OCI IAM Identity Domains_機能紹介 / OCI IAM Identity Domains_Technical Detail

Transcript

1. 認証管理・認証強化を実現するIDaaS OCI IAM Identity Domains ～機能紹介～ 日本オラクル株式会社 2025年7月24日

2. Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、 情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以 下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買 決定を行う際の判断材料になさらないで下さい。 オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊 社の裁量により決定され、変更される可能性があります。 Copyright

   © 2025 Oracle and/or its affiliates 2

3. ID管理・認証管理について Copyright © 2025, Oracle and/or its affiliates 3 “ID管理”には2つの要素が含まれます。

   ・認証管理：利用者が各システム(Webアプリ)を利用する際の認証・認可(アクセス可/否)を一元管理 ・ID管理(プロビジョニング)：利用者のID情報を各システムへ新規作成・更新・削除する処理を一元管理 認証の流れ ID情報の流れ オンプレミス アプリケーション群 WebアプリケーションA WebアプリケーションB Webアプリケーション・・・・ Active Directory(端末管理) SaaS A SaaS B クラウドサービス群 利用者 ＠社内NW 利用者 ＠インターネット 認証管理の仕組み 認証管理(SSO) 認証強化 (多要素認証) 認証機構 認証証跡 ロ グ イ ン ID管理の仕組み 人事情報連携 ID作成・変更・削除 自動化 申請・承認 ID管理証跡 社員情報 (人事システム) 契約・派遣社員情報 申請・承認 人 の 情 報 取 り 込 み 管理者 管理者 管理・運用 管理・運用 認証管理領域 ID管理(プロビジョニング)領域 ID 情 報 作 成 ・ 更 新 ・ 削 除 本資料の対象 認 証 連 携 (SSO)

4. ”認証・認証強化(MFA)”が必要となる様々なシステム Copyright © 2025, Oracle and/or its affiliates 4 従業員

   Web業務アプリケーション Web業務アプリケーション クラウドサービス（SaaS） 会員 ECサイト ECサイト モバイルアプリ 認証 認証 従業員向け業務システム 会員(コンシューマ)向けECサイト・モバイルアプリ 契約企業/取引先など Web業務アプリケーション Web業務アプリケーション クラウドサービス（SaaS） 認証 法人向けサービス/パッケージ

5. 認証に関する課題 従業員向け(社内向け) の課題 Copyright © 2025, Oracle and/or its affiliates

   5 Web業務アプリケーション 良くあるシステム利用 Web業務アプリケーション クラウドサービス（SaaS） 個別ID/パスワードによる ログイン 個別ID/パスワードによる ログイン 個別ID/パスワードによる ログイン 多要素 認証 利用者 パスワードリセット セキュリティ対策 パスワードリセット セキュリティ対策 パスワードリセット セキュリティ対策 管理者/ヘルプデスク • システム毎にログインが必要で面倒 • ID/パスワードが多く覚えられない • パスワード忘れでシステム利用(業務)が止まる • システム毎にセキュリティレベルが異なる ✓ システム毎にパスワード強度がバラバラ ✓ 不正アクセス対策(認証強化)がバラバラ • 人とIDを紐づけたアクセス追跡が困難 • パスワードリセット依頼が多い • セキュリティ強化のたびにシステム改修が必要 • 新規アプリ導入の度に認証の検討が必要 管理者/ヘルプデスク 管理者/ヘルプデスク 利便性低下 (システム利用低下) 管理者負荷増大 (TCO増大) セキュリティ不安 利用者観点の課題 セキュリティ観点の課題 管理者観点の課題

6. 会員向け・法人向けサービスの課題 Copyright © 2025, Oracle and/or its affiliates 6 AA事業-

   ECサイトA 利用者 ECサイトA用 ID/パスワード 認証/アクセス ECサイトB用 ID/パスワード BB事業- ECサイトB 認証/アクセス CC事業- ECサイトC ECサイトC用 ID/パスワード 認証/アクセス 各サイト毎にSNS連携等への都度対応、 サービス提供スピードが低下・管理負荷が増大・・・・ サービス毎にID/パスワードがバラバラ、 サイトアクセスの度にログインが必要 パスワード忘れ時の自己リセットができず、 サイトアクセス頻度低下や幽霊会員化・・・・ パスワード忘れを防ぐため簡易なパスワード設定、 2要素認証がなく、不正アクセスのリスクがある・・・ 各サイトのIDが個別管理で会員特定ができない、 サイト横断での会員個別メリットの提供が困難・・・・ ECサイトD用 ID/パスワード 認証/アクセス 利便性低下 (会員定着率低下) セキュリティ事故 管理者負荷増大 (TCO増大)

7. 社内ITサービス、会員・コンシューマ向けサービスを支える認証基盤 Copyright © 2025, Oracle and/or its affiliates 7 アプリケーションA

   アプリケーションB アプリケーションC アプリケーションD 認証基盤 利用者 認証統合IDリポジトリ シングルサインオン フェデレーション技術 (SAML、Oauth等) SNS連携 多要素認証 API アクセス証跡 シングル ID/パスワード コンプライアンス準拠 認証統合IDリポジトリ 各サイトの認証ID情報を統合管理 ✔ シングルサインオン(SSO) 1回のログインで各サイトをシームレスにアクセス ✔ 多要素認証(MFA) FIDO2や各種ワンタイムパスコードによるMFA ✔ フェデレーション技術 標準規格に準拠した認証連携 ✔ SNS連携 TwitterやFacebookを利用したログイン ✔ API 認証機能やMFA機能の容易な組み込み ✔ アクセス証跡 利用者毎の認証成功/失敗等の履歴管理 ✔ スケーラビリティ ***利便性＋セキュリティを両立した機能要素***

8. OCI IAM Identity Domains WebアプリケーションやECサイトの認証統合・認証強化を実現するクラウド型認証基盤(IDaaS) Copyright © 2025, Oracle and/or

   its affiliates 8 •認証連携 •認可制御 •多要素認証 •ユーザー管理 等 オンプレミス OCI IAM Identity Domains 認証連携(シングルサインオン) 認証強化 管理 • 様々な方式によるユーザーやグループの管理 • Active Directoryを利用したユーザー管理 • アクセス証跡の管理と確認 他社クラウド Webシステム クラウド イントラ インターネット 認 証 連 携 /SSO 認 証 連 携 /SSO 利用者 2要素認証 リスクベース認証 認 証 連 携 /SSO Oracle SaaS/PaaS 開発 • REST APIによる操作 • ログイン画面等の開発 • モバイルやEmail、SMSを利用した2要素認証 • 利用者情報(IPアドレス,所属グループ)に応じた認証制御 • ユーザー行動分析によるリスク評価 • 標準技術/標準規格による認証連携 (SAML, OAuth2.0, OpenID Connect, SCIM) • Gatewayモジュールによるオンプレミスアプリとの認証連携 • Entra IDなどの外部IdPとの認証連携

9. オラクルのID管理・認証管理の取り組み 20年以上に渡りID管理・認証管理の領域で製品・サービスを提供 Copyright © 2025, Oracle and/or its affiliates 9

   LDAP、SSO機能の提供 •LDAPディレクトリ •シングルサインオン 製品ラインナップの拡張 •IDライフサイクル管理 •アクセス制御 •フェデレーション •コンシューマ向け体系 より高度な要件への対応 •なりすまし対策 •リスクベース認証 •権限管理の標準化 •仮想ディレクトリ統合 •C/S,ホストも含めたSSO 統合IDMプラットフォームの提供 •大規模向け基盤 •性能向上 •開発・実行・管理環境の統合化 クラウド型の認証基盤（IDaaS) •標準規格に沿った連携 •モバイル、ソーシャル対応 •認証強化(多要素認証、リスクベース認証) •API拡充 •既存資産の有効活用 等々 1999 2005 2010 2020 OCI IAM Identity Domains 20年以上の経験を基に 機能・パフォーマンス・スケーラビリティの向上

10. OCI IAM Identity Domains ユースケース Copyright © 2025, Oracle and/or

    its affiliates 10 OCI IAM Identity Domains 1 従業員向け統合認証基盤 従業員が業務で利用するオンスレミスのWebアプリケーションや SaaSを中心としたクラウドサービス等の認証管理・認証強化を 実現したエンタープライズレベルの認証基盤を構築 2 従業員向けSaaSの認証基盤 従業員が業務で利用するSaaSを中心としたクラウドサービスの 認証管理・認証強化を実現したクラウド向け認証管理基盤を構築 利用者 ：従業員(正社員、契約、業務委託) 対象アプリケーション：オンプレミスWebアプリ、クラウドサービス(SaaS等) 利用者 ：従業員(正社員、契約、業務委託) 対象アプリケーション：クラウドサービス(SaaS等) 3 法人向けサービス/パッケージの認証基盤 取引先・サプライヤ・仕入先向けのWebアプリケーションや 企業向け自社開発のパッケージの認証管理や認証強化を実現 利用者 ：取引先、サプライヤ、パッケージ契約者(企業または消費者) 対象アプリケーション：企業向けWebサービス、パッケージ 4 会員(コンシューマ)向けの認証基盤 会員向けECサイトやモバイルアプリの認証強化やソーシャル認証連携、 複数ECサイトの認証連携を実現することで、会員IDの統合による UX向上とマーケティングを促進 利用者 ：会員(サイト利用者) 対象アプリケーション：ECサイト、モバイルアプリケーション

11. OCI IAM Identity Domainsによる認証基盤のイメージ 従業員向け(例) Copyright © 2025, Oracle and/or

    its affiliates 11 ユーザー ログイン画面 ID/パスワード 2要素認証画面 ワンタイム パスコードなど OCI IAM Identity Domains Oracle SaaS/PaaS 他社SaaS シ ン グ ル サ イ ン オ ン SAML/OpenID Connect/HTTPヘッダ 認 証 連 携 Webアプリケーション ＠オンプレ/IaaS 業 務 シ ス テ ム 群 (Web ア プ リ ) Active Directory Azure ADなど外部IdP 必要に応じて連携 ユーザー情報

12. OCI IAM Identity Domainsによる認証基盤のイメージ 会員向け・法人向けサービス(例) Copyright © 2025, Oracle and/or

    its affiliates 12 会員 統合ログイン画面 サービス1 OCI IAM Identity Domains サービス2 サービス3 シ ン グ ル サ イ ン オ ン シングルID/パスワード SNS連携 2要素認証画面 ワンタイム パスコード 会員情報 REST API ブランドイメージに沿った画面開発 SNS(Facebook、Twitter、Google等) 認証連携 OpenID Connect ※認証に関連した情報のみ保持 ポータル 認証連携 SAML/OAuth/OpenID Connect/HTTPヘッダ 会員情報 (業務処理用) 会員情報 (業務処理用) 会員情報 (業務処理用) 会員情報 (業務処理用)

13. OCI IAM Identity Domains 特長 (1/2) 業務で利用する様々なWebアプリケーションの認証管理・認証強化を実現するクラウド型認証基盤(IDaaS) Copyright © 2025,

    Oracle and/or its affiliates 13 利便性(攻め)とセキュリティ(守り)を両立する 充実した標準機能 1 業界標準のフェデレーション技術に準拠したソーシャル連携によるユーザー エクスペリエンスの向上とともに、なりすまし等の攻撃に対処する多要素認証、 アクセス状況に応じたリスクベース認証によるセキュリティ強化を実現します。 アプリのブランドイメージを維持した アプリへの認証機能の組み込み安さ 2 フェデレーション技術を用いた ソーシャル・メディア連携 (Facebook、LINE、Twitter等) ソ ー シ ャ ル 認 証 連 携 FIDOやモバイルやEmailを使った ワンタイムパスコード等の多要素認証 ユーザー行動にるリスク評価に応じた アクセス制御(再認証、アクセス拒否等) 認 証 強 化 分析事項例： ✓ ログインの失敗 ✓ 未知の端末からのアクセス ✓ 疑わしいIPからのアクセス ✓ 通常と異なる場所からのアクセス ✓ 一定時間内の移動距離 認証エンジンとして利用するための豊富なREST APIにより、該当アプリの ブランドイメージを維持した認証機能の容易な組み込みを実現します。 アプリケーション 会員登録 ログイン パスワード変更 OCI IAM Identity Domains REST API ブランドイメージ沿った画面

14. OCI IAM Identity Domains 特長 (2/2) 業務で利用する様々なWebアプリケーションの認証管理・認証強化を実現するクラウド型認証基盤(IDaaS) Copyright © 2025,

    Oracle and/or its affiliates 14 大規模ユーザーの認証管理を支える 安定したManagedサービス 3 Oacle Cloudの認証としても利用している重要なサービスの位置づけとなり Oracleテクノロジーを使った高パフォーマンス、高スケーラビリにより安定した 大規模向け認証管理サービスを提供します。 OCI IAM Identity Domains お客様側での基盤Upgrade等なしに 最新のセキュリティトレンドや機能を自動的に享受 会員(利用者) 最新の認証関連機能を利用可能 自動機能拡張 各種コンプライアンスに準拠した 自社データセンターによる堅牢な顧客データ管理 4 国内では東京リージョン or 大阪リージョンの 自社データセンターにてサービス提供可能 (グローバルでは30以上のリージョンで提供可能) セキュリティの取り組みを一般公開 各種コンプライアンスに準拠 認証情報(人の情報)は弊社が保有・管理する自社データセンターにおいて 各種コンプライアンス(ISO、SOC等)に準拠した仕組みで堅牢に管理します。 東京リージョン OCI IAM Identity Domains OCI IAM Identity Domains 高 可 用 性 構 成 大阪リージョン OCI IAM Identity Domains 自 動 DR 構 成 自動的な高可用性構成とDR構成

15. OCI IAM Identity Domains(IDaaS)を利用する価値 Copyright © 2025, Oracle and/or its

    affiliates 15 開発・運用負荷を 軽減 負荷を削減する完成された機能群 • 自社でのサーバなどの大規模 リソース管理や運用リソースを軽減 • 攻め/守りを実現する充実した標 準機能をサービスとして利用可能 • REST API を通じて簡単なアプリ ケーションへの組み込み 利用増減に強い 認証基盤 柔軟なスケーラビリティを実現 • ユーザー/アプリケーション数の増減 に柔軟かつ迅速に対応 • サービスリリースやイベント等による アクセス急増に対応するスケーラビ リティを提供 セキュリティトレンドの 自動享受 進化する脅威への対策機能を 自動的に享受 • FIDOやワンタイムパスコードなど セキュリティトレンド/規格を迅速に適用 • Managedサービスとしての 各種コンプライアンスへの準拠

16. 機能紹介 Copyright © 2025 Oracle and/or its affiliates 16

17. OCI IAM Identity Domains 機能一覧 IDaaSとして必要な機能を標準で用意 Copyright © 2025, Oracle

    and/or its affiliates 17 認 証 連 携 （ SSO) フェデレーション技術による連携 非フェデレーション技術による連携 ソーシャル連携 (Facebook、Twitter等) AzureAD等との外部IdP連携 ＋外部IdP利用ルール アプリ単位の認可管理 (アクセス可/非の制御) 認 証 強 化 パスワードポリシー 2要素認証 (SMS、Email、モバイルApp、生体、秘密QA） 2要素認証利用ルール (IPアドレスやグループ等を用いた認証ルール) アダプティブセキュリティ (リスクベース認証) ID 管 理 管理GUI(Web画面)によるID管理 CSVインポート/エクスポートによるID管理 SCIMインターフェースによるID管理 (取り込み/プロビジョニング) Active DirectoryとのID・グループ連携 LDAPとのID・グループ連携 カスタム属性の管理 管理権限の委譲 セ ル フ サ ー ビ ス プロファイル変更 パスワード変更 セルフパスワードリセット (パスワード忘れ時のリセット) 通 知 通知種類毎のON/OFF 通知内容のカスタマイズ 監 査 アクセス証跡の管理 アクセス証跡の出力・分析 開 発 REST APIによる操作 REST APIを使った各種画面のカスタマイズ

18. 様々なアプリケーションとの認証連携 認証連携の方式 Copyright © 2025, Oracle and/or its affiliates 18

    【方式1：フェデレーション技術を利用】 フェデレーション技術「SAML」または「OpenID Connect」を利用し認証連携を行う方法 条件：Webアプリケーション側がフェデレーション(SAMLまたはOpenID Connect)に対応している必要あり 利用者 アプリケーション SP 【方式2：App Gateway(Gatewayモジュール)を利用】 Webアプリケーションの前段にApp Gateway(Gatewayモジュール) を配置し、HTTPヘッダにて認証連携を行う方法 条件：Webアプリケーション側がHTTPヘッダによる認証連携に対応している かつWebアプリケーションの前段にApp Gateway(リバースプロキシのような位置づけ)を配置することができる フェデレーションの仕組みが必要 (SP機能) OCI IAM Identity Domains ログイン画面 2要素認証画面 IDP フェデレーション技術による連携 利用者 アプリケーション OCI IAM Identity Domains ログイン画面 2要素認証画面 App Gateway HTTPヘッダによる連携 OCI Computeなどに配置 HTTPヘッダによる認証連携の 仕組みが必要 ユーザー情報 ※認証に関連した情報のみ保持 ユーザー情報 ※認証に関連した情報のみ保持

19. 様々なアプリケーションとの認証連携 方式1：フェデレーション技術を利用 Copyright © 2025, Oracle and/or its affiliates 19

    ◆ フェデレーション標準技術(SAML、OAuth、OpenID Connect) を利用して、各種アプリケーションとの 認証連携(シングル・サインオン)を実現 OCI IAM Identity Domain SAML OAuth OpenID Connect アプリケーションA アプリケーションB フェデレーション対応 オンプレミスアプリ シ ン グ ル サ イ ン オ ン フェデレーション技術による 認証情報連携 フ ェ デ レ ー シ ョ ン 対 応 ア プ リ ケ ー シ ョ ン

20. 非フェデレーション技術による認証連携 – App Gateway 方式2：App Gateway(Gatewayモジュール)を利用 Copyright © 2025, Oracle

    and/or its affiliates 20 ◆ HTTPヘッダーによる認証連携でOCI IAMからシングル・サインオンするためのリバース・プロキシ 「App Gateway」 を VM(ソフトウェアアプライアンス)として提供 ✓ SAMLやOpenID Connectに非対応なオンプレミスやIaaS上のアプリケーションとの認証連携が可能 ✓ HTTPヘッダ経由で認証連携情報(ログインIDやその他属性)を渡すことが可能 ✓ Identity Domain及び該当アプリケーションに接続可能な環境に配置が必要 ※注意)アプリケーション側にて以下の仕組みが必要 ・HTTPヘッダより認証連携情報を受け取る ・認証連携情報をもとに、SSOサーバ側で認証済みとしてアプリケーションへログインさせる(自身のログイン画面は出さない) オンプレミスアプリ (フェデレーション未対応) オンプレミスアプリ (フェデレーション未対応) App Gateway オンプレミスアプリ (フェデレーション未対応) App Gateway L B HTTP ヘ ッ ダ に よ る 認 証 連 携 ※リバースプロキシとして動作 ※VM動作基盤に配置 利用者 OCI IAM Identity Domain

21. 対象アプリケーションの認可制御(入り口認可制御) アプリケーション毎のユーザー/グループを利用した認可制御(アクセス可/否) Copyright © 2025, Oracle and/or its affiliates 21

    ◆ 認証連携している対象アプリケーション毎に認可設定(アクセス可/否)が可能 ◆ ユーザーまたはグループを利用した認可 ◆ 認可制御なし(誰でもアクセス可)も設定可能 アプリケーション3 アプリケーション2 アプリケーション1 アプリケーション毎の認可設定 グループA グループB に認可 グループC ユーザーα ユーザーβ に認可 認可制御なし (全員アクセス可) グループA、グループB グループC、ユーザーα、ユーザーβ グループC、ユーザーα、ユーザーβ グループA、グループB グループA、グループB グループC、ユーザーα、ユーザーβ 全ユーザー 全ユーザー

22. 対象アプリケーションへのID同期 SCIMを利用した対象アプリケーションとのID同期 Copyright © 2025, Oracle and/or its affiliates 22

    ◆ SCIM対応したID同期用コネクタ「Generic SCIMコネクタ」により、認証連携の対象アプリケーションへのID同期を実現 ※対象アプリケーションがSCIM対応している必要あり ◆ 同期対象とするユーザーまたはグループを指定 ◆ 同期対象としてグループを指定した場合には、グループに所属するメンバーが自動的に同期 OCI IAM Identity Domain Generic SCIMコネクタ アプリケーション1 クラウドサービス2 クラウドサービス1 SCIM インターフェース SCIM インターフェース SCIM インターフェース ID情報連携 (ユーザーの同期) 機能 内容 ID情報の伝播の方向 Identity Domainから対象システムへ 同期内容 ユーザーの作成・更新・削除 ユーザーのパスワードの同期 ✖ 同期対象となるユーザー 指定したユーザー または、指定したグループのメンバー グループの作成・更新・削除の同期 ✖(グループはマッピングのみ) ID情報を同期するタイミング 同期対象として指定したとき または、対象グループに所属したとき

23. 外部認証基盤(外部IdP)との認証連携 Azure ADなど既存の認証基盤をマスターとする認証連携 Copyright © 2025, Oracle and/or its affiliates

    23 OCI IAM Identity Domain ◆ Entra ID、ADFS(Active Directory Federation Service)など、SAML/OpenID Connectに対応したIdPを マスターとする認証連携が可能 ◆ ユーザーが各アプリケーションへログインする際には既存認証基盤への認証を行う(内部的にIdentity Domainsを経由) SP クラウドサービス OCIコンソール SP SP アプリケーション 各アプリケーション(フェデレーション対応) IdP(アイデンティティ・プロバイダ)：クラウドサービスとの認証連携において認証行為を行う側 SP(サービス・プロバイダ)：クラウドサービスとの認証連携においてIdPへ認証を委託する側 IdP Entra ID その他IDaaS 社内 ADFS (オンプレミス) SP IdP IdP 既存認証基盤(認証のマスタ) シ ン グ ル サ イ ン オ ン IdP 外 部 IdP 連 携 ・複数の外部IdPとの連携が可能 ・複数ある外部IdOの利用ルールを定義可能(IdPポリシー)

24. IdPポリシー IdP(アイデンティティ・プロバイダ)の利用ルールを定義 Copyright © 2025, Oracle and/or its affiliates 24

    IdPポリシー 利用者 IdPポリシー1 IdPポリシー2 Web業務アプリケーション “従業員”グループ所属 IdPルールの例 ◆ IdPポリシーにより、認証時に利用するIdPとしてローカル認証(アイデンティティ・ドメインの認証)を使うか、 または外部IdP(AzureAD等の他社認証基盤)を使うかを制御することが可能 ◆ 利用IdPを利用者自身が都度選択することが可能 ◆ 所属グループ等の利用者属性を利用し強制的に1つのIdPを利用させることも可能 ◆ アプリケーション全体(OCIコンソール含む)または個別アプリケーションのみにIdPポリシーを適用 条件 IdP 他社クラウドサービス Oracle PaaS/SaaS Entra ID 社外NWからのアクセス ローカル 無条件(全員・強制的) 既存社内認証基盤 Entra ID OCI IAM Identity Domain 社内認証基盤 IdPによる認証処理 ※IdPポリシーにて外部IdPを利用するルールを定義する場合には、事前に外部IdPの登録設定が必要になります。

25. 外部認証基盤(外部IdP)とのID情報の連携 - SCIM SCIMを利用したEntra IDなど外部IdPからのID同期 Copyright © 2025, Oracle and/or

    its affiliates 25 ◆ SCIMを利用しEntra IDなど、外部IdPをID情報源泉としてID情報(ユーザー、グループ)を同期することが可能 ※外部IdPがSCIM対応しており、かつIDプロビジョニング機能を有している必要あり ※パスワードは同期対象外 OCI IAM Identity Domain Entra ID その他IDaaS SCIM 外部IdP（ID情報源泉） SCIM SCIM ID情報連携 (ユーザー・グループの同期) ID情報連携 (ユーザー・グループの同期)

26. 外部認証基盤(外部IdP)とのID情報の連携 – SAML JITプロビジョニング SAML JITプロビジョニングを利用したEntra IDなど外部IdPからのID同期 Copyright © 2025,

    Oracle and/or its affiliates 26 OCI IAM Identity Domain ◆ SAML連携している外部IdPから「JITプロビジョニング(ジャストインタイム・プロビジョニング)」を利用しID情報を連携 ・外部IdPでの初回ログイン：SAMLアサーションの属性を用いてIdentity Domainにユーザーを新規作成 ・外部IdPでの2回目以降ログイン： SAMLアサーションの属性を用いて外部IdPで属性更新をIdentity Domainの該当ユーザーへ反映 ◆ Identity Domainに存在するグループへのアサインも可能 ・Identity Domainに存在する特定グループへ所属させる(外部IdP側での所属グループに関係なく) ・外部IdP側で所属しているグループと同じ名前のIdentity Domainグループへ所属させる ※JITプロビジョニングでは、ユーザー削除やグループ自体の同期はできません。 外部IdP SAML認証連携(外部IDP連携) SAMLアサーション ＜属性情報＞ SAML JITプロビジョニング ユーザー作成/更新 グループアサイン SAMLアサーションより属性取得 外部IdPを利用した初回ログイン/2回目以降ログイン SP IdP

27. ソーシャル・ログイン SNSなどの外部サービスをマスターとする認証連携 Copyright © 2025, Oracle and/or its affiliates 27

    ◆ FacebookやTwitterなどのSNSを認証マスターとして、それらのアカウントを利用してOCI IAMにログイン ◆ SNSとOCI IAMはOpenID Connect(一部OAuth)を利用してフェデレーション ◆ SNS(一部)との連携設定は事前定義済み ◆ 事前定義がないSNSも定義をインポートすることで連携可能 ◆ SNSのアカウントとの紐付け方法 ✓既存OCI IAMアカウントとソーシャル・アカウントとの紐づけ(1：Nの紐づけが可能) ✓OCI IAMへのソーシャル・アカウントの新規自己登録 SNS OCI IAM Identity Domain SP アプリケーション アプリケーション SP SP アプリケーション 各アプリケーション(フェデレーション対応) IdP シ ン グ ル サ イ ン オ ン ログイン連携 OpenID Connect (一部OAuth) 認証マスタ Aさん ログインID：Facebook ID パスワード：なし Bさん ログインID：ローカルのID パスワード：あり Facebook ID Twitter ID SNSアカウント

28. パスワードポリシー 本人証明を強化にする柔軟なパスワードポリシー定義 Copyright © 2025, Oracle and/or its affiliates 28

    ◆ 最大・小文字列、再利用禁止、有効期限等の詳細なパスワードポリシーを定義可能 ◆ ポリシーとして事前定義済みポリシー(簡易、標準)、カスタムポリシーを用意 ◆ グループ毎に適用するパスワードポリシーを変えることが可能 ✓例）社外から接続することが多いグループ（営業部グループ等）は強いポリシーを適用 パスワード ポリシーA パスワード ポリシーB OCI IAM Identity Domain グループ1 グループ2 グループ3 ※明示的にパスワードポリシーを適用していないグループやグループに所属していないユーザーは デフォルトのパスワードポリシーが適用されます。 パスワードポリシー 定義項目(一部) パスワード長(最小) パスワード長(最大) 英字(最小) 数字(最小) 特殊文字(最小) 小文字(最小) 小文字(最大) 繰返し(最大) 英数字で始まる 利用禁止項目（ユーザーの姓、名、ユーザー名） 利用禁止文字列 有効期限切れまで(日) アカウント・ロックしきい値 アカウントの自動ロック解除の有効化 アカウントの自動ロック解除まで(分) 記憶されている前のパスワード

29. 2要素認証（MFA） 本人証明を強化する複数の要素を提供 Copyright © 2025, Oracle and/or its affiliates 29

    ◆ 管理者は任意の2要素認証の手段を選択して有効化することが可能 ◆ 利用者が複数の要素から利用する要素を選択することも可能 ◆ モバイルアプリケーション:Oracle Mobile AuthenticatorはApp StoreやGoogle Playから入手が可能 ◆ 二要素認証をパスすると、指定した日数の間同一のWebブラウザからのアクセスでは二要素認証を免除するオプションを提供 ワンタイムパスコード ワンタイムパスコード 【MFA要素】 通知 FIDO2対応機器 メール 電話 FIDO ※Oracleオーセンティケータ のみ利用可 ※RFC 6238に準拠している Authenticatorを利用可能 モバイル オーセンティケータ SMS ワンタイムパスコード ※SMSの数量により 別途追加費用が発生 チャレンジQA 秘密の質問

30. パスワードレスログイン パスワードを使わない強固な認証と利便性向上 Copyright © 2025, Oracle and/or its affiliates 30

    ◆ パスワードを使う代わりにMFAで用意している要素を使いログインすることが可能 【パスワードレスログインで利用できる要素】 ◆ 1ユーザーに複数の要素を登録可能（デフォルト要素：1つ、代替え要素：複数） ユーザー ユーザー名指定画面 単一要素のみ または 複数要素からの選択も可能です。 要素としてパスワードを使うことも可能です。 パスワードの代わりとなる要素を入力 パスワードレスログイン機能では 最初にユーザー名(ID)のみを入力する必要があります。 Emailワンタイムパスコードの例 モバイルー通知の例 各種アプリケーション (SSO対象アプリ) 【パスワードレスログインのイメージ】 ワンタイムパスコード ワンタイムパスコード 通知 FIDO2対応機器 メール 電話 FIDO モバイル オーセンティケータ SMS ワンタイムパスコード

31. アダプティブ・セキュリティ ユーザーの行動分析に応じた認証強化 Copyright © 2025, Oracle and/or its affiliates 31

    ◆ ユーザーの疑わしい行動(下記項目)から、リスク・スコアを算出 ✓ ログインの失敗 ✓ MFAの試行 ✓ 通常とは異なるクライアント(User Agent)からのアクセス ◆ リスク・スコアに応じて二要素認証の要求やログインの禁止などの措置を指定可能 ◆ 増加したリスク・スコアは、ユーザーが異常な行動をしなければ、時間の経過に応じて減少 評価項目毎のリスク値の定義 ユーザー毎のリスク値の推移確認 ✓ 疑わしいIPからのアクセス ✓ 通常とは異なる場所からのアクセス ✓ 一定時間内の移動距離

32. 認証ポリシー アプリケーションへの認証強化・アクセス制御のルールを定義するサインオン・ポリシー機能 Copyright © 2025, Oracle and/or its affiliates 32

    サインオン・ポリシー インターネット 社内 ネットワーク サインオン・ポリシー 1 サインオン・ポリシー 2 サインオン・ポリシー 3 サインオン・ポリシー 4 社外からのアクセス ＋ 管理者権限 ログイン拒否 社外からのアクセス 二要素認証 社内からのアクセス パスワード認証 サインオン・ルールの例 ◆ サインオン・ポリシーにより、ログインが完了したユーザーへの認可処理として許可/拒否/再認証の要求/多要素認証の要求 のいずれかの対応を設定することが可能 ◆ サインオン・ポリシーはアプリケーション個別または全体(すべてのアプリケーション)に適用することが可能 ◆ サインオン・ポリシーの要素であるサインオン・ルールにより、ルール適用の条件が当てはまる場合のアクションを指定 条件 • リスクスコアの値 • 端末のIPアドレス(ネットワーク・ペリメータ) • 所属グループ • 管理者権限の有無 アクション • アクセス許可 • アクセス拒否 • 再認証の強制 • 二要素認証の強制 条件 アクション アプリケーション アプリケーション

33. ID管理 ユーザーやグループを一元的に管理 Copyright © 2025, Oracle and/or its affiliates 33

    様々な手段によるユーザー・グループ管理 ◆標準のWeb管理画面 ◆CSVファイルアップロード ※1日にアップロード/ダウンロードできる回数に制限あり ◆REST API • SCIM • カスタム・ユーザー管理アプリの開発 ◆オンプレミス上のActive Directory(AD) からの ユーザー情報を伝播（ADとのユーザー同期） ◆セルフサービスによるID登録・属性変更 ◆Oracle ERP Cloudや他クラウド(一部)との同期 AD Bridge REST API カスタムアプリ SCIM対応アプリ Active Directory CSVファイル Web管理画面 OCI IAM Identity Domain ID管理

34. Active DirectoryとのID・グループ情報同期 Active DirectoryをIDソースにしたユーザー管理の効率化 Copyright © 2025, Oracle and/or its

    affiliates 34 ◆ ADへアクセス可能なWindowsサーバ/端末にID情報同期エージェント「AD Bridge」を配置することで ADからID情報・グループ情報を同期 ◆ AD側でのユーザー・グループの作成/更新/削除をスケジューリング同期 ◆ 同期対象ユーザー/グループを指定可能(特定OU配下、LDAPフィルタ) ◆ AD BridgeからOCI IAMへの片方向の通信のみ発生 ※エージェントとOCI IAM間でHTTPS通信ができる必要があります。 ※パスワードは同期の対象外になります。 AD Bridge ①設定情報の取得 社内ネットワーク ②ID情報・グループ情報の取得 ③ID情報・グループ情報の伝播 プ ロ キ シ ・ サ ー バ LDAP HTTPS(REST) Active Directory 前回同期から変更のある ID情報のみを伝播 該当ADのドメイン内の Windowsサーバ/端末に配置 同期対象のユーザーやグループ、属性の マッピング、同期頻度などの設定 OCI IAM Identity Domain

35. Active Directoryへの委任認証 Active DirectoryのID/パスワードを用いた認証 Copyright © 2025, Oracle and/or its

    affiliates 35 ◆ ADへアクセス可能なWindowsサーバ/端末にID情報同期エージェント「AD Bridge」を配置することで Identity DomainからADへの委任認証(認証の委託)が可能 ◆ ユーザーはADのID/パスワードを指定しIdentity Domainへログイン可能 (ADとのID情報同期を実施している前提) ◆ AD BridgeからOCI IAMへの片方向の通信のみ発生 ※エージェントとOCI IAM間でHTTPS通信ができる必要があります。 AD Bridge ①認証依頼の確認/検知 社内ネットワーク ②認証依頼 ③認証結果送付 プ ロ キ シ ・ サ ー バ LDAP HTTPS(REST) Active Directory 該当ADのドメイン内の Windowsサーバ/端末に配置 Identity Domain ログイン画面 利用者 ADのID/パスワードを指定 OCI IAM Identity Domain Identity Domainログイン画面に ADのID/パスワードを指定しログイン

36. カスタム属性の追加・管理 管理するユーザー属性の追加 Copyright © 2025, Oracle and/or its affiliates 36

    OCI IAM Identity Domain ユーザー名(統合ID) 姓 名 Emailアドレス 住所 ・・・・・・ 【ユーザー属性】 権限用属性AA 職位用属性BB ・・・・・・ ・・・・・・ デフォルト属性 カスタム属性 【カスタム属性の定義】 ◆ デフォルトで用意されているユーザー属性に加えてカスタム属性を適宜追加可能 ◆ GUIにより属性定義が可能 ◆ 追加したカスタム属性への値登録・変更が可能

37. ユーザー管理権限の委任 グループ会社や部門に所属するユーザー管理を委任 Copyright © 2025, Oracle and/or its affiliates 37

    ◆ あるグループ（グループ会社グループ、部門用グループなど）に属するユーザーに対象を限定した管理者を設定して、 ユーザー管理を委任することが可能 ※ユーザーの新規登録や管理対象のグループへのユーザーの追加には別途権限が必要 委任管理者となるユーザーを選択して、 管理対象となるグループを指定 OCI IAM ユーザー管理者 自社ユーザー パートナーA社管理者 パートナーB社管理者 パートナーA社グループ パートナーB社グループ

38. セルフ・サービスのパスワード・リセット セルフ・サービスによりヘルプ・デスクの負担を軽減 Copyright © 2025, Oracle and/or its affiliates 38

    ◆ ユーザーはWeb画面経由で自分自身でパスワードのリセットが可能 ✓ユーザーはログイン画面からパスワードのリセットを申請 ✓登録されているユーザーのメール・アドレスに、パスワードを再設定するためのリンクを送付 • 本人確認の手段として、メール以外にSMSや秘密の質問も利用可能 ログイン画面でパスワードのリセットを申請 メールで送られるリンクからパスワードを再設定 利用者 メール

39. メール通知 ヘルプ・デスクの負担を軽減 Copyright © 2025, Oracle and/or its affiliates 39

    ◆メールによるイベントの通知機能 ✓ 新規登録案内とアカウントの有効化 ✓ パスワードの自己リセット(失念時) ✓ アカウントのロック、ロック解除 ✓ アカウントの有効化、無効化 ✓ 管理者によるプロファイル変更 ✓ etc. ◆各イベントごとに、メールの内容のテンプレートを 編集しカスタマイズすることが可能 ユーザーに通知するイベントの選択 テンプレートによるメールの内容のカスタマイズ

40. アクセス証跡の管理 OCI Auditを活用した認証に関する操作ログの自動的収集・管理 Copyright © 2025, Oracle and/or its affiliates

    40 ◆ 認証に関するログを含め、OCIの全てのアクティビティログを自動的に収集・保持 ◆ OCIコンソール、APIから閲覧・検索可能 ◆ テナンシー単位で365日分保持 ◆ 利用料は無料 ◆ ログ分析サービス「OCI Logging Analytics」へのログ連携が可能 ログインなど認証に関する オペレーション ユーザー OCI Audit 管理者による 監査ログの分析 管理者 OCI IAM Identity Domain 自 動 収 集 ・ 管 理 ログ分析サービス OCI Logging Analytics オプション

41. REST APIの公開 APIファースト: GUIで操作可能な機能はREST APIでも提供 Copyright © 2025, Oracle and/or

    its affiliates 41 ◆ 次のようなアドオンの開発が可能 ✓ 監査情報を取得して分析 ✓ 独自のユーザー管理、グループ管理 ✓ ログイン画面の完全なカスタマイズ ✓ パスワードリセットの外部実装 ✓ SAML/OAuthアプリケーションの登録 ◆ APIの認証・認可にはOAuthを利用 ◆ REST API https://docs.oracle.com/en/cloud/paas/iam-domains-rest-api/index.html Node.js Java Python OCI IAM Identity Domain REST API

42. ログイン画面のカスタマイズ 標準のログイン画面をカスタマイズするための、次の3つの方式を提供 Copyright © 2025, Oracle and/or its affiliates 42

    1．ブランディング機能（設定） ロゴや背景イメージの簡単な変更 2．Hosted Sign-In機能（設定） HTMLの記述によるロゴや背景、文言の変更 3．完全なカスタマイズ（開発） 別途ログイン画面用アプリを開発 (カスタム画面へのREST API組込み) ※一部非表示にできない項目あり ※一部非表示にできない項目あり

43. 各種カスタム画面との連携 アプリケーションブランドに沿った画面開発 Copyright © 2025, Oracle and/or its affiliates 43

    ◆ アプリケーションのブランドイメージに沿った各種画面(ログイン画面、2要素指定画面、プロファイル変更画面等)から REST APIを利用することで認証関連やID管理関連の機能を提供 会員 コンシューマ向けアプリケーション(サイト) 会員 会員 認証基盤 会員登録画面 ログイン画面 2要素指定画面 プロファイル変更画面 ・・・・・・ パスワードリセット画面 OCI IAM Identity Domain REST API

44. 複数のアイデンティティ・ドメインの管理 各アイデンティティドメイン(インスタンス)の管理集約と権限分離 Copyright © 2025, Oracle and/or its affiliates 44

    ◆ 1つのテナントに複数のアイデンティティ・ドメインを作成することが可能 ※上限値制限あり ◆ それぞれのアイデンティティ・ドメインのデータ(ユーザー、グループ、設定)は独立して保持 ◆ 異なるコンパートメントに各アイデンティティ・ドメインを作成することでアイデンティティ・ドメインへのアクセス制御を実現 ※コンパートメント：OCIの機能となり、リソースへの権限分掌を行う論理的な境界のこと テナント：001 テナント管理者 コンパートメント：A社 ユーザー (A社従業員) グループ 設定 コンパートメント：B社 ユーザー (B社従業員) グループ 設定 A社業務アプリ群 B社業務アプリ群 テナント管理者による アクセスが可能 アイデンティティ・ドメイン (A社用) アイデンティティ・ドメイン (B社用) 他コンパートメントへ アクセス不可 Defaultアイデンティティ・ドメイン (テナント管理者用) 利用者や使い方に応じて 課金タイプを選択可能 ※課金タイプの説明は後続参照

45. 事例 Copyright © 2025, Oracle and/or its affiliates 45

46. OCI IAM Identity Domains(旧Oracle Identity Cloud Service) 国内事例（一部） Copyright ©

    2025, Oracle and/or its affiliates 46 お客様 業種 ユーザー数 用途 日本中央競馬会 様 サービス業 100万人以上 会員向けモバイルアプリケーションの認証基盤として利用 株式会社アウトソーシング 人材派遣 非公開 国内外のグループ企業向けクラウド共通のID・アクセス管理基盤 株式会社リコー様 製造業 非公開 ビジネスパートナーや社員が利用するIoTビジネスの 認証基盤として活用 非公開 公益 400万人 コンシューマー向けサイト(複数)の認証基盤として利用 非公開 ポイントカード事業 10万人 ポイントカード会員向けECサイトの認証基盤として利用 非公開 サービス業 8万人 国内グループ会社＋フランチャイズ向けID・認証管理基盤 非公開 製造業 数千人 社員向けのSaaS認証強化(多要素認証等)として活用 非公開 金融業 数千人 社員向けデータ分析基盤の認証基盤・認証強化として活用 非公開 運輸業 数万人 ビジネスパートナー向けSaaS認証基盤として活用 非公開 公共 非公開 職員向けのWebアプリケーション群、SaaSへの認証基盤として活用 ※IDaaS(認証基盤)として利用している国内事例の一部

47. システム構成イメージ 利用サービス • Oracle Cloud Infrastructure Identity and Access Management

    会員様向けスマートフォン用「JRAアプリ」の認証管理をOCI IAM Identity Domainsで構築 背景・要件 会員様の利便性とセキュリティ面の信頼性を同時に確保する コストを抑えた認証基盤が必要 • アプリとして組み込み可能なクラウド型の認証基盤 • なりすましを防ぐために本人証明を強化する多要素認証 • 短期間でブランドイメージに沿った開発の容易性 • レース開催時の数百万人のアクセス集中に耐えられる仕組み • 会員様データを保護する堅牢な基盤とデータ・レジデンシー 採用のポイント • 多要素認証やリスクベース認証などの豊富な標準機能 • REST APIを活用したアプリケーションに組み込みやすい認証機能 • ISMAPなどの各種コンプライアンス準拠し、国内リージョンで提供 • アクセス集中時に追加コストなく迅速にパフォーマンスを強化 • 同等機能の他社IDaaSと比較して、大幅なコスト削減が可能 • 製品機能を熟知したオラクル・コンサルティングによる開発・運用支援 導入スケジュール • テスト環境構築を含め約4カ月間で認証管理基盤の構築を完了 顧客事例：日本中央競馬会 様 Copyright © 2025 Oracle and/or its affiliates 47 多要素認証 OCI IAM Identity Domains クラウド型の認証基盤 （IDaaS) JRAアプリ

48. 国内事例：公益系企業 ~複数サイトのアカウント共通化による効果的なデジタル・マーケティングの促進~ Copyright © 2025, Oracle and/or its affiliates 48

    • エネルギー自由化によるビジネス環境変化への迅速な対応 • サービス間連携やソーシャルの活用によるデジタル・マーケティングの強化 • 高度化するサイバー攻撃のへの対処(不正ログイン、ポイント不正換金） 導入の背景 • 利便性＋セキュリティの両立が会員獲得に不可欠 • 多要素認証やリスクベース認証等の豊富なセキュリティ強化機能 • REST APIによる高いカスタマイズ性と既存からの容易な移行 • Oracle Cloudの活用による構築期間の大幅な短縮 • 価格優位性 Oracle IDaaS採用ポイント 利用サービス • Oracle Identity Cloud Service（OCI IAM) • Oracle Cloud Infrastructure (FastConnect、WAF、DNS等) • Oracle Autonomous Database/Database Cloud • Oracle Java Cloud Service、Oracle Management Cloud等 約400万アカウントを管理

49. 国内事例：地域共通ポイントカード事業会社 ~セキュリティと利便性の両立と他社カードとの連携を担う認証基盤~ Copyright © 2025, Oracle and/or its affiliates 49

    導入の背景 Oracle IDaaS採用ポイント 利用サービス • 同地域企業におけるコンシューマ向けサイトでのセキュリティ事故を きっかけとしてサイト入り口となる認証領域のセキュリティ強化 • 幅広い利用者年齢層を考慮した利便性の確保 • トレンド(最新)技術の自動享受と運用負荷の軽減、 • 緊急性が高い施策のため低コスト／短期間での導入が必要 • 利便性＋セキュリティの両立を実現する標準機能群 • 豊富な2要素認証の種類 • REST APIによる高いカスタマイズ性と既存からの容易な移行 • 競合他社と比べた価格優位性 • Oracle Identity Cloud Service（OCI IAM) • Oracle Cloud Infrastructure (Compute、Database、Functionなど) ポイントカード 会員 ログイン画面 ID/パスワード SMS ワンタイムコード マイページ (ポイントカードサイト) 利用者年齢層を考慮し SMS(ショートメール)ワンタイムコードを採用 OCI IAM Identity Domains 会員情報 REST API (認証API) REST API (認証連携API) 約10万アカウントを管理

50. 利用サービス Oracle Cloud Infrastructure Identity and Access Management Oracle Cloud

    Infrastructure Web Application Firewall Oracle Cloud Guard Oracle Cloud Infrastructure Logging Oracle Cloud Infrastructure Monitoring クロノス株式会社 様 Copyright © 2025, Oracle and/or its affiliates 50 新サービス「クロノス経費精算」に多層防御の対策 により、セキュリティリスクを軽減 ©JRA リスクへの対抗 認証：”OCI IAM Identity Domains”を利用し、多要素認証(MFA)による なりすましの防止、シングルサインオンによる認証の統合と強化を実現 通信：”OCI Web Application Firewall”により、悪意のある通信や 過剰なアクセスからサービスを保護 脆弱：”Oracle Cloud Guard”により稼働中サービスやシステムのリアルタイム な診断で脆弱性を早期発見、あらゆる脅威に強いSaaS構成を維持 リスクの可視化と解決 監視：”OCI Monitoring”などにより、各サービスの状況を可視化して、 直感的に全体を把握、連携した通知システムでリスクの早期伝達 分析：”OCI Logging”を利用し、様々な状況をログとして記録し、分析に よる迅速な真相解明 システム構成イメージ OCI Security サービス トラフィック監視 ブロック 多要素認証 シングルサインオン 脆弱性の 自動検知・是正 ログの 管理・分析

51. 価格について Copyright © 2025, Oracle and/or its affiliates 51

52. OCI IAM Identity Domainsの課金タイプ Copyright © 2025, Oracle and/or its

    affiliates 52 タイプ Free Oracle Apps Premium Premium External User 概要 (Usecase） • テナンシ作成時にデフォルト・ドメインとして 作成されるタイプ • OCI IaaSおよびPaaSのリソースへの アクセス管理 • Oracle SaaS、PaaS、 GBUアプリケーションへのアクセス管理 • 加えてオンプレミスやOCI IaaS上の Oracleアプリケーション(Oracle EBS、 PeopleSoft等)のアクセス管理 • 完全なIAM機能を提供し、 すべてのOracleアプリケーションおよび Oracle以外のアプリケーションに対するアク セス管理 • 完全なIAM機能を提供しコンシューマ向けの アプリケーションに対するアクセス管理 機能制限 あり あり なし あり オブジェクト制限 あり あり あり あり 利用条件 • 機能/オブジェクト制限範囲内 • 機能/オブジェクト制限範囲内 • Oracle SaaSまたはOracleアプリケーショ ンのアクセス管理 • 機能/オブジェクト制限範囲内 • 機能/オブジェクト制限範囲内 • コンシューマ向けの認証 Not(Employee or Contractor or Outsourcer) 価格 無償 ¥38.75（User Per Month) ※登録ユーザーへの課金 Oracle Cloud Infrastructure Identity and Access Management – Oracle Apps Premium ¥496（User Per Month) ※登録ユーザーへの課金 Oracle Cloud Infrastructure Identity and Access Management – Premium ¥2.48（User Per Month) ※登録ユーザーへの課金 Oracle Cloud Infrastructure Identity and Access Management – External User 注意事項 ーー • MFA要素「SMS」は別途課金が発生 4.65円/SMS • MFA要素「SMS」は別途課金が発生 4.65円/SMS • MFA要素「SMS」は別途課金が発生 4.65円/SMS • 従業員「2,000」ユーザーまで登録可能 • OCI IAM Identity Domainsに4つのタイプ(課金タイプ)を用意 • 各Identity Domainには異なる機能セットとオブジェクト制限、サービス制限(タイプ別の個数制限)あり ※2025年7月時点の価格

53. OCI IAM Identity Domains タイプ毎の機能制限 (一部) Copyright © 2025, Oracle

    and/or its affiliates 53 タイプ 機能 Free Oracle Apps Premium Premium External User Oracle CloudサービスのSSO • • • • 現在のOCI IAMの機能 • • • ーー OCIリソースへのアクセス管理 • • • ーー 動的グループ(OCI用) • • • ーー OCI固有の資格証明タイプ • • • ーー サードパーティ・アプリへのアウトバウンドSSO 外部アプリ：2つまで 外部アプリ：10つまで • • サードパーティ・アプリのOAuth/トークン管理 • • 汎用SCIMアプリ・テンプレート • • 外部IdPsおよびソーシャル・ログイン 外部IdP：5つまで • • • 柔軟なIdPルーティング・ポリシー • • • • ADからIdentity Domainへの同期 (単方向Active Directory同期) • • • ーー MFAとアダプティブ・セキュリティ SMSは利用不可 • • • サインオン・ポリシー 5つまで • • • App Gatewayの利用 ーー Oracle Applicationsのみに 制限 • • 詳細：https://docs.oracle.com/ja-jp/iaas/Content/Identity/sku/overview.htm

54. OCI IAM Identity Domains タイプ毎のオブジェクト制限 (一部) Copyright © 2025, Oracle

    and/or its affiliates 54 詳細：https://docs.oracle.com/ja-jp/iaas/Content/Identity/sku/overview.htm タイプ オブジェクト Free Oracle Apps Premium Premium External User 管理ユーザー数 2,000 1,000,000 1,000,000 100,000,000 管理グループ数 250 100,000 100,000 100,000 グループ内のユーザー 2,000 100,000 100,000 100,000 Oracle Cloudアプリ 2,000 2,000 2,000 ーー Oracle以外のアプリケーション 2 10 5,000 5,000 サインイン・ポリシー 5 200 200 200 外部IdPsおよびソーシャル・ログイン 5 30 30 30 ユーザーあたりのAPIキー 3 3 3 ーー ユーザーあたりの認証トークン 2 2 2 ーー ユーザーあたりのOAuth2クライアント資格証明 10 10 10 ーー IAMポリシー 100 100 100 ーー 1つのIAMポリシー内のステートメント 50 50 50 ーー 動的グループ 50 50 50 ーー テナンシーでのネットワークソースグループ 10 10 10 ーー

55. OCI IAM Identity Domains価格 従業員向け認証管理 Copyright © 2025, Oracle and/or

    its affiliates 55 【適用サービス】 サービス名称 単位 単価 月額(1人あたり ) 年額(1人あたり) Oracle Cloud Infrastructure Identity and Access Management – Premium User Per Month ¥496 ¥496 ¥5,952 【費用例】 従業員 業務Webアプリ・・・・ 業務SaaS・・・・ 認証 認証連携 従業員：1,000名 OCI IAM Identity Domain 登録ユーザー:1,000 ※登録ユーザー全てに課金が発生 ※2025年7月時点の価格 サービス名称 単位 単価 ユーザー数 月額 年額 Oracle Cloud Infrastructure Identity and Access Management – Premium User Per Month ¥496 １,000 ¥496,000 ¥5,952,000 前提： ・従業員数：1,000人

56. OCI IAM Identity Domains価格 会員向けサービス認証管理、法人向けサービス認証管理 Copyright © 2025, Oracle and/or

    its affiliates 56 【適用サービス】 サービス名称 単位 単価 月額(1人あたり ) 年額(1人あたり) Oracle Cloud Infrastructure Identity and Access Management – External User User Per Month ¥2.48 ¥2.48 ¥29.76 【費用例】 前提： ・会員：100,000人 会員 ECサイト・・・・・ ECサイト・・・・・ 認証 認証連携 会員：100,000名 OCI IAM Identity Domain 登録ユーザー:100,000 ※登録ユーザー全てに課金が発生 ※2025年7月時点の価格 サービス名称 単位 単価 ユーザー数 月額 年額 Oracle Cloud Infrastructure Identity and Access Management – External User User Per Month ¥2.48 100,000 ¥248,000 ¥2,976,000
57. None