Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OCI IAM Identity Domains機能概要 / OCI Identity Domains Technical Basic

OCI IAM Identity Domains機能概要 / OCI Identity Domains Technical Basic

OCI IAM Identity Domainsの機能紹介になります。

oracle4engineer

June 30, 2022
Tweet

More Decks by oracle4engineer

Other Decks in Technology

Transcript

  1. これまでのオラクルクラウドのIdentity and Access Management (IAM)サービス Copyright © 2022, Oracle and/or

    its affiliates 4 3rd-Party SaaS On-Prem Apps OCI PaaS Oracle SaaS • BtoE/BtoC向け統合認証基盤 • Oracleアプリ、他社クラウドアプリ、 オンプレミスアプリに対する認証統合 • 多要素認証やサインオンポリシーに よる認証強化 • AzureADやTwitter等の外部IdP との連携 • ブリッジやSCIMによるユーザー同期 • Linux PAMやRadius Proxy OCI IAMとIdentity Cloud Service(IDCS)の2種類のIAMサービスが存在 • OCI NativeのIAMサービス • OCIリソースへのアクセス制御 • アクセス制御のためのグループや ポリシー定義 • AzureAD等との外部IdP連携 • 多要素認証 フェデレーション OCI IAM IDCS
  2. 新しいIAMサービス:OCI IAM Identity Domains Copyright © 2022, Oracle and/or its

    affiliates 5 OCI IAMとIdentity Cloud Service(IDCS)を統合し 「OCI IAM Identity Domains」としてサービス提供 OCI Oracle SaaS 3rd-Party SaaS On-Prem Apps PaaS これまでのOCI IAMの価値を継続 • OCI NativeのIAMサービス • OCIリソースへのアクセス制御 • アクセス制御のためのグループや ポリシー定義 等々 これまでのIDCSの価値を継続 • BtoE/BtoC向け統合認証基盤 • 他社クラウドやオンプレミスアプリとの認証統合 • 認証強化(MFAやアダプティブセキュリティ等) • ブリッジやSCIMによるユーザー同期 等々 OCI IAM Identity Domains
  3. Oracle IaaS/Paas/Saasの アクセス・コントール・プレーン OCI IAM Identity Domains 特徴と主要機能 Copyright ©

    2022, Oracle and/or its affiliates 6 OCI IAM Identity Domains 認証連携・SSO (Outbound) • フェデレーション認証連携 • SAML, OIDC, OAuth • 事前連携定義の利用 • App Gatewayによる連携 • RADIUSプロキシ • Linux PAM **** Oracle Cloud IaaS/PaaS アクセスコントロール • シンプルなポリシー構文 • グループベースアクセス制御 • 動的グループの管理 • OCIコンパートメントの管理 • リソースタグの管理 認証管理に用いる IDライフサイクル管理 • Console | CLI | APIs • ユーザー/グループ管理 • ユーザーセルフサービス • SCIMによる ユーザー・グループ同期 • ADとのユーザー・グループ同期 • カスタムスキーマ(属性) ! ?  認証連携・認証強化 (Inbound) • ID/パスワード認証 • 外部IdP認証連携 • ソーシャル(SNS)認証連携 • 多要素認証 • アダプティブセキュリティ • 認証委任 OATH OAuth FIDO2 REST APIs SAML OIDC SCIM ハイブリッド環境における エンタープライズ向け統合認証基盤 コンシューマ向けアプリケーションに 使いやすいIAMエンジン 旧OCI IAM機能 + 旧IDCS機能
  4. OCI IAM Identity Domainsの役割 Copyright © 2022, Oracle and/or its

    affiliates 7 役割① OCIリソースにアクセスする管理者・開発者向け ID管理・認証管理 役割② Webアプリケーション利用者向け ID管理・認証管理(IDaaSとして利用) OCI PaaS Compute/Storage/Database等 運用管理サービス等 OCI IAM Identity Domains OCI管理者・開発者の ID・認証管理 管理者/開発者 OCI IAM Identity Domains 各アプリケーション利用者の ID・認証管理 アプリ利用者 3rd-Party SaaS On-Prem/On-IaaS Apps Oracle PaaS、SaaS PaaS(データ分析、コンテンツ管理等)、SaaSやWebアプリケーション群
  5. Oracle Cloud Infrastructure (OCI) Tenancy OCI IAM Identity Domainsの構成 Copyright

    © 2022, Oracle and/or its affiliates 8 • テナンシー作成時に必ず1つのDefault Identity Domainが作成される • テナンシーには複数のIdentity Domainを持つことが可能 (1つのIDCSインスタンス=1つのIdentity Domain のイメージ) • Identity Domainには5つのタイプ(課金タイプ)があり、用途に応じてユーザー自身がタイプを決定(変更)する  Free  Oracle Apps  Oracle Apps Premium  Premium  External User • それぞれのIdentity Domainにてユーザーやグループ、設定を独立して保持 Default アイデンティティ・ドメイン (for OCI Resourceアクセス制御) Authentication and IAM policies for VCNs, Compute, Containers, Storage, Analytics, etc. 追加 アイデンティティ・ドメイン (for 認証基盤 etc) Access Management for Oracle SaaS/ 3rd Party Cloud Service/ Custom Web Applictions, etc Free Oracle Apps Oracle Apps Premium Premium External User Identity Domainタイプ ID 設定 グループ ID 設定 グループ OCI IAM Identity Domains
  6. Identity Domainタイプ概要 Copyright © 2021, Oracle and/or its affiliates 9

    • OCI IAM - Identity Domainに5つのタイプ(課金タイプ)を用意 • 各Identity Domainには異なる機能セットとオブジェクト制限、サービス制限(タイプ別の個数制限)あり タイプ Free Oracle Apps Oracle Apps Premium Premium External User 概要 (Usecase) • テナンシ作成時にデフォルト・ドメイ ンとして作成されるタイプ • OCI IaaSおよびPaaSのリソース へのアクセス管理 • Oracle SaaS、PaaS、 GBUアプリケーションへの アクセス管理 • Oracle SaaS、PaaS、 GBUアプリケーションへの アクセス管理 • 加えてオンプレミスやOCI IaaS上 のOracleアプリケーション(Oracle EBS、PeopleSoft等)のアクセス管理 • 完全なIAM機能を提供し、 すべてのOracleアプリケーションお よびOracle以外のアプリケーション に対するアクセス管理 • 完全なIAM機能を提供しコン シューマ向けのアプリケーションに対 するアクセス管理 機能制限 あり あり あり なし あり オブジェクト 制限 あり あり あり あり あり 利用条件 • 機能/オブジェクト制限範囲内 • 機能/オブジェクト制限範囲内 • Oracle SaaSのアクセス管理 • 機能/オブジェクト制限範囲内 • Oracle SaaSまたはOracleアプリ ケーションのアクセス管理 • 機能/オブジェクト制限範囲内 • 機能/オブジェクト制限範囲内 • コンシューマ向けの認証 価格 無償 無償 ¥35(User Per Month) Oracle Cloud Infrastructure Identity and Access Management – Oracle Apps Premium ¥448(User Per Month) Oracle Cloud Infrastructure Identity and Access Management – Premium ¥2.24(User Per Month) Oracle Cloud Infrastructure Identity and Access Management – External User 注意事項 ーー • 未リリース(2022年11月時点) • Oracle SaaS契約テナント専用 のタイプ • Oracle IaaS/PaaS契約(UC 契約)テナントでは選択不可 • OCI IAM Identity Domainが 必須となる「お客様の開発が入ら ないPaaSサービス(OCMやOAC 等)」のみでも利用可 ーー • デフォルトドメインを本タイプにする ことは不可 ※2022年12月時点での価格
  7. Identity Domainタイプ毎の機能制限 (一部) Copyright © 2022, Oracle and/or its affiliates

    10 タイプ 機能 Free Oracle Apps Oracle Apps Premium Premium External User Oracle CloudサービスのSSO • • • • • 現在のOCI IAMの機能 • • • • ーー OCIリソースへのアクセス管理 • • • • ーー 動的グループ(OCI用) • • • • ーー OCI固有の資格証明タイプ • • • • ーー サードパーティ・アプリへのアウトバウンドSSO 外部アプリ:2つまで 外部アプリ:2つまで 外部アプリ:6つまで • • サードパーティ・アプリのOAuth/トークン管理 • • 汎用SCIMアプリ・テンプレート • • 外部IdPsおよびソーシャル・ログイン 外部IdP:3つまで 外部IdP:3つまで • • • 柔軟なIdPルーティング・ポリシー • • • • • ADからIdentity Domainへの同期 (単方向Active Directory同期) • • • • ーー MFAとアダプティブ・セキュリティ SMSは利用不可 • • • • サインオン・ポリシー 3つまで 3つまで • • • App Gatewayの利用 ーー ーー Oracle Applications のみに制限 • • 詳細:https://docs.oracle.com/ja-jp/iaas/Content/Identity/sku/overview.htm ※外部またはサードパーティ・アプリケーションは、Oracle以外のプロバイダが提供する商用アプリケーション、 またはカスタム開発のアプリケーション(Visual Builder Cloud Serviceを使用してOCIで構築されたアプリケーションなど)として定義されます。
  8. OCI IAM Identity Domains Copyright © 2022, Oracle and/or its

    affiliates 12 •認証連携 •認可制御 •多要素認証 •ユーザー管理 等 オンプレミス OCI IAM Identity Domains 認証連携(シングルサイオン) 認証強化 管理 • モバイルやEmail、SMSを利用したワンタイムパスコード • 利用者情報(IPアドレス,所属グループ)に応じた認証制御 • ユーザー行動分析によるリスク評価 • 標準技術/標準規格による認証連携 (SAML, OAuth2.0, OpenID Connect, SCIM) • Gatewayモジュールによるオンプレミスアプリとの認証連携 • Azure ADなどの外部IdPとの認証連携 • 様々な方式によるユーザーやグループの管理 • Active Directoryを利用したユーザー管理 • アクセス証跡の管理と確認 他社クラウド Webシステム クラウド イントラ インターネット 認 証 連 携 /SSO 認 証 連 携 /SSO 利用者 2要素認証 リスクベース認証 認 証 連 携 /SSO WebアプリケーションやECサイトの認証統合・認証強化を実現するクラウド型認証基盤(IDaaS) Oracle SaaS/PaaS 開発 • REST APIによる操作 • ログイン画面等の開発
  9. フェデレーション技術による認証連携 Oracle Public Cloud、他社SaaS、オンプレミスシステムに対するシングル・サインオン Copyright © 2022, Oracle and/or its

    affiliates 13  SAMLやOAuth、OpenID Connectのようなフェデレーションの標準技術を利用して、 Oracle Public Cloudや 他社SaaSやオンプレミスアプリケーションにシングル・サインオン  事前設定定義カタログに用意されているアプリケーションは、簡単なウィザードによって登録が可能  他社SaaSやOracle Public Cloudなど数百種類のアプリケーションをカタログで提供  アプリケーションごとに、ユーザーのアクセスの可否を設定可能 認証連携 ECサイト Web業務 アプリケーション オンプレミス・on IaaS 他社SaaS Oracle Public Cloud フェデレーション技術による 認証情報連携 シ ン グ ル サ イ ン オ ン SAML OAuth OpenID Connect OCI IAM Identity Domain
  10. 非フェデレーション技術による認証連携 – App Gateway Oracle Public Cloud、他社SaaS、オンプレミスシステムに対するシングル・サインオン Copyright © 2022,

    Oracle and/or its affiliates 14 認証連携  HTTPヘッダーによる認証連携でOCI IAMからシングル・サインオンするための リバース・プロキシ 「App Gateway」 をVM(ソフトウェアアプライアンス)として提供  SAMLやOpenID Connectに非対応なオンプレミスやIaaS上のアプリケーションとの認証連携が可能  HTTPヘッダ経由で認証連携情報(ログインIDやその他属性)を渡すことが可能  Identity Domain及び該当アプリケーションに接続可能な環境に配置が必要 ※注意)アプリケーション側にて以下の仕組みが必要 ・HTTPヘッダより認証連携情報を受け取る ・認証連携情報をもとに、SSOサーバ側で認証済みとしてアプリケーションへログインさせる(自身のログイン画面は出さない) OCI IAM Identity Domain オンプレミスアプリ (フェデレーション未対応) オンプレミスアプリ (フェデレーション未対応) App Gateway オンプレミスアプリ (フェデレーション未対応) App Gateway フ ェ デ レ ー シ ョ ン 技 術 に よ る 連 携 L B HTTP ヘ ッ ダ に よ る 認 証 連 携 ※リバースプロキシとして動作 ※VM動作基盤に配置
  11. 対象アプリケーションへの入り口認可制御 アプリケーション毎のユーザー/グループを利用した認可制御(アクセス可/否) Copyright © 2022, Oracle and/or its affiliates 15

    認証連携  認証連携している対象アプリケーション毎に認可設定(アクセス可/否)が可能  ユーザーまたはグループを利用した認可  認可制御なし(誰でもアクセス可)も設定可能 アプリケーション1 クラウドサービス2 クラウドサービス1 アプリケーション毎の認可設定 グループA グループB に認可 グループC ユーザーα ユーザーβ に認可 認可制御なし (全員アクセス可) グループA、グループB グループC、ユーザーα、ユーザーβ グループC、ユーザーα、ユーザーβ グループA、グループB グループA、グループB グループC、ユーザーα、ユーザーβ 全ユーザー 全ユーザー
  12. 対象アプリケーションへのID同期 SCIMを利用した対象アプリケーションとのID同期 Copyright © 2022, Oracle and/or its affiliates 16

    認証連携  SCIM対応したID同期用コネクタ「Generic SCIMコネクタ」により、認証連携の対象アプリケーションへのID同期を実現 ※対象アプリケーションがSCIM対応している必要あり  同期対象とするユーザーまたはグループを指定  同期対象としてグループを指定した場合には、グループに所属するメンバーが自動的に同期 OCI IAM Identity Domain Generic SCIMコネクタ アプリケーション1 クラウドサービス2 クラウドサービス1 SCIM インターフェース SCIM インターフェース SCIM インターフェース ID情報連携 (ユーザーの同期) 機能 内容 ID情報の伝播の方向 Identity Domainから対象システムへ 同期内容 ユーザーの作成・更新・削除 ユーザーのパスワードの同期 ✖ 同期対象となるユーザー 指定したユーザー または、指定したグループのメンバー グループの作成・更新・削除の同期 ✖(グループはマッピングのみ) ID情報を同期するタイミング 同期対象として指定したとき または、対象グループに所属したとき ※設定によりIDの逆同期も可能
  13. OCI IAM Identity Domain 外部認証基盤(外部IdP)との認証連携 Azure ADなど既存の認証基盤をマスターとする認証連携 Copyright © 2022,

    Oracle and/or its affiliates 17 認証連携  Azure AD、ADFS(Active Directory Federation Service)など、SAMLのIdPをマスターとする認証連携が可能 SP クラウドサービス OCIコンソール SP SP アプリケーション 各アプリケーション(フェデレーション対応) IdP(アイデンティティ・プロバイダ):クラウドサービスとの認証連携において認証行為を行う側 SP(サービス・プロバイダ):クラウドサービスとの認証連携においてIdPへ認証を委託する側 IdP Azure AD その他IDaaS 社内 ADFS (オンプレミス) SP IdP IdP 既存認証基盤(マスタ) シ ン グ ル サ イ ン オ ン IdP SAML 外 部 IdP 連 携 IdPポリシー 複数のIdPと連携が可能 IdP利用ルールを定義可能
  14. IdPポリシー IdP(アイデンティティ・プロバイダ)の利用ルールを定義するIdPポリシー機能 Copyright © 2022, Oracle and/or its affiliates 18

    認証連携 IdPポリシー 利用者 IdPポリシー1 IdPポリシー2 Web業務アプリケーション “従業員”グループ所属 IdPルールの例  IdPポリシーにより、認証時に利用するIdPとしてローカル認証(アイデンティティ・ドメインの認証)を使うか、 または外部IdP(AzureAD等の他社認証基盤)を使うかを制御することが可能  利用IdPを利用者自身が都度選択することが可能  所属グループ等の利用者属性を利用し強制的に1つのIdPを利用させることも可能  アプリケーション全体(OCIコンソール含む)または個別アプリケーションのみにIdPポリシーを適用 条件 IdP 他社クラウドサービス Oracle PaaS/SaaS Azure AD 社外NWからのアクセス ローカル 無条件(全員・強制的) 既存社内認証基盤 Azure AD OCI IAM Identity Domain 社内認証基盤 IdPによる認証処理 ※IdPポリシーにて外部IdPを利用するルールを定義する場合には、事前に外部IdPの登録設定が必要になります。
  15. OCI IAM Identity Domain 外部認証基盤(外部IdP)とのID情報の連携 – SCIM SCIMを利用したAzure ADなど既存の認証基盤をマスターとするID情報の連携 Copyright

    © 2022, Oracle and/or its affiliates 19  SCIMを利用しAzure ADなど、SAMLのIdPをマスターとID情報(ユーザー、グループ)を連携することが可能 ※外部IdPがSCIM対応しており、かつIDプロビジョニング機能を有している必要あり Azure AD その他IDaaS SCIM 既存認証基盤(マスタ) SCIM 認証連携 SCIM ID情報連携 (ユーザー・グループの同期) ID情報連携 (ユーザー・グループの同期)
  16. OCI IAM Identity Domain 外部認証基盤(外部IdP)とのID情報の連携 – SAML JITプロビジョニング JITプロビジョニングを利用した既存の認証基盤をマスターとするID情報の連携 Copyright

    © 2022, Oracle and/or its affiliates 20  SAML連携している外部IdPから「JITプロビジョニング(ジャストインタイム・プロビジョニング)」を利用しID情報を連携 ・外部IdPでの初回ログイン:SAMLアサーションの属性を用いてIdentity Domainにユーザーを新規作成 ・外部IdPでの2回目以降ログイン: SAMLアサーションの属性を用いて外部IdPで属性更新をIdentity Domainの該当ユーザーへ反映  Identity Domainに存在するグループへのアサインも可能 ・Identity Domainに存在する特定グループへ所属させる(外部IdP側での所属グループに関係なく) ・外部IdP側で所属しているグループと同じ名前のIdentity Domainグループへ所属させる ※JITプロビジョニングでは、ユーザー削除やグループ自体の同期はできません。 認証連携 外部IdP SAML認証連携(外部IDP連携) SAMLアサーション <属性情報> 【JITプロビジョニング】 ユーザー作成/更新 グループアサイン SAMLアサーションより属性取得 外部IdPを利用した初回ログイン/2回目以降ログイン SP IdP
  17. ソーシャル・ログイン SNSなどの外部サービスをマスターとする認証連携 Copyright © 2022, Oracle and/or its affiliates 21

    認証連携  FacebookやTwitterなどのSNSを認証マスターとして、それらのアカウントを利用してOCI IAMにログイン  SNSとOCI IAMはOpenID Connect(一部OAuth)を利用してフェデレーション  SNS(一部)との連携設定は事前定義済み  事前定義がないSNSも定義をインポートすることで連携可能  SNSのアカウントとの紐付け方法 既存OCI IAMアカウントとソーシャル・アカウントとの紐づけ(1:Nの紐づけが可能) OCI IAMへのソーシャル・アカウントの新規自己登録 SNS OCI IAM Identity Domain SP アプリケーション アプリケーション SP SP アプリケーション 各アプリケーション(フェデレーション対応) IdP シ ン グ ル サ イ ン オ ン ログイン連携 OpenID Connect (一部OAuth) 認証マスタ Aさん ログインID:Facebook ID パスワード:なし Bさん ログインID:ローカルのID パスワード:あり Facebook ID Twitter ID SNSアカウント
  18. パスワードポリシー 本人証明を強化にする柔軟なパスワードポリシー定義 Copyright © 2022, Oracle and/or its affiliates 22

    認証強化  最大・小文字列、再利用禁止、有効期限等の詳細なパスワードポリシーを定義可能  ポリシーとして事前定義済みポリシー(簡易、標準)、カスタムポリシーを用意  グループ毎に適用するパスワードポリシーを変えることが可能 例)社外から接続することが多いグループ(営業部グループ等)は強いポリシーを適用 パスワード ポリシーA パスワード ポリシーB グループ1 グループ2 グループ3 ※明示的にパスワードポリシーを適用していないグループやグループに所属していないユーザーは デフォルトのパスワードポリシーが適用されます。 パスワードポリシー 定義項目 パスワード長(最小) パスワード長(最大) 英字(最小) 数字(最小) 特殊文字(最小) 小文字(最小) 小文字(最大) 繰返し(最大) 英数字で始まる 利用禁止項目(ユーザーの姓、名、ユーザー名) 利用禁止文字列 有効期限切れまで(日) アカウント・ロックしきい値 アカウントの自動ロック解除の有効化 アカウントの自動ロック解除まで(分) 記憶されている前のパスワード OCI IAM Identity Domain
  19. 二要素認証 サインオンポリシーで指定可能な複数の認証手段を提供 Copyright © 2022, Oracle and/or its affiliates 23

    認証強化  管理者は任意の二要素認証の手段を選択して有効化することが可能  モバイルアプリケーション:Oracle Mobile AuthenticatorはApp StoreやGoogle Playから入手が可能  二要素認証をパスすると、指定した日数の間同一のWebブラウザからのアクセスでは二要素認証を免除するオプションを提供 メール SMS モバイル アプリケーション 【二要素認証の要素】 モバイル アプリケーション FIDO2 ワンタイム・パスコード 通知 秘密の質問 生体認証 ※Oracle Mobile Authenticatorのみ利用可 ※将来公開予定 ※RFC 6238に準拠している Authenticatorを利用可能 ※SMSの数量により 別途追加費用が発生
  20. リスク・ベース認証 ユーザーの行動分析に応じた認証強化 Copyright © 2022, Oracle and/or its affiliates 24

    認証強化  ユーザーの疑わしい行動履歴(下記項目)から、リスク・スコアを算出  ログインの失敗  MFAの試行  未知の端末からのアクセス  リスク・スコアに応じて二要素認証の要求やログインの禁止などの措置を指定可能  増加したリスク・スコアは、ユーザーが異常な行動をしなければ、時間の経過に応じて減少 評価項目毎のリスク値の定義  疑わしいIPからのアクセス  通常とは異なる場所からのアクセス  一定時間内の移動距離 ユーザー毎のリスク値の推移確認
  21. 認証ポリシー アプリケーションへの認証強化・アクセス制御のルールを定義するサインオン・ポリシー機能 Copyright © 2022, Oracle and/or its affiliates 25

    認証強化 サインオン・ポリシー インターネット 社内 ネットワーク サインオン・ポリシー 1 サインオン・ポリシー 2 サインオン・ポリシー 3 サインオン・ポリシー 4 社外からのアクセス + 管理者権限 ログイン拒否 社外からのアクセス 二要素認証 Web業務アプリケーション 社内からのアクセス パスワード認証 サインオン・ルールの例  サインオン・ポリシーにより、ログインが完了したユーザーへの認可処理として許可/拒否/再認証の要求/多要素認証の要求 のいずれかの対応を設定することが可能  サインオン・ポリシーはアプリケーション個別または全体(すべてのアプリケーション)に適用することが可能  サインオン・ポリシーの要素であるサインオン・ルールにより、ルール適用の条件や条件が当てはまる場合のアクションを指定 条件 • リスクスコアの値 • 端末のIPアドレス(ネットワーク・ペリメータ) • 所属グループ • 管理者権限の有無 アクション • アクセス許可 • アクセス拒否 • 再認証の強制 • 二要素認証の強制 条件 アクション 他社クラウドサービス Oracle PaaS/SaaS
  22. ID管理 ユーザーやグループを一元的に管理 Copyright © 2022, Oracle and/or its affiliates 26

    管理 様々な手段によるユーザー・グループ管理 標準のWeb管理画面 CSVファイルアップロード REST API • SCIM • カスタム・ユーザー管理アプリの開発 オンプレミス上のActive Directory(AD) からの ユーザー情報を伝播(ADとのユーザー同期) Oracle ERP Cloudや他クラウド(一部)との同期 AD Bridge REST API カスタムアプリ Active Directory CSVファイル Web管理画面 OCI IAM Identity Domain ID管理
  23. Active DirectoryとのID・グループ情報同期 Active DirectoryをIDソースにしたユーザー管理の効率化 Copyright © 2022, Oracle and/or its

    affiliates 27 管理  ADへアクセス可能なWindowsサーバ/端末にID情報同期エージェント「AD Bridge」を配置することで ADからID情報・グループ情報を同期  AD側でのユーザー・グループの作成/更新/削除をスケジューリング同期  同期対象ユーザー/グループを指定可能(特定OU配下、LDAPフィルタ)  AD BridgeからOCI IAMへの片方向の通信のみ発生 ※エージェントとOCI IAM間でHTTPS通信ができる必要があります。 ※パスワードは同期の対象外になります。 AD Bridge ①設定情報の取得 社内ネットワーク ②ID情報・グループ情報の取得 ③ID情報・グループ情報の伝播 プ ロ キ シ ・ サ ー バ LDAP HTTPS(REST) Active Directory 前回同期から変更のある ID情報のみを伝播 該当ADのドメイン内の Windowsサーバ/端末に配置 同期対象のユーザーやグループ、属性の マッピング、同期頻度などの設定 OCI IAM Identity Domain
  24. Active Directoryへの委任認証 Active DirectoryのID/パスワードを用いた認証 Copyright © 2022, Oracle and/or its

    affiliates 28 管理  ADへアクセス可能なWindowsサーバ/端末にID情報同期エージェント「AD Bridge」を配置することで Identity DomainからADへの委任認証(認証の委託)が可能  ユーザーはADのID/パスワードを指定しIdentity Domainへログイン可能 (ADとのID情報同期を実施している前提)  AD BridgeからOCI IAMへの片方向の通信のみ発生 ※エージェントとOCI IAM間でHTTPS通信ができる必要があります。 AD Bridge ①認証依頼の確認/検知 社内ネットワーク ②認証依頼 ③認証結果送付 プ ロ キ シ ・ サ ー バ LDAP HTTPS(REST) Active Directory 該当ADのドメイン内の Windowsサーバ/端末に配置 Identity Domain ログイン画面 利用者 ADのID/パスワードを指定 OCI IAM Identity Domain
  25. OCI IAM Identity Domain カスタム属性の追加・管理 管理するユーザー属性の追加 Copyright © 2022, Oracle

    and/or its affiliates 29  デフォルトで用意されているユーザー属性に加えてカスタム属性を適宜追加可能  GUIにより属性定義が可能  追加したカスタム属性への値登録・変更が可能 ユーザー名(統合ID) 姓 名 Emailアドレス 住所 ・・・・・・ 【ユーザー属性】 権限用属性AA 職位用属性BB ・・・・・・ ・・・・・・ デフォルト属性 カスタム属性 【カスタム属性の定義】 管理
  26. ユーザー管理権限の委任 グループ会社や部門に所属するユーザー管理を委任 Copyright © 2022, Oracle and/or its affiliates 30

    管理  あるグループ(グループ会社グループ、部門用グループなど)に属するユーザーに対象を限定した管理者を設定して、 ユーザー管理を委任することが可能 ※ユーザーの新規登録や管理対象のグループへのユーザーの追加には別途権限が必要 委任管理者となるユーザーを選択して、 管理対象となるグループを指定 OCI IAM ユーザー管理者 自社ユーザー パートナーA社管理者 パートナーB社管理者 パートナーA社グループ パートナーB社グループ
  27. セルフ・サービスのパスワード・リセット セルフ・サービスによりヘルプ・デスクの負担を軽減 Copyright © 2022, Oracle and/or its affiliates 31

    管理  ユーザーはWeb画面経由で自分自身でパスワードのリセットが可能 ユーザーはログイン画面からパスワードのリセットを申請 登録されているユーザーのメール・アドレスに、パスワードを再設定するためのリンクを送付 • 本人確認の手段として、メール以外にSMSや秘密の質問も利用可能 ログイン画面でパスワードのリセットを申請 メールで送られるリンクからパスワードを再設定 一般利用者 メール
  28. メール通知 ヘルプ・デスクの負担を軽減 Copyright © 2022, Oracle and/or its affiliates 32

    管理 メールによるイベントの通知機能  新規登録案内とアカウントの有効化  パスワードの自己リセット(失念時)  アカウントのロック、ロック解除  アカウントの有効化、無効化  管理者によるプロファイル変更  etc. 各イベントごとに、通知のON/OFFや メール内容のカスタマイズ(言語毎) が可能 ユーザーに通知するイベントの選択 テンプレートによるメールの内容のカスタマイズ
  29. OCI IAM Identity Domain 監査・統制情報 レポートによる利用状況の監査 Copyright © 2022, Oracle

    and/or its affiliates 33 管理  アクセス証跡を自動的に保持  アクセス証跡をレポートとして確認 <レポート種類>  ログインの成功、失敗  アプリケーションへのアクセス  アプリケーションのロールの割り当て  一定期間ログインしていないユーザー  ユーザーへの通知の履歴  操作履歴などの監査情報 <レポート種類>  Web  CSV  JSON(REST API利用) JSON 画面 CSV ダウンロード Web REST API 管理者
  30. REST APIの公開 APIファースト: GUIで操作可能な機能はREST APIでも提供 Copyright © 2022, Oracle and/or

    its affiliates 34 開発  次のようなアドオンの開発が可能  監査情報を取得して分析  独自のユーザー管理、グループ管理  ログイン画面の完全なカスタマイズ  パスワードリセットの外部実装  SAML/OAuthアプリケーションの登録  APIの認証・認可にはOAuthを利用  REST API https://docs.oracle.com/en/cloud/paas/iam-domains-rest-api/index.html REST API OCI IAM Identity Domain
  31. ログイン画面のカスタマイズ 標準のログイン画面をカスタマイズするための、次の3つの方式を提供 Copyright © 2022, Oracle and/or its affiliates 35

    開発 1. HTMLの記述によるロゴや文言、背景の簡易な変更 2. スクラッチのログイン画面の構築 ※スクラッチ画面アプリケーションが稼働するサーバが別途必要 3. CMSを提供するOracle Content Management (OCM) によるログイン画面の差し替え ロゴや文言、背景の変更 Oracle CMSと連携した ログイン画面の作成 スクラッチのログイン画面の構築
  32. 複数のアイデンティティ・ドメインの管理 各アイデンティティドメイン(インスタンス)の管理集約と権限分離 Copyright © 2020, Oracle and/or its affiliates 36

     1つのテナントに複数のアイデンティティ・ドメインを作成することが可能 ※上限値制限あり  それぞれのアイデンティティ・ドメインのデータ(ユーザー、グループ、設定)は独立して保持  異なるコンパートメントに各アイデンティティ・ドメインを作成することでアイデンティティ・ドメインへのアクセス制御を実現 ※コンパートメント:OCIの機能となり、リソースへの権限分掌を行う論理的な境界のこと テナント:001 テナント管理者 コンパートメント:A社 ユーザー (A社従業員) グループ 設定 コンパートメント:B社 ユーザー (B社従業員) グループ 設定 A社業務アプリ群 B社業務アプリ群 テナント管理者による アクセスが可能 アイデンティティ・ドメイン (A社用) アイデンティティ・ドメイン (B社用) 他コンパートメントへ アクセス不可 Defaultアイデンティティ・ドメイン (テナント管理者用) 構成 利用者や使い方に応じて 課金タイプを選択可能 ※課金タイプの説明は後続参照