Upgrade to Pro — share decks privately, control downloads, hide ads and more …

【OracleCodeNight#15】OCIの新認証基盤について知ろう / Overview_OCI IAM Identity Domains

【OracleCodeNight#15】OCIの新認証基盤について知ろう / Overview_OCI IAM Identity Domains

1/25に実施しましたOracle Code Night 第15回スキルアップセミナー「OCIの新認証基盤について知ろう」にて投影した資料となります。
資料中には、セミナー中にいただきましたご質問への回答も記載させていただきました。

oracle4engineer

January 26, 2022
Tweet

More Decks by oracle4engineer

Other Decks in Technology

Transcript

  1. 本セミナーに関する注意点 2 Copyright © 2022, Oracle and/or its affiliates 本セミナーでご紹介する内容は2022年1月25日時点のものとなります。最新情報につい

    ては必ずオラクル公式ドキュメントにてご確認ください。また、資料作成には十分配慮してお りますが、内容に齟齬がある場合、公式ドキュメントの記載を正といたします。 本セミナーでは2021年11月にリリースされた“OCI IAM Identity Domains”の概要の ご紹介を主旨としております。機能の詳細につきましては、オラクル公式ドキュメントもしくは OCI活用資料集にてご確認いただきますようお願いいたします。 ※ ドキュメントのURLについては「5.参考情報」に記載しておりますので、こちらを参照いただくか、または “OCIドキュメント” “OCI活用資料集” でWeb検索してください。
  2. Agenda 3 Copyright © 2022, Oracle and/or its affiliates 1.

    OCI IAM Identity Domains 概要 2. OCI IAM Identity Domains 操作イメージ(管理者編) 3. OCI IAM Identity Domains 操作イメージ(一般ユーザー編) 4. 簡易デモ 5. Q&A 6. 参考情報
  3. Agenda 4 Copyright © 2022, Oracle and/or its affiliates 1.

    OCI IAM Identity Domains 概要 2. OCI IAM Identity Domains 操作イメージ(管理者編) 3. OCI IAM Identity Domains 操作イメージ(一般ユーザー編) 4. 簡易デモ 5. Q&A 6. 参考情報
  4. おさらい:これまでのオラクルクラウドのIAMサービス OCI IAMとIdentity Cloud Service(IDCS)の2種類のIAMサービスが存在 5 Copyright © 2022, Oracle

    and/or its affiliates IDCS 3rd-Party Apps On-Prem Apps OCI IAM OCI PaaS Apps • BtoE/BtoC向け統合認証基盤 • Oracleアプリ、他社クラウドアプリ、 オンプレミスアプリに対する認証統合 • 多要素認証やサインオンポリシーに よる認証強化 • AzureADやTwitter等の外部IdP との連携 • ブリッジやSCIMによるユーザー同期 • Linux PAMやRadius Proxy • OCI NativeのIAMサービス • OCIリソースへのアクセス制御 • アクセス制御のためのグループや ポリシー定義 • AzureAD等との外部IdP連携 • 多要素認証 フェデレーション
  5. おさらい:これまでのオラクルクラウドのIAMサービス Oracle CloudのID管理サービス 6 Copyright © 2022, Oracle and/or its

    affiliates IaaS PaaS SaaS Oracle Cloud Infrastructure ・OCI IAMによるID管理 ERP/EPM/HCM ..etc ・独自のID管理機能 Oracle Identity Cloud Service (IDCS) Analytics Cloud Content Management ..etc ・IDCSによるID管理
  6. おさらい:これまでのオラクルクラウドのIAMサービス IDCSとOCI IAMの違いについて 7 Copyright © 2022, Oracle and/or its

    affiliates IDCS OCI IAM OCIのリソースに対してアクセス権を制御する仕組み 以下のようなID管理の概念を利用 ✓ プリンシパル (Principals) ✓ ユーザー (IAM Users) ✓ グループ (Groups) ✓ ポリシー (Policies) ✓ コンパートメント (Compartments) IDaaSにカテゴライズされる統合認証基盤のサービス OCIを含む様々なクラウドサービスやオンプレミスのアプリ ケーションに対して認証連携を実現 主に以下のような機能を提供 ✓ 認証連携(シングル・サインオン) ✓ MFAとリスクベース認証 ✓ ソーシャル・ログイン ✓ サインオン・ポリシーによるアクセス制御 ✓ 一元化されたID管理 ✓ REST API ✓ 監査・レポート
  7. おさらい:IDCSとOCI IAMの運用上の考慮点 ログイン方法やパスワード管理で混乱を避けるため、基本的には どちらかで統一する 8 Copyright © 2022, Oracle and/or

    its affiliates IDCS で管理していく場合 OCI IAM で管理していく場合 • すべて無償の範囲で行える(IDCSほど高機能で はないがIPホワイトリストや多要素認証は可能) • OCIの権限管理はIAMのみを考慮すれば良い • ユーザー作成は逐次、または、CLIやAPIを経由 • IAMユーザーで利用可能なサービスは、OCIに閉 じたもののみ • 多要素認証や IP ホワイトリストなどIAMと比較して 高機能だが有償の範囲となる • IAMでの権限管理だけでなく、IDCS側での管理 についても考慮が必要 • IDCSで作成したグループは、IAM側のグループと マッピングしなければならない • ユーザーやグループの一括インポートが可能 • OCI以外のOracle Cloudサービスも利用可能
  8. 新しいIAMサービス:OCI IAM Identity Domains OCI IAMとIdentity Cloud Service(IDCS)を統合 9 Copyright

    © 2022, Oracle and/or its affiliates OCI IAM Identity Domains OCI Apps 3rd-Party Apps On-Prem Apps PaaS これまでのOCI IAMの価値を継続 • OCI NativeのIAMサービス • OCIリソースへのアクセス制御 • アクセス制御のためのグループや ポリシー定義 等々 これまでのIDCSの価値を継続 • BtoE/BtoC向け統合認証基盤 • 他社クラウドやオンプレミスアプリとの認証統合 • 認証強化(MFAやアダプティブセキュリティ等) • ブリッジやSCIMによるユーザー同期 等々
  9. OCI IAM Identity Domains 特徴と主要機能 10 Copyright © 2022, Oracle

    and/or its affiliates Oracle IaaS/PaaS/SaaSの アクセス・コントール・プレーン OCI IAM Identity Domains 認証連携・SSO (Outbound) • フェデレーション認証連携 • SAML, OIDC, OAuth • 事前連携定義の利用 • App Gatewayによる連携 • RADIUSプロキシ • Linux PAM **** Oracle Cloud IaaS/PaaS アクセスコントロール • シンプルなポリシー構文 • グループベースアクセス制御 • 動的グループの管理 • OCIコンパートメントの管理 • リソースタグの管理 IDライフサイクル管理 • Console | CLI | APIs • ユーザー/グループ管理 • ユーザーセルフサービス • SCIMによる ユーザー・グループ同期 • ADとのユーザー・グループ同期 • カスタムスキーマ(属性) ! ? ✓ 認証連携・認証強化 (Inbound) • ID/パスワード認証 • 外部IdP認証連携 • ソーシャル(SNS)認証連携 • 多要素認証 • アダプティブセキュリティ • 認証委任 OATH OAuth FIDO2 REST APIs SAML OIDC SCIM ハイブリッド環境における エンタープライズ向け統合認証基盤 アプリケーション開発者に 使いやすいIAMエンジン 旧OCI IAM機能 + 旧IDCS機能
  10. Identity Domainの考え方 11 Copyright © 2022, Oracle and/or its affiliates

    Oracle Cloud Infrastructure (OCI) Tenancy • テナンシー作成時に必ず1つのDefault Identity Domainがルートコンパートメントに作成される • テナンシーには複数のIdentity Domainを持つことが可能 (1つのIDCSインスタンス=1つのIdentity Domain のイメージ) • Identity Domainには5つのタイプ(課金タイプ)があり、用途に応じてユーザー自身がタイプを決定(変更)する ✓ Free ✓ Oracle Apps ✓ Oracle Apps Premium ✓ Premium ✓ External User • それぞれのIdentity Domainにてユーザーやグループ、設定を独立して保持 OCI IAM Identity Domains Default アイデンティティ・ドメイン (for OCI Resourceアクセス制御) Authentication and IAM policies for VCNs, Compute, Containers, Storage, Analytics, etc. 追加 アイデンティティ・ドメイン (for 認証基盤 etc) Access Management for Oracle SaaS/ 3rd Party Cloud Service/ Custom Web Applictions, etc Free Oracle Apps Oracle Apps Premium Premium External User Identity Domainタイプ ID 設定 グループ ID 設定 グループ
  11. Identity Domainタイプ概要 12 Copyright © 2022, Oracle and/or its affiliates

    • OCI IAM - Identity Domainに5つのタイプ(課金タイプ)を用意 • 各Identity Domainには異なる機能セットとオブジェクト制限、サービス制限(タイプ別の個数制限)あり タイプ Free Oracle Apps Oracle Apps Premium Premium External User 概要 (Usecase) • テナンシ作成時にデフォルト・ド メインとして作成されるタイプ • OCI IaaSおよびPaaSのリソー スへのアクセス管理 • Oracle SaaS/PaaS/ GBUアプリケーションへの アクセス管理 • Oracle SaaS/PaaS/ GBUアプリケーションへの アクセス管理 • 加えてオンプレミスやOCI IaaS 上のOracleアプリケーション (Oracle EBS、PeopleSoft等)へ のアクセス管理 • 完全なIAM機能を提供し、 すべてのOracleアプリケーション およびOracle以外のアプリケー ションに対するアクセス管理 • 完全なIAM機能を提供しコン シューマ向けのアプリケーションに 対するアクセス管理 機能制限 あり あり あり なし あり オブジェクト 制限 あり あり あり あり あり 利用条件 • 機能/オブジェクト制限範囲内 • 機能/オブジェクト制限範囲内 • Oracle SaaSのアクセス管理 • 機能/オブジェクト制限範囲内 • Oracle SaaSまたはOracle アプリケーションのアクセス管理 • 機能/オブジェクト制限範囲内 • 機能/オブジェクト制限範囲内 • コンシューマ向けの認証 価格 無償 無償 ¥30 (User Per Month) Oracle Cloud Infrastructure Identity and Access Management – Oracle Apps Premium ¥384 (User Per Month) Oracle Cloud Infrastructure Identity and Access Management – Premium ¥1.92 (User Per Month) Oracle Cloud Infrastructure Identity and Access Management – External User
  12. Identity Domainタイプ毎の機能制限 (一部) 13 Copyright © 2022, Oracle and/or its

    affiliates タイプ 機能 Free Oracle Apps Oracle Apps Premium Premium External User Oracle CloudサービスのSSO • • • • • 現在のOCI IAMの機能 • • • • ーー OCIリソースへのアクセス管理 • • • • ーー 動的グループ(OCI用) • • • • ーー OCI固有の資格証明タイプ • • • • ーー サードパーティ・アプリへのアウトバウンドSSO 外部アプリ:2つまで 外部アプリ:2つまで 外部アプリ:6つまで • • サードパーティ・アプリのOAuth/トークン管理 外部アプリ:2つまで 外部アプリ:2つまで 外部アプリ:6つまで • • 汎用SCIMアプリ・テンプレート 外部アプリ:2つまで 外部アプリ:2つまで 外部アプリ:6つまで • • 外部IdPsおよびソーシャル・ログイン 外部IdP:3つまで 外部IdP:3つまで • • • 柔軟なIdPルーティング・ポリシー • • • • • ADからIdentity Domainへの同期 (単方向Active Directory同期) • • • • ーー MFAとアダプティブ・セキュリティ SMSのみ利用不可 • • • • サインオン・ポリシー 3つまで 3つまで • • • App Gatewayの利用 ーー ーー Oracle Applications のみに制限 • • ※外部またはサードパーティ・アプリケーションは、Oracle以外のプロバイダが提供する商用アプリケーション、 またはカスタム開発のアプリケーション(Visual Builder Cloud Serviceを使用してOCIで構築されたアプリケーションなど)として定義されます。 詳細:https://docs.oracle.com/ja-jp/iaas/Content/Identity/sku/overview.htm ※IDCSの考え方から大きく変更した点を中心に記載
  13. タイプ オブジェクト Free Oracle Apps Oracle Apps Premium Premium External

    User 管理ユーザー数 2,000 500,000 500,000 500,000 1,000,000 管理グループ数 50 8,000 50,000 50,000 50,000 グループ内のユーザー 2,000 500,000 500,000 500,000 500,000 Oracle Cloudアプリ 1,000 1,000 1,000 1,000 ーー Oracle以外のアプリケーション 2 2 6 2,000 2,000 サインイン・ポリシー 3 3 100 100 100 外部IdPsおよびソーシャル・ログイン 3 3 20 20 20 ユーザーあたりのAPIキー 2 2 2 2 ーー ユーザーあたりの認証トークン 1 1 1 1 ーー ユーザーあたりのOAuth2クライアント資格証明 8 8 8 8 ーー IAMポリシー 100 100 100 100 ーー 1つのIAMポリシー内のステートメント 50 50 50 50 ーー 動的グループ 50 50 50 50 ーー テナンシーでのネットワークソースグループ 10 10 10 10 ーー Identity Domainタイプ毎のオブジェクト制限 (一部) 14 Copyright © 2022, Oracle and/or its affiliates ※Oracle以外のアプリケーションまたはサードパーティ・アプリケーションは、Oracle以外のプロバイダが提供する商用アプリケーション、 またはカスタム開発のアプリケーション(Visual Builder Cloud Serviceを使用してOCIで構築されたアプリケーションなど)として定義されます。 詳細:https://docs.oracle.com/ja-jp/iaas/Content/Identity/sku/overview.htm
  14. OCI IAM Identity Domainsによる無償・低価格での認証機能提供 OCI IAM Identity Domainsにより無償または低価格で利用できる範囲が広がります 15 Copyright

    © 2022, Oracle and/or its affiliates これまでのケース(IDCS利用) • OCIコンソールアクセスに2要素認証を使いたい ⇒ IDCS有償版を利用 • APEX or VBCSアプリで2要素認証・SSOをしたい ⇒ IDCS有償版を利用 • OCIコンソールアクセスをアクセス元IPアドレスや所属グループで制御したい ⇒ IDCS有償版を利用 ・認証で使うユーザー/グループをActive Directoryから同期したい ⇒ IDCS有償版を利用 • Oracle SaaSの認証に2要素認証を使いたい ⇒ IDCS有償版を利用 ・他社SaaSとOracle SaaSのSSOをしたい ⇒ IDCS有償版を利用 OCI IAM Identity Domains Free ※機能/オブジェクト制限内 Free ※機能/オブジェクト制限内 Free ※機能/オブジェクト制限内 Oracle Apps ※機能/オブジェクト制限内 Oracle Apps Premium OR Free ※機能/オブジェクト制限内 Oracle Apps ※機能/オブジェクト制限内 Oracle Apps Premium OR
  15. OCI IAM Identity Domainsの利用例 16 Copyright © 2022, Oracle and/or

    its affiliates Oracle Cloud Infrastructure (OCI) Tenancy デフォルトドメイン (タイプ:Free) OCIリソース アクセス制御 Oracle PaaS OCI管理者・開発者 PaaS利用者 統合認証基盤用ドメイン (タイプ:Premium) 3rdパーティクラウド カスタムアプリ (On-Prem、On IaaS) Oracle SaaS用ドメイン (タイプ:Oracle Apps) ERP Cloud HCM Cloud Oracle SaaS 従業員 ECサイト用ドメイン (タイプ:External User) ECサイト (On-Prem) ECサイト (On IaaS) ECサイト会員
  16. まとめ:OCI IAM Identity Domainsにより向上した利便性 17 Copyright © 2022, Oracle and/or

    its affiliates 使い分けや個別管理が必要だったオラクルクラウドのID管理の 仕組みが1つに統合され、効率的な運用管理を実現 制限の範囲内であれば、MFAなどの有用な仕組みを無償で 使用可能 オラクルのSaaSやアプリケーションをご利用の場合、より安価な コストで高度な認証強化を実現可能
  17. Agenda 18 Copyright © 2022, Oracle and/or its affiliates 1.

    OCI IAM Identity Domains 概要 2. OCI IAM Identity Domains 操作イメージ(管理者編) 3. OCI IAM Identity Domains 操作イメージ(一般ユーザー編) 4. 簡易デモ 5. Q&A 6. 参考情報
  18. ログイン 19 Copyright © 2022, Oracle and/or its affiliates Default

    Identity DomainのAdministratorグループに所属しているユーザーによる操作イメージ Identity Domain選択 ID/PwD入力 該当テナンシーに存在する Identity Domainが表示される 選択したIdentity Domainに存在する ユーザー名/パスワードを指定 https://cloud.oracle.com へアクセスし、 クラウド・アカウント名を入力
  19. ドメイン一覧 21 Copyright © 2022, Oracle and/or its affiliates 選択したコンパートメントにある

    Identity Domain一覧が表示される Default Identity Domainは ルートコンパートメントにある 選択したコンパートメントにある Identity Domain一覧が表示される
  20. ドメイン作成 22 Copyright © 2022, Oracle and/or its affiliates ドメインタイプを指定

    ※「Oracle Apps」はSaaS契約 テナントのみで選択可能 ドメインタイプ管理者を指定
  21. ドメインの概要 23 Copyright © 2022, Oracle and/or its affiliates IDCSコンソールのメニューと同じ

    ※動的グループが追加 ドメインタイプの変更が可能 ユーザーが追加したドメインは 非アクティブ化が可能 Defaultドメイン 追加ドメイン ユーザーが追加したドメインは ドメインの編集よりドメインタイプ変更が可能
  22. ドメイン内の各種設定 – ユーザー 24 Copyright © 2022, Oracle and/or its

    affiliates ユーザー一覧 ユーザー作成 個別ユーザー詳細
  23. ドメイン内の各種設定 – グループ・動的グループ 25 Copyright © 2022, Oracle and/or its

    affiliates グループ一覧 グループ作成 動的グループ一覧 動的グループ作成
  24. ドメイン内の各種設定 – その他 26 Copyright © 2022, Oracle and/or its

    affiliates アプリケーション の追加 レポート
  25. ポリシー 28 Copyright © 2022, Oracle and/or its affiliates 旧OCI

    IAMと同じ 【注意:ポリシー構文】 Allow group <identity_domain_name>/<group_name> to <verb> <resource-type> in compartment <compartment_name> ※Identity_domain_nameを指定しない場合はDefault Identity Domainsに存在するグループのことになります。
  26. Agenda 30 Copyright © 2022, Oracle and/or its affiliates 1.

    OCI IAM Identity Domains 概要 2. OCI IAM Identity Domains 操作イメージ(管理者編) 3. OCI IAM Identity Domains 操作イメージ(一般ユーザー編) 4. 簡易デモ 5. Q&A 6. 参考情報
  27. 管理権限を保有していないユーザーによるドメイン操作 33 Copyright © 2022, Oracle and/or its affiliates Default

    Identity Domainに ログインしている状態 追加Identity Domainに ログインしている状態 権限がないため Identity Domainの操作はできない
  28. Agenda 34 Copyright © 2022, Oracle and/or its affiliates 1.

    OCI IAM Identity Domains 概要 2. OCI IAM Identity Domains 操作イメージ(管理者編) 3. OCI IAM Identity Domains 操作イメージ(一般ユーザー編) 4. 簡易デモ 5. Q&A 6. 参考情報
  29. 簡易デモ 35 Copyright © 2022, Oracle and/or its affiliates •

    アイデンティティの画面説明 • ドメインの画面説明 • MFAの設定デモ
  30. Agenda 36 Copyright © 2022, Oracle and/or its affiliates 1.

    OCI IAM Identity Domains 概要 2. OCI IAM Identity Domains 操作イメージ(管理者編) 3. OCI IAM Identity Domains 操作イメージ(一般ユーザー編) 4. 簡易デモ 5. Q&A 6. 参考情報
  31. Q&A セミナーでいただいたご質問 37 Copyright © 2022, Oracle and/or its affiliates

    Q: OAuth 2.0の認可サーバーやOIDCのOPにIdentity Domainsを使用したい場合は、External User を使用すればよろしいでしょうか? A: 対象アプリケーションの利用者の位置づけにより利用するタイプが異なります。コンシューマ向けアプリであれ ばExternal Userを利用、社員向けアプリであればPremiumを利用することになります。また、対象アプリ ケーション数や利用する機能、ユーザー数などによってはFreeのタイプを選択することも可能です。 Q: FIDO認証(YubiKeyなどの外部認証デバイス利用)もFreeで利用可能でしょうか。 A: はい、FIDO認証もFreeで利用可能です。 Q: あまり想定しづらいかとは思いますが、外部環境(例えばAureやAWS)の各アプリをIdentity Domains でSSOさせることは可能でしょうか。またそういう構成をとることはメリットがあると言えますでしょうか。 A: 対象アプリケーションが用意している認証機能(例:SAML対応している等)によりますが、外部環境アプリ をIdentity DomainでSSOさせることは可能です。メリットとしては、他環境が用意している認証の仕組み と比較し機能の豊富さや金額面でメリットが出てくることが考えられます。
  32. Q&A セミナーでいただいたご質問 38 Copyright © 2022, Oracle and/or its affiliates

    Q: IAMではMFAのON/OFFをユーザ自身で変更できましたが、IAM Identity Domainsではどのようになり ますか。 A: Identity Domainでは、アクセスするアプリケーション毎にMFA必須なのか/オプションなのかを設定すること ができ、オプションの場合にはユーザー自身でON/OFFを選択することになります。必須の場合には、必ず MFAを利用して頂くことになります。 Q: そもそもIDaaS使ってますよ、のユーザ様と連携を考えた場合はappsのfreeで繋げばよいと認識しましたが 合ってますか? A: 既存のIDaaSが親、Identity Domainが子の構成となる場合には、外部IdP連携機能を利用すること になり、Freeで3つまでの外部IdPと連携できます。 Q: Identity DomainsはFAPI 1.0のOPに対応する予定はございますでしょうか? A: 現時点では対応予定はございません。
  33. Q&A セミナーでいただいたご質問 39 Copyright © 2022, Oracle and/or its affiliates

    Q: セキュリティ設定にネットワークペリメータが見えたのですが、ネットワークソースとどのように使い分けるのでしょう か。 A: Identity Domainのネットワークペリメータは、Identity Domain内で設定するサインオンポリシー(認証フ ローの定義)や外部IDP利用ポリシーで利用することになり、OCIリソースのアクセス制御には使うことができま せん。OCIリソースのアクセス制御の場合にはネットワークソースをご利用頂くことになります。 Q: コンソール接続時の接続元IP制限はネットワークペリメータで制御するようになったということでしょうか? A: はい、ネットワークペリメータとサインオンポリシーを利用して、IPアドレスでOCIコンソールへのアクセス制御を行 うことが可能です。 Q: Oracle CloudのPaaSサービスのロール管理はIdentity Domainsの[Oracle Cloudサービス]にて実施 し、IaaSサービスのロール管理は[ポリシー]サービスでの実施でしょうか? A: はい、基本的にはこのような使い分けになります。
  34. Agenda 40 Copyright © 2022, Oracle and/or its affiliates 1.

    OCI IAM Identity Domains 概要 2. OCI IAM Identity Domains 操作イメージ(管理者編) 3. OCI IAM Identity Domains 操作イメージ(一般ユーザー編) 4. 簡易デモ 5. Q&A 6. 参考情報
  35. 参考情報 41 Copyright © 2022, Oracle and/or its affiliates 公式マニュアル

    OCI IAM Identity Domains(日本語:機械翻訳) https://docs.oracle.com/ja-jp/iaas/Content/Identity/home.htm FAQ(英語) https://www.oracle.com/security/cloud-security/identity-access-cloud/faq/ OCI活用資料集(OCI IAMおよびIDCSの機能のおさらいについてはこちら) IDおよびアクセス管理 概要 https://oracle-japan.github.io/ocidocs/services/governance%20and%20administration/iam-100/ IDおよびアクセス管理 詳細 https://oracle-japan.github.io/ocidocs/services/governance%20and%20administration/iam-200/ OCI ユーザー作成・権限管理手順 https://oracle-japan.github.io/ocidocs/services/governance%20and%20administration/managing-users/
  36. OCI IAM Identity Domainsの課金注意事項 42 Copyright © 2022, Oracle and/or

    its affiliates ドメインタイプごとに設定されたユーザー単価とは別に、個別に設定された課金メトリックについて 【SMS利用の課金について】 OCI IAM Identity Domainでは、1つのテナントあたり1,000SMSメッセージ/月まで無料枠を用意していますが、 1001SMSメッセージ以上となった場合には、1 SMSメッセージ毎に下記課金が発生します。 Oracle Cloud Infrastructure Identity and Access Management - SMS Over 1,000 SMS Messages Sent per month ¥3.60/1SMS Message Sent 【Token利用の課金について】 OCI IAM Identity Domainでは、1つのテナントあたり10,000Token/月まで無料枠を用意していますが、 10,001Token以上となった場合には、1 Token毎に下記課金が発生します。 Oracle Cloud Infrastructure Identity and Access Management - Token Over 10,000 Tokens per month ¥0.48/1Token 【Replicationの課金について】 OCI IAM Identity Domain環境において、Identity Domainのレプリケーション構成をとっている場合には、 レプリケーション先のIdentity Domain(ドメインタイプによらず)の全ユーザーに対して下記課金が発生します。 Oracle Cloud Infrastructure Identity and Access Management – Replication ¥0.48/User Per Month