Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OCI IAM Identity Domains機能概要 / OCI Identity Domains Technical Basic

OCI IAM Identity Domains機能概要 / OCI Identity Domains Technical Basic

OCI IAM Identity Domainsの機能紹介になります。

3115a782126be714b5f94d24073c957d?s=128

oracle4engineer
PRO

June 30, 2022
Tweet

More Decks by oracle4engineer

Other Decks in Technology

Transcript

  1. OCI IAM Identity Domains 2022年6月30日 日本オラクル株式会社 機能概要

  2. Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、 情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以 下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買 決定を行う際の判断材料になさらないで下さい。 オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊 社の裁量により決定され、変更される可能性があります。 Copyright

    © 2022, Oracle and/or its affiliates 2
  3. OCI IAM Identity Domainsとは? Copyright © 2022, Oracle and/or its

    affiliates 3
  4. これまでのオラクルクラウドのIdentity and Access Management (IAM)サービス Copyright © 2022, Oracle and/or

    its affiliates 4 3rd-Party SaaS On-Prem Apps OCI PaaS Oracle SaaS • BtoE/BtoC向け統合認証基盤 • Oracleアプリ、他社クラウドアプリ、 オンプレミスアプリに対する認証統合 • 多要素認証やサインオンポリシーに よる認証強化 • AzureADやTwitter等の外部IdP との連携 • ブリッジやSCIMによるユーザー同期 • Linux PAMやRadius Proxy OCI IAMとIdentity Cloud Service(IDCS)の2種類のIAMサービスが存在 • OCI NativeのIAMサービス • OCIリソースへのアクセス制御 • アクセス制御のためのグループや ポリシー定義 • AzureAD等との外部IdP連携 • 多要素認証 フェデレーション OCI IAM IDCS
  5. 新しいIAMサービス:OCI IAM Identity Domains Copyright © 2022, Oracle and/or its

    affiliates 5 OCI IAMとIdentity Cloud Service(IDCS)を統合し 「OCI IAM Identity Domains」としてサービス提供 OCI Oracle SaaS 3rd-Party SaaS On-Prem Apps PaaS これまでのOCI IAMの価値を継続 • OCI NativeのIAMサービス • OCIリソースへのアクセス制御 • アクセス制御のためのグループや ポリシー定義 等々 これまでのIDCSの価値を継続 • BtoE/BtoC向け統合認証基盤 • 他社クラウドやオンプレミスアプリとの認証統合 • 認証強化(MFAやアダプティブセキュリティ等) • ブリッジやSCIMによるユーザー同期 等々 OCI IAM Identity Domains
  6. Oracle IaaS/Paas/Saasの アクセス・コントール・プレーン OCI IAM Identity Domains 特徴と主要機能 Copyright ©

    2022, Oracle and/or its affiliates 6 OCI IAM Identity Domains 認証連携・SSO (Outbound) • フェデレーション認証連携 • SAML, OIDC, OAuth • 事前連携定義の利用 • App Gatewayによる連携 • RADIUSプロキシ • Linux PAM **** Oracle Cloud IaaS/PaaS アクセスコントロール • シンプルなポリシー構文 • グループベースアクセス制御 • 動的グループの管理 • OCIコンパートメントの管理 • リソースタグの管理 認証管理に用いる IDライフサイクル管理 • Console | CLI | APIs • ユーザー/グループ管理 • ユーザーセルフサービス • SCIMによる ユーザー・グループ同期 • ADとのユーザー・グループ同期 • カスタムスキーマ(属性) ! ?  認証連携・認証強化 (Inbound) • ID/パスワード認証 • 外部IdP認証連携 • ソーシャル(SNS)認証連携 • 多要素認証 • アダプティブセキュリティ • 認証委任 OATH OAuth FIDO2 REST APIs SAML OIDC SCIM ハイブリッド環境における エンタープライズ向け統合認証基盤 コンシューマ向けアプリケーションに 使いやすいIAMエンジン 旧OCI IAM機能 + 旧IDCS機能
  7. OCI IAM Identity Domainsの役割 Copyright © 2022, Oracle and/or its

    affiliates 7 役割① OCIリソースにアクセスする管理者・開発者向け ID管理・認証管理 役割② Webアプリケーション利用者向け ID管理・認証管理(IDaaSとして利用) OCI PaaS Compute/Storage/Database等 運用管理サービス等 OCI IAM Identity Domains OCI管理者・開発者の ID・認証管理 管理者/開発者 OCI IAM Identity Domains 各アプリケーション利用者の ID・認証管理 アプリ利用者 3rd-Party SaaS On-Prem/On-IaaS Apps Oracle PaaS、SaaS PaaS(データ分析、コンテンツ管理等)、SaaSやWebアプリケーション群
  8. Oracle Cloud Infrastructure (OCI) Tenancy OCI IAM Identity Domainsの構成 Copyright

    © 2022, Oracle and/or its affiliates 8 • テナンシー作成時に必ず1つのDefault Identity Domainが作成される • テナンシーには複数のIdentity Domainを持つことが可能 (1つのIDCSインスタンス=1つのIdentity Domain のイメージ) • Identity Domainには5つのタイプ(課金タイプ)があり、用途に応じてユーザー自身がタイプを決定(変更)する  Free  Oracle Apps  Oracle Apps Premium  Premium  External User • それぞれのIdentity Domainにてユーザーやグループ、設定を独立して保持 Default アイデンティティ・ドメイン (for OCI Resourceアクセス制御) Authentication and IAM policies for VCNs, Compute, Containers, Storage, Analytics, etc. 追加 アイデンティティ・ドメイン (for 認証基盤 etc) Access Management for Oracle SaaS/ 3rd Party Cloud Service/ Custom Web Applictions, etc Free Oracle Apps Oracle Apps Premium Premium External User Identity Domainタイプ ID 設定 グループ ID 設定 グループ OCI IAM Identity Domains
  9. OCI IAM Identity Domainsのタイプ概要 Copyright © 2021, Oracle and/or its

    affiliates 9 • OCI IAM - Identity Domainに5つのタイプ(課金タイプ)を用意 • 各Identity Domainには異なる機能セットとオブジェクト制限、サービス制限(タイプ別の個数制限)あり タイプ Free Oracle Apps Oracle Apps Premium Premium External User 概要 (Usecase) • テナンシ作成時にデフォルト・ドメイ ンとして作成されるタイプ • OCI IaaSおよびPaaSのリソース へのアクセス管理 • Oracle SaaS、PaaS、 GBUアプリケーションへの アクセス管理 • Oracle SaaS、PaaS、 GBUアプリケーションへの アクセス管理 • 加えてオンプレミスやOCI IaaS上 のOracleアプリケーション(Oracle EBS、PeopleSoft等)のアクセス管理 • 完全なIAM機能を提供し、 すべてのOracleアプリケーションお よびOracle以外のアプリケーション に対するアクセス管理 • 完全なIAM機能を提供しコン シューマ向けのアプリケーションに対 するアクセス管理 機能制限 あり あり あり なし あり オブジェクト 制限 あり あり あり あり あり 利用条件 • 機能/オブジェクト制限範囲内 • 機能/オブジェクト制限範囲内 • Oracle SaaSのアクセス管理 • 機能/オブジェクト制限範囲内 • Oracle SaaSまたはOracleアプリ ケーションのアクセス管理 • 機能/オブジェクト制限範囲内 • 機能/オブジェクト制限範囲内 • コンシューマ向けの認証 価格 無償 無償 ¥30(User Per Month) ¥384(User Per Month) ¥1.92(User Per Month) 注意事項 ーー • 未リリース(2022年5月時点) • Oracle SaaS契約テナント専用 のタイプ • Oracle IaaS/PaaS契約(UC 契約)テナントでは選択不可 • OCI IAM Identity Domainが 必須となる「お客様の開発が入ら ないPaaSサービス(OCMやOAC 等)」のみでも利用可 ーー • デフォルトドメインを本タイプにする ことは不可 各タイプの詳細:https://docs.oracle.com/en-us/iaas/Content/Identity/sku/overview.htm
  10. OCI IAM Identity Domains 機能紹介 Copyright © 2022, Oracle and/or

    its affiliates 10
  11. フェデレーション技術による認証連携 Oracle Public Cloud、他社SaaS、オンプレミスシステムに対するシングル・サインオン Copyright © 2022, Oracle and/or its

    affiliates 11  SAMLやOAuth、OpenID Connectのようなフェデレーションの標準技術を利用して、 Oracle Public Cloudや 他社SaaSやオンプレミスアプリケーションにシングル・サインオン  事前設定定義カタログに用意されているアプリケーションは、簡単なウィザードによって登録が可能  他社SaaSやOracle Public Cloudなど数百種類のアプリケーションをカタログで提供  アプリケーションごとに、ユーザーのアクセスの可否を設定可能 シングル・サインオン ECサイト Web業務 アプリケーション Webブラウザ モバイルクライアント オンプレミス 他社SaaS Oracle Public Cloud ログイン OCI IAM Identity Domain フェデレーション技術による 認証情報連携 シ ン グ ル サ イ ン オ ン SAML Oauth OpenID Connect
  12. 非フェデレーション技術による認証連携 – アプリケーションGateway Oracle Public Cloud、他社SaaS、オンプレミスシステムに対するシングル・サインオン Copyright © 2022, Oracle

    and/or its affiliates 12 シングル・サインオン  HTTPヘッダーやCookieによる認証連携でOCI IAMからシングル・サインオンするための リバース・プロキシ 「アプリケーションGateway」 をVMとして提供  SAMLやOpenID Connectに非対応なオンプレミスやIaaS上のアプリケーションの保護が可能  リバース・プロキシのVMを稼働させる環境が必要  次のようなORACLEのオンプレミス製品と連携も可  E-Business Suiteを保護するEBS Asserterを提供  Oracle Access ManagementのエージェントWebGateをOCI IAMの保護対象として登録 OCI IAM Identity Domain アプリケーション SAML,OpenID Connect等の フェデレーション技術を利用できない オンプレミスまたはon IaaS上のWebアプリ Webアプリケーション フ ェ デ レ ー シ ョ ン 技 術 認 証 連 携 HTTP ヘ ッ ダ ・ Cookie に よ る 認 証 連 携
  13. 対象アプリケーションの認可制御 アプリケーション毎のユーザー/グループを利用した認可制御(アクセス可/否) Copyright © 2022, Oracle and/or its affiliates 13

    シングル・サインオン  認証連携している対象アプリケーション毎に認可設定(アクセス可/否)が可能  ユーザーまたはグループを利用した認可  認可制御なし(誰でもアクセス可)も設定可能 アプリケーション1 クラウドサービス2 クラウドサービス1 アプリケーション毎の認可設定 グループA グループB に認可 グループC ユーザーα ユーザーβ に認可 認可制御なし (全員アクセス可) グループA、グループB グループC、ユーザーα、ユーザーβ グループC、ユーザーα、ユーザーβ グループA、グループB グループA、グループB グループC、ユーザーα、ユーザーβ 全ユーザー 全ユーザー
  14. OCI IAM Identity Domain 外部認証基盤(外部IdP)との認証連携 Azure ADなど既存の認証基盤をマスターとする認証連携 Copyright © 2022,

    Oracle and/or its affiliates 14 シングル・サインオン  Azure AD、ADFS(Active Directory Federation Service)など、SAMLのIdPをマスターとする認証連携が可能  OCI IAMがSPとなる、既存の認証基盤をマスターにした2段階の認証連携が可能 SP アプリケーション1 クラウドサービスA SP SP アプリケーション2 各アプリケーション(フェデレーション対応) IdP(アイデンティティ・プロバイダ):クラウドサービスとの認証連携において認証行為を行う側 SP(サービス・プロバイダ):クラウドサービスとの認証連携においてIdPへ認証を委託する側 IdP Azure AD その他IDaaS 社内 ADFS (オンプレミス) SP IdP IdP 認証処理を実施 (認証の親) 既存認証基盤(マスタ) シ ン グ ル サ イ ン オ ン 認 証 連 携 ( 委 託 )
  15. IdPポリシー IdP(アイデンティティ・プロバイダ)の利用ルールを定義するIdPポリシー機能 Copyright © 2022, Oracle and/or its affiliates 15

    シングル・サインオン IdPポリシー 利用者 IdPポリシー1 IdPポリシー2 Web業務アプリケーション “従業員”グループ所属 IdPルールの例  IdPポリシーにより、認証時に利用するIdPとしてローカル認証(アイデンティティ・ドメインの認証)を使うか、 または外部IdP(AzureAD等の他社認証基盤)を使うかを制御することが可能  利用IdPを利用者自身が都度選択することが可能  所属グループ等の利用者属性を利用し強制的に1つのIdPを利用させることも可能  アプリケーション全体(OCIコンソール含む)または個別アプリケーションのみにIdPポリシーを適用 条件 IdP 他社クラウドサービス Oracle PaaS/SaaS Azure AD 社外NWからのアクセス ローカル 無条件(全員・強制的) 既存社内認証基盤 Azure AD OCI IAM Identity Domain 社内認証基盤 IdPによる認証処理 ※IdPポリシーにて外部IdPを利用するルールを定義する場合には、事前に外部IdPの登録設定が必要になります。
  16. ソーシャル・ログイン SNSなどの外部サービスをマスターとする認証連携 Copyright © 2022, Oracle and/or its affiliates 16

    シングル・サインオン  FacebookやTwitterなどのSNSやSaaSを認証マスターとして、それらのアカウントを利用してOCI IAMにシングル・サインオン  SNSとOCI IAMはOpenID Connectを利用してフェデレーション  SNSのアカウントとの紐付け方法 ソーシャル・アカウントに対応するアカウントをOCI IAMに動的に作成 OCI IAMにログイン後、既存のソーシャル・アカウントを指定して紐付け 動的なユーザーの作成 / OCI IAMへ のフェデレーション OCI IAMのログイン画面で、 SNSのアカウントの利用を選択 ① ② ③ SNSのアカウント情報の取得 OCI IAMによるアカウント情報 の利用に同意 ④ 利用者 OCI IAM Identity Domain IdP SP SNS
  17. パスワードポリシー 本人証明を強化にする柔軟なパスワードポリシー定義 Copyright © 2022, Oracle and/or its affiliates 17

    認証強化  最大・小文字列、再利用禁止、有効期限等の詳細なパスワードポリシーを定義可能  ポリシーとして事前定義済みポリシー(簡易、標準)、カスタムポリシーを用意  グループ毎に適用するパスワードポリシーを変えることが可能 例)社外から接続することが多いグループ(営業部グループ等)は強いポリシーを適用 パスワード ポリシーA パスワード ポリシーB OCI IAM Identity Domain グループ1 グループ2 グループ3 ※明示的にパスワードポリシーを適用していないグループやグループに所属していないユーザーは デフォルトのパスワードポリシーが適用されます。 パスワードポリシー 定義項目 パスワード長(最小) パスワード長(最大) 英字(最小) 数字(最小) 特殊文字(最小) 小文字(最小) 小文字(最大) 繰返し(最大) 英数字で始まる 利用禁止項目(ユーザーの姓、名、ユーザー名) 利用禁止文字列 有効期限切れまで(日) アカウント・ロックしきい値 アカウントの自動ロック解除の有効化 アカウントの自動ロック解除まで(分) 記憶されている前のパスワード
  18. 二要素認証 サインオンポリシーで指定可能な複数の認証手段を提供 Copyright © 2022, Oracle and/or its affiliates 18

    認証強化  管理者は任意の二要素認証の手段を選択して有効化することが可能  モバイルアプリケーション:Oracle Mobile AuthenticatorはApp StoreやGoogle Playから入手が可能  二要素認証をパスすると、指定した日数の間同一のWebブラウザからのアクセスでは二要素認証を免除するオプションを提供 メール SMS モバイル アプリケーション 【二要素認証の要素】 モバイル アプリケーション FIDO2 ワンタイム・パスコード 通知 秘密の質問 生体認証 ※Oracle Mobile Authenticatorのみ利用可
  19. リスク・ベース認証 ユーザーの行動分析に応じた認証強化 Copyright © 2022, Oracle and/or its affiliates 19

    認証強化  ユーザーの疑わしい行動履歴から、リスク・スコアを算出  リスク・スコアに応じて二要素認証の要求やログインの禁止などの措置をサインオン・ポリシーとして指定  通常はIDとパスワードでログインし、リスク・スコアが高い場合にのみ二要素認証を必須にするような設定が可能  次の項目について管理者が個別にスコアを設定し、合計値をリスク・スコアとして利用  ログインの失敗  MFAの試行  未知の端末からのアクセス  疑わしいIPからのアクセス  通常とは異なる場所からのアクセス  一定時間内の移動距離  増加したリスク・スコアは、ユーザーが異常な行動をしなければ、時間の経過に応じて減少 通常はパスワード認証、 リスク・スコアが高い場合のみ 二要素認証を要求 What Where Who App センシティブなアプリケーション 一般的なアプリケーション App 常に二要素認証を要求
  20. 認証ポリシー アプリケーションへの認証強化・アクセス制御のルールを定義するサインオン・ポリシー機能 Copyright © 2022, Oracle and/or its affiliates 20

    認証強化 サインオン・ポリシー インターネット 社内 ネットワーク サインオン・ポリシー 1 サインオン・ポリシー 2 サインオン・ポリシー 3 サインオン・ポリシー 4 社外からのアクセス + 管理者権限 ログイン拒否 社外からのアクセス 二要素認証 Web業務アプリケーション 社内からのアクセス パスワード認証 サインオン・ルールの例  サインオン・ポリシーにより、ログインが完了したユーザーへの認可処理として許可/拒否/再認証の要求/多要素認証の要求 のいずれかの対応を設定することが可能  サインオン・ポリシーはアプリケーション個別または全体(すべてのアプリケーション)に適用することが可能  サインオン・ポリシーの要素であるサインオン・ルールにより、ルール適用の条件や条件が当てはまる場合のアクションを指定 条件 • リスクスコアの値 • 端末のIPアドレス(ネットワーク・ペリメータ) • 所属グループ • 管理者権限の有無 アクション • アクセス許可 • アクセス拒否 • 再認証の強制 • 二要素認証の強制 条件 アクション 他社クラウドサービス Oracle PaaS/SaaS
  21. ID管理 ユーザーやグループを一元的に管理 Copyright © 2022, Oracle and/or its affiliates 21

    ID管理 様々な手段によるユーザー・グループ管理 標準のWeb管理画面 CSVファイルアップロード REST API • SCIM • カスタム・ユーザー管理アプリの開発 オンプレミス上のActive Directory(AD) からの ユーザー情報を伝播(ADとのユーザー同期) Oracle ERP Cloudや他クラウド(一部)との同期 AD Bridge REST API カスタムアプリ Active Directory CSVファイル Web管理画面 OCI IAM Identity Domain ID管理
  22. Active DirectoryとのID情報連携(AD Bridge) Active DirectoryをIDソースにしたユーザー管理の効率化 Copyright © 2022, Oracle and/or

    its affiliates 22 ID管理  ADからのID情報同期エージェント「AD Bridge」をADドメイン内のWindows端末に配置することで ID情報・グループ情報を同期  AD BridgeからOCI IAMへの片方向の通信のみ発生  ID情報/グループの情報を同期頻度に従い定期的にOCI IAMに伝播 ※エージェントとOCI IAM間でHTTPS通信ができる必要があります。 ※パスワードは同期の対象外になります。 AD Bridge ①設定情報の取得 社内ネットワーク ②ID情報・グループ情報の取得 ③ID情報・グループ情報の伝播 プ ロ キ シ ・ サ ー バ LDAPS HTTPS(REST) Active Directory 前回同期から変更のある ID情報のみを伝播 該当ADのドメイン内の Windows端末に配置 同期対象のユーザーやグループ、属性の マッピング、同期頻度などの設定 利用者 OCI IAMの ID/PwDで認証 OCI IAM Identity Domain
  23. ユーザー管理権限の委任 グループ会社や部門に所属するユーザー管理を委任 Copyright © 2022, Oracle and/or its affiliates 23

    ID管理  あるグループ(グループ会社グループ、部門用グループなど)に属するユーザーに対象を限定した管理者を設定して、 ユーザー管理を委任することが可能 ※ユーザーの新規登録や管理対象のグループへのユーザーの追加には別途権限が必要 委任管理者となるユーザーを選択して、 管理対象となるグループを指定 OCI IAM ユーザー管理者 自社ユーザー パートナーA社管理者 パートナーB社管理者 パートナーA社グループ パートナーB社グループ
  24. セルフ・サービスのパスワード・リセット セルフ・サービスによりヘルプ・デスクの負担を軽減 Copyright © 2022, Oracle and/or its affiliates 24

    ID管理  ユーザーはWeb画面経由で自分自身でパスワードのリセットが可能 ユーザーはログイン画面からパスワードのリセットを申請 登録されているユーザーのメール・アドレスに、パスワードを再設定するためのリンクを送付 • 本人確認の手段として、メール以外にSMSや秘密の質問も利用可能 ログイン画面でパスワードのリセットを申請 メールで送られるリンクからパスワードを再設定 一般利用者 メール
  25. メール通知 ヘルプ・デスクの負担を軽減 Copyright © 2022, Oracle and/or its affiliates 25

    ID管理 メールによるイベントの通知機能  新規登録案内とアカウントの有効化  パスワードの自己リセット(失念時)  アカウントのロック、ロック解除  アカウントの有効化、無効化  管理者によるプロファイル変更  etc. 各イベントごとに、メールの内容のテンプレートを 編集しカスタマイズすることが可能 ユーザーに通知するイベントの選択 テンプレートによるメールの内容のカスタマイズ
  26. REST APIの公開 APIファースト: GUIで操作可能な機能はREST APIでも提供 Copyright © 2022, Oracle and/or

    its affiliates 26 API  次のようなアドオンの開発が可能  監査情報を取得して分析  独自のユーザー管理、グループ管理  ログイン画面の完全なカスタマイズ  パスワードリセットの外部実装  SAML/OAuthアプリケーションの登録  APIの認証・認可にはOAuthを利用  REST API https://docs.oracle.com/en/cloud/paas/iam-domains-rest-api/index.html OCI IAM Identity Domain REST API
  27. ログイン画面のカスタマイズ 標準のログイン画面をカスタマイズするための、次の3つの方式を提供 Copyright © 2022, Oracle and/or its affiliates 27

    API 1. HTMLの記述によるロゴや文言の簡易な変更 2. CMSを提供するOracle Content Management (OCM) によるログイン画面の差し替え 3. JavaScriptによるスクラッチのログイン画面の構築 ロゴや文言の変更 Oracle CMSと連携した ログイン画面の作成 スクラッチのログイン画面の構築
  28. 監査・統制情報 レポートによる利用状況の監査 Copyright © 2022, Oracle and/or its affiliates 28

    監査  レポートの種類 ログインの成功、失敗 アプリケーションへのアクセス アプリケーションのロールの割り当て 一定期間ログインしていないユーザー ユーザーへの通知の履歴 操作履歴などの監査情報  レポートの種類  Web  PDF、CSV  JSON(監査情報) JSON HTML CSV、PDF 管理者 ダウンロード Web REST API OCI IAM Identity Domain
  29. 複数のアイデンティティ・ドメインの管理 各アイデンティティドメイン(インスタンス)の管理集約と権限分離 Copyright © 2020, Oracle and/or its affiliates 29

     1つのテナントに複数のアイデンティティ・ドメインを作成することが可能 ※上限値制限あり  それぞれのアイデンティティ・ドメインのデータ(ユーザー、グループ、設定)は独立して保持  異なるコンパートメントに各アイデンティティ・ドメインを作成することでアイデンティティ・ドメインへのアクセス制御を実現 ※コンパートメント:OCIの機能となり、リソースへの権限分掌を行う論理的な境界のこと テナント:001 テナント管理者 コンパートメント:A社 ユーザー (A社従業員) グループ 設定 コンパートメント:B社 ユーザー (B社従業員) グループ 設定 A社業務アプリ群 B社業務アプリ群 テナント管理者による アクセスが可能 アイデンティティ・ドメイン (A社用) アイデンティティ・ドメイン (B社用) 他コンパートメントへ アクセス不可 Defaultアイデンティティ・ドメイン (テナント管理者用) 構成 利用者や使い方に応じて 課金タイプを選択可能 ※課金タイプの説明は後続参照
  30. None