle Database Gold Image
Avatar for oracle4engineer oracle4engineer
PRO
1
170

Other Decks in Technology

See All in Technology
白金鉱業Meetup_Vol.24_「AIエージェントは分けるほど良い」は本当か? / Is it true that “the more you divide AI agents, the better”?
Avatar for BrainPad brainpadpr
1
330
小さくはじめるSLI/SLO ~育てながら組織に定着させる実践知~ / Starting Small with SLI/SLOs: Building Adoption Through Continuous Growth
Avatar for Narimichi Takamura nari_ex
7
1.9k
FinOps × AIエージェントで実現する コストインシデントの自動調査
Avatar for T.REX oasis1994liveforever
0
130
あなたの知らないPDFのアクセシビリティ
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
0
100
Chainlitで作るお手軽チャットUI
Avatar for tomo ynt0485
0
210
Agentic Web
Avatar for dynamis dynamis
1
210
Claude Code×Terraform IaC テンプレート駆動開発
Avatar for Itou Hideki itouhi
1
510
[モダンアプリ勉強会]今更聞けないGit/GitHub入門
Avatar for つくぼし tsukuboshi
0
370
FDE という解 ― 暗黙知と明示知をつなぐ、伴走型エンジニアリング ―
Avatar for 太田 博三 otanet
0
140
ACE-Step-1.5で見る 音楽生成AIのしくみと“破綻だけ直す”Retake機能の開発【zennfes spring 2026 登壇資料】
Avatar for asap personabb
1
160
SIer20年! 培ったスキルがスタートアップで輝く時
Avatar for しゅういちろ shucho0103
0
850
Microsoft Build Keynoteふりかえり
Avatar for tomokusaba tomokusaba
0
120

Featured

See All Featured
Improving Core Web Vitals using Speculation Rules API
Avatar for Sergey Chernyshev sergeychernyshev
21
1.5k
More Than Pixels: Becoming A User Experience Designer
Avatar for Michelle Schulp Hunt marktimemedia
3
440
RailsConf 2023
Avatar for Aaron Patterson tenderlove
30
1.5k
Winning Ecommerce Organic Search in an AI Era - #searchnstuff2025
Avatar for Aleyda Solis aleyda
1
2k
Marketing to machines
Avatar for Jono Alderson jonoalderson
1
5.4k
Ruling the World: When Life Gets Gamed
Avatar for Sebastian Deterding codingconduct
0
250
Navigating Team Friction
Avatar for Lara Hogan lara
192
16k
Easily Structure & Communicate Ideas using Wireframe
Avatar for Afnizar Nur Ghifari afnizarnur
194
17k
The MySQL Ecosystem @ GitHub 2015
Avatar for Sam Lambert samlambert
251
13k
Testing 201, or: Great Expectations
Avatar for Joseph Mastey jmmastey
46
8.2k
A brief & incomplete history of 
UX Design for the World Wide Web: 1989–2019
Avatar for Jason CranfordTeague jct
2
390
Balancing Empowerment & Direction
Avatar for Lara Hogan lara
6
1.2k

Transcript

  1. OCI IAM Identity Domains IPアドレスによるOCIコンソールへのアクセス制御 日本オラクル株式会社 2025/7/1

  2. Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、 情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以 下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買 決定を行う際の判断材料になさらないで下さい。 オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊 社の裁量により決定され、変更される可能性があります。 Copyright

    © 2025, Oracle and/or its affiliates 2

  3. 3 Copyright © 2025, Oracle and/or its affiliates はじめに Identity

    Domainsを持つOCIテナンシにおいて、OCIコンソールへのアクセスをIPアドレスにより制御(アクセス 許可 or 拒否) するためには、Identity Domainsのネットワークペリメータ機能 および サインオンポリシー機能を使い設定を行う必要があります。 本資料では、OCIコンソールアクセスのIPアドレス制御を実現するための下記の設定方法を説明します。 ・OCIコンソール用のMFA強制サインオンポリシー「Security Policy for OCI Console」を活用する方法 ⇒利用シーン(例):OCIコンソールアクセス時にMFA+IPアドレス制御の両方を実施したい場合

  4. OCIコンソール用のMFA強制サインオンポリシー 「Security Policy for OCI Console」を活用する方法 Copyright © 2025, Oracle

    and/or its affiliates 4

  5. 本手順で実現する内容 Copyright © 2025, Oracle and/or its affiliates 5 •

    OCIコンソール用MFA強制化サインオン・ポリシー「Security Policy for OCI Console」の設定内容を活かして、 MFA強制化に加えてIPアドレスによるアクセス制御の設定を追加します。 管理者 社内NWからのアクセス AND Administratorグループ所属 社内NWからのアクセス 社内以外NWからのアクセス 2要素認証要求 (MFA強制) 2要素認証要求 (MFA強制) アクセス拒否 条件 アクション 社 外 NW 社 内 NW 一般ユーザー 全員 2要素認証 (MFA強制) OCIコンソール パスワード認証 ルール:MFA for administrators ルール:MFA for all users ルール:新規 Security Policy for OCI Console 【 実 現 イ メ ー ジ 】 【 サ イ ン オ ン ポ リ シ ー 構 成 】 アクセス可 アクセス可 アクセス不可 アクセス許可 アクセス許可

  6. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 6 1) OCI管理者でOCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスし、テナント名(クラウド・アカウント名)を 入力し「Next」を選択します。 ドメイン選択画面にて”Default”を選択します。 ログイン画面にて管理者ユーザーのID/パスワードを指定し、MFAを実施し、OCIコンソールにログインします。

  7. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 7 2) 左上メニューより「アイデンティティとセキュリティ」ー「ドメイン」を選択します。

  8. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 8 3)ドメイン画面にて、適用済みフィルタ部分にてrootコンパートメントを指定し、アイデンティティ・ドメイン「Default」を選択します。 ※Defaultドメイン以外のアイデンティティ・ドメインに対してもIPアドレス制御を設定する場合には、ここで該当ドメインを選択し後続手順を実施します。

  9. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 9 4) ネットワーク・ペリメータを登録するため、メニュー「セキュリティ」を選択します。 ネットワーク・ペリメータ部分にて「ネットワーク・ペリメータの作成」を選択します。 ※ネットワークペリメータとは、IPアドレス制御の条件設定で使うIPアドレスを定義するための機能です。

  10. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 10 5)ネットワーク・ペリメータの作成画面にて、名前に適当な名前(今回はInternal NW)、 IPアドレスに社内NWのIPアドレスの範囲を指定し、「作成」を選択します。 ネットワーク・ペリメータではいくつかの方法でIPアドレスを登録可能 ・1つのIPアドレスを登録(例:10.0.0.1) ・カンマ区切りで複数のIPアドレスを登録(例:10.0.0.1,10.0.0.1,10.1.0.100) ・ハイフンを利用しIPアドレス範囲を登録(例:10.0.0.1-10.0.0.100) ・CIDR表記によるIPアドレス範囲を登録(例:10.0.0.1/16)

  11. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 11 6)ネットワーク・ペリメータが作成されたことを確認します。

  12. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 12 7) サインオン・ポリシーの設定のため、メニュー「ドメイン・ポリシー」を選択します。 サインオン・ポリシー部分の「Security Policy for OCI Console」がアクティブ化済になっていることを確認し、このポリシーを選択します。

  13. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 13 8) Security Policy for OCI Consoleの画面にて、メニュー「サインオン・ルール」を選択します。 サインオン・ルール部分の「MFA for administrators」の編集マークを開き、「サインオン・ルールの編集」を選択します。 確認画面にて「続行」を選択します。

  14. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 14 9) サインオン・ルール「MFA for administrators」の編集画面にて、”クライアントIPアドレスでフィルタ”部分にて下記を設定します。 ・次のネットワーク・ペリメータに制限します : チェックONにする ・ネットワーク・ペリメータ : 上記にて定義した社内NWを示すネットワーク・ペリメータを選択(例:Internal NW) 本手順ではデフォルトのMFA設定を そのままの状態に保つ内容になってます。 必要に応じてMFA要素の追加等を実施 してください。

  15. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 15 10) 同画面の後段にある「同意」をチェックONにし、理由部分に「MFA Configured in Custom Policy」を選択し、 「サインオン・ルールの編集」を選択します。 ※既にサインオンポリシー「Security Policy for OCI Console」を変更している場合には本手順は必要ありません。

  16. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 16 11) 続けてSecurity Policy for OCI Consoleの画面にて、サインオン・ルール「MFA for all users」の編集マークを開き、 「サインオン・ルールの編集」を選択します。 確認画面にて「続行」を選択します。

  17. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 17 12) サインオン・ルール「MFA for administrators」の編集画面にて、”クライアントIPアドレスでフィルタ”部分にて下記を設定します。 ・次のネットワーク・ペリメータに制限します : チェックONにする ・ネットワーク・ペリメータ : 上記にて定義した社内NWを示すネットワーク・ペリメータを選択(例:Internal NW) 「サインオン・ルールの編集」を選択します。 本手順ではデフォルトのMFA設定を そのままの状態に保つ内容になってます。 必要に応じてMFA要素の追加等を実施 してください。

  18. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 18 13) 続けて、社内NW以外からのアクセスの場合にはアクセス拒否をするための新規ルールを作成するため、 Security Policy for OCI Consoleの画面にて、「サインオン・ルールの追加」選択します。 確認画面で「続行」を選択します。

  19. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 19 14) サインオン・ルールの追加画面にて、ルール名に適当な名前(例:Not Internal NW)を指定します。 ”アクション”部分にて下記を設定します。 ・アクセスの拒否 : チェックONにする 「サインオン・ルールの追加」を選択します。

  20. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 20 15) Security Policy for OCI Consoleの画面にて、サインオン・ルールの優先度が下記になっていることを確認します。 1.MFA for administrators 2.MFA for all users 3.上記で新規作成したルール(例:Not Internal NW)

  21. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~確認 Copyright © 2025,

    Oracle and/or its affiliates 21 ※重要※ サインオンポリシーで間違った設定をした場合、管理者を含む全員がOCIコンソールにアクセスできなくなり、設定修正を行うことができない 状況になる可能性があります。 そのため、サインポリシーの動作確認をする場合には、OCIコンソールにログインした状態のセッション(ブラウザ)を残したまま、別セッションで 動作確認を行うことを強くお勧めします。

  22. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~確認 Copyright © 2025,

    Oracle and/or its affiliates 22 【社内NW+管理者(Administratorsグループ所属)でOCIコンソールへアクセスした場合】 OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスし、テナント名(クラウド・アカウント名)を 入力し「Next」を選択します。 ドメイン選択画面にて”Default”を選択します。 ログイン画面にて管理者ユーザーのID/パスワードを指定するとMFAを求められることを確認します。 MFA実施後、OCIコンソールにアクセスできることを確認します。

  23. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~確認 Copyright © 2025,

    Oracle and/or its affiliates 23 【社内NW+一般ユーザーでOCIコンソールへアクセスした場合】 OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスし、テナント名(クラウド・アカウント名)を 入力し「Next」を選択します。 ドメイン選択画面にて”Default”を選択します。 ログイン画面にて管理者ユーザーのID/パスワードを指定するとMFAを求められることを確認します。 MFA実施後、OCIコンソールにアクセスできることを確認します。

  24. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~確認 Copyright © 2025,

    Oracle and/or its affiliates 24 【社外NWからOCIコンソールへアクセスした場合】 OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスし、テナント名(クラウド・アカウント名)を 入力し「Next」を選択します。 ドメイン選択画面にて”Default”を選択します。 ログイン画面にてユーザーのID/パスワードを指定するとアクセス拒否の画面が表示されOCIコンソールにアクセスできないことを確認します。
  25. None