Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OCI IAM Identity Domains機能概要 / OCI Identity Dom...
Search
oracle4engineer
PRO
June 30, 2022
Technology
0
8.2k
OCI IAM Identity Domains機能概要 / OCI Identity Domains Technical Basic
OCI IAM Identity Domainsの機能紹介になります。
oracle4engineer
PRO
June 30, 2022
Tweet
Share
More Decks by oracle4engineer
See All by oracle4engineer
Oracle Cloud Infrastructureデータベース・クラウド:各バージョンのサポート期間
oracle4engineer
PRO
28
12k
【Oracle Cloud ウェビナー】生成AI対応のデータベースが変える、業務アプリケーション構築のこれから
oracle4engineer
PRO
2
17
OCI Vault 概要
oracle4engineer
PRO
0
9.7k
Data Safeの機能詳細
oracle4engineer
PRO
0
4.8k
OCI Security サービス 概要
oracle4engineer
PRO
0
6.5k
OCI 運用監視サービス 概要
oracle4engineer
PRO
0
4.8k
OCI Network Firewall 概要
oracle4engineer
PRO
0
4.1k
Exadata Database Service on Dedicated Infrastructure(ExaDB-D) UI スクリーン・キャプチャ集
oracle4engineer
PRO
2
3.2k
ExaDB-D dbaascli で出来ること
oracle4engineer
PRO
0
3.8k
Other Decks in Technology
See All in Technology
The Rise of LLMOps
asei
7
1.5k
Engineer Career Talk
lycorp_recruit_jp
0
170
Making your applications cross-environment - OSCG 2024 NA
salaboy
0
190
Why does continuous profiling matter to developers? #appdevelopercon
salaboy
0
190
Lexical Analysis
shigashiyama
1
150
スクラムチームを立ち上げる〜チーム開発で得られたもの・得られなかったもの〜
ohnoeight
2
350
誰も全体を知らない ~ ロールの垣根を超えて引き上げる開発生産性 / Boosting Development Productivity Across Roles
kakehashi
1
230
これまでの計測・開発・デプロイ方法全部見せます! / Findy ISUCON 2024-11-14
tohutohu
3
370
AIチャットボット開発への生成AI活用
ryomrt
0
170
IBC 2024 動画技術関連レポート / IBC 2024 Report
cyberagentdevelopers
PRO
0
110
ドメインの本質を掴む / Get the essence of the domain
sinsoku
2
150
Shopifyアプリ開発における Shopifyの機能活用
sonatard
4
250
Featured
See All Featured
Practical Orchestrator
shlominoach
186
10k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
665
120k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
109
49k
Rails Girls Zürich Keynote
gr2m
94
13k
Building an army of robots
kneath
302
43k
Designing for Performance
lara
604
68k
4 Signs Your Business is Dying
shpigford
180
21k
How to Ace a Technical Interview
jacobian
276
23k
Making Projects Easy
brettharned
115
5.9k
Fontdeck: Realign not Redesign
paulrobertlloyd
82
5.2k
Automating Front-end Workflow
addyosmani
1366
200k
No one is an island. Learnings from fostering a developers community.
thoeni
19
3k
Transcript
OCI IAM Identity Domains 2022年12月9日 日本オラクル株式会社 機能概要
Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、 情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以 下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買 決定を行う際の判断材料になさらないで下さい。 オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊 社の裁量により決定され、変更される可能性があります。 Copyright
© 2022, Oracle and/or its affiliates 2
OCI IAM Identity Domainsとは? Copyright © 2022, Oracle and/or its
affiliates 3
これまでのオラクルクラウドのIdentity and Access Management (IAM)サービス Copyright © 2022, Oracle and/or
its affiliates 4 3rd-Party SaaS On-Prem Apps OCI PaaS Oracle SaaS • BtoE/BtoC向け統合認証基盤 • Oracleアプリ、他社クラウドアプリ、 オンプレミスアプリに対する認証統合 • 多要素認証やサインオンポリシーに よる認証強化 • AzureADやTwitter等の外部IdP との連携 • ブリッジやSCIMによるユーザー同期 • Linux PAMやRadius Proxy OCI IAMとIdentity Cloud Service(IDCS)の2種類のIAMサービスが存在 • OCI NativeのIAMサービス • OCIリソースへのアクセス制御 • アクセス制御のためのグループや ポリシー定義 • AzureAD等との外部IdP連携 • 多要素認証 フェデレーション OCI IAM IDCS
新しいIAMサービス:OCI IAM Identity Domains Copyright © 2022, Oracle and/or its
affiliates 5 OCI IAMとIdentity Cloud Service(IDCS)を統合し 「OCI IAM Identity Domains」としてサービス提供 OCI Oracle SaaS 3rd-Party SaaS On-Prem Apps PaaS これまでのOCI IAMの価値を継続 • OCI NativeのIAMサービス • OCIリソースへのアクセス制御 • アクセス制御のためのグループや ポリシー定義 等々 これまでのIDCSの価値を継続 • BtoE/BtoC向け統合認証基盤 • 他社クラウドやオンプレミスアプリとの認証統合 • 認証強化(MFAやアダプティブセキュリティ等) • ブリッジやSCIMによるユーザー同期 等々 OCI IAM Identity Domains
Oracle IaaS/Paas/Saasの アクセス・コントール・プレーン OCI IAM Identity Domains 特徴と主要機能 Copyright ©
2022, Oracle and/or its affiliates 6 OCI IAM Identity Domains 認証連携・SSO (Outbound) • フェデレーション認証連携 • SAML, OIDC, OAuth • 事前連携定義の利用 • App Gatewayによる連携 • RADIUSプロキシ • Linux PAM **** Oracle Cloud IaaS/PaaS アクセスコントロール • シンプルなポリシー構文 • グループベースアクセス制御 • 動的グループの管理 • OCIコンパートメントの管理 • リソースタグの管理 認証管理に用いる IDライフサイクル管理 • Console | CLI | APIs • ユーザー/グループ管理 • ユーザーセルフサービス • SCIMによる ユーザー・グループ同期 • ADとのユーザー・グループ同期 • カスタムスキーマ(属性) ! ? 認証連携・認証強化 (Inbound) • ID/パスワード認証 • 外部IdP認証連携 • ソーシャル(SNS)認証連携 • 多要素認証 • アダプティブセキュリティ • 認証委任 OATH OAuth FIDO2 REST APIs SAML OIDC SCIM ハイブリッド環境における エンタープライズ向け統合認証基盤 コンシューマ向けアプリケーションに 使いやすいIAMエンジン 旧OCI IAM機能 + 旧IDCS機能
OCI IAM Identity Domainsの役割 Copyright © 2022, Oracle and/or its
affiliates 7 役割① OCIリソースにアクセスする管理者・開発者向け ID管理・認証管理 役割② Webアプリケーション利用者向け ID管理・認証管理(IDaaSとして利用) OCI PaaS Compute/Storage/Database等 運用管理サービス等 OCI IAM Identity Domains OCI管理者・開発者の ID・認証管理 管理者/開発者 OCI IAM Identity Domains 各アプリケーション利用者の ID・認証管理 アプリ利用者 3rd-Party SaaS On-Prem/On-IaaS Apps Oracle PaaS、SaaS PaaS(データ分析、コンテンツ管理等)、SaaSやWebアプリケーション群
Oracle Cloud Infrastructure (OCI) Tenancy OCI IAM Identity Domainsの構成 Copyright
© 2022, Oracle and/or its affiliates 8 • テナンシー作成時に必ず1つのDefault Identity Domainが作成される • テナンシーには複数のIdentity Domainを持つことが可能 (1つのIDCSインスタンス=1つのIdentity Domain のイメージ) • Identity Domainには5つのタイプ(課金タイプ)があり、用途に応じてユーザー自身がタイプを決定(変更)する Free Oracle Apps Oracle Apps Premium Premium External User • それぞれのIdentity Domainにてユーザーやグループ、設定を独立して保持 Default アイデンティティ・ドメイン (for OCI Resourceアクセス制御) Authentication and IAM policies for VCNs, Compute, Containers, Storage, Analytics, etc. 追加 アイデンティティ・ドメイン (for 認証基盤 etc) Access Management for Oracle SaaS/ 3rd Party Cloud Service/ Custom Web Applictions, etc Free Oracle Apps Oracle Apps Premium Premium External User Identity Domainタイプ ID 設定 グループ ID 設定 グループ OCI IAM Identity Domains
Identity Domainタイプ概要 Copyright © 2021, Oracle and/or its affiliates 9
• OCI IAM - Identity Domainに5つのタイプ(課金タイプ)を用意 • 各Identity Domainには異なる機能セットとオブジェクト制限、サービス制限(タイプ別の個数制限)あり タイプ Free Oracle Apps Oracle Apps Premium Premium External User 概要 (Usecase) • テナンシ作成時にデフォルト・ドメイ ンとして作成されるタイプ • OCI IaaSおよびPaaSのリソース へのアクセス管理 • Oracle SaaS、PaaS、 GBUアプリケーションへの アクセス管理 • Oracle SaaS、PaaS、 GBUアプリケーションへの アクセス管理 • 加えてオンプレミスやOCI IaaS上 のOracleアプリケーション(Oracle EBS、PeopleSoft等)のアクセス管理 • 完全なIAM機能を提供し、 すべてのOracleアプリケーションお よびOracle以外のアプリケーション に対するアクセス管理 • 完全なIAM機能を提供しコン シューマ向けのアプリケーションに対 するアクセス管理 機能制限 あり あり あり なし あり オブジェクト 制限 あり あり あり あり あり 利用条件 • 機能/オブジェクト制限範囲内 • 機能/オブジェクト制限範囲内 • Oracle SaaSのアクセス管理 • 機能/オブジェクト制限範囲内 • Oracle SaaSまたはOracleアプリ ケーションのアクセス管理 • 機能/オブジェクト制限範囲内 • 機能/オブジェクト制限範囲内 • コンシューマ向けの認証 価格 無償 無償 ¥35(User Per Month) Oracle Cloud Infrastructure Identity and Access Management – Oracle Apps Premium ¥448(User Per Month) Oracle Cloud Infrastructure Identity and Access Management – Premium ¥2.24(User Per Month) Oracle Cloud Infrastructure Identity and Access Management – External User 注意事項 ーー • 未リリース(2022年11月時点) • Oracle SaaS契約テナント専用 のタイプ • Oracle IaaS/PaaS契約(UC 契約)テナントでは選択不可 • OCI IAM Identity Domainが 必須となる「お客様の開発が入ら ないPaaSサービス(OCMやOAC 等)」のみでも利用可 ーー • デフォルトドメインを本タイプにする ことは不可 ※2022年12月時点での価格
Identity Domainタイプ毎の機能制限 (一部) Copyright © 2022, Oracle and/or its affiliates
10 タイプ 機能 Free Oracle Apps Oracle Apps Premium Premium External User Oracle CloudサービスのSSO • • • • • 現在のOCI IAMの機能 • • • • ーー OCIリソースへのアクセス管理 • • • • ーー 動的グループ(OCI用) • • • • ーー OCI固有の資格証明タイプ • • • • ーー サードパーティ・アプリへのアウトバウンドSSO 外部アプリ:2つまで 外部アプリ:2つまで 外部アプリ:6つまで • • サードパーティ・アプリのOAuth/トークン管理 • • 汎用SCIMアプリ・テンプレート • • 外部IdPsおよびソーシャル・ログイン 外部IdP:3つまで 外部IdP:3つまで • • • 柔軟なIdPルーティング・ポリシー • • • • • ADからIdentity Domainへの同期 (単方向Active Directory同期) • • • • ーー MFAとアダプティブ・セキュリティ SMSは利用不可 • • • • サインオン・ポリシー 3つまで 3つまで • • • App Gatewayの利用 ーー ーー Oracle Applications のみに制限 • • 詳細:https://docs.oracle.com/ja-jp/iaas/Content/Identity/sku/overview.htm ※外部またはサードパーティ・アプリケーションは、Oracle以外のプロバイダが提供する商用アプリケーション、 またはカスタム開発のアプリケーション(Visual Builder Cloud Serviceを使用してOCIで構築されたアプリケーションなど)として定義されます。
OCI IAM Identity Domains 機能紹介 Copyright © 2022, Oracle and/or
its affiliates 11
OCI IAM Identity Domains Copyright © 2022, Oracle and/or its
affiliates 12 •認証連携 •認可制御 •多要素認証 •ユーザー管理 等 オンプレミス OCI IAM Identity Domains 認証連携(シングルサイオン) 認証強化 管理 • モバイルやEmail、SMSを利用したワンタイムパスコード • 利用者情報(IPアドレス,所属グループ)に応じた認証制御 • ユーザー行動分析によるリスク評価 • 標準技術/標準規格による認証連携 (SAML, OAuth2.0, OpenID Connect, SCIM) • Gatewayモジュールによるオンプレミスアプリとの認証連携 • Azure ADなどの外部IdPとの認証連携 • 様々な方式によるユーザーやグループの管理 • Active Directoryを利用したユーザー管理 • アクセス証跡の管理と確認 他社クラウド Webシステム クラウド イントラ インターネット 認 証 連 携 /SSO 認 証 連 携 /SSO 利用者 2要素認証 リスクベース認証 認 証 連 携 /SSO WebアプリケーションやECサイトの認証統合・認証強化を実現するクラウド型認証基盤(IDaaS) Oracle SaaS/PaaS 開発 • REST APIによる操作 • ログイン画面等の開発
フェデレーション技術による認証連携 Oracle Public Cloud、他社SaaS、オンプレミスシステムに対するシングル・サインオン Copyright © 2022, Oracle and/or its
affiliates 13 SAMLやOAuth、OpenID Connectのようなフェデレーションの標準技術を利用して、 Oracle Public Cloudや 他社SaaSやオンプレミスアプリケーションにシングル・サインオン 事前設定定義カタログに用意されているアプリケーションは、簡単なウィザードによって登録が可能 他社SaaSやOracle Public Cloudなど数百種類のアプリケーションをカタログで提供 アプリケーションごとに、ユーザーのアクセスの可否を設定可能 認証連携 ECサイト Web業務 アプリケーション オンプレミス・on IaaS 他社SaaS Oracle Public Cloud フェデレーション技術による 認証情報連携 シ ン グ ル サ イ ン オ ン SAML OAuth OpenID Connect OCI IAM Identity Domain
非フェデレーション技術による認証連携 – App Gateway Oracle Public Cloud、他社SaaS、オンプレミスシステムに対するシングル・サインオン Copyright © 2022,
Oracle and/or its affiliates 14 認証連携 HTTPヘッダーによる認証連携でOCI IAMからシングル・サインオンするための リバース・プロキシ 「App Gateway」 をVM(ソフトウェアアプライアンス)として提供 SAMLやOpenID Connectに非対応なオンプレミスやIaaS上のアプリケーションとの認証連携が可能 HTTPヘッダ経由で認証連携情報(ログインIDやその他属性)を渡すことが可能 Identity Domain及び該当アプリケーションに接続可能な環境に配置が必要 ※注意)アプリケーション側にて以下の仕組みが必要 ・HTTPヘッダより認証連携情報を受け取る ・認証連携情報をもとに、SSOサーバ側で認証済みとしてアプリケーションへログインさせる(自身のログイン画面は出さない) OCI IAM Identity Domain オンプレミスアプリ (フェデレーション未対応) オンプレミスアプリ (フェデレーション未対応) App Gateway オンプレミスアプリ (フェデレーション未対応) App Gateway フ ェ デ レ ー シ ョ ン 技 術 に よ る 連 携 L B HTTP ヘ ッ ダ に よ る 認 証 連 携 ※リバースプロキシとして動作 ※VM動作基盤に配置
対象アプリケーションへの入り口認可制御 アプリケーション毎のユーザー/グループを利用した認可制御(アクセス可/否) Copyright © 2022, Oracle and/or its affiliates 15
認証連携 認証連携している対象アプリケーション毎に認可設定(アクセス可/否)が可能 ユーザーまたはグループを利用した認可 認可制御なし(誰でもアクセス可)も設定可能 アプリケーション1 クラウドサービス2 クラウドサービス1 アプリケーション毎の認可設定 グループA グループB に認可 グループC ユーザーα ユーザーβ に認可 認可制御なし (全員アクセス可) グループA、グループB グループC、ユーザーα、ユーザーβ グループC、ユーザーα、ユーザーβ グループA、グループB グループA、グループB グループC、ユーザーα、ユーザーβ 全ユーザー 全ユーザー
対象アプリケーションへのID同期 SCIMを利用した対象アプリケーションとのID同期 Copyright © 2022, Oracle and/or its affiliates 16
認証連携 SCIM対応したID同期用コネクタ「Generic SCIMコネクタ」により、認証連携の対象アプリケーションへのID同期を実現 ※対象アプリケーションがSCIM対応している必要あり 同期対象とするユーザーまたはグループを指定 同期対象としてグループを指定した場合には、グループに所属するメンバーが自動的に同期 OCI IAM Identity Domain Generic SCIMコネクタ アプリケーション1 クラウドサービス2 クラウドサービス1 SCIM インターフェース SCIM インターフェース SCIM インターフェース ID情報連携 (ユーザーの同期) 機能 内容 ID情報の伝播の方向 Identity Domainから対象システムへ 同期内容 ユーザーの作成・更新・削除 ユーザーのパスワードの同期 ✖ 同期対象となるユーザー 指定したユーザー または、指定したグループのメンバー グループの作成・更新・削除の同期 ✖(グループはマッピングのみ) ID情報を同期するタイミング 同期対象として指定したとき または、対象グループに所属したとき ※設定によりIDの逆同期も可能
OCI IAM Identity Domain 外部認証基盤(外部IdP)との認証連携 Azure ADなど既存の認証基盤をマスターとする認証連携 Copyright © 2022,
Oracle and/or its affiliates 17 認証連携 Azure AD、ADFS(Active Directory Federation Service)など、SAMLのIdPをマスターとする認証連携が可能 SP クラウドサービス OCIコンソール SP SP アプリケーション 各アプリケーション(フェデレーション対応) IdP(アイデンティティ・プロバイダ):クラウドサービスとの認証連携において認証行為を行う側 SP(サービス・プロバイダ):クラウドサービスとの認証連携においてIdPへ認証を委託する側 IdP Azure AD その他IDaaS 社内 ADFS (オンプレミス) SP IdP IdP 既存認証基盤(マスタ) シ ン グ ル サ イ ン オ ン IdP SAML 外 部 IdP 連 携 IdPポリシー 複数のIdPと連携が可能 IdP利用ルールを定義可能
IdPポリシー IdP(アイデンティティ・プロバイダ)の利用ルールを定義するIdPポリシー機能 Copyright © 2022, Oracle and/or its affiliates 18
認証連携 IdPポリシー 利用者 IdPポリシー1 IdPポリシー2 Web業務アプリケーション “従業員”グループ所属 IdPルールの例 IdPポリシーにより、認証時に利用するIdPとしてローカル認証(アイデンティティ・ドメインの認証)を使うか、 または外部IdP(AzureAD等の他社認証基盤)を使うかを制御することが可能 利用IdPを利用者自身が都度選択することが可能 所属グループ等の利用者属性を利用し強制的に1つのIdPを利用させることも可能 アプリケーション全体(OCIコンソール含む)または個別アプリケーションのみにIdPポリシーを適用 条件 IdP 他社クラウドサービス Oracle PaaS/SaaS Azure AD 社外NWからのアクセス ローカル 無条件(全員・強制的) 既存社内認証基盤 Azure AD OCI IAM Identity Domain 社内認証基盤 IdPによる認証処理 ※IdPポリシーにて外部IdPを利用するルールを定義する場合には、事前に外部IdPの登録設定が必要になります。
OCI IAM Identity Domain 外部認証基盤(外部IdP)とのID情報の連携 – SCIM SCIMを利用したAzure ADなど既存の認証基盤をマスターとするID情報の連携 Copyright
© 2022, Oracle and/or its affiliates 19 SCIMを利用しAzure ADなど、SAMLのIdPをマスターとID情報(ユーザー、グループ)を連携することが可能 ※外部IdPがSCIM対応しており、かつIDプロビジョニング機能を有している必要あり Azure AD その他IDaaS SCIM 既存認証基盤(マスタ) SCIM 認証連携 SCIM ID情報連携 (ユーザー・グループの同期) ID情報連携 (ユーザー・グループの同期)
OCI IAM Identity Domain 外部認証基盤(外部IdP)とのID情報の連携 – SAML JITプロビジョニング JITプロビジョニングを利用した既存の認証基盤をマスターとするID情報の連携 Copyright
© 2022, Oracle and/or its affiliates 20 SAML連携している外部IdPから「JITプロビジョニング(ジャストインタイム・プロビジョニング)」を利用しID情報を連携 ・外部IdPでの初回ログイン:SAMLアサーションの属性を用いてIdentity Domainにユーザーを新規作成 ・外部IdPでの2回目以降ログイン: SAMLアサーションの属性を用いて外部IdPで属性更新をIdentity Domainの該当ユーザーへ反映 Identity Domainに存在するグループへのアサインも可能 ・Identity Domainに存在する特定グループへ所属させる(外部IdP側での所属グループに関係なく) ・外部IdP側で所属しているグループと同じ名前のIdentity Domainグループへ所属させる ※JITプロビジョニングでは、ユーザー削除やグループ自体の同期はできません。 認証連携 外部IdP SAML認証連携(外部IDP連携) SAMLアサーション <属性情報> 【JITプロビジョニング】 ユーザー作成/更新 グループアサイン SAMLアサーションより属性取得 外部IdPを利用した初回ログイン/2回目以降ログイン SP IdP
ソーシャル・ログイン SNSなどの外部サービスをマスターとする認証連携 Copyright © 2022, Oracle and/or its affiliates 21
認証連携 FacebookやTwitterなどのSNSを認証マスターとして、それらのアカウントを利用してOCI IAMにログイン SNSとOCI IAMはOpenID Connect(一部OAuth)を利用してフェデレーション SNS(一部)との連携設定は事前定義済み 事前定義がないSNSも定義をインポートすることで連携可能 SNSのアカウントとの紐付け方法 既存OCI IAMアカウントとソーシャル・アカウントとの紐づけ(1:Nの紐づけが可能) OCI IAMへのソーシャル・アカウントの新規自己登録 SNS OCI IAM Identity Domain SP アプリケーション アプリケーション SP SP アプリケーション 各アプリケーション(フェデレーション対応) IdP シ ン グ ル サ イ ン オ ン ログイン連携 OpenID Connect (一部OAuth) 認証マスタ Aさん ログインID:Facebook ID パスワード:なし Bさん ログインID:ローカルのID パスワード:あり Facebook ID Twitter ID SNSアカウント
パスワードポリシー 本人証明を強化にする柔軟なパスワードポリシー定義 Copyright © 2022, Oracle and/or its affiliates 22
認証強化 最大・小文字列、再利用禁止、有効期限等の詳細なパスワードポリシーを定義可能 ポリシーとして事前定義済みポリシー(簡易、標準)、カスタムポリシーを用意 グループ毎に適用するパスワードポリシーを変えることが可能 例)社外から接続することが多いグループ(営業部グループ等)は強いポリシーを適用 パスワード ポリシーA パスワード ポリシーB グループ1 グループ2 グループ3 ※明示的にパスワードポリシーを適用していないグループやグループに所属していないユーザーは デフォルトのパスワードポリシーが適用されます。 パスワードポリシー 定義項目 パスワード長(最小) パスワード長(最大) 英字(最小) 数字(最小) 特殊文字(最小) 小文字(最小) 小文字(最大) 繰返し(最大) 英数字で始まる 利用禁止項目(ユーザーの姓、名、ユーザー名) 利用禁止文字列 有効期限切れまで(日) アカウント・ロックしきい値 アカウントの自動ロック解除の有効化 アカウントの自動ロック解除まで(分) 記憶されている前のパスワード OCI IAM Identity Domain
二要素認証 サインオンポリシーで指定可能な複数の認証手段を提供 Copyright © 2022, Oracle and/or its affiliates 23
認証強化 管理者は任意の二要素認証の手段を選択して有効化することが可能 モバイルアプリケーション:Oracle Mobile AuthenticatorはApp StoreやGoogle Playから入手が可能 二要素認証をパスすると、指定した日数の間同一のWebブラウザからのアクセスでは二要素認証を免除するオプションを提供 メール SMS モバイル アプリケーション 【二要素認証の要素】 モバイル アプリケーション FIDO2 ワンタイム・パスコード 通知 秘密の質問 生体認証 ※Oracle Mobile Authenticatorのみ利用可 ※将来公開予定 ※RFC 6238に準拠している Authenticatorを利用可能 ※SMSの数量により 別途追加費用が発生
リスク・ベース認証 ユーザーの行動分析に応じた認証強化 Copyright © 2022, Oracle and/or its affiliates 24
認証強化 ユーザーの疑わしい行動履歴(下記項目)から、リスク・スコアを算出 ログインの失敗 MFAの試行 未知の端末からのアクセス リスク・スコアに応じて二要素認証の要求やログインの禁止などの措置を指定可能 増加したリスク・スコアは、ユーザーが異常な行動をしなければ、時間の経過に応じて減少 評価項目毎のリスク値の定義 疑わしいIPからのアクセス 通常とは異なる場所からのアクセス 一定時間内の移動距離 ユーザー毎のリスク値の推移確認
認証ポリシー アプリケーションへの認証強化・アクセス制御のルールを定義するサインオン・ポリシー機能 Copyright © 2022, Oracle and/or its affiliates 25
認証強化 サインオン・ポリシー インターネット 社内 ネットワーク サインオン・ポリシー 1 サインオン・ポリシー 2 サインオン・ポリシー 3 サインオン・ポリシー 4 社外からのアクセス + 管理者権限 ログイン拒否 社外からのアクセス 二要素認証 Web業務アプリケーション 社内からのアクセス パスワード認証 サインオン・ルールの例 サインオン・ポリシーにより、ログインが完了したユーザーへの認可処理として許可/拒否/再認証の要求/多要素認証の要求 のいずれかの対応を設定することが可能 サインオン・ポリシーはアプリケーション個別または全体(すべてのアプリケーション)に適用することが可能 サインオン・ポリシーの要素であるサインオン・ルールにより、ルール適用の条件や条件が当てはまる場合のアクションを指定 条件 • リスクスコアの値 • 端末のIPアドレス(ネットワーク・ペリメータ) • 所属グループ • 管理者権限の有無 アクション • アクセス許可 • アクセス拒否 • 再認証の強制 • 二要素認証の強制 条件 アクション 他社クラウドサービス Oracle PaaS/SaaS
ID管理 ユーザーやグループを一元的に管理 Copyright © 2022, Oracle and/or its affiliates 26
管理 様々な手段によるユーザー・グループ管理 標準のWeb管理画面 CSVファイルアップロード REST API • SCIM • カスタム・ユーザー管理アプリの開発 オンプレミス上のActive Directory(AD) からの ユーザー情報を伝播(ADとのユーザー同期) Oracle ERP Cloudや他クラウド(一部)との同期 AD Bridge REST API カスタムアプリ Active Directory CSVファイル Web管理画面 OCI IAM Identity Domain ID管理
Active DirectoryとのID・グループ情報同期 Active DirectoryをIDソースにしたユーザー管理の効率化 Copyright © 2022, Oracle and/or its
affiliates 27 管理 ADへアクセス可能なWindowsサーバ/端末にID情報同期エージェント「AD Bridge」を配置することで ADからID情報・グループ情報を同期 AD側でのユーザー・グループの作成/更新/削除をスケジューリング同期 同期対象ユーザー/グループを指定可能(特定OU配下、LDAPフィルタ) AD BridgeからOCI IAMへの片方向の通信のみ発生 ※エージェントとOCI IAM間でHTTPS通信ができる必要があります。 ※パスワードは同期の対象外になります。 AD Bridge ①設定情報の取得 社内ネットワーク ②ID情報・グループ情報の取得 ③ID情報・グループ情報の伝播 プ ロ キ シ ・ サ ー バ LDAP HTTPS(REST) Active Directory 前回同期から変更のある ID情報のみを伝播 該当ADのドメイン内の Windowsサーバ/端末に配置 同期対象のユーザーやグループ、属性の マッピング、同期頻度などの設定 OCI IAM Identity Domain
Active Directoryへの委任認証 Active DirectoryのID/パスワードを用いた認証 Copyright © 2022, Oracle and/or its
affiliates 28 管理 ADへアクセス可能なWindowsサーバ/端末にID情報同期エージェント「AD Bridge」を配置することで Identity DomainからADへの委任認証(認証の委託)が可能 ユーザーはADのID/パスワードを指定しIdentity Domainへログイン可能 (ADとのID情報同期を実施している前提) AD BridgeからOCI IAMへの片方向の通信のみ発生 ※エージェントとOCI IAM間でHTTPS通信ができる必要があります。 AD Bridge ①認証依頼の確認/検知 社内ネットワーク ②認証依頼 ③認証結果送付 プ ロ キ シ ・ サ ー バ LDAP HTTPS(REST) Active Directory 該当ADのドメイン内の Windowsサーバ/端末に配置 Identity Domain ログイン画面 利用者 ADのID/パスワードを指定 OCI IAM Identity Domain
OCI IAM Identity Domain カスタム属性の追加・管理 管理するユーザー属性の追加 Copyright © 2022, Oracle
and/or its affiliates 29 デフォルトで用意されているユーザー属性に加えてカスタム属性を適宜追加可能 GUIにより属性定義が可能 追加したカスタム属性への値登録・変更が可能 ユーザー名(統合ID) 姓 名 Emailアドレス 住所 ・・・・・・ 【ユーザー属性】 権限用属性AA 職位用属性BB ・・・・・・ ・・・・・・ デフォルト属性 カスタム属性 【カスタム属性の定義】 管理
ユーザー管理権限の委任 グループ会社や部門に所属するユーザー管理を委任 Copyright © 2022, Oracle and/or its affiliates 30
管理 あるグループ(グループ会社グループ、部門用グループなど)に属するユーザーに対象を限定した管理者を設定して、 ユーザー管理を委任することが可能 ※ユーザーの新規登録や管理対象のグループへのユーザーの追加には別途権限が必要 委任管理者となるユーザーを選択して、 管理対象となるグループを指定 OCI IAM ユーザー管理者 自社ユーザー パートナーA社管理者 パートナーB社管理者 パートナーA社グループ パートナーB社グループ
セルフ・サービスのパスワード・リセット セルフ・サービスによりヘルプ・デスクの負担を軽減 Copyright © 2022, Oracle and/or its affiliates 31
管理 ユーザーはWeb画面経由で自分自身でパスワードのリセットが可能 ユーザーはログイン画面からパスワードのリセットを申請 登録されているユーザーのメール・アドレスに、パスワードを再設定するためのリンクを送付 • 本人確認の手段として、メール以外にSMSや秘密の質問も利用可能 ログイン画面でパスワードのリセットを申請 メールで送られるリンクからパスワードを再設定 一般利用者 メール
メール通知 ヘルプ・デスクの負担を軽減 Copyright © 2022, Oracle and/or its affiliates 32
管理 メールによるイベントの通知機能 新規登録案内とアカウントの有効化 パスワードの自己リセット(失念時) アカウントのロック、ロック解除 アカウントの有効化、無効化 管理者によるプロファイル変更 etc. 各イベントごとに、通知のON/OFFや メール内容のカスタマイズ(言語毎) が可能 ユーザーに通知するイベントの選択 テンプレートによるメールの内容のカスタマイズ
OCI IAM Identity Domain 監査・統制情報 レポートによる利用状況の監査 Copyright © 2022, Oracle
and/or its affiliates 33 管理 アクセス証跡を自動的に保持 アクセス証跡をレポートとして確認 <レポート種類> ログインの成功、失敗 アプリケーションへのアクセス アプリケーションのロールの割り当て 一定期間ログインしていないユーザー ユーザーへの通知の履歴 操作履歴などの監査情報 <レポート種類> Web CSV JSON(REST API利用) JSON 画面 CSV ダウンロード Web REST API 管理者
REST APIの公開 APIファースト: GUIで操作可能な機能はREST APIでも提供 Copyright © 2022, Oracle and/or
its affiliates 34 開発 次のようなアドオンの開発が可能 監査情報を取得して分析 独自のユーザー管理、グループ管理 ログイン画面の完全なカスタマイズ パスワードリセットの外部実装 SAML/OAuthアプリケーションの登録 APIの認証・認可にはOAuthを利用 REST API https://docs.oracle.com/en/cloud/paas/iam-domains-rest-api/index.html REST API OCI IAM Identity Domain
ログイン画面のカスタマイズ 標準のログイン画面をカスタマイズするための、次の3つの方式を提供 Copyright © 2022, Oracle and/or its affiliates 35
開発 1. HTMLの記述によるロゴや文言、背景の簡易な変更 2. スクラッチのログイン画面の構築 ※スクラッチ画面アプリケーションが稼働するサーバが別途必要 3. CMSを提供するOracle Content Management (OCM) によるログイン画面の差し替え ロゴや文言、背景の変更 Oracle CMSと連携した ログイン画面の作成 スクラッチのログイン画面の構築
複数のアイデンティティ・ドメインの管理 各アイデンティティドメイン(インスタンス)の管理集約と権限分離 Copyright © 2020, Oracle and/or its affiliates 36
1つのテナントに複数のアイデンティティ・ドメインを作成することが可能 ※上限値制限あり それぞれのアイデンティティ・ドメインのデータ(ユーザー、グループ、設定)は独立して保持 異なるコンパートメントに各アイデンティティ・ドメインを作成することでアイデンティティ・ドメインへのアクセス制御を実現 ※コンパートメント:OCIの機能となり、リソースへの権限分掌を行う論理的な境界のこと テナント:001 テナント管理者 コンパートメント:A社 ユーザー (A社従業員) グループ 設定 コンパートメント:B社 ユーザー (B社従業員) グループ 設定 A社業務アプリ群 B社業務アプリ群 テナント管理者による アクセスが可能 アイデンティティ・ドメイン (A社用) アイデンティティ・ドメイン (B社用) 他コンパートメントへ アクセス不可 Defaultアイデンティティ・ドメイン (テナント管理者用) 構成 利用者や使い方に応じて 課金タイプを選択可能 ※課金タイプの説明は後続参照
None