OCI IAMとIDCSの違いとIDCSを利用するメリット

Transcript

1. OCI IAMとIDCSの違いとIDCSを利用するメリット 2021年5月27日 テクノロジー事業戦略統括 テクノロジー・クラウド・エンジニアリング本部 セキュリティ&マネージメント ソリューション部

2. Agenda 1 IDCSの基礎知識 2 IDCSとOCI IAMの概要と比較 3 IDCSを利用する3つのメリット 4 OCI

   IAMとIDCSの連携 2 Copyright © 2021, Oracle and/or its affiliates

3. 1. IDCSの基礎知識

4. Oracle CloudのID管理サービス IaaS PaaS SaaS Oracle Cloud Infrastructure Identity and

   Access Management (IAM) Fusion IDM Oracle Identity Cloud Service (IDCS) Copyright © 2021, Oracle and/or its affiliates 4

5. OCIとIDCS OCIに新規サインアップをすると、自動的にOCIテナンシとフェデレートされたIDCSのインスタンスが1つ作成されます。 同時にOCIへサインアップしたユーザー(テナンシ管理者)のユーザー名とパスワードを使用して、IDCSに別の2つ目のユー ザーが作成され、フェデレートされます。 5 Copyright © 2021, Oracle and/or

   its affiliates IDCS ユーザーA： コンパートメントAの管理者 (IDCSユーザー) OCI_Administrators (IDCSグループ) OCI Tenancy A Administrators … … Idcs/A … IAMグループ 同期済ユーザー Allow group Administrators to manage all-resources in tenancy IAMポリシー サインアップ ユーザーA

6. IDCSのライセンス IDCSには、無償版のFoundationと、有償版のStandardの2つのライセンスタイプがあります。 OCIテナンシ作成時にデフォルトで作成されたIDCSは無償版(Foundation)として、以下のような機能を使用することが できます。 ◼ Oracle Cloudのユーザーの管理とシングル・サインオン • オラクルのIaaS、PaaS、SaaSなどのOracle Cloudへのシングル・サインオン

   • オラクルのSaaSとのID情報の同期 ◼ 基本的なユーザーとグループの管理 • 管理画面やREST APIでのID情報の管理 • ユーザーのセルフ・サービスでのパスワード・リセット • ログイン履歴などのレポート ◼ 基本的な認証機能 • SDKの利用によるWebアプリケーションやモバイル・アプリケーションのIDCSによる認証の実装 • 外部認証システムなどのSAML IdPを1つだけ登録可能 6 Copyright © 2021, Oracle and/or its affiliates

7. 2. IDCSとOCI IAMの概要と比較

8. IAMとは IAMとは、OCI独自のID管理サービス、Identity and Access Managementサービスです。以降、Identity and Access Managementを略してIAMと呼びます。 IAMは、OCIの リソース

   に対するアクセス権を制御する仕組みになり、OCIのユーザーの認証、およびユーザーへのアクセ ス権限を付与します。OCIのIAMサービスで作成されたユーザーをIAMユーザーと呼び、IAMユーザーがアクセスできるの はOCIで提供されているサービスのみになります。 8 Copyright © 2021, Oracle and/or its affiliates アクセス対象の OCIリソース IAM ユーザー 認証 & 認可 グループ API署名鍵 認証トークン

9. IDCSとは Oracle Identity Cloud Service(以降IDCS)は、OCIを含む、さまざまなクラウド及びオンプレミスのアプリケーションと サービスのユーザー・アクセスと資格を管理します。またID管理や他のクラウド・サービスとのID情報の同期も提供します。 IAMとは異なり、IDCSで作成されたIDCSユーザーはOCI以外のOracle Cloudサービスにアクセスすることができます。 シングル・サインオン・オプションを使用してOCIにサインインすると、再認証せずに他のOracle Cloudサービスに移動でき

   ます。 9 Copyright © 2021, Oracle and/or its affiliates 取引先 インターネット オンプレミスや IaaS上の システム 社員 社内ネットワーク 顧客 • 二 要 素 認 証 • リ ス ク ・ ベ ー ス 認 証 • IP ホ ワ イ ト リ ス ト フ ェ デ レ ー シ ョ ン に よ る シ ン グ ル ・ サ イ ン オ ン Oracle Identity Cloud Service Oracle Internet Directory Application Gateway Bridge Active Directory

10. OCIの認証・ID管理機能の3つのオプション 10 Copyright © 2021, Oracle and/or its affiliates OCIを使用するにあたって、使用可能な認証およびID管理サービスは以下の3つがあります。

    A) OCI Identity and Access Management (IAM) • Oracle Cloudの全てのサービスで使用される統合的な認証・ID管理サービス B) Oracle Identity Cloud Service (IDCS) • Oracle Cloud Infrastructure 単独の環境でネイティブに使用される認証・ID管理サービス C) その他のアイデンティティ・プロバイダ(IdP) 例. Okta, Azure AD, ADFS • Oracle以外が提供する認証・ID管理サービス いずれのユーザーも、OCIの管理画面を利用することが可能です。 Oracle Identity Cloud Service OCI Identity and Access Management Oracle PaaS サービス群 Oracle SaaS サービス群 Fusion IDM

11. IAM上に存在する3つのユーザー・タイプ ③フェデレーテッド・ユーザー • IDCS(およびOkta)以外のIdP で作成、管理されているユーザー - 例.ADFS, Azure ADなど •

    外部IdPで管理されているパス ワードを使用してOCIコンソール にサインイン • OCIのAPI鍵、認証トークンなど ユーザー資格情報を所有するこ とができない • IAMグループと、外部IdPグルー プのグループ・マッピングを作成す ることで、外部IdPのユーザーは OCI上のリソースにアクセス することができる ②同期済ユーザー(例. IDCSユー ザー) • IDCS(またはOkta)によりIAMと 同期されたユーザー • IDCS(またはOkta)で管理して いるパスワードを使用してOCI コンソールにサインイン • API鍵や認証トークンを含め、 IAMユーザーと同様に資格証明 を保持することができる • IAMグループとIDCSのグループ マッピングを作成することで、 IDCSユーザーはOCI上の リソースにアクセスする ことができる。 ①ローカル・ユーザー(IAMユー ザー) • OCIのIdentity and Access Managementサービスで作成 および管理されているユーザー • IAMで管理しているパスワードを 使用してOCIコンソールにサイン イン 11 Copyright © 2021, Oracle and/or its affiliates

12. IDCSユーザー、IAMユーザーそれぞれのOCIコンソールへのサインイン方法 12 Copyright © 2021, Oracle and/or its affiliates OCI

    IAM / IDCS どちらからでもサインインが可能です。ただしユーザー/パスワードは管理が異なります。 https://console.us-tokyo-1.oraclecloud.com IDCSによる認証 OCI IAM による認証 OCIコンソール画面 IDCS OCI IAM OCI IAMで管理している ユーザー/パスワード IDCSで管理している ユーザー/パスワード

13. IDCSユーザーとIAMユーザーのOCIへの認証と認可の仕組み 13 Copyright © 2021, Oracle and/or its affiliates IDCSユーザーがOCI上のリソースにアク

    セスするためには、別途OCI上でIAMポ リシーを作成する必要があります。 OCI IDCS ユーザー 1 ユーザー 2 グループ •グループ 1 •グループ 2 •グループ 3 同期済みユーザー •ユーザー 1 •ユーザー 2 グループ •グループ B •グループ C •グループ D IAM フェデレーション ローカル・ユーザー •ユーザー A •ユーザー B OCIサービス ポリシー •OCIサービスへの アクセスをグループに許可 例: コンパートメント ポリシー •コンパートメントAの管理をグ ループ Bに許可 Allow group B to manage all- resources in compartment A ユーザー 1 (IDCSユーザー) ユーザー A (IAMユーザー) グループ・マッ ピング OCIの管理 画面での IDCSユー ザーを作成 SCIMによりIDCS のグループ情報参照 グループマッピングにより、IDCSのグループに 追加されたユーザーは、マッピングされている IAMグループに付与されているポリシーに基づ いてOCIへのアクセス権限が付与されます。

14. フェデレーテッド・ユーザーの認証の仕組み 例) Azure AD 例えばAzure ADなど、IDCS、Okta以外のIdPと連携されたユーザーはフェデレーテッド・ユーザーとなります。フェデレー テッドユーザーは、APIキーや認証トークンなどのユーザー資格情報を使用することができない、という制限事項があります。 14 Copyright ©

    2021, Oracle and/or its affiliates OCI Azure AD ユーザー 1 ユーザー 2 グループ •グループ 1 •グループ 2 •グループ 3 フェデレーテッド・ ユーザー •ユーザー 1 •ユーザー 2 グループ •グループ B •グループ C •グループ D グループ・マッ ピング IAM フェデレーション OCIサービス ポリシー •OCIサービスへの アクセスをグループに許可 例: コンパートメント ポリシー •コンパートメントAの管理を グループ Bに許可 Allow group B to manage all-resources in compartment A ユーザー 1 (Azure AD ユーザー)

15. IDCSとOCIのIAMが提供する機能の比較(1/2) 15 Copyright © 2021, Oracle and/or its affiliates 機能

    OCI IAM IDCS 認証 OCI コンソールの認証 ◯ ◯ OCI の API / CLI / SDK の認証 ◯ ◯ Oracle の PaaS や SaaS の認証 × ◯ 外部のクラウドサービスへのシングル・サインオン × ◯ ユーザー・アプリケーションへのシングル・サインオン × ◯ 外部 認証 Microsoft Active Directory Federation Service による外部認証 ◯ ◯ SAML 2.0 IdPによる外部認証 ◯ ◯ OpenID Connect 1.0 プロバイダーによる外部認証 × ◯ ユーザー 同期 Microsoft Azure Active Directory とのユーザー同期 △(グループ数に制 限) ◯ (SCIM) Microsoft Active Directory とのユーザー同期 △(ADFSが必要、 グループ数に制限) ◯ (AD Bridge) Oktaとのユーザー同期 ◯ (SCIM) ◯ (SCIM)

16. IDCSとOCIのIAMが提供する機能の比較(2/2) 16 Copyright © 2021, Oracle and/or its affiliates 機能

    OCI IAM IDCS 高度な 管理機能 多要素認証 ◯ (TOTP) ◎ TOTP(SMS、メール、モバイル・ アプリ)、秘密の質問、 FIDO2(生体認証) IPフィルタリングによるログインの制御 ◯ ◯ リスク・ベースの高度な認証制御 × ◯ セルフ・サービスのパスワード・リセット ◯ (メールによる本人確認) ◎ (メール、SMS、秘密の質問によ る本人確認) ログイン画面のカスタマイズ × ◯ レポート ◯ (APIによる取得) ◎ パスワード・ポリシーによる強力なパスワードの作成 ◦ ◎ デプロイ クラウド・アカウント(テナンシー)での配置 全リージョンで共用 (テナンシーあたり1つ) データ・リージョン内で共用(日本 国内では東京もしくは大阪で利 用可能) インスタンスは追加可能

17. 3. IDCSを利用する3つのメリット

18. IDCSでユーザーを管理する3つのメリット ①認証の強化 • 様々な多要素認証 • アダプティブ(リスクベース)認証 • きめ細やかなパスワード・ポリシー • ネットワーク・ペリメタ

    ②IDの管理性の向上 • AD連携 • 外部IdP連携 • 監査機能 ③ユーザビリティの向上 • 他サービスへのSSO • ログイン画面のカスタマイズ 18 Copyright © 2021, Oracle and/or its affiliates

19. IDCSでユーザーを管理する3つのメリット ①認証の強化 • 様々な多要素認証 • アダプティブ(リスクベース)認証 • きめ細やかなパスワード・ポリシー • ネットワーク・ペリメタ

    ②IDの管理性の向上 • AD連携 • 外部IdP連携 • 監査機能 ③ユーザビリティの向上 • 他サービスへのSSO • ログイン画面のカスタマイズ 19 Copyright © 2021, Oracle and/or its affiliates

20. 認証の主要な3つの要素 • タイプ1 Something you know - パスワード、個人情報、秘密の質問な ど •

    タイプ2 Something you have - USBカード、メモリーカード、IDカード、 トークン、ワンタイムパスワードなど • タイプ3 Something you are/ Something you do - 指紋、輪郭、声紋、網膜、サインなど 20 Copyright © 2021, Oracle and/or its affiliates ユーザーがOCIを含む、クラウドサービスにサインインをする際には、ユーザーの認証が必要になります。 認証の要素は主に以下の3つに分類されます。 認証の強さ 弱 強

21. その他の認証の要素 Somewhere-you-are - ユーザーやユーザーが所持するデバイスの場所。IPアド レスや電話番号など Context-Aware - ユーザーが使用しているモバイル端末の機種、アクセス しているときにユーザーがいる場所、時間帯など、ユーザー の状況を認知

    21 Copyright © 2021, Oracle and/or its affiliates 192.2xx.xx.xx/32 03-xxxx-xxxx

22. IDCSと認証の主要な3つの要素 • タイプ1 Something you know - パスワード、個人情報、秘密の質問な ど •

    タイプ2 Something you have - USBカード、メモリーカード、IDカード、 トークン、ワンタイムパスワードなど • タイプ3 Something you are/ Something you do - 指紋、輪郭、声紋、網膜、サインなど 22 Copyright © 2021, Oracle and/or its affiliates 認証を強化するには、前述した5つのタイプの認証要素のうち、異なるタイプの2つ以上の認証要素を組み合わせて、 ユーザーを認証する必要があります。IDCSでは以下の認証の要素を提供します。 認証の強さ 弱 強 • パスワード • 秘密の質問 • ワンタイムパス コード • 事前生成のコード • スマートフォン用 アプリでの応答 操作 • 指紋 • 顔 (IDCSを利用する 端末が生体認証を 提供する場合)

23. IDCSとその他の認証の要素 Somewhere-you-are - ユーザーやユーザーが所持するデバイスの場所。IPアド レスや電話番号など Context-Aware - ユーザーが使用しているモバイル端末の機種、アクセス しているときにユーザーがいる場所、時間帯など、ユーザー の状況を認知

    23 Copyright © 2021, Oracle and/or its affiliates 192.2xx.xx.xx/32 03-xxxx-xxxx IPアドレスによる制御 リスクベース認証 × Device Fingerprinting × Application Gateway

24. IDCSとパスワード・ポリシー タイプ1：Something you know IDCSでは以下の項目を設定することで、ユーザーのパスワードによる認証 を強化することができます。IDCSではIAMと比較して、細かなパスワード・ ポリシーを作成することが可能です。 • アルファベット・数字・特殊文字・小文字・大文字・必須文字・文字の 個数

    • パスワードの長さ(最大・最小) ※IAMでは最小の長さのみ設定が可能 • パスワードの有効期限 • パスワードによる認証の最大試行数(アカウント・ロックしきい値) • 過去のパスワードの記憶 • ユーザーの姓・名・ユーザー名をパスワードに設定することの可否 • パスワードに含めてはいけない特定の文字 • オラクルで管理している辞書に含まれるワードの使用の禁止 • 空白文字の可否 24 Copyright © 2021, Oracle and/or its affiliates IDCSでのみ提供されている設定項目 Foundation

25. IDCSとサインオン・ポリシー 認証の強化 IDCSの提供するサインオン・ポリシーを用いて、アプリケーションへのSSOのルールを定義することができます。 SSO対象のアプリケーションごとに次のようなサイン・ポリシーを設定することが可能です。 また、1つのサインオン・ポリシーで複数のサインオン・ルールを定義できます。 ※サインオンポリシーを複数作成するためには、Standard Editionの契約が必要になります 25 Copyright ©

    2021, Oracle and/or its affiliates 条件 リスク・スコアの値 端末のIPアドレス 所属グループ IDCSの管理者権限の有無 対処 ログインの許可 ログインの拒否 再ログインの強制 二要素認証の強制 サインオン・ポリシー 他社SaaS Oracle Public Cloud Web業務 アプリ ケーション オンプレミス インター ネット 社内 ネットワーク デフォルト・サインオン・ポリシー サインオン・ポリシー 2 サインオン・ポリシー 3 サインオン・ポリシー 4 サインオン・ルールの例 社外からのアクセス ＋ 管理者権限 ログイン拒否 社内からのアクセス パスワード認証 社外からのアクセス 二要素認証 IDCSでのみ提供されている機能 Standard ※Foundationではデフォルト・ サインオン・ポリシーのみ

26. IDCSでは、次のような要素を多要素認証に取り入れることで、ユーザーの認証を強化することが可能です。 • ワンタイム・パスコード: メール、SMS、スマートフォン用アプリケーション※IAMはスマートフォン用アプリケーションへのTOTPのみ対応 • (より簡便な)スマートフォン用アプリケーションでの応答操作 • (非常用の)事前生成のコード • 秘密の質問(something

    you know) インターネット 社内 ネットワーク 多要素認証 ワンタイム・パスコード アプリケーション での通知への応答 秘密の質問 メール SMS スマートフォン用アプリ ケーション 事前生成 のコード IDとパスワード によるログイン パスワード ID ログイン IDCSと多要素認証 タイプ2: Something you have 26 Copyright © 2021, Oracle and/or its affiliates IDCSでのみ提供されている設定項目 Standard

27. IDCSとIPアドレス制御 Somewhere-you-are IDCSではネットワーク・ペリメータ機能によるIPフィルタリング機能を提供します。 サインオン・ポリシーで利用可能なIPアドレスをネットワーク・ペリメータとして定義することで、指定されていないIPアドレス からのアクセスを制御することができます。 • 複数のIPアドレスやIPアドレスの範囲指定が可能 • プロキシ・サーバのIPアドレスを指定して、社内ネットワークからのアクセスのみを許可したり、さらにインターネットからの アクセスでは二要素認証を必須にしたりすることが可能

    27 Copyright © 2021, Oracle and/or its affiliates サインオン・ポリシー インター ネット 社内 ネットワーク デフォルト・サインオン・ポリシー サインオン・ポリシー 2 サインオン・ポリシー 3 サインオン・ルールの例 ルール 1 ルール 2 プロキシ ・サーバ パスワード認証 二要素認証 ネットワーク・ペリメータ の指定なし プロキシ・サーバの IPアドレス 指定するネット ワーク・ペリメータ SSO 対象アプリ ケーション Foundation ※複数のサインオン・ポリシーの利 用にはStandardが必要

28. IDCSとリスクベース認証 認証の強化 IDCSでは、多要素認証やIPアドレス制御の他に、ユーザーの怪しい 行動に基づきリスク・スコアを加点する機能を提供しています。管理者 がユーザーのアクティビティを分析しなくても、自動的にセキュリティを強 化することができます。 • ログインの失敗 • MFAの試行

    • 未知の端末からのアクセス • 疑わしいIPからのアクセス • 通常とは異なる場所からのアクセス • 一定時間内の移動距離 について個別にスコアを設定し、スコアが閾値を越えた場合はアカウント をロックする、多要素認証を要求するなどの設定をすることが可能です。 増加したリスク・スコアは、ユーザーが異常な行動をしなければ、時間の 経過に応じて減少します。 28 Copyright © 2021, Oracle and/or its affiliates IDCSでのみ提供されている機能 Standard

29. IDCSでユーザーを管理する3つのメリット ①認証の強化 • 様々な多要素認証 • アダプティブ(リスクベース)認証 • きめ細やかなパスワード・ポリシー • ネットワーク・ペリメタ

    ②IDの管理性の向上 • AD連携 • 外部IdP連携 • 監査機能 ③ユーザビリティの向上 • 他サービスへのSSO • ログイン画面のカスタマイズ 29 Copyright © 2021, Oracle and/or its affiliates

30. ID管理で気をつけるべきポイント IDのライフサイクル管理 30 Copyright © 2021, Oracle and/or its affiliates

    ①IDの作成 • 偽りや不必要なIDが作 成されないように規則を 作成 • 社内で定められた規則に 基づいたIDの作成 ②IDのレビュー • 人事異動等に伴い、ユー ザーに必要なアクセス権 限を修正 • 以下のようなユーザーの 有無を確認 ✓ 一定期間ログインしていな いユーザー ✓ 人事異動に伴い、意図し た以上のアクセス権が付 与されているユーザー ✓ 人事異動に伴い、本来 必要となるアクセス権が付 与されていないユーザー ③IDの削除 • 退職した社員のIDを素 早く削除 ID管理を行う際、IDのライフサイクルを適切に管理する必要があります。IDが適切に管理されていないと、IDの悪用、 権限の悪用などに繋がる可能性があります。IDのライフサイクル管理は以下の3つで構成されます。

31. IDCSとアカウントのライフサイクル管理 31 Copyright © 2021, Oracle and/or its affiliates ①IDの作成

    • 偽りや不必要なIDが作 成されないように規則を 作成 • 社内で定められた規則に 基づいたIDの作成 ②IDのレビュー • 人事異動等に伴い、ユー ザーに必要なアクセス権 限を修正 • 以下のようなユーザーの 有無を確認 ✓ 一定期間ログインしていな いユーザー ✓ 人事異動に伴い、意図し た以上のアクセス権が付 与されているユーザー ✓ 人事異動に伴い、本来 必要となるアクセス権が付 与されていないユーザー ③IDの削除 • 退職した社員のIDを素 早く削除 IDCSで提供する以下のサービスを利用することで、アカウントの管理性を向上させることが可能です。 AD連携 外部IdP連携 AD連携 外部IdP連携 監査機能

32. AD連携によるIDの作成と削除 Active Directory(AD)をマスターとしてID情報を管理している 環境で、IDCSとADのID情報を連携することで、IDCSのID情 報を一元管理することが可能です。 データの同期エージェント「AD Bridge」によりADをマスターとして ユーザーとグループ情報をIDCSに同期し、IDCSで更新されたID 情報をADに反映することができます。 AD連携によりIDを同期することで、ADに追加されたID情報に

    基づいてIDCSユーザーの自動作成、ADから削除されたID情報 をIDCSから自動削除することができます。 ※シングルサインオンが必要な場合は、ADFSの 構成と、IDCSとADFSのSAMLのフェデレーションの 設定が必要になります。 32 Copyright © 2021, Oracle and/or its affiliates Identity Cloud クラウド オンプレミス インターネット からのアクセス 社内ネットワーク からのアクセス インターネット アクセス 管理 ユーザ 管理 IDCS: スレーブ ユーザー グループ etc. 社内ネットワーク AD: マスター ユーザー グループ パスワード etc. ユーザ同期 AD Bridge Active Directory Standard

33. その他IdPとの連携機能 例)Azure ADからIDCSにID情報を同期する構成 IDCSではSCIMコネクタを使用することで、AD以外にもAzure ADやその他のID管理基盤、SaaSとID情報を同期することができます。 ※SCIMコネクタが利用できない場合、ID情報の同期は別途実現する必要があります。 OCI IAMでもAzure ADやADとID情報を連携することはできますが、OCIとADのID情報を連携した“フェデレーテッド・ユーザー”は API鍵や認証トークンを使用できないなどの制限があります。しかし、Azure

    ADやADのユーザーをIDCSと連携したうえで、IAMと同期 させることで、ユーザーは同期済ユーザーとしてOCIにサインインすることが可能になります。 例)Azure ADからIDCSにID情報を同期する構成 33 Copyright © 2021, Oracle and/or its affiliates •社員 Azure AD •一部の社員 Oracle Identity Cloud Service クラウド ・サービス オンプレミス 開発 パートナー ユーザーID ユーザーID クラウド ・サービス 本社社員 グループ 会社社員 ID情報の同期 シングル・ サインオン パスワード の管理なし Web業務 アプリ ケーション Oracle IaaS, Oracle PaaS、 Oracle SaaS、 他社クラウド・サービス など IDCSのアプリケーション もしくは Azure ADのアプリ ギャラリー Standard

34. 監査機能によるIDのレビュー ◼ レポートの内容 • ログインの成功、失敗 • アプリケーションへのアクセス • アプリケーションのロールの割り当て •

    一定期間ログインしていないユーザー • ユーザーへの通知の履歴 • 操作履歴などの監査情報 ◼ レポートの種類 • Web • CSV • JSON(監査情報) 34 Copyright © 2021, Oracle and/or its affiliates IDCSでは、ユーザーの統計情報や監査情報を90日間保持して参照可能です。一定期間ログインしていないユーザー や、ユーザーの操作履歴を確認することができます。 JSON HTML CSV 管理者 ダウンロード Web REST API IDCS Foundation

35. IDCSでユーザーを管理する3つのメリット ①認証の強化 • 様々な多要素認証 • アダプティブ(リスクベース)認証 • きめ細やかなパスワード・ポリシー • ネットワーク・ペリメタ

    ②IDの管理性の向上 • AD連携 • 外部IdP連携 • 監査機能 ③ユーザビリティの向上 • 他サービスへのシングル・ サインオン • ログイン画面のカスタマイズ 35 Copyright © 2021, Oracle and/or its affiliates

36. ユーザー・アプリケーション/外部のクラウドサービスへのシングル・サインオン IDCSから他社SaaSやOracle Public Cloudに対するシングル・サインオンを行うことが可能です。 SAMLやOAuth、OpenID Connectのようなフェデレーションの標準技術を利用して、他社SaaSやOracle Public Cloudにシングル・サインオンします。 他社SaaSやOracle Public

    Cloudなど数百種類のアプリケーションをIDCSはカタログで提供しています。カタログに用 意されているアプリケーションは、簡単なウィザードによって登録することが可能で、アプリケーションごとにユーザーのアクセス の可否を設定することができます。 36 Copyright © 2021, Oracle and/or its affiliates IDCS Web業務 アプリケーション Webブラウザ モバイルクライアント オンプレミス 他社SaaS Oracle Public Cloud IDCSへの ログイン IDCSから認証 情報を引き渡し Standard

37. ログイン画面のカスタマイズ IDCSでは、用途に応じたログイン画面の最適なカスタマイズ方法を提供します。 標準のログイン画面をカスタマイズするための、次の3つの方式を提供しています。 ① HTMLの記述によるロゴや文言の簡易な変更 ② CMSを提供するPaaS Oracle Content and

    Experience (OCE) によるログイン画面の差し替え ③ JavaScriptによるスクラッチのログイン画面の構築 37 Copyright © 2021, Oracle and/or its affiliates ロゴと簡単な文言の変更 (Foundationでも 利用可) HTMLの記述による ロゴや文言の変更 OCEによるログイン画 面の差し替え JavaScriptよるによるスクラッ チのログイン画面の構築 Standard

38. 4. OCI IAMとIDCSの連携

39. 前提条件 ◼ コンパートメントの構成 • システムごとのにコンパートメント - SystemA - SystemB -

    SystemC ◼ IDCSとIAMでフェデレートする ユーザーの役割 • SystemAの管理者 - SystemAのコンパートメントの 全てのリソースにアクセスすること が可能 ◼ ユーザーに付与するポリシー • Allow group SystemA_admins to manage all-resources in compartment SystemA 39 Copyright © 2021, Oracle and/or its affiliates 本章では以下のOCIの利用体系を想定し、同期済ユーザーとしてシステムA管理者のユーザーを作成し、OCI上でリ ソースへのアクセス権を付与する方法をご紹介します。 ポリシー テナンシー コンパートメント SystemA コンパートメント SystemB コンパートメント SystemC グループ SystemA_admins

40. 手順概要※1 1. IDCSでグループを作成 2. OCIでIDCSユーザーを作成(IDCSユーザー作成時にIDCSグループを選択)※2 3. OCIでIAMグループを作成 4. OCIコンソールからIAMグループとIDCSグループのマッピングを作成 5.

    OCIでIDCSグループとマッピングしたIAMグループにIAMポリシーを付与 40 Copyright © 2021, Oracle and/or its affiliates ※ 1 テナンシ管理者もしくは、相当の権限を持つユーザーが操作を行う必要があります。 ※ 2 IDCSユーザーはIDCSの管理コンソールから作成することもできますが、本手順では OCIコンソールから作成する手順をご紹介します。

41. 1. IDCSでグループを作成 IDCSコンソールに移動 OCIコンソール左上の🈪→ガバナンスと管理 → アイデンティティ → フェデレーション →OracleIdentityCloudService →Oracle

    Identity Cloud Service Console 41 Copyright © 2021, Oracle and/or its affiliates

42. 1. IDCSでグループを作成 グループを作成 IDCSダッシュボード→グループ→追加 42 Copyright © 2021, Oracle and/or

    its affiliates 例) SystemA_admins

43. 2. IDCSユーザーを作成(IDCSユーザー作成時にIDCSグループを選択) OCIコンソール左上の🈪→ガバナンスと管理→アイデンティティ→ユーザー→ユーザーの作成 43 Copyright © 2021, Oracle and/or its

    affiliates グループ・オプション： 手順1で作成したIDCSグループを選択 ※OCIコンソールではIDCSのユーザーの限定的な管理が可能です。IDCSのユーザーの詳細はIDCSの管理画面で 管理できます。

44. 3. OCIでIAMグループを作成 OCIコンソール左上の🈪→ガバナンスと管理→グループ→グループの作成 44 Copyright © 2021, Oracle and/or its

    affiliates 名前： 例) SystemA_admins

45. 4. OCIコンソールからIAMグループとIDCSグループのマッピングを作成 OracleIdentityCloudService詳細→グループ・マッピング→マッピングの作成 45 Copyright © 2021, Oracle and/or its

    affiliates アイデンティティ・プロバイダ・グループ： 手順1で作成したIDCSグループを選択 OCIグループ： 手順3で作成したIAMグループを選択

46. 5. OCIでIDCSグループとマッピングしたIAMグループにIAMポリシーを付与 OCIコンソール左上の🈪→ガバナンスと管理→アイデンティティ→ポリシー→ポリシーの作成 46 Copyright © 2021, Oracle and/or its

    affiliates ポリシー文： Allow group SystemA_admins to manage all-resources in compartment SystemA

47. 補足

48. 補足一覧 補足1 外部認証システム連携 補足2 グループマッピングについて Copyright © 2021, Oracle and/or

    its affiliates 48

49. 補足1. 外部認証システム連携 ADFSなど既存の認証基盤をマスターとする認証連携 Oracle Access ManagementやAzure AD、ADFS(Active Directory Federation Service)など、外部IdPを

    マスターとする認証連携が可能 • IDCSがSPとなる、既存の認証基盤をマスターにした2段階の認証連携が可能 • IDCSと認証連携が構成されたユーザーは同期済ユーザーとしてOCIのリソースにアクセスすることが可能 49 Copyright © 2021, Oracle and/or its affiliates Azure AD、 Active Directory Federation Service、 Google、 Oracle Access Managementなど SAMLやOpenID Connect フェデレーションによる認証連携 IdP SP SP IdP SP SP フェデレーションによる認証連携 ① ② ③ IDCS Oracle Public Cloud Web業務 アプリ ケーション オンプレミス 他社SaaS Standard ※Foundationでは1つのSAML IdPの登録のみ

50. 補足2. グループマッピングについて IDCSユーザーは、IDCS上でグループに属します。IAMも同様にIAMグループがあり、OCI上ではIAMグループに対してリ ソースへのアクセス権限を付与します。IDCSのユーザーが属するIDCSグループと、OCI上でリソースへのアクセス権限が 付与されているIAMグループをマッピングすることで、IDCSユーザーが属するグループとマッピングされたIAMグループに付与 されているIAMポリシーに基づいて、OCIのリソースにアクセスすることができます。 例：「A-admins」というIDCSグループを「SystemA-admins」というIAMグループにマッピングし、OCIのコン パートメントAの全てのリソースのアクセス権限を付与 50 Copyright

    © 2021, Oracle and/or its affiliates IDCS ユーザーA： コンパートメントAの管理者 (IDCSユーザー) A-admins (IDCSグループ) OCI SystemA-admins SystemB-admins SystemC-admins Idcs/A Idcs/Sato IAMグループ 同期済ユーザー グループ マッピング Allow group SystemA-admins to manage all-resource in compartment A IAMポリシー ユーザー同期 (SCIM)
51. None