OCI IAM Identity Domains_機能紹介 / OCI IAM Identity Domains_Technical Detail

Transcript

1. 認証管理・認証強化を実現するIDaaS OCI IAM Identity Domains 2024年9月3日 日本オラクル株式会社 機能紹介

2. Copyright © 2024, Oracle and/or its affiliates 2 Safe harbor

   statement The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, timing, and pricing of any features or functionality described for Oracle’s products may change and remains at the sole discretion of Oracle Corporation.

3. ID管理・認証管理について Copyright © 2024, Oracle and/or its affiliates 3 “ID管理”には2つの要素が含まれます。

   ・認証管理：利用者が各システム(Webアプリ)を利用する際の認証・認可(アクセス可/否)を一元管理 ・ID管理(プロビジョニング)：利用者のID情報を各システムへ新規作成・更新・削除する処理を一元管理 認証の流れ ID情報の流れ オンプレミス アプリケーション群 WebアプリケーションA WebアプリケーションB Webアプリケーション・・・・ Active Directory(端末管理) SaaS A SaaS B クラウドサービス群 利用者 ＠社内NW 利用者 ＠インターネット 認証管理の仕組み 認証管理(SSO) 認証強化 (多要素認証) 認証機構 認証証跡 ロ グ イ ン ID管理の仕組み 人事情報連携 ID作成・変更・削除 自動化 申請・承認 ID管理証跡 社員情報 (人事システム) 契約・派遣社員情報 申請・承認 人 の 情 報 取 り 込 み 管理者 管理者 管理・運用 管理・運用 認証管理領域 ID管理(プロビジョニング)領域 ID 情 報 作 成 ・ 更 新 ・ 削 除 本資料の対象 認 証 連 携 (SSO)

4. 認証に関する課題 ～従業員向け(社内向け) の課題 Copyright © 2023, Oracle and/or its affiliates

   4 Web業務アプリケーション 良くあるシステム利用 Web業務アプリケーション クラウドサービス（SaaS） 個別ID/パスワードによる ログイン 個別ID/パスワードによる ログイン 個別ID/パスワードによる ログイン 多要素 認証 利用者 パスワードリセット セキュリティ対策 パスワードリセット セキュリティ対策 パスワードリセット セキュリティ対策 管理者/ヘルプデスク • システム毎にログインが必要で面倒 • ID/パスワードが多く覚えられない • パスワード忘れでシステム利用(業務)が止まる • システム毎にセキュリティレベルが異なる ✓ システム毎にパスワード強度がバラバラ ✓ 不正アクセス対策(認証強化)がバラバラ • 人とIDを紐づけたアクセス追跡が困難 • パスワードリセット依頼が多い • セキュリティ強化のたびにシステム改修が必要 • 新規アプリ導入の度に認証の検討が必要 管理者/ヘルプデスク 管理者/ヘルプデスク 利便性低下 (システム利用低下) 管理者負荷増大 (TCO増大) セキュリティ不安 利用者観点の課題 セキュリティ観点の課題 管理者観点の課題

5. 会員・コンシューマ向けサービスの課題 Copyright © 2024 Oracle and/or its affiliates 5 AA事業-

   ECサイトA 利用者 ECサイトA用 ID/パスワード 認証/アクセス ECサイトB用 ID/パスワード BB事業- ECサイトB 認証/アクセス CC事業- ECサイトC ECサイトC用 ID/パスワード 認証/アクセス 各サイト毎にSNS連携等への都度対応、 サービス提供スピードが低下・管理負荷が増大・・・・ サービス毎にID/パスワードがバラバラ、 サイトアクセスの度にログインが必要 パスワード忘れ時の自己リセットができず、 サイトアクセス頻度低下や幽霊会員化・・・・ パスワード忘れを防ぐため簡易なパスワード設定、 2要素認証もなく、不正アクセスのリスクがある・・・ 各サイトのIDが個別管理で会員特定ができない、 サイト横断での会員個別メリットの提供が困難・・・・ DD事業- ECサイトD ECサイトD用 ID/パスワード 認証/アクセス 利便性低下 (会員定着率低下) セキュリティ不安 管理者負荷増大 (TCO増大)

6. 社内ITサービス、会員・コンシューマ向けサービスを支える認証基盤 Copyright © 2023, Oracle and/or its affiliates 6 アプリケーションA

   アプリケーションB アプリケーションC アプリケーションD 認証基盤 利用者 統合IDリポジトリ シングルサインオン フェデレーション技術 (SAML、Oauth等) 多要素認証 SNS連携 API アクセス証跡 シングル ID/パスワード コンプライアンス準拠 統合IDリポジトリ 各サイトのID情報を統合管理 ✔ シングルサインオン(SSO) 1回のログインで各サイトをシームレスにアクセス ✔ SNS連携 TwitterやFacebookを利用したログイン ✔ フェデレーション技術 標準規格に準拠した認証連携 ✔ 認証強化(多要素認証) ワンタイムパスコード等を利用した認証の強化 ✔ API ログイン画面等の容易な開発 ✔ アクセス証跡 利用者毎の認証成功/失敗等の履歴管理 ✔ スケーラビリティ ***利便性＋セキュリティを両立した機能要素***

7. OCI IAM Identity Domains Copyright © 2024, Oracle and/or its

   affiliates 7 •認証連携 •認可制御 •多要素認証 •ユーザー管理 等 オンプレミス OCI IAM Identity Domains 認証連携(シングルサインオン) 認証強化 管理 • モバイルやEmail、SMSを利用したワンタイムパスコード • 利用者情報(IPアドレス,所属グループ)に応じた認証制御 • ユーザー行動分析によるリスク評価 • 標準技術/標準規格による認証連携 (SAML, OAuth2.0, OpenID Connect, SCIM) • Gatewayモジュールによるオンプレミスアプリとの認証連携 • Azure ADなどの外部IdPとの認証連携 • 様々な方式によるユーザーやグループの管理 • Active Directoryを利用したユーザー管理 • アクセス証跡の管理と確認 他社クラウド Webシステム クラウド イントラ インターネット 認 証 連 携 /SSO 認 証 連 携 /SSO 利用者 2要素認証 リスクベース認証 認 証 連 携 /SSO WebアプリケーションやECサイトの認証統合・認証強化を実現するクラウド型認証基盤(IDaaS) Oracle SaaS/PaaS 開発 • REST APIによる操作 • ログイン画面等の開発

8. オラクルのID管理・認証管理の取り組み Copyright © 2024, Oracle and/or its affiliates 8 LDAP、SSO機能の提供

   •LDAPディレクトリ •シングルサインオン 製品ラインナップの拡張 •IDライフサイクル管理 •アクセス制御 •フェデレーション •コンシューマ向け体系 より高度な要件への対応 •なりすまし対策 •リスクベース認証 •権限管理の標準化 •仮想ディレクトリ統合 •C/S,ホストも含めたSSO 統合IDMプラットフォームの提供 •大規模向け基盤 •性能向上 •開発・実行・管理環境の統合化 クラウド型の認証基盤（IDaaS) •標準規格に沿った連携 •モバイル、ソーシャル対応 •認証強化(多要素認証、リスクベース認証) •API拡充 •既存資産の有効活用 等々 1999 2005 2010 2020 20年以上に渡りID管理・認証管理の領域で製品・サービスを提供 OCI IAM Identity Domains 20年以上の経験を基に 機能・パフォーマンス・スケーラビリティの向上

9. OCI IAM Identity Domainsによる認証基盤イメージ Copyright © 2024, Oracle and/or its

   affiliates 9 ユーザー ログイン画面 ID/パスワード 2要素認証画面 ワンタイム パスコードなど OCI IAM Identity Domains Oracle SaaS/PaaS 他社SaaS シ ン グ ル サ イ ン オ ン SAML/OpenID Connect/HTTPヘッダ 認 証 連 携 Webアプリケーション ＠オンプレ/IaaS 業 務 シ ス テ ム 群 (Web ア プ リ ) Active Directory EmtraIDなど外部IdP 必要に応じて連携 ユーザー情報

10. OCI IAM Identity Domains 特長 (1/2) Copyright © 2024, Oracle

    and/or its affiliates 10 業務で利用する様々なWebアプリケーションの認証管理・認証強化を実現するクラウド型認証基盤(IDaaS) 利便性(攻め)を高める充実した標準機能 1 SaaSやオンプレミスアプリケーションなど様々なWebアプリケーションに対する 業界標準技術を使ったシングルサインオンやパスワード失念時の利用者による パスワード自己リセット等により利用者のエクスペリエンス向上を実現します。 セキュリティ(守り)を高める充実した標準機能 2 シ ン グ ル サ イ ン オ ン パ ス ワ ー ド 自 己 リ セ ッ ト なりすまし等の攻撃に対処する認証強化(2要素認証、リスクベース認証)や アクセスするアプリケーション毎に定義可能な認証・認可ポリシーなどにより アプリケーション利用の入り口となる認証領域のセキュリティ強化を実現します。 各種Webアプリ (オンプレミス) 各種SaaS シングルサインオン 1つのID/パスワードでアクセス ログイン画面 パスワードリセット選択 メール メール本文記載のリセットリンクにより パスワード自己リセットが可能 FIDOやモバイルやEmailを使った ワンタイムパスコード等の2要素認証 ユーザー行動にるリスク評価に応じた アクセス制御(再認証、アクセス拒否等) 認 証 強 化 分析事項例： ✓ ログインの失敗 ✓ 未知の端末からのアクセス ✓ 疑わしいIPからのアクセス ✓ 通常と異なる場所からのアクセス ✓ 一定時間内の移動距離 認 証 ポ リ シ ー 社内からのアクセス 社外からのアクセス Webアプリ アプリケーション毎にIPアドレスやグループを使ったアクセス制御が可能

11. OCI IAM Identity Domains 特長 (2/2) Copyright © 2024, Oracle

    and/or its affiliates 11 業務で利用する様々なWebアプリケーションの認証管理・認証強化を実現するクラウド型認証基盤(IDaaS) 各種コンプライアンスに準拠した 自社データセンターによる堅牢な顧客データ管理 3 大規模ユーザーの認証管理を支える 安定したManagedサービス 4 Oacle Cloudの認証としても利用している重要なサービスの位置づけとなり Oracleテクノロジーを使った高パフォーマンス、高スケーラビリにより安定した 大規模向け認証管理サービスを提供します。 東京リージョン OCI IAM Identity Domains OCI IAM Identity Domains 高 可 用 性 構 成 大阪リージョン OCI IAM Identity Domains DR 構 成 自動的な高可用性構成とDR構成 認証情報(人の情報)は弊社が保有・管理する自社データセンターにおいて 各種コンプライアンス(ISO、SOC等)に準拠した仕組みで堅牢に管理します。 国内では東京リージョン or 大阪リージョンの 自社データセンターにてサービス提供可能 (グローバルでは30以上のリージョンで提供可能) セキュリティの取り組みを一般公開 各種コンプライアンスに準拠 【顧客数】 数十万以上 【管理ID数】 数億ID以上 グローバル全体での利用状況(Oracle Cloud利用込み)

12. OCI IAM Identity Domains ユースケース Copyright © 2024, Oracle and/or

    its affiliates 12 OCI IAM Identity Domains 1 従業員向け統合認証基盤 従業員が業務で利用するオンスレミスのWebアプリケーションや SaaSを中心としたクラウドサービス等の認証管理・認証強化を 実現したエンタープライズレベルの認証基盤を構築 2 従業員向けSaaSの認証基盤 従業員が業務で利用するSaaSを中心としたクラウドサービスの 認証管理・認証強化を実現したクラウド向け認証管理基盤を構築 利用者 ：従業員(正社員、契約、業務委託) 対象アプリケーション：オンプレミスWebアプリ、クラウドサービス(SaaS等) 利用者 ：従業員(正社員、契約、業務委託) 対象アプリケーション：クラウドサービス(SaaS等) 3 外部ビジネスユーザー向け認証基盤 取引先・サプライヤ・仕入先向けのWebアプリケーションや 企業向け自社開発のパッケージの認証管理や認証強化を実現 利用者 ：取引先、サプライヤ、パッケージ契約者(企業または消費者) 対象アプリケーション：Webアプリ、パッケージ(オンプレミスまたはSaaS) 4 会員(コンシューマ)向けの認証基盤 会員向けECサイトやモバイルアプリの認証強化やソーシャル認証連携、 複数ECサイトの認証連携を実現することで、会員IDの統合による UX向上とマーケティングを促進 利用者 ：会員(サイト利用者) 対象アプリケーション：ECサイト、モバイルアプリケーション

13. 機能紹介 Copyright © 2024, Oracle and/or its affiliates 13

14. OCI IAM Identity Domains 機能一覧 Copyright © 2024, Oracle and/or

    its affiliates 14 IDaaSとして必要な機能を標準で用意 認 証 連 携 （ SSO) フェデレーション技術による連携 非フェデレーション技術による連携 ソーシャル連携 (Facebook、Twitter等) AzureAD等との外部IdP連携 ＋外部IdP利用ルール アプリ単位の認可管理 (アクセス可/非の制御) 認 証 強 化 パスワードポリシー 2要素認証 (SMS、Email、モバイルApp、生体、秘密QA） 2要素認証利用ルール (IPアドレスやグループ等を用いた認証ルール) アダプティブセキュリティ (リスクベース認証) ID 管 理 管理GUI(Web画面)によるID管理 CSVインポート/エクスポートによるID管理 SCIMインターフェースによるID管理 (取り込み/プロビジョニング) Active DirectoryとのID・グループ連携 LDAPとのID・グループ連携 カスタム属性の管理 管理権限の委譲 セ ル フ サ ー ビ ス プロファイル変更 パスワード変更 セルフパスワードリセット (パスワード忘れ時のリセット) 通 知 通知種類毎のON/OFF 通知内容のカスタマイズ 監 査 アクセス証跡の管理 アクセス証跡の出力・分析 開 発 REST APIによる操作 REST APIを使った各種画面のカスタマイズ

15. フェデレーション技術による認証連携 Oracle Public Cloud、他社SaaS、オンプレミスシステムに対するシングル・サインオン Copyright © 2024, Oracle and/or its

    affiliates 15 ◆ SAMLやOAuth、OpenID Connectのようなフェデレーションの標準技術を利用して、 Oracle Public Cloudや 他社SaaSやオンプレミスアプリケーションにシングル・サインオン ◆ 事前設定定義カタログに用意されているアプリケーションは、簡単なウィザードによって登録が可能 ✓ 他社SaaSやOracle Public Cloudなど数百種類のアプリケーションをカタログで提供 ◆ アプリケーションごとに、ユーザーのアクセスの可否を設定可能 認証連携 ECサイト Web業務 アプリケーション オンプレミス・on IaaS 他社SaaS Oracle Public Cloud フェデレーション技術による 認証情報連携 シ ン グ ル サ イ ン オ ン SAML OAuth OpenID Connect OCI IAM Identity Domain

16. 非フェデレーション技術による認証連携 – App Gateway Oracle Public Cloud、他社SaaS、オンプレミスシステムに対するシングル・サインオン Copyright © 2024,

    Oracle and/or its affiliates 16 認証連携 ◆ HTTPヘッダーによる認証連携でOCI IAMからシングル・サインオンするためのリバース・プロキシ 「App Gateway」 を VM(ソフトウェアアプライアンス)として提供 ✓ SAMLやOpenID Connectに非対応なオンプレミスやIaaS上のアプリケーションとの認証連携が可能 ✓ HTTPヘッダ経由で認証連携情報(ログインIDやその他属性)を渡すことが可能 ✓ Identity Domain及び該当アプリケーションに接続可能な環境に配置が必要 ※注意)アプリケーション側にて以下の仕組みが必要 ・HTTPヘッダより認証連携情報を受け取る ・認証連携情報をもとに、SSOサーバ側で認証済みとしてアプリケーションへログインさせる(自身のログイン画面は出さない) オンプレミスアプリ (フェデレーション未対応) オンプレミスアプリ (フェデレーション未対応) App Gateway オンプレミスアプリ (フェデレーション未対応) App Gateway L B HTTP ヘ ッ ダ に よ る 認 証 連 携 ※リバースプロキシとして動作 ※VM動作基盤に配置 利用者 OCI IAM Identity Domain

17. 対象アプリケーションへの入り口認可制御 アプリケーション毎のユーザー/グループを利用した認可制御(アクセス可/否) Copyright © 2024, Oracle and/or its affiliates 17

    認証連携 ◆ 認証連携している対象アプリケーション毎に認可設定(アクセス可/否)が可能 ◆ ユーザーまたはグループを利用した認可 ◆ 認可制御なし(誰でもアクセス可)も設定可能 アプリケーション1 クラウドサービス2 クラウドサービス1 アプリケーション毎の認可設定 グループA グループB に認可 グループC ユーザーα ユーザーβ に認可 認可制御なし (全員アクセス可) グループA、グループB グループC、ユーザーα、ユーザーβ グループC、ユーザーα、ユーザーβ グループA、グループB グループA、グループB グループC、ユーザーα、ユーザーβ 全ユーザー 全ユーザー

18. 対象アプリケーションへのID同期 SCIMを利用した対象アプリケーションとのID同期 Copyright © 2024, Oracle and/or its affiliates 18

    認証連携 ◆ SCIM対応したID同期用コネクタ「Generic SCIMコネクタ」により、認証連携の対象アプリケーションへのID同期を実現 ※対象アプリケーションがSCIM対応している必要あり ◆ 同期対象とするユーザーまたはグループを指定 ◆ 同期対象としてグループを指定した場合には、グループに所属するメンバーが自動的に同期 OCI IAM Identity Domain Generic SCIMコネクタ アプリケーション1 クラウドサービス2 クラウドサービス1 SCIM インターフェース SCIM インターフェース SCIM インターフェース ID情報連携 (ユーザーの同期) 機能 内容 ID情報の伝播の方向 Identity Domainから対象システムへ 同期内容 ユーザーの作成・更新・削除 ユーザーのパスワードの同期 ✖ 同期対象となるユーザー 指定したユーザー または、指定したグループのメンバー グループの作成・更新・削除の同期 ✖(グループはマッピングのみ) ID情報を同期するタイミング 同期対象として指定したとき または、対象グループに所属したとき ※設定によりIDの逆同期も可能

19. OCI IAM Identity Domain 外部認証基盤(外部IdP)との認証連携 Azure ADなど既存の認証基盤をマスターとする認証連携 Copyright © 2024,

    Oracle and/or its affiliates 19 認証連携 ◆ Azure AD、ADFS(Active Directory Federation Service)など、SAMLのIdPをマスターとする認証連携が可能 SP クラウドサービス OCIコンソール SP SP アプリケーション 各アプリケーション(フェデレーション対応) IdP(アイデンティティ・プロバイダ)：クラウドサービスとの認証連携において認証行為を行う側 SP(サービス・プロバイダ)：クラウドサービスとの認証連携においてIdPへ認証を委託する側 IdP Azure AD その他IDaaS 社内 ADFS (オンプレミス) SP IdP IdP 既存認証基盤(マスタ) シ ン グ ル サ イ ン オ ン IdP SAML 外 部 IdP 連 携 IdPポリシー 複数のIdPと連携が可能 IdP利用ルールを定義可能

20. IdPポリシー IdP(アイデンティティ・プロバイダ)の利用ルールを定義するIdPポリシー機能 Copyright © 2024, Oracle and/or its affiliates 20

    認証連携 IdPポリシー 利用者 IdPポリシー1 IdPポリシー2 Web業務アプリケーション “従業員”グループ所属 IdPルールの例 ◆ IdPポリシーにより、認証時に利用するIdPとしてローカル認証(アイデンティティ・ドメインの認証)を使うか、 または外部IdP(AzureAD等の他社認証基盤)を使うかを制御することが可能 ◆ 利用IdPを利用者自身が都度選択することが可能 ◆ 所属グループ等の利用者属性を利用し強制的に1つのIdPを利用させることも可能 ◆ アプリケーション全体(OCIコンソール含む)または個別アプリケーションのみにIdPポリシーを適用 条件 IdP 他社クラウドサービス Oracle PaaS/SaaS Azure AD 社外NWからのアクセス ローカル 無条件(全員・強制的) 既存社内認証基盤 Azure AD OCI IAM Identity Domain 社内認証基盤 IdPによる認証処理 ※IdPポリシーにて外部IdPを利用するルールを定義する場合には、事前に外部IdPの登録設定が必要になります。

21. OCI IAM Identity Domain 外部認証基盤(外部IdP)とのID情報の連携 – SCIM SCIMを利用したAzure ADなど既存の認証基盤をマスターとするID情報の連携 Copyright

    © 2024, Oracle and/or its affiliates 21 ◆ SCIMを利用しAzure ADなど、SAMLのIdPをマスターとID情報(ユーザー、グループ)を連携することが可能 ※外部IdPがSCIM対応しており、かつIDプロビジョニング機能を有している必要あり Azure AD その他IDaaS SCIM 既存認証基盤(マスタ) SCIM 認証連携 SCIM ID情報連携 (ユーザー・グループの同期) ID情報連携 (ユーザー・グループの同期)

22. OCI IAM Identity Domain 外部認証基盤(外部IdP)とのID情報の連携 – SAML JITプロビジョニング JITプロビジョニングを利用した既存の認証基盤をマスターとするID情報の連携 Copyright

    © 2024, Oracle and/or its affiliates 22 ◆ SAML連携している外部IdPから「JITプロビジョニング(ジャストインタイム・プロビジョニング)」を利用しID情報を連携 ・外部IdPでの初回ログイン：SAMLアサーションの属性を用いてIdentity Domainにユーザーを新規作成 ・外部IdPでの2回目以降ログイン： SAMLアサーションの属性を用いて外部IdPで属性更新をIdentity Domainの該当ユーザーへ反映 ◆ Identity Domainに存在するグループへのアサインも可能 ・Identity Domainに存在する特定グループへ所属させる(外部IdP側での所属グループに関係なく) ・外部IdP側で所属しているグループと同じ名前のIdentity Domainグループへ所属させる ※JITプロビジョニングでは、ユーザー削除やグループ自体の同期はできません。 認証連携 外部IdP SAML認証連携(外部IDP連携) SAMLアサーション ＜属性情報＞ 【JITプロビジョニング】 ユーザー作成/更新 グループアサイン SAMLアサーションより属性取得 外部IdPを利用した初回ログイン/2回目以降ログイン SP IdP

23. ソーシャル・ログイン SNSなどの外部サービスをマスターとする認証連携 Copyright © 2024, Oracle and/or its affiliates 23

    認証連携 ◆ FacebookやTwitterなどのSNSを認証マスターとして、それらのアカウントを利用してOCI IAMにログイン ◆ SNSとOCI IAMはOpenID Connect(一部OAuth)を利用してフェデレーション ◆ SNS(一部)との連携設定は事前定義済み ◆ 事前定義がないSNSも定義をインポートすることで連携可能 ◆ SNSのアカウントとの紐付け方法 ✓既存OCI IAMアカウントとソーシャル・アカウントとの紐づけ(1：Nの紐づけが可能) ✓OCI IAMへのソーシャル・アカウントの新規自己登録 SNS OCI IAM Identity Domain SP アプリケーション アプリケーション SP SP アプリケーション 各アプリケーション(フェデレーション対応) IdP シ ン グ ル サ イ ン オ ン ログイン連携 OpenID Connect (一部OAuth) 認証マスタ Aさん ログインID：Facebook ID パスワード：なし Bさん ログインID：ローカルのID パスワード：あり Facebook ID Twitter ID SNSアカウント

24. パスワードポリシー 本人証明を強化にする柔軟なパスワードポリシー定義 Copyright © 2024, Oracle and/or its affiliates 24

    認証強化 ◆ 最大・小文字列、再利用禁止、有効期限等の詳細なパスワードポリシーを定義可能 ◆ ポリシーとして事前定義済みポリシー(簡易、標準)、カスタムポリシーを用意 ◆ グループ毎に適用するパスワードポリシーを変えることが可能 ✓例）社外から接続することが多いグループ（営業部グループ等）は強いポリシーを適用 パスワード ポリシーA パスワード ポリシーB グループ1 グループ2 グループ3 ※明示的にパスワードポリシーを適用していないグループやグループに所属していないユーザーは デフォルトのパスワードポリシーが適用されます。 パスワードポリシー 定義項目 パスワード長(最小) パスワード長(最大) 英字(最小) 数字(最小) 特殊文字(最小) 小文字(最小) 小文字(最大) 繰返し(最大) 英数字で始まる 利用禁止項目（ユーザーの姓、名、ユーザー名） 利用禁止文字列 有効期限切れまで(日) アカウント・ロックしきい値 アカウントの自動ロック解除の有効化 アカウントの自動ロック解除まで(分) 記憶されている前のパスワード OCI IAM Identity Domain

25. 二要素認証 サインオンポリシーで指定可能な複数の認証手段を提供 Copyright © 2024, Oracle and/or its affiliates 25

    認証強化 ◆ 管理者は任意の二要素認証の手段を選択して有効化することが可能 ◆ モバイルアプリケーション:Oracle Mobile AuthenticatorはApp StoreやGoogle Playから入手が可能 ◆ 二要素認証をパスすると、指定した日数の間同一のWebブラウザからのアクセスでは二要素認証を免除するオプションを提供 ワンタイムパスコード ワンタイムパスコード 【MFA要素】 通知 FIDO2対応機器 メール 電話 FIDO ※Oracleオーセンティケータ のみ利用可 ※RFC 6238に準拠している Authenticatorを利用可能 モバイル オーセンティケータ SMS ワンタイムパスコード ※SMSの数量により 別途追加費用が発生 チャレンジQA 秘密の質問

26. 26 Copyright © 2024, Oracle and/or its affiliates パスワードレスログイン パスワードを使わない強固な認証と利便性向上

    ◆ パスワードを使う代わりにMFAで用意している要素を使いログインすることが可能 ＜パスワードレスログインで利用できる要素＞ ・メールワンタイムパスコード ・SMSワンタイムパスコード ・モバイルオーセンティケータ ‐ ワンタイムパスコード ・モバイルオーセンティケータ - 通知 ※Oracle Mobile Authenticatorのみ ・FIDOオーセンティケータ ◆ 1ユーザーに複数の要素を登録可能（デフォルト要素：1つ、代替え要素：複数） ユーザー ユーザー名指定画面 単一要素のみ または 複数要素からの選択も可能です。 要素としてパスワードを使うことも可能です。 パスワードの代わりとなる要素を入力 パスワードレスログイン機能では 最初にユーザー名(ID)のみを入力する必要があります。 Emailワンタイムパスコードの例 モバイルー通知の例 各種アプリケーション (SSO対象アプリ) 【パスワードレスログインのイメージ】 認証強化

27. アダプティブ・アクセス ユーザーの行動分析に応じた認証強化 Copyright © 2024, Oracle and/or its affiliates 27

    認証強化 ◆ ユーザーの疑わしい行動履歴(下記項目)から、リスク・スコアを算出 ✓ ログインの失敗 ✓ MFAの試行 ✓ 未知の端末からのアクセス ◆ リスク・スコアに応じて二要素認証の要求やログインの禁止などの措置を指定可能 ◆ 増加したリスク・スコアは、ユーザーが異常な行動をしなければ、時間の経過に応じて減少 評価項目毎のリスク値の定義 ✓ 疑わしいIPからのアクセス ✓ 通常とは異なる場所からのアクセス ✓ 一定時間内の移動距離 ユーザー毎のリスク値の推移確認

28. 認証ポリシー アプリケーションへの認証強化・アクセス制御のルールを定義するサインオン・ポリシー機能 Copyright © 2024, Oracle and/or its affiliates 28

    認証強化 サインオン・ポリシー インターネット 社内 ネットワーク サインオン・ポリシー 1 サインオン・ポリシー 2 サインオン・ポリシー 3 サインオン・ポリシー 4 社外からのアクセス ＋ 管理者権限 ログイン拒否 社外からのアクセス 二要素認証 Web業務アプリケーション 社内からのアクセス パスワード認証 サインオン・ルールの例 ◆ サインオン・ポリシーにより、ログインが完了したユーザーへの認可処理として許可/拒否/再認証の要求/多要素認証の要求 のいずれかの対応を設定することが可能 ◆ サインオン・ポリシーはアプリケーション個別または全体(すべてのアプリケーション)に適用することが可能 ◆ サインオン・ポリシーの要素であるサインオン・ルールにより、ルール適用の条件や条件が当てはまる場合のアクションを指定 条件 • リスクスコアの値 • 端末のIPアドレス(ネットワーク・ペリメータ) • 所属グループ • 管理者権限の有無 アクション • アクセス許可 • アクセス拒否 • 再認証の強制 • 二要素認証の強制 条件 アクション 他社クラウドサービス Oracle PaaS/SaaS

29. ID管理 ユーザーやグループを一元的に管理 Copyright © 2024, Oracle and/or its affiliates 29

    管理 様々な手段によるユーザー・グループ管理 ◆標準のWeb管理画面 ◆CSVファイルアップロード ※1日にアップロード/ダウンロードできる回数に制限あり ◆REST API • SCIM • カスタム・ユーザー管理アプリの開発 ◆オンプレミス上のActive Directory(AD) からの ユーザー情報を伝播（ADとのユーザー同期） ◆セルフサービスによるID登録・属性変更 ◆Oracle ERP Cloudや他クラウド(一部)との同期 AD Bridge REST API カスタムアプリ SCIM対応アプリ Active Directory CSVファイル Web管理画面 OCI IAM Identity Domain ID管理

30. Active DirectoryとのID・グループ情報同期 Active DirectoryをIDソースにしたユーザー管理の効率化 Copyright © 2024, Oracle and/or its

    affiliates 30 管理 ◆ ADへアクセス可能なWindowsサーバ/端末にID情報同期エージェント「AD Bridge」を配置することで ADからID情報・グループ情報を同期 ◆ AD側でのユーザー・グループの作成/更新/削除をスケジューリング同期 ◆ 同期対象ユーザー/グループを指定可能(特定OU配下、LDAPフィルタ) ◆ AD BridgeからOCI IAMへの片方向の通信のみ発生 ※エージェントとOCI IAM間でHTTPS通信ができる必要があります。 ※パスワードは同期の対象外になります。 AD Bridge ①設定情報の取得 社内ネットワーク ②ID情報・グループ情報の取得 ③ID情報・グループ情報の伝播 プ ロ キ シ ・ サ ー バ LDAP HTTPS(REST) Active Directory 前回同期から変更のある ID情報のみを伝播 該当ADのドメイン内の Windowsサーバ/端末に配置 同期対象のユーザーやグループ、属性の マッピング、同期頻度などの設定 OCI IAM Identity Domain

31. Active Directoryへの委任認証 Active DirectoryのID/パスワードを用いた認証 Copyright © 2024, Oracle and/or its

    affiliates 31 管理 ◆ ADへアクセス可能なWindowsサーバ/端末にID情報同期エージェント「AD Bridge」を配置することで Identity DomainからADへの委任認証(認証の委託)が可能 ◆ ユーザーはADのID/パスワードを指定しIdentity Domainへログイン可能 (ADとのID情報同期を実施している前提) ◆ AD BridgeからOCI IAMへの片方向の通信のみ発生 ※エージェントとOCI IAM間でHTTPS通信ができる必要があります。 AD Bridge ①認証依頼の確認/検知 社内ネットワーク ②認証依頼 ③認証結果送付 プ ロ キ シ ・ サ ー バ LDAP HTTPS(REST) Active Directory 該当ADのドメイン内の Windowsサーバ/端末に配置 Identity Domain ログイン画面 利用者 ADのID/パスワードを指定 OCI IAM Identity Domain

32. OCI IAM Identity Domain カスタム属性の追加・管理 管理するユーザー属性の追加 Copyright © 2024, Oracle

    and/or its affiliates 32 ◆ デフォルトで用意されているユーザー属性に加えてカスタム属性を適宜追加可能 ◆ GUIにより属性定義が可能 ◆ 追加したカスタム属性への値登録・変更が可能 ユーザー名(統合ID) 姓 名 Emailアドレス 住所 ・・・・・・ 【ユーザー属性】 権限用属性AA 職位用属性BB ・・・・・・ ・・・・・・ デフォルト属性 カスタム属性 【カスタム属性の定義】 管理

33. ユーザー管理権限の委任 グループ会社や部門に所属するユーザー管理を委任 Copyright © 2024, Oracle and/or its affiliates 33

    管理 ◆ あるグループ（グループ会社グループ、部門用グループなど）に属するユーザーに対象を限定した管理者を設定して、 ユーザー管理を委任することが可能 ※ユーザーの新規登録や管理対象のグループへのユーザーの追加には別途権限が必要 委任管理者となるユーザーを選択して、 管理対象となるグループを指定 OCI IAM ユーザー管理者 自社ユーザー パートナーA社管理者 パートナーB社管理者 パートナーA社グループ パートナーB社グループ

34. セルフ・サービスのパスワード・リセット セルフ・サービスによりヘルプ・デスクの負担を軽減 Copyright © 2024, Oracle and/or its affiliates 34

    管理 ◆ ユーザーはWeb画面経由で自分自身でパスワードのリセットが可能 ✓ユーザーはログイン画面からパスワードのリセットを申請 ✓登録されているユーザーのメール・アドレスに、パスワードを再設定するためのリンクを送付 • 本人確認の手段として、メール以外にSMSや秘密の質問も利用可能 ログイン画面でパスワードのリセットを申請 メールで送られるリンクからパスワードを再設定 一般利用者 メール

35. メール通知 ヘルプ・デスクの負担を軽減 Copyright © 2024, Oracle and/or its affiliates 35

    管理 ◆メールによるイベントの通知機能 ✓ 新規登録案内とアカウントの有効化 ✓ パスワードの自己リセット(失念時) ✓ アカウントのロック、ロック解除 ✓ アカウントの有効化、無効化 ✓ 管理者によるプロファイル変更 ✓ etc. ◆各イベントごとに、通知のON/OFFや メール内容のカスタマイズ(言語毎) が可能 ユーザーに通知するイベントの選択 テンプレートによるメールの内容のカスタマイズ

36. OCI Auditによるアクセス証跡の管理 OCI Auditを活用した認証に関する操作ログの自動的収集・管理 Copyright © 2024, Oracle and/or its

    affiliates 36 管理 ◆ 認証に関するログを含め、OCIの全てのアクティビティログを自動的に収集・保持 ◆ OCIコンソール、APIから閲覧・検索可能 ◆ テナンシー単位で365日分保持 ◆ 利用料は無料 ◆ ログ分析サービス「OCI Logging Analytics」へのログ連携が可能 ログインなど認証に関する オペレーション ユーザー OCI Audit 管理者による 監査ログの分析 管理者 OCI IAM Identity Domain 自 動 収 集 ・ 管 理 ログ分析サービス OCI Logging Analytics オプション

37. REST APIの公開 APIファースト: GUIで操作可能な機能はREST APIでも提供 Copyright © 2024, Oracle and/or

    its affiliates 37 開発 ◆ 次のようなアドオンの開発が可能 ✓ 監査情報を取得して分析 ✓ 独自のユーザー管理、グループ管理 ✓ ログイン画面の完全なカスタマイズ ✓ パスワードリセットの外部実装 ✓ SAML/OAuthアプリケーションの登録 ◆ APIの認証・認可にはOAuthを利用 ◆ REST API https://docs.oracle.com/en/cloud/paas/iam-domains-rest-api/index.html Node.js Java Python REST API OCI IAM Identity Domain

38. ログイン画面のカスタマイズ 標準のログイン画面をカスタマイズするための、次の3つの方式を提供 Copyright © 2024, Oracle and/or its affiliates 38

    1．ブランディング機能（設定） ロゴや背景イメージの簡単な変更 2．Hosted Sign-In機能（設定） HTMLの記述によるロゴや背景、文言の変更 3．完全なカスタマイズ（開発） 別途ログイン画面用アプリを開発 開発

39. 複数のアイデンティティ・ドメインの管理 各アイデンティティドメイン(インスタンス)の管理集約と権限分離 Copyright © 2024, Oracle and/or its affiliates 39

    ◆ 1つのテナントに複数のアイデンティティ・ドメインを作成することが可能 ※上限値制限あり ◆ それぞれのアイデンティティ・ドメインのデータ(ユーザー、グループ、設定)は独立して保持 ◆ 異なるコンパートメントに各アイデンティティ・ドメインを作成することでアイデンティティ・ドメインへのアクセス制御を実現 ※コンパートメント：OCIの機能となり、リソースへの権限分掌を行う論理的な境界のこと テナント：001 テナント管理者 コンパートメント：A社 ユーザー (A社従業員) グループ 設定 コンパートメント：B社 ユーザー (B社従業員) グループ 設定 A社業務アプリ群 B社業務アプリ群 テナント管理者による アクセスが可能 アイデンティティ・ドメイン (A社用) アイデンティティ・ドメイン (B社用) 他コンパートメントへ アクセス不可 Defaultアイデンティティ・ドメイン (テナント管理者用) 構成 利用者や使い方に応じて 課金タイプを選択可能 ※課金タイプの説明は後続参照

40. 価格について Copyright © 2024, Oracle and/or its affiliates 40

41. OCI IAM Identity Domainsの課金タイプ Copyright © 2024, Oracle and/or its

    affiliates 41 • OCI IAM Identity Domainsに4つのタイプ(課金タイプ)を用意 ※Oracle SaaSテナンシでのみ利用可能なタイプも用意 • 1つのIdentity Domainには1つの課金タイプを設定 タイプ Free Oracle Apps Premium Premium External User 概要 (Usecase） • テナンシ作成時にデフォルト・ドメインとして作 成されるタイプ • OCI IaaSおよびPaaSのリソースへのアクセ ス管理 • Oracle SaaS、PaaS、 GBUアプリケーションへの アクセス管理 • 加えてオンプレミスやOCI IaaS上のOracle アプリケーション(Oracle EBS、PeopleSoft等) のアクセス管理 • 完全なIAM機能を提供し、 すべてのOracleアプリケーションおよび Oracle以外のアプリケーションに対するアク セス管理 • 完全なIAM機能を提供しコンシューマ向けの アプリケーションに対するアクセス管理 機能制限 あり あり なし あり オブジェクト制限 あり あり あり あり 利用条件 • 機能/オブジェクト制限範囲内 • 機能/オブジェクト制限範囲内 • Oracle SaaSまたはOracleアプリケーション のアクセス管理 • 機能/オブジェクト制限範囲内 • 機能/オブジェクト制限範囲内 • コンシューマ向けの認証 Not[Employee/Contractor/Outsourcer] 価格 無償 ¥38.75 User Per Month ※登録ユーザーへの課金 ¥496 User Per Month ※登録ユーザーへの課金 ¥2 .48 User Per Month ※登録ユーザーへの課金 注意事項 ーー • OCI IAM Identity Domainが必須となる 「お客様の開発が入らないPaaSサービス (OCMやOAC等)」のみでも利用可 ーー • 従業員「2000人」まで登録可能 • OCIリソース(OACやOCM等のPaaS含む) へのアクセス不可 ※2024年9月時点での価格 従業員向け 会員・外部ユーザー向け

42. タイプ毎の機能制限 (一部) Copyright © 2024, Oracle and/or its affiliates 42

    タイプ 機能 Free Oracle Apps Premium Premium External User Oracle CloudサービスのSSO • • • • 現在のOCI IAMの機能 • • • ーー OCIリソースへのアクセス管理 • • • ーー 動的グループ(OCI用) • • • ーー OCI固有の資格証明タイプ • • • ーー サードパーティ・アプリへのアウトバウンドSSO 外部アプリ：2つまで 外部アプリ：10つまで • • サードパーティ・アプリのOAuth/トークン管理 • • 汎用SCIMアプリ・テンプレート • • 外部IdPsおよびソーシャル・ログイン 外部IdP：5つまで • • • 柔軟なIdPルーティング・ポリシー • • • • ADからIdentity Domainへの同期 (単方向Active Directory同期) • • • ーー MFAとアダプティブ・セキュリティ SMSは利用不可 • • • サインオン・ポリシー 5つまで • • • App Gatewayの利用 ーー Oracle Applicationsのみに 制限 • • 詳細：https://docs.oracle.com/ja-jp/iaas/Content/Identity/sku/overview.htm ※外部またはサードパーティ・アプリケーションは、Oracle以外のプロバイダが提供する商用アプリケーション、 またはカスタム開発のアプリケーション(Visual Builder Cloud Serviceを使用してOCIで構築されたアプリケーションなど)として定義されます。

43. タイプ毎のオブジェクト制限 (一部) Copyright © 2024, Oracle and/or its affiliates 43

    タイプ オブジェクト Free Oracle Apps Premium Premium External User 管理ユーザー数 2,000 1,000,000 1,000,000 100,000,000 管理グループ数 250 100,000 100,000 100,000 グループ内のユーザー 2,000 100,000 100,000 100,000 Oracle Cloudアプリ 2,000 2,000 2,000 ーー Oracle以外のアプリケーション 2 10 5,000 5,000 サインイン・ポリシー 5 200 200 200 外部IdPsおよびソーシャル・ログイン 5 30 30 30 ユーザーあたりのAPIキー 3 3 3 ーー ユーザーあたりの認証トークン 2 2 2 ーー ユーザーあたりのOAuth2クライアント資格証明 10 10 10 ーー IAMポリシー 100 100 100 ーー 1つのIAMポリシー内のステートメント 50 50 50 ーー 動的グループ 50 50 50 ーー テナンシーでのネットワークソースグループ 10 10 10 ーー 詳細：https://docs.oracle.com/ja-jp/iaas/Content/Identity/sku/overview.htm ※Oracle以外のアプリケーションまたはサードパーティ・アプリケーションは、Oracle以外のプロバイダが提供する商用アプリケーション、 またはカスタム開発のアプリケーション(Visual Builder Cloud Serviceを使用してOCIで構築されたアプリケーションなど)として定義されます。

44. OCI IAM Identity Domains価格 従業員向け認証管理 Copyright © 2024, Oracle and/or

    its affiliates 44 【適用サービス】 サービス名称 単位 単価 月額(1人あたり ) 年額(1人あたり) Oracle Cloud Infrastructure Identity and Access Management – Premium User Per Month ¥496 ¥496 ¥5,952 【費用例】 前提： ・従業員数：1,000人 従業員 業務Webアプリ・・・・ 業務Webアプリ・・・・・ 認証 認証連携 従業員：1,000名 OCI IAM Identity Domain 登録ユーザー:1,000 ※登録ユーザー全てに課金が発生 ※2024年9月時点の価格 サービス名称 単位 単価 ユーザー数 月額 年額 Oracle Cloud Infrastructure Identity and Access Management – Premium User Per Month ¥496 １,000 ¥496,000 ¥5,952,000

45. OCI IAM Identity Domains価格 会員、外部ビジネスユーザー向け認証管理 Copyright © 2024, Oracle and/or

    its affiliates 45 【適用サービス】 サービス名称 単位 単価 月額(1人あたり ) 年額(1人あたり) Oracle Cloud Infrastructure Identity and Access Management – External User User Per Month ¥2.48 ¥2.48 ¥29.76 【費用例】 前提： ・会員：100,000人 会員 モバイルアプリ・・・・ ECサイト・・・・・ 認証 認証連携 会員：100,000名 OCI IAM Identity Domain 登録ユーザー:100,000 ※登録ユーザー全てに課金が発生 ※2024年9月時点の価格 サービス名称 単位 単価 ユーザー数 月額 年額 Oracle Cloud Infrastructure Identity and Access Management – External User User Per Month ¥2.48 100,000 ¥248,000 ¥2,976,000
46. None