Tweet
Tweet

Slide 1

Slide 1 text

Oracle Cloud Infrastructure ユーザー作成・権限管理 手順 Identity and Access Management 2020/11 テクノロジー事業戦略統括 テクノロジー・クラウド・エンジニアリング本部 OCI ソリューション部

Slide 2

Slide 2 text

Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、 情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以 下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買 決定を行う際の判断材料になさらないで下さい。 オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊 社の裁量により決定され、変更される可能性があります。 Copyright © 2020, Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted 2

Slide 3

Slide 3 text

Oracle Cloud Infrastructure 前提知識 Copyright © 2020, Oracle and/or its affiliates, Confidential: Internal/Restricted/Highly Restricted 3

Slide 4

Slide 4 text

OCIの認証・ID管理機能の位置付け Copyright © 2020, Oracle and/or its affiliates, Confidential: Internal/Restricted/Highly Restricted 4 OCIを使用するにあたって、主に使用する認証およびID管理サービスは下記の2つ A) Oracle Identity Cloud Service (IDCS) • Oracle Cloudの全てのサービスで使用される統合的な認証・ID管理サービス B) OCI Identity and Access Management (IAM) • Oracle Cloud Infrastructure 単独の環境でネイティブに使用される認証・ID管理サービス  テナント開設時に登録した初期ユーザーは、IDCS・IAM それぞれの認証基盤で ユーザーが作成される Oracle Identity Cloud Service OCI Identity and Access Management Oracle PaaS サービス群 Oracle SaaS サービス群

Slide 5

Slide 5 text

Identity and Access Management (IAM) サービス概要 Copyright © 2020, Oracle and/or its affiliates, Confidential: Internal/Restricted/Highly Restricted 5 Identity and Access Management (IAM) サービスは、OCIの リソース に対するアクセス権を制御する仕組み • リソース は、OCIの各種サービスで作成、利用するオブジェクトの総称 (例 : インスタンス、ブロック・ボリューム、VCN、ルート・テーブル・・・) • すべてのOCIリソースは一意な識別子 OCID (Oracle Cloud ID) を持つ • IAM は以下のようなID管理の概念を利用 • プリンシパル (Principals) • ユーザー (IAM Users) • グループ (Groups) • ポリシー (Policies) • コンパートメント (Compartments) : OCI独自の概念

Slide 6

Slide 6 text

フェデレーション (Federation) Copyright © 2020, Oracle and/or its affiliates, Confidential: Internal/Restricted/Highly Restricted 6 フェデレーション とは、OCIと、他に存在するアイデンティティ・プロバイダ (IdP) と間で認証やアイ デンティティ(ID) をシステム間連携する仕組み • フェデレーションで実現できること • 認証の連携 - OCIコンソールにアクセスする際、IdP が提供するユーザ名/パスワードでのログイン = シング ル・サインオン(SSO) • アイデンティティ(ID)の連携 - 一部のIdPとの間では、SCIM(System for Cross-domain Identity Management) を利用した、ユーザー情報の同期 • 対応するアイデンティティ・プロバイダー • Oracle Identity Cloud Service (IDCS) – SCIMによるユーザー同期にも対応、デフォルトで連携設定済 • Okta – SCIMによるユーザー同期にも対応 • Microsoft Azure Active Directory • Microsoft Active Directory Federation Service • その他 Security Assertion Markup Language (SAML) 2.0 プロトコルをサポートするIDP

Slide 7

Slide 7 text

IDCS – OCI 間でのユーザ連携・動作例 Copyright © 2020, Oracle and/or its affiliates, Confidential: Internal/Restricted/Highly Restricted 7 IDCS (My Service) 認証プロバイダー(IdP) OCI IAM サービスプロバイダー(SP) IDCSユーザー Sato IDCSグループ OCI_Administrator OCIグループ Administrators グループ マッピング 同期済 ユーザー idcs/Sato ユーザー同期 (SCIM) IDCS - OCI(IAM)間で以下が構成済 • IDCSユーザーによるOCIの認証 • SCIMによるユーザー同期 • Administratorsのグループマッピング 動作の例 • SatoをIDCS/OCI(*)どちらかで作成すると、 もう一方に同期される • Sato(IDCSユーザー)は、My Service と OCI の 両方が利用可能 • Tanaka(OCIローカル・ユーザー)は OCI コン ソールのみ 利用可能 • Sato, TanakaはOCIでは共に管理者権限を持つ (*) OCI コンソールのフェデレーションメニューより作成した場合 ローカル・ ユーザー Tanaka  テナント開設時、上記のIDCS - IAM 間のグループマッピングは設定済みとなっている (Administratorsグループのみ)  テナント開設時に登録したユーザーは、IDCS・IAM それぞれの認証基盤で ユーザーが作成されている

Slide 8

Slide 8 text

OCI コンソールへのサインイン Copyright © 2020, Oracle and/or its affiliates, Confidential: Internal/Restricted/Highly Restricted 8 IDCSで管理しているユーザー にてログインする場合 IAMで管理しているユーザー にてログインする場合 • OCI IAM or IDCS どちらからでもサインインは可能、ただしユーザー/パスワードは管理が異なる • IDCSで管理しているユーザーでは、「My Service」にアクセスでき、OCI以外のサービスにもアクセスができる • IDCSで管理しているユーザーにてOCIを利用する事もでき、その場合は IDフェデレーション にてIDCSとOCIのユーザーを統合する • OCIで管理しているユーザーでは、oracle.com からはログインできず、「My Service」にもアクセスできない。 https://console.us-ashburn-1.oraclecloud.com/ のようなダイレクトURLからOCIにログインが可能。

Slide 9

Slide 9 text

Oracle Cloud Infrastructure コンソール画面へのログイン Copyright © 2020, Oracle and/or its affiliates, Confidential: Internal/Restricted/Highly Restricted 9 1

Slide 10

Slide 10 text

コンソール画面へのログイン Copyright © 2020, Oracle and/or its affiliates, Confidential: Internal/Restricted/Highly Restricted 10 1.ログインURLへアクセス > https://www.oracle.com/jp/cloud/sign-in.html(テナント管理者の場合) > https://console.ap-tokyo-1.oraclecloud.com/?tenant=テナント名 ・IAMユーザーの場合:画面右側のフォームよりログイン ・IDCSユーザーの場合:画面左側のフォームよりログイン 2.アカウント名・ユーザー名・パスワードを入力 3.コンソール画面が表示 テナント管理者以外のログインURLは、リージョンごとに異なります。 サブスクライブしていないリージョンのURLにアクセスした場合、 リダイレクトの画面を挟みます。 各リージョンのURLについては下記を参照してください。 https://docs.cloud.oracle.com/ja-jp/iaas/Content/GSG/Tasks/signingin.htm#one

Slide 11

Slide 11 text

Oracle Cloud Infrastructure コンパートメントの作成 Copyright © 2020, Oracle and/or its affiliates, Confidential: Internal/Restricted/Highly Restricted 11 2

Slide 12

Slide 12 text

コンパートメントの作成 Copyright © 2020, Oracle and/or its affiliates, Confidential: Internal/Restricted/Highly Restricted 12 1.メニューの表示( ) 2.アイデンティティ → コンパートメント を選択

Slide 13

Slide 13 text

コンパートメントの作成 Copyright © 2020, Oracle and/or its affiliates, Confidential: Internal/Restricted/Highly Restricted 13 1.「コンパートメントの作成」押下 2.任意のコンパートメント名、及び、説明を 入力し、親コンパートメントを指定 参考例: 名前:pj-XXX(許容文字 a-zA-Z0-9.-_ のみ) 説明:XXXプロジェクト用コンパートメント 親コンパートメント:root 3. 「コンパートメントの作成」押下 4.コンパートメントの一覧に作成した名称のコン パートメントが表示されていることを確認

Slide 14

Slide 14 text

Oracle Cloud Infrastructure グループの作成 Copyright © 2020, Oracle and/or its affiliates, Confidential: Internal/Restricted/Highly Restricted 14 3

Slide 15

Slide 15 text

グループの作成 Copyright © 2020, Oracle and/or its affiliates, Confidential: Internal/Restricted/Highly Restricted 15 1.メニューの表示( ) 2.アイデンティティ → グループ を選択

Slide 16

Slide 16 text

グループの作成 Copyright © 2020, Oracle and/or its affiliates, Confidential: Internal/Restricted/Highly Restricted 16 1.「グループの作成」押下 2.任意のグループ名、及び、説明を入力 参考例: 名前:dev-member(許容文字 a-zA-Z0-9.-_ のみ) 説明:開発者用グループ 3. 「作成」押下 4.グループの一覧に作成した名称のグループが 表示されていることを確認 複数のグループを作成する場合、 必要に応じて本手順を繰り返してください。 ※少なくとも権限を分ける単位で作成することをオススメします。

Slide 17

Slide 17 text

Oracle Cloud Infrastructure ポリシー の作成 Copyright © 2020, Oracle and/or its affiliates, Confidential: Internal/Restricted/Highly Restricted 17 4

Slide 18

Slide 18 text

ポリシーの作成 Copyright © 2020, Oracle and/or its affiliates, Confidential: Internal/Restricted/Highly Restricted 18 1.メニューの表示( ) 2.アイデンティティ → ポリシー を選択

Slide 19

Slide 19 text

ポリシーの作成 Copyright © 2020, Oracle and/or its affiliates, Confidential: Internal/Restricted/Highly Restricted 19 1.「ポリシーの作成」押下 2.任意のポリシー名、及び、説明を入力 参考例: 名前:dev-member-policy(許容文字 a-zA-Z0-9.-_ のみ) 説明:開発者グループ用ポリシー コンパートメント:xxxx ※ポリシーを子コンパートメントに配置した場合、 当該コンパートメントよりも上位のコンパートメント範囲を 指定したポリシー・ステートメントは設定できません

Slide 20

Slide 20 text

ポリシー・ビルダーで設定する場合 ポリシーの作成 Copyright © 2020, Oracle and/or its affiliates, Confidential: Internal/Restricted/Highly Restricted 20 3.ポリシー・ユースケースのリストから 管理・操作の対象を選択します。選択した内容に 従って、共通ポリシー・テンプレートの内容が 絞り込まれます。 参考例: ポリシー・ユースケース:ネットワーク管理 4.共通ポリシー・テンプレートのリストから、 具体的な管理・操作の内容を選択します。 参考例: 共通ポリシー・テンプレート: ネットワーク管理者がクラウド・ネットワークを 管理できるようにします。

Slide 21

Slide 21 text

ポリシー・ビルダーで設定する場合 ポリシーの作成 Copyright © 2020, Oracle and/or its affiliates, Confidential: Internal/Restricted/Highly Restricted 21 5.共通ポリシー・テンプレートを設定すると、選 択した内容に応じた設定フォームが下部に表示され ます。権限を与えたいグループ、及び、権限を与え たい範囲 (コンパートメント) を設定します。 参考例: グループ:network-admins 場所:pj-xxx ※ポリシー・ビルダーにないユースケース/権限設 定を行いたい場合は、カスタマイズ(拡張) をクリッ クし、個別にポリシー・ステートメントをテキスト 入力していきます。 設定するステートメントに関する参考例は、 本資料の「ポリシーの記載例」を参考に 必要に応じた設定を行ってください。

Slide 22

Slide 22 text

Oracle Cloud Infrastructure IAM ユーザー の作成 Copyright © 2020, Oracle and/or its affiliates, Confidential: Internal/Restricted/Highly Restricted 22 5-A

Slide 23

Slide 23 text

IAMユーザーの作成 Copyright © 2020, Oracle and/or its affiliates, Confidential: Internal/Restricted/Highly Restricted 23 1.メニューの表示( ) 2.アイデンティティ → ユーザー を選択

Slide 24

Slide 24 text

IAMユーザーの作成 Copyright © 2020, Oracle and/or its affiliates, Confidential: Internal/Restricted/Highly Restricted 24 1.「ユーザーの作成」押下 2.任意のユーザー名、及び、説明を入力 参考例: 名前:ユーザーのメールアドレス (許容文字 a-zA-Z0-9.-_+@ のみ) 説明:xxxプロジェクト開発者△△ 電子メール:ユーザーのメールアドレス (確認も同様) 3.「作成」を押下 ・IDCSユーザーでコンソールにログインしている場合は、この画面を通じてIDCSユーザー の作成を選択することも可能です。ここでは、IAMユーザーの作成手順を紹介しています。 ・ユーザー名は、ユーザーの管理権限を持つユーザーであれば閲覧可能です。ユーザー名 を参照させたくない場合、ユーザー管理権限を与えないようにしてください。 ・メールアドレスの登録はオプションとなりますが、ユーザーがパスワードリセットする 際に必要となりますので登録を推奨します。

Slide 25

Slide 25 text

パスワードの発行 IAMユーザーの作成 Copyright © 2020, Oracle and/or its affiliates, Confidential: Internal/Restricted/Highly Restricted 25 1.対象のユーザーの詳細画面より、「パスワード の作成/リセット」を押下 2.「パスワードの作成/リセット」を押下 3.表示された新規パスワードを「コピー」のうえ、 「閉じる」を選択 4.コピーしたパスワードを対象のユーザーへ共有

Slide 26

Slide 26 text

グループへの追加 IAMユーザーの作成 Copyright © 2020, Oracle and/or its affiliates, Confidential: Internal/Restricted/Highly Restricted 26 <ユーザーの詳細画面から行う場合> 1.ユーザーの詳細画面の左下「リソース」→ 「グループ」を選択し、「ユーザーをグループに 追加」押下 2.対象のグループ名を選択し、「追加」 <グループの詳細画面から行う場合> 1.グループの詳細画面の左下「リソース」→ 「グループ・メンバー」を選択し、「ユーザーを グループに追加」を押下 2.対象のユーザーを選択し、「追加」

Slide 27

Slide 27 text

Oracle Cloud Infrastructure IDCS ユーザー の作成 Copyright © 2020, Oracle and/or its affiliates, Confidential: Internal/Restricted/Highly Restricted 27 5-B

Slide 28

Slide 28 text

IDCSユーザーの作成 Copyright © 2020, Oracle and/or its affiliates, Confidential: Internal/Restricted/Highly Restricted 28 1.プロファイルの表示( ) 2.サービス・ユーザー・コンソールを選択 ※テナントの管理者で実施してください 3. Oracle Identity Cloud Service の 管理コンソール を起動

Slide 29

Slide 29 text

IDCSユーザーの作成 Copyright © 2020, Oracle and/or its affiliates, Confidential: Internal/Restricted/Highly Restricted 29 1.IDCSユーザーを追加するため、[Add a user.] ( )アイコンをクリック 2.ユーザの姓名、メールアドレスを設定し、 [Finish] ボタンを押下 3.ユーザ作成が完了した旨が通知される ・[Import users.]( )アイコンから、 複数ユーザーをcsvからインポートすることも 可能です

Slide 30

Slide 30 text

作成したユーザーのアクティベーション IDCSユーザーの作成 Copyright © 2020, Oracle and/or its affiliates, Confidential: Internal/Restricted/Highly Restricted 30 ユーザーを作成すると、作成時に指定したWork Email宛に アクティベーション用のメールが配信されます。 メール内の ボタンをクリックするか、 http Linkを使用して、ユーザーのアクティベーションを実 行します。(このリンクは24時間後に無効になります。) ※パスワードのリセットが必須です。 パスワードの設定ルールに注意してください。 ユーザの追加は完了です。

Slide 31

Slide 31 text

IDCSグループの作成 Copyright © 2020, Oracle and/or its affiliates, Confidential: Internal/Restricted/Highly Restricted 31 1.IDCSグループを追加するため、[Add a group.] ( )アイコンをクリック 2.グループ名等を設定し、[Next] ボタンを押下 3.追加したい IDCS ユーザーにチェックを入れ、 [Finish] ボタンを押下 4.グループ作成が完了した旨が通知される ・[Import groups.]( )アイコンから、複数グループ をcsvからインポートすることも可能です ・既存のグループに追加する場合はグループメニューか ら追加します。

Slide 32

Slide 32 text

IDCSグループとOCI グループのマッピング Copyright © 2020, Oracle and/or its affiliates, Confidential: Internal/Restricted/Highly Restricted 32 1.メニューの表示( ) 2.アイデンティティ → フェデレーション を選択 3.[OracleIdentityCloudService] をクリック

Slide 33

Slide 33 text

IDCSグループとOCI グループのマッピング Copyright © 2020, Oracle and/or its affiliates, Confidential: Internal/Restricted/Highly Restricted 33 1.リソース欄から グループ・マッピング を選択 2.マッピングの追加 ボタンをクリック 3.アイデンティティ・プロバイダ・グループ のリスト ボックスより、IDCS グループを選択し、OCI グループ の リストボックスより、マッピングさせるOCI グループを 設定の上、[マッピングの追加] ボタンを押下

Slide 34

Slide 34 text

Oracle Cloud Infrastructure ポリシーの記載例 Copyright © 2020, Oracle and/or its affiliates, Confidential: Internal/Restricted/Highly Restricted 34 6

Slide 35

Slide 35 text

開発者へ与えることを検討してもよい権限 ポリシーの記載例1/4 Copyright © 2020, Oracle and/or its affiliates, Confidential: Internal/Restricted/Highly Restricted 35 例1)開発者へ あるコンパートメントにおける自由な権限を与える(ただし、データ転送ジョブ等の作成は不可) ※最小権限の原則に則り、設計段階などで より詳細な権限を検討することを推奨 例2)テナント内のサービス制限を閲覧する権限を与える 例3)通知の閲覧権限を与える (メンテナンス情報などの閲覧に必要) 例4)動的グループの作成権限 (インスタンス・プリンシパルの作成に必要) Allow group to manage all-resources in compartment where all{request.permission != ‘TRANSFER_JOB_CREATE’, request.permission != ‘TAG_NAMESPACE_CREATE’} Allow any-user to inspect limits in tenancy Allow any-user to read announcements in tenancy Allow any-user to manage dynamic-groups in tenancy コンパートメントの作成も不可にする場合、 条件に「request.permission != ‘COMPARTMENT_CREATE’」を追加

Slide 36

Slide 36 text

開発者へ与えることを検討してもよい権限 ポリシーの記載例2/4 Copyright © 2020, Oracle and/or its affiliates, Confidential: Internal/Restricted/Highly Restricted 36 例5)ユーザーの管理権限(作成・更新・削除含む) 例6)グループの管理権限(作成・更新・削除含む) 例7)ポリシーの管理権限(作成・更新・削除含む) Allow group to manage users in tenancy Allow group to manage groups in tenancy Allow group to manage policies in tenancy

Slide 37

Slide 37 text

下記サービスを利用する場合に与える必要がある権限 ポリシーの記載例3/4 Copyright © 2020, Oracle and/or its affiliates, Confidential: Internal/Restricted/Highly Restricted 37 例1)Object Storage のリモートコピーの利用 例2) OKE の利用 例3)Functions の利用 例4) Events の利用 Allow service objectstorage to manage object-family in tenancy Allow service OKE to manage all-resources in tenancy Allow service FaaS to read repos in tenancy Allow any-user to manage repos in tenancy Allow service cloudEvents to use ons-topic in tenancy Allow service cloudEvents to use functions-family in tenancy Allow service cloudEvents to read streams in tenancy Allow service cloudEvents to use stream-push in tenancy

Slide 38

Slide 38 text

コストに関連する権限(開発者・協働者などへ与えるべきでない権限) ポリシーの記載例4/4 Copyright © 2020, Oracle and/or its affiliates, Confidential: Internal/Restricted/Highly Restricted 38 例1)予算に関する権限 例2)使用状況のレポート に関する権限 ※付与する場合、ポリシーの先頭に定義する必要あり 例3)コスト分析 に関する権限 その他)下記を付与すると 請求書、支払い方法 などに関する権限も得る ・初期標準で作成されている管理者グループ(Administrators) にユーザーを追加しない ・ を与えない Allow group to usage-budgets in tenancy define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq endorse group to read objects in tenancy usage-report Allow group to read usage-reports in tenancy Allow group to manage all-resources in tenancy 「usage-administrator」といった使用状 況を管理するグループを個別で用意し、 必要最小限のユーザーに権限を付与す るなども推奨されます

Slide 39

Slide 39 text

参考)ポリシーに関するドキュメント Copyright © 2020, Oracle and/or its affiliates, Confidential: Internal/Restricted/Highly Restricted 39 共通ポリシー: 組織内で使用する可能性がある一般的なポリシーに関するリファレンス https://docs.oracle.com/cd/E97706_01/Content/Identity/Concepts/commonpolicies.htm ポリシーリファレンス: verb や resource type に関する詳細なリファレンス https://docs.cloud.oracle.com/ja-jp/iaas/Content/Identity/Reference/policyreference.htm コンパートメント割当て: サービス別の使用可能な割当て制限に関するリファレンス https://docs.oracle.com/cd/E97706_01/Content/General/Concepts/resourcequotas.htm#four

Slide 40

Slide 40 text

ログイン方法やパスワード管理で混乱を避けるため、基本的には どちらかで統一する 参考)IDCS/IAM をどのように利用していくべきか Copyright © 2020, Oracle and/or its affiliates, Confidential: Internal/Restricted/Highly Restricted 40 IDCS で管理していく場合 IAM で管理していく場合 ・すべて無償の範囲で行える(IDCSほど高機能で はないもののIPホワイトリストや多要素認証は可 能) ・OCIの権限管理は IAMのみを考慮すれば良い ・ユーザー作成は逐次、または、CLIやAPIを経由 ・IAMユーザーで 利用可能なサービスは、OCI に 閉じたもののみ。 ・多要素認証や IP ホワイトリストなどIAMと比 較して高機能だが有償の範囲となる ・IAMでの権限管理だけでなく、IDCS側での管 理についても考慮が必要 ・IDCSで作成したグループは、IAM側のグルー プとマッピングしなければならない ・ユーザーやグループの一括インポートが可能 ・OCI以外のOracle Cloudサービスの利用も可能

Slide 41

Slide 41 text

No content