Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Oracle Identity Cloud Service 機能概要

Oracle Identity Cloud Service 機能概要

Oracle Identity Cloud Service の機能の概要をご紹介する資料です。

oracle4engineer

February 15, 2021
Tweet

More Decks by oracle4engineer

Other Decks in Technology

Transcript

  1. Safe harbor statement The following is intended to outline our

    general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, timing, and pricing of any features or functionality described for Oracle’s products may change and remains at the sole discretion of Oracle Corporation.
  2. 提供サービス 取引先 インターネット 3 Copyright c 2020 Oracle and/or its

    affiliates. Oracle Identity Cloud Service オンプレミスや IaaS上の システム 社員 社内ネットワーク 顧客 • 二 要 素 認 証 • リ ス ク ・ ベ ー ス 認 証 • IP ホ ワ イ ト リ ス ト フ ェ デ レ ー シ ョ ン に よ る シ ン グ ル ・ サ イ ン オ ン Oracle Identity Cloud Service Application Gateway Bridge SSO(シングル・サインオン) フェデレーションの標準に対応 (SAML、OAuth、OpenID Connect) SNSやADFSなどの外部IdPの 認証の引継ぎ オンプレミス用のエージェント (Application Gateway) 認証強化 多要素認証、リスク・ベース認証 IPホワイト・リスト、IPブラック・リスト その他(認可、監査、APIなど) Oracle Cloud認証基盤、認可、 セルフサービス(パスワード忘れ)、 監査、統計レポート、RESP API ID管理 ID管理、セルフ・サービス機能 SaaSへのIDの伝播、ADやOID からの同期エージェント(Bridge) Oracle Identity Cloud ServiceはクラウドとオンプレミスのSSOと認証強化、認可を 実現します。またID管理や他のクラウド・サービスとのID情報の同期も提供します。
  3. 4 Copyright c 2020 Oracle and/or its affiliates. SAMLやOAuth、OpenID Connectのようなフェデレーションの標準技術を利用して、他社SaaSやOracle

    Public Cloudにシングル・サインオン カタログに用意されているアプリケーションは、簡単なウィザードによって登録が可能 • 他社SaaSやOracle Public Cloudなど数百種類のアプリケーションをカタログで提供 アプリケーションごとに、ユーザーのアクセスの可否を設定可能 他社SaaSやOracle Public Cloudに対するシングル・サインオン シングル・サインオン SSO
  4. 5 Copyright c 2020 Oracle and/or its affiliates. HTTPヘッダーやCookieによる認証連携でIDCSからシングル・サインオンするためのリバース・プロキ シ

    Application Gateway をVMとして提供 • SAMLやOpenID Connectに非対応なオンプレミスやIaaS上のアプリケーションの保護が可能 • リバース・プロキシのVMを稼働させる環境が必要 次のようなORACLEのオンプレミス製品と連携 • Oracle Access ManagementのエージェントWebGateを IDCSの保護対象として登録 • E-Business Suiteを保護するEBS Asserterを提供 IDCSでクラウドとオンプレミスのどちらもカバー オンプレミス・システムの保護 Web Apps Web Apps Oracle Apps SSO
  5. Copyright c 2020 Oracle and/or its affiliates. Oracle Access ManagementやAzure

    AD、ADFS(Active Directory Federation Service)など、SAMLのIdP をマスターとする認証連携が可能 • IDCSがSPとなる、既存の認証基盤をマスターにした2段階の認証連携が可能 ADFSなど既存の認証基盤をマスターとする認証連携 外部認証システム連携 SAMLのフェデレーションによる認証連携 IdP SP SP IdP SP SP フェデレーションによる認証連携 ① ② ③ SSO 6 OAM
  6. 7 Copyright c 2020 Oracle and/or its affiliates. FacebookやTwitterなどのSNSやSaaSを認証マスターとして、それらのアカウントを利用してIDCSにシ ングル・サインオン

    SNSのアカウントとの紐付け方法 • ソーシャル・アカウントに対応するアカウントをIDCSに動的に作成 • IDCSにログイン後、既存のソーシャル・アカウントを指定して紐付け SNSとIDCSはOpenID Connectを利用してフェデレーション SNSなどの外部サービスをマスターとするID・認証連携 ソーシャル・ログイン SSO 動的なユーザーの作成 / IDCSへのフェデレーション IDCSのログイン画面 で、SNSのアカウント の利用を選択 IdP RP ① ② ③ SNSのアカウント 情報の取得 IDCSによるアカウン ト情報の利用に同意 ④
  7. 8 Copyright c 2020 Oracle and/or its affiliates. サインオン・ポリシー機能で次のように認証の可否、再ログインや二要素認証の要求を設定 •

    リスク・スコアや端末のIPアドレスなどの条件を、IDCSにログインしたり、アプリケーションにSSO したりする時点で評価 リスク・スコアとIPアドレスなどで認証の可否や二要素認証の強制をルール化 認証ポリシーと多要素認証による認証強化 IDとパス ワードによ るログイン アプリケーションでの 通知への応答 SMSによるワンタ イムパスワード アプリケーションでの ワンタイムパスワード 秘密の質問 メールによる ワンタイムパスワード 多要素認証 パスワード ID ログイン インター ネット サインオン ・ポリシー • リスク・ スコア • IPアドレス • 所属 グループ 疑わしい アクセス 社内 ネットワーク SSO 対象アプリ ケーション 認証強化
  8. サインオン・ポリシー 9 Copyright c 2020 Oracle and/or its affiliates. SSO対象のアプリケーションごとに次のようなサインオン・ポリシーを設定可能

    1つのサインオン・ポリシーで複数のサインオン・ルールを定義可能 アプリケーションへのSSOのルールを定義するサインオン・ポリシー機能 認証ポリシー インター ネット 社内 ネットワーク サインオン・ポリシー 1 サインオン・ポリシー 2 サインオン・ポリシー 3 サインオン・ポリシー 4 サインオン・ルールの例 社外からのアクセス + 管理者権限 ログイン拒否 社内からのアクセス パスワード認証 社外からのアクセス 二要素認証 認証強化 条件 リスク・スコアの値 端末のIPアドレス 所属グループ IDCSの管理者権限の有無 対処 ログインの許可 ログインの拒否 再ログインの強制 二要素認証の強制
  9. 10 Copyright c 2020 Oracle and/or its affiliates. リスク・スコアの算出 •

    ユーザーの疑わしい行動履歴から、リスク・スコアを算出 リスク・スコアの高いユーザーに追加認証の要求やログインの禁止 • リスク・スコアに応じて二要素認証の要求やログインの禁止などの措置をポリシーとして指定して、 アカウントの乗っ取りを防止 • 利用者の利便性を損なわずに認証を強化 - 通常はIDとパスワードでログインし、リスク・スコアが高い場合にのみ二要素認証を必須にするような設定 が可能 リスク・ベース認証を提供するアダプティブ・セキュリティ機能 リスク・ベース認証 通常はパスワード認証、 リスク・スコアが高い場合 のみ二要素認証を要求 What Where Who App App 常に二要素認証を要求 認証強化
  10. 11 Copyright c 2020 Oracle and/or its affiliates. 次の項目について管理者が個別にスコアを設定し、 合計値をリスク・スコアとして利用

    • ログインの失敗 • MFAの試行 • 未知の端末からのアクセス • 疑わしいIPからのアクセス • 通常とは異なる場所からのアクセス • 一定時間内の移動距離 増加したリスク・スコアは、ユーザーが異常な行動を しなければ、時間の経過に応じて減少 アダプティブ・セキュリティ機能のリスク・スコア算出項目 リスク・ベース認証 認証強化
  11. 12 Copyright c 2020 Oracle and/or its affiliates. サインオン・ポリシーで利用可能なIPアドレスの指定をネットワーク・ペリメータとして定義 •

    複数のIPアドレスやIPアドレスの範囲指定が可能 • サインオン・ルールでネットワーク・ペリメータを指定 • プロキシ・サーバのIPアドレスを指定して、社内ネットワークからのアクセスのみを許可したり、さ らにインターネットからのアクセスでは二要素認証を必須にしたりすることが可能 ネットワーク・ペリメータ機能によるIPフィルタリング IPフィルタリング サインオン・ポリシー インター ネット 社内 ネットワーク サインオン・ポリシー 1 サインオン・ポリシー 2 サインオン・ポリシー 3 サインオン・ルールの例 ルール 1 ルール 2 プロキシ ・サーバ パスワード認証 二要素認証 ネットワーク・ペリ メータの指定なし プロキシ・サーバの IPアドレス 指定するネット ワーク・ペリメータ 認証強化 SSO 対象アプリ ケーション
  12. 多要素認証 ワンタイム・パスコード 13 Copyright c 2020 Oracle and/or its affiliates.

    次のような二要素認証による認証の強化 • ワンタイム・パスコード: メール、SMS、スマートフォン用アプリケーション • (より簡便な)スマートフォン用アプリケーションでの応答操作 • (非常用の)事前生成のコード • 秘密の質問 サインオン・ルールで指定可能な複数の手段を提供 二要素認証 アプリケーション での通知への応答 秘密の質問 インターネット 社内 ネットワーク メール SMS スマートフォン用 アプリケーション 事前生成 のコード IDとパス ワードによる ログイン パスワード ID ログイン 認証強化
  13. 14 Copyright c 2020 Oracle and/or its affiliates. 管理者は任意の二要素認証の手段を選択して有効化することが 可能

    スマートフォ用のアプリケーションはApp StoreやGoogle Play から入手が可能 一度二要素認証をパスすると、指定した日数の間同一のWebブラ ウザからのアクセスでは二要素認証を免除するオプションを提供 二要素認証の有効化 二要素認証 認証強化
  14. ID管理 15 Copyright c 2020 Oracle and/or its affiliates. Oracle

    Public Cloudのユーザーやグループの管理 • Web画面、CSV、REST APIによるユーザーの管理 • パスワード忘れ対応などのセルフ・サービス機能 • ERP Cloudや他社SaaSとのユーザー情報の同期 Oracle Public Cloudのユーザーやグループを一元的に管理 ID管理
  15. 16 Copyright c 2020 Oracle and/or its affiliates. 委任管理の利用で、あるグループに属するユーザーに対象を限定した管理者を設定して、ユーザーの管 理を委任することが可能

    • 例えばグループ会社や部門のグループを作成して、そのグループに属するユーザーの管理を委任する ような運用が可能 • ユーザーの新規登録や管理対象のグループへのユーザーの追加には別途権限が必要 グループ会社や部門に所属するユーザーの登録、変更や削除を委任 ユーザー管理権限の委任 ID管理 委任管理者となるユーザーを選択し て、管理対象となるグループを指定
  16. データの同期エージェント AD BridgeによりADをマスターとして ユーザーとグループ情報をIDCSに同期 IDCSで更新されたID情報をADに反映 Active Directory(AD)をマスターとしてID情報を管理している環境で、Identity Cloud Service(IDCS)のID情報も一元管理 Active

    Directory 連携機能の概要: データの伝播 Identity Cloud クラウド オンプレミス インターネット からのアクセス 社内ネットワーク からのアクセス インターネット アクセス 管理 ユーザ 管理 IDCS: スレーブ ユーザー グループ etc. 社内ネットワーク AD: マスター ユーザー グループ パスワード etc. ユーザ同期 AD Bridge Copyright c 2020 Oracle and/or its affiliates. 17 ID管理
  17. 18 Copyright c 2020 Oracle and/or its affiliates. AD Bridgeを利用したADのIDとパスワードによるログイン

    IDCSへのログイン時に、Active DirectoryのIDとパスワードの利用が可能 • HTTPリクエストはAD BridgeからIDCSに対してのみ発生 (IDCSからオンプレミスのADやAD Bridgeに対する通信は発生しない) 2020年7月現在、サポート・センターに対して有効化のリクエストが必要で限定的にご提供 IDCSでのログイン時にADのパスワードを利用 Active Directory のパスワードの利用 • • プ ロ キ シ ・ サ ー バ ID管理
  18. 19 Copyright c 2020 Oracle and/or its affiliates. パスワードを除くユーザーとグループの情報を定期的にIDCSに伝播 IDCSでユーザー情報を更新するとADに反映

    1つのIDCSで複数のAD Bridgeを構成して、複数のADと連携することが可能 オンプレミス環境にインストールするエージェント AD Bridge Active Directory 連携機能の仕組み AD Bridge • 設定情報の取得 • ADを利用したログインや データの更新をチェック 社内ネットワーク IDCSのログイン画面で、AD に保存されているパスワード を入力してログイン • ユーザー情報、グ ループ情報の参照 • パスワードの参照 • データの更新 • ユーザー情報、グループ情報 の伝播 • パスワードが正しくログイン が成功したか否かリターン プ ロ キ シ ・ サ ー バ LDAPS HTTPS(REST) 社内ネットワークからインター ネットの方向の通信のみ発生 ID管理 同期対象のユーザーやグ ループ、属性のマッピング、 同期頻度などを設定 Active Directory
  19. 20 Copyright c 2020 Oracle and/or its affiliates. Oracle E-Business

    Suiteなどで利用されているディレクトリ・サーバ Oracle Internet Directory と連携す るための、オンプレミス環境にインストールする同期エージェント(Provisioning Bridge)を提供 パスワードを除くユーザーとグループの情報を定期的にIDCSに伝播 Oracle Internet Directoryのユーザー、グループ情報をマスターとしてIDCSに同期 Oracle Internet Directory 連携機能 Provisioning Bridge • 設定情報の取得 社内ネットワーク • ユーザー情報 • グループ情報 の参照 • ユーザー情報 • グループ情報 の伝播 プ ロ キ シ ・ サ ー バ LDAPS HTTPS(REST) 社内ネットワークからインター ネットの方向の通信のみ発生 Oracle Internet Directory ID管理 同期対象のユーザーやグ ループ、属性のマッピング、 同期頻度などを設定
  20. 21 Copyright © 2020 Oracle and/or its affiliates. Azure ADからIDCSへのID情報の同期

    Azure AD 連携機能 Azure ADからIDCSに対してユーザー情報やグループ情報を同期するコネクタを構成可能 • IDCSのアプリケーション機能とAzure ADのアプリ ギャラリー機能のどちらでも実現が可能 SAMLによるフェデレーションを構成して、Azure ADからIDCSにシングル・サインオン シングル・サインオンにより、パスワードはマスターとなるAzure ADのみで管理 •社員 Azure AD •一部の社員 Oracle Identity Cloud Service クラウド ・サービス オンプレミス 開発 パートナー ユーザーID ユーザーID クラウド ・サービス 本社社員 グループ 会社社員 ID情報の同期 シングル・ サインオン パスワード の管理なし Web業務 アプリ ケーション Oracle PaaS、 Oracle SaaS、 他社クラウド・サービス など ID管理 IDCSのアプリケーション もしくは Azure ADのアプリ ギャラリー
  21. 22 Copyright © 2020 Oracle and/or its affiliates. IDCSの機能とAzure ADの機能を利用した場合の比較

    Azure AD 連携機能 機能 IDCS (Microsoft Azure アプリケーション) Azure AD (Oracle Cloud Infrastructure) ID情報の伝播の方向 IDCSからAzure AD Azure ADからIDCS ユーザーの作成・更新・削除の同期 〇 〇 ユーザーのパスワードの同期 ✖ ✖ 属性のマッピングの定義 IDCS側 Azure AD側 同期対象となるユーザー Azure ADの全ユーザー Azure ADで指定した ユーザーとグループ ID管理 IDCSとAzure ADの両方が、ID情報をRESTで操作するための標準であるSCIMインターフェースと、他 のサービスのSCIMインターフェースを呼び出してID情報を同期するためのコネクタ機能を提供してお り、IDCS側でID情報の同期を実現することも、Azure AD側で実現することも可能 • IDCSの機能で実現する場合、IDCSの「Microsoft Azure アプリケーション」機能を構成して、IDCS からAzure ADに定期的にID情報を参照 • Azure ADの機能で実現する場合、Azure ADの「Oracle Cloud Infrastructure」で「Provisioning」 を構成して、Azure ADからIDCSにID情報を伝播
  22. 23 Copyright © 2020 Oracle and/or its affiliates. 2つのIDCSの間でのID情報の同期 2つのIDCSの連携

    IDCS間のID情報の同期とシングル・サインオンの構成で利用者、運用者の課題を解決 • IDCS間でユーザーやグループ情報を同期するコネクタを構成 • SAMLによるフェデレーションを構成して、IDCS間でシングル・サインオン • シングル・サインオンにより、パスワードはマスターとなるIDCSのみで管理 •本社 •本番 Oracle Identity Cloud Service •グループ会社 •検証、開発 Oracle Identity Cloud Service クラウド ・サービス オンプレミス 開発 パートナー ユーザーID ユーザーID クラウド ・サービス 本社社員 グループ 会社社員 シングル・ サインオン パスワード の管理なし Web業務 アプリ ケーション ID情報の同期 ID管理
  23. 24 Copyright © 2020 Oracle and/or its affiliates. IDCSのGenericSCIMコネクタによるデータの伝播の方向と機能の比較 2つのIDCSの連携

    機能 認可同期 オフ 認可同期 オン ID情報の伝播の方向 GenericSCIMコネクタを構成する IDCSから、SCIMインターフェースを 呼び出されるIDCSにID情報を伝播 SCIMインターフェースを呼び出される IDCSから、GenericSCIMコネクタを構 成するIDCSにID情報を伝播 ユーザーの作成・更新・削除、 アクティブ/非アクティブの同期 〇 〇 ユーザーのパスワードの同期 ✖ ✖ 同期対象となるユーザー 指定したユーザーのみ 全ユーザー グループの作成・更新・削除の同期 ✖(グループはマッピングのみ) 〇 ID情報を同期するタイミング リアルタイム バッチ(一定間隔) IDCSではID情報をRESTで操作するための標準であるSCIMインターフェースと、他のサービスのSCIM インターフェースを呼び出してID情報を同期するためのコネクタ機能「GenericSCIMコネクタ」を提供 IDCSのGenericSCIMコネクタでは「認可同期」のオン、オフにより、ID情報の伝播の方向を設定 • ID情報の伝播の方向と合わせて、利用可能な機能や伝播の対象となるID情報も一部異なる ID管理
  24. 25 Copyright c 2020 Oracle and/or its affiliates. ユーザーは自分自身でパスワードのリセットが可能 •

    ユーザーはログイン画面からパスワードのリセットを申請 • 登録されているユーザーのメール・アドレスに、パスワードを再設定するためのリンクを送付 - 本人確認の手段として、メール以外にSMSや秘密の質問も利用可能 セルフ・サービスによりヘルプ・デスクの負担を軽減 セルフ・サービスのパスワード・リセット ID管理 ログイン画面でパスワードのリセットを申請 メールで送られるリンクからパスワードを再設定
  25. 26 Copyright c 2020 Oracle and/or its affiliates. イベントに対応したメール通知 •

    新規アカウント登録、アカウントの有効化 • 管理者によるプロファイル変更 • アカウントのロック、ロック解除 • パスワードの変更、リカバリ ユーザーへの通知を自動化して、ヘルプ・デスクの負担を軽減 メール通知 テンプレートによるメール の内容のカスタマイズ ID管理 ユーザーに通知する イベントの選択 通知メールのカスタマイズ • イベントごとに次の設定が可能 • メールの通知の有無 • メールの内容
  26. 27 Copyright c 2020 Oracle and/or its affiliates. 標準のログイン画面をカスタマイズするための、次の3つの方式を提供 •

    HTMLの記述によるロゴや文言の簡易な変更 • CMSを提供するPaaS Oracle Content and Experience (OCE) によるログイン画面の差し替え • JavaScriptによるスクラッチのログイン画面の構築 用途に応じた最適なカスタマイズ方法を提供 ログイン画面のカスタマイズ API
  27. 28 Copyright c 2020 Oracle and/or its affiliates. 次のようなアドオンの開発が可能 •

    監査情報を取得して分析 • 独自のユーザー管理、グループ管理 • ログイン画面の完全なカスタマイズ • パスワードリセットの外部実装 • SAML/OAuthアプリケーションの登録 APIファースト: GUIで操作可能な機能はREST APIでも提供 REST APIの利用 API REST API • REST API https://docs.oracle.com/en/cloud/paas/identity -cloud/rest-api/index.html • APIの認証・認可にはOAuthを利用
  28. 29 Copyright c 2020 Oracle and/or its affiliates. IDCSはIdentity Providerとして機能し、Relying

    Partyのリソースを保護 • IDCSはOracle Public Cloudの標準のIdPとしてデフォルトで構成 • API管理サービスで保護する他社APIについては手動で構成 OAuthによるOracle Public Cloudや他社API、他社アプリケーションの保護 APIの保護 API管理 サービス Oracle SaaS Oracle PaaS 他社 API 他社 アプリ ログイン 認可
  29. 30 Copyright c 2020 Oracle and/or its affiliates. レポートの種類 •

    ログインの成功、失敗 • アプリケーションへのアクセス • アプリケーションのロールの割り当て • 一定期間ログインしていないユーザー • ユーザーへの通知の履歴 • 操作履歴などの監査情報 統計情報や監査情報を90日間保持して参照可能 監査情報、統計情報 監査 ダウンロード Web REST API レポートの種類 • Web • PDF、CSV • JSON(監査情報)
  30. 31 Copyright c 2020 Oracle and/or its affiliates. Oracle Identity

    Cloud Serviceは、現在次のようなコンプライアンスの標準に対応 最新の対応状況は次のサイトで公開 https://www.oracle.com/jp/cloud/cloud-infrastructure-compliance/ グローバルな業界標準に対応 コンプライアンスの標準への対応 コンプライアンス 名称 内容 HIPAA 医療保険の携行性と責任に関する法律 ISO/IEC 27001:2013 国際標準化機構27001 ISO/IEC 27017:2015 ISO/IEC 27002に基づくクラウドサービスのための情報セキュリティ管理策の実践 規範 ISO/IEC 27018:2014 PII処理者としてパブリッククラウド内で個人情報(PII)を保護するための実践の 規範 PCI DSS ペイメントカード業界データセキュリティ基準
  31. 32 Copyright c 2020 Oracle and/or its affiliates. クラウド・アカウントご契約時にPrimary IDCSがホーム・リージョンに作成され、OCIの管理画面やMy

    Service画面への認証で利用できるように、自動的にフェデレーションおよびID情報の同期が構成される クラウド管理者はIDCSのインスタンスを追加することが可能で、OCIの管理画面やほとんどのPaaSで フェデレーションおよびID情報の同期を構成するIDCSのインスタンスを選択することが可能 本番環境と検証環境や、グループ会社でインスタンスを分けた運用が可能 複数のIDCSのインスタンスの利用 Oracle Cloud IDCS OCI 管理画面 IDCS IDCS Primary Secondary Third My Service 画面 ク ラ ウ ド ・ ア カ ウ ン ト
  32. クラウド・アカウント XYZ データ・リージョン アジア太平洋 データ・センター 東京(ホーム・リージョン) 33 Copyright c 2020

    Oracle and/or its affiliates. 初期状態で存在するサービス 利用者が作成するサービス • OCIでは、ユーザー、グループ、認証、認可などを管理するIAM(Identity and Access Management) という単独でも利用可能な機能が、クラウド・アカウントにつき1つ存在 • My Servicesは各データ・リージョンごとに、特定のデータ・センターに存在 (以前はMy ServicesでもShared IDMとしてユーザーやグループを管理し、IDCSとデータを同期) • IDCSは各データ・リージョンごとに、いずれかのデータ・センターに1つ以上存在 IDCSとOCIのIAMの配置 OCI PaaS コンパート メント IDCS OIC 2 OAC 2 データ・ リージョン 北米 データ・ リージョン 中南米 データ・ リージョン 欧州 IAM IDCS 2 IDCS 3 データ・ センター シドニー データ・ センター インド My Services OIC 1 OAC 1 白字 白字 コンパー トメント 2 Oracle Cloud
  33. OCI 34 Copyright c 2020 Oracle and/or its affiliates. IDCSユーザー(同期済みユーザー)とIAMユーザー(ローカル・ユーザー)

    ユーザーの管理 IDCS • • • • • IAM • • Oracle Cloud • IAMユーザーもIDCSユーザー(同期済みユーザー)も、どちらもOCIの管理画面を利用することが可能 • OCIで稼働するPaaSなどのサービスのID情報の参照先がIDCSであるかIAMであるかは、サービスに よって異なる
  34. OCI IDCS 35 Copyright c 2020 Oracle and/or its affiliates.

    IDCSからIAMへのフェデレーションの構成とグループのマッピング フェデレーションとグループ・マッピング コンパートメント A • • • • • • • • IAM • Oracle Cloud • OCIはIDCSにSCIMでアクセスして、ユーザーのグループ情報を参照しIAMのグループにマッピング • OCIの管理画面からIDCSのユーザーを作成することも可能
  35. 36 Copyright © 2020 Oracle and/or its affiliates. IDCSとOCIのIAMが提供する機能の比較 機能

    OCI IAM IDCS 認証 OCI コンソールの認証 ◯ ◯ OCI の API / CLI / SDK の認証 ◯ ◯ Oracle の PaaS や SaaS の認証 × ◯ 外部のクラウドサービスへのシングル・サインオン × ◯ ユーザー・アプリケーションへのシングル・サインオン × ◯ 外部 認証 Microsoft Active Directory Federation Service による外部認証 ◯ ◯ SAML 2.0 IdPによる外部認証 ◯ ◯ OpenID Connect 1.0 プロバイダーによる外部認証 × ◯ ユーザー 同期 Microsoft Azure Active Directory とのユーザー同期 △(グループ数に制限) ◯ (SCIM) Microsoft Active Directory とのユーザー同期 △(ADFSが必要、 グループ数に制限) ◯ (AD Bridge) Oktaとのユーザー同期 ◯ (SCIM) ◯ (SCIM) Oracle Cloud
  36. 37 Copyright © 2020 Oracle and/or its affiliates. IDCSとOCIのIAMが提供する機能の比較 機能

    OCI IAM IDCS 高度な 管理機能 多要素認証 ◯ (TOTP) ◎ TOTP(SMS、メール、モバ イル・アプリ)、秘密の質問 IPフィルタリングによるログインの制御 ◯ ◯ リスク・ベースの高度な認証制御 × ◯ セルフ・サービスのパスワード・リセット ◯ (メールによる本人確認) ◎ (メール、SMS、秘密の質問 による本人確認) ログイン画面のカスタマイズ × ◯ レポート ◯ (APIによる取得) ◎ デプロイ クラウド・アカウント(テナンシー)での配置 全リージョンで共用 (テナンシーあたり1つ) データ・リージョン内で共用 (日本国内では東京もしくは 大阪で利用可能) インスタンスは追加可能 Oracle Cloud