IAMの概要

Oracle Cloud Infrastructure Identity and Access Management (IAM)では、認証、シングル・サインオン(SSO)、Oracle CloudおよびOracleアプリケーションやOracle以外のアプリケーション(SaaS、クラウドホストまたはオンプレミス)のアイデンティティ・ライフサイクル管理など、アイデンティティとアクセスを管理する機能が提供されます。従業員、ビジネス・パートナおよび顧客は、いつどこからでも、どのデバイスでも、安全な方法でアプリケーションにアクセスできます。

IAMは、エンド・ユーザーの容易なアクセスを支援するため、クラウドとオンプレミス全体で既存のアイデンティティ・ストア、外部アイデンティティ・プロバイダおよびアプリケーションと統合されます。これは、Oracle Cloudのセキュリティ・プラットフォームを提供します。これにより、ユーザーはOracle Human Capital Management (HCM)やOracle Sales Cloudなどのビジネス・アプリケーションに加え、Oracle Java Cloud ServiceやOracle Business Intelligence (BI) Cloud Serviceなどのプラットフォーム・サービスに安全かつ簡単にアクセスし、開発とデプロイを行うことができます。

管理者およびユーザーは、IAMを使用することで、インフラストラクチャまたはプラットフォームの詳細の設定について懸念することなく、効果的かつ安全にクラウドベースのアイデンティティ管理環境を作成、管理および使用できます。

ヒント

サービスの概要ビデオを視聴してください。

顧客担当作業

次を行う必要があります:

  • Oracle Cloud Infrastructure Identity and Access Management (IAM)のポリシー、構成およびアーティファクトを理解します。
  • すべてのIAM機能に、独自のポリシー、構成およびアーティファクトを実装します。
  • IAMを使用して、ユーザー、ポリシー、構成およびアーティファクトを作成および管理します。
  • NIST 800-63のすべての要件およびガイドライン(IAL3、AAL3およびFAL3を含む)に準拠します。

すべてのIAM機能について、独自の構成値を使用し、独自のアーティファクトを構成する必要があります。

IAMコンポーネント

IAMでは、この項で説明するコンポーネントが使用されます。コンポーネントがどのように適合するかをより深く理解するには、シナリオ例を参照してください。

コンパートメント
関連するリソースの集まり。コンパートメントは、クラウド・リソースを編成および分離するためのOracle Cloud Infrastructureの基本コンポーネントです。使用と請求の測定、アクセス(ポリシーの使用による)、および分離(あるプロジェクトまたはビジネス・ユニットのリソースを別のプロジェクトまたはビジネス・ユニットと区別)のために、リソースを明確に区別するために使用できます。一般的な方法は、組織の主要部分ごとにコンパートメントを作成することです。詳細は、テナンシを設定するためのベスト・プラクティスについて学習を参照してください。
動的グループ
定義するルールに一致するリソース(コンピュート・インスタンスなど)を含む特別なタイプのグループ(このため、メンバーシップは、一致するリソースの作成または削除時に動的に変更される可能性があります)。これらのインスタンスは「プリンシパル」のアクターとして機能し、動的グループ向けに記述するポリシーに従ってサービスにAPIコールを行うことができます。
フェデレーション
管理者がアイデンティティ・プロバイダとサービス・プロバイダの間で構成する関係。Oracle Cloud Infrastructureをアイデンティティ・プロバイダとフェデレートする場合、アイデンティティ・プロバイダ内のユーザーとグループを管理します。Oracle Cloud InfrastructureのIAMサービスで認可を管理します。
グループ
同様のアクセス権限セットを共有するユーザーのコレクション。管理者は、テナンシ内のリソースを消費または管理できるようにグループを認可するアクセス・ポリシーを付与できます。同じグループのすべてのユーザーは、同じ権限セットを継承します。
ホーム・リージョン
IAMリソースが存在するリージョン。すべてのIAMリソースはグローバルで、すべてのリージョンで使用できますが、定義のマスター・セットは、単一のリージョンであるホーム・リージョンにあります。ホーム・リージョン内のIAMリソースを変更する必要があります。変更は、すべてのリージョンに自動的に伝播されます。詳細は、リージョンの管理を参照してください。
アイデンティティ・ドメイン

アイデンティティ・ドメインとは、ユーザーとロールの管理、ユーザーのフェデレートとプロビジョニング、Oracle Single Sign-On (SSO)構成を使用したセキュアなアプリケーション統合、およびOAuth管理を行うためのコンテナです。これは、Oracle Cloud Infrastructureのユーザー人口と、それに関連付けられた構成およびセキュリティ設定(MFAなど)を表します。

アイデンティティ・プロバイダ
フェデレーテッドIDプロバイダとの信頼できる関係。Oracle Cloud Infrastructureコンソールに対して認証を試みるフェデレーテッド・ユーザーは、構成されているアイデンティティ・プロバイダにリダイレクトされます。正常に認証されると、フェデレーテッド・ユーザーはネイティブのIAMユーザーと同様にコンソールでOracle Cloud Infrastructureリソースを管理できます。
MFA
マルチファクタ認証(MFA)は、ユーザーのアイデンティティを検証するために複数の要素を使用する必要のある認証方法です。
ネットワーク・ソース
テナンシ内のリソースへのアクセスが許可されたIPアドレスのグループ。IPアドレスは、パブリックIPアドレスか、テナンシ内のVCNからのIPアドレスです。ネットワーク・ソースの作成後、ネットワーク・ソース内のIPから発生したリクエストのみにアクセスを制限するポリシーを使用します。
リソース
Oracle Cloud Infrastructureサービスと対話する際に作成して使用するクラウド・オブジェクト。たとえば、コンピュート・インスタンス、ブロック・ストレージ・ボリューム、仮想クラウド・ネットワーク(VCN )、サブネット、データベース、サードパーティ・アプリケーション、Software-as-a-a-a-Service (SaaS)アプリケーション、オンプレミス・ソフトウェアおよび小売Webアプリケーションです。
ロール
アイデンティティ・ドメイン内のユーザーに割り当てることができる管理権限のセット。
セキュリティ・ポリシー
どのユーザーがどのリソースにアクセスできるか、およびその方法を指定するドキュメントです。ポリシーを記述して、Oracle Cloud Infrastructure内のすべてのサービスへのアクセスを制御できます。アクセス権はグループ・レベルおよびコンパートメント・レベルで付与されるため、特定のコンパートメント内またはテナンシ自体への特定のアクセスのタイプをグループに付与するポリシーを記述できます。テナンシへのグループ・アクセス権を付与する場合、グループはテナンシ内のすべてのコンパートメントへの同じアクセスのタイプを自動的に取得します。「ポリシー」の用法は様々です。ポリシー言語で記述された個々のステートメントを意味する場合、"policy"という名前の(Oracle Cloud ID (OCID)が割り当てられている)単一ドキュメント内のステートメントの集合を意味する場合、リソースへのアクセスを制御するために組織で使用されるポリシーの本文全体を意味する場合があります。
ポリシーを適用すると、ポリシーが有効になるまでに若干の遅延が発生する可能性があります。
ログイン・ポリシー
サインオン・ポリシーを使用すると、アイデンティティ・ドメイン管理者、セキュリティ管理者およびアプリケーション管理者は、ユーザーにアイデンティティ・ドメインへのサインインを許可するかどうかを決定する基準を定義できます。
タグ
タグを使用すると、レポートまたは一括処理のために、複数のコンパートメントにまたがるリソースを整理できます。
テナンシ
組織のOracle Cloud Infrastructureリソースすべてを含むルート・コンパートメント。Oracleによって、会社のテナンシが自動的に作成されます。テナンシの中に、IAMエンティティ(ユーザー、グループ、コンパートメントおよびいくつかのポリシー)があります。また、テナンシ内のコンパートメントにポリシーを入れることもできます。作成するコンパートメント内に他のタイプのクラウド・リソース(インスタンス、仮想ネットワーク、ブロック・ストレージ・ボリュームなど)を配置します。
テナンシ管理者は、ユーザーとグループを作成し、コンパートメントにパーティション化されるリソースへの最小アクセス権をユーザーとグループに割り当てることができます。
ユーザー
会社のOracle Cloud Infrastructureリソースを管理または使用する必要がある個々の従業員またはシステム。ユーザーには、インスタンスの起動、リモート・ディスクの管理、仮想クラウド・ネットワークの使用などが必要な場合があります。アプリケーションのエンド・ユーザーは、通常、IAMユーザーではありません。ユーザーには1つ以上のIAM資格証明があります(ユーザー資格証明を参照)。

コンポーネントのアクティブ化および非アクティブ化

使用するためにアクティブ化する必要があるコンポーネントが多数あります。必要に応じて非アクティブ化することもできます。

使用しているコンポーネントの詳細を確認します:

管理者グループ、ポリシーおよび管理者ロール

会社がOracleアカウントおよびアイデンティティ・ドメインにサインアップすると、Oracleはアカウントのデフォルト管理者を設定します。このユーザーは、会社の最初のIAMユーザーとなり、管理者の追加設定を担当します。テナンシには管理者というグループが含まれ、デフォルト管理者はこのグループに自動的に所属します。このグループは削除できないため、常に少なくとも1人のユーザーが必要です。

また、テナンシには、管理者グループに対してすべてのOracle Cloud Infrastructure API操作およびテナンシ内のすべてのクラウド・リソースへのグループ・アクセス権を付与するポリシーも自動的に含まれます。このポリシーは変更も削除もできません。管理者グループにユーザーを配置した場合、そのユーザーはすべてのサービスに完全にアクセスできます。つまり、グループ、ポリシー、コンパートメントなどのIAMリソースの作成および管理が可能です。また、仮想クラウド・ネットワーク(VCN)、インスタンス、ブロック・ストレージ・ボリューム、および将来使用可能になるその他の新しいタイプのOracle Cloud Infrastructureリソースなどのクラウド・リソースを作成および管理できます。

デフォルト管理者およびデフォルト・ポリシーとは別に、管理責任を委任するために、ユーザー・アカウントを事前定義済の管理者ロールに割り当てることができます。管理者ロールは、アイデンティティ・ドメイン内に存在します。アイデンティティ・ドメインの任意のユーザー・アカウントを、そのアイデンティティ・ドメインの1つ以上の管理者ロールに割り当てることができます。ポリシーによってコンパートメントおよびそれらのコンパートメント内のリソースへのアクセス権が付与されますが、管理者ロールを使用すれば、ポリシー言語を学習したり、ポリシーを記述および管理したりすることなく、リソースへのアクセス権を付与できます。

ノート

デフォルト・ドメイン以外のドメインのアイデンティティ・ドメイン管理者ロールをユーザーまたはグループに付与すると、(テナンシではなく)そのドメインにのみ完全な管理者権限が付与されます。アイデンティティ・ドメインの少なくとも1人の管理者に、アイデンティティ・ドメイン管理者ロールを直接付与する必要があります。これは、グループ・メンバーシップによって付与されるアイデンティティ・ドメイン管理者ロールに追加されます。詳細は、管理者ロールの理解を参照してください。

IAMは、ユーザーがリソースにアクセスできるかどうかと、ユーザーがそれらのリソースに対して実行できる操作を決定する場合、ポリシーと管理者ロールを一緒に評価します。テナンシがすでにポリシーに依存している場合は、引き続きそれらを使用できます。特定のアイデンティティ・ドメインへのアクセス権を付与するポリシーを記述することもできます。ただし、Oracleでは、管理者ロールの使用から開始して、将来的にアイデンティティ・ドメイン内のリソースへのアクセス権をユーザーに付与することをお薦めします。

Oracle Cloud Infrastructureへのアクセス方法

Oracle Cloud Infrastructureには、コンソール(ブラウザベースのインタフェース)またはREST APIを使用してアクセスできます。コンソールのための手順は、このガイド全体を通してトピックに含まれています。使用可能なSDKのリストは、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。

コンソールにアクセスするには、サポートされているブラウザを使用する必要があります。コンソールのサインイン・ページに移動するには、このページ上部のナビゲーション・メニューを開き、「インフラストラクチャ・コンソール」をクリックします。クラウド・テナント、ユーザー名およびパスワードの入力を求められます。

IAM APIのREST APIリファレンスは、Identity and Access Management Service APIを参照してください。IAMアイデンティティ・ドメインAPIのREST APIリファレンスは、IAMアイデンティティ・ドメインAPIを参照してください。APIの使用の詳細は、REST APIを参照してください。

クラウド・アイデンティティのために使用するドキュメント

Oracle Cloud Infrastructure (OCI)でのアイデンティティの管理に役立てるには、適切なドキュメントが必要です。

選択するドキュメントは、次の要素によって異なります:

  • Oracle Cloud Infrastructure Identity and Access Management (IAM)アイデンティティ・ドメインを使用するようにOCIテナンシが更新されているかどうか
  • Oracle Identity Cloud Service (IDCS)ストライプがIAMアイデンティティ・ドメインに移行されているかどうか

正しいドキュメントを見つけるには、次の各項を参照してください。

アイデンティティ・ドメインへのアクセス権がありますか。

  1. Oracle Cloudコンソールにサインインします。サインインにお困りですか。コンソールへのサインインを参照してください。
  2. ナビゲーション・メニューで、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」を確認します。「ドメイン」が表示される場合は、クラウド・アカウントが更新されています。
サインインして、次の図に示すように、Oracle CloudコンソールのかわりにIDCS管理コンソールが表示された場合、ストライプはIAMに移行されていません。ユーザーにアイデンティティ・ドメインへのアクセス権がありません。

必要なドキュメント

テナンシが更新されたかどうか、またはIDCSストライプが移行されたかどうかを確認したら、正しいドキュメントを選択してください。

テナンシが更新されましたか。 このドキュメントを使用します。
コンソールに「ドメイン」が表示されます。テナンシが更新されました。
コンソールを使用する場合:
APIを使用する場合:
  • アイデンティティ・ドメインを管理するには(ドメインの作成または削除など)、IAM APIを参照してください。
  • アイデンティティ・ドメイン内のリソース(ユーザーやグループなど)を管理するには、IAMアイデンティティ・ドメインAPIを参照してください。
コンソールに「ドメイン」が表示されません。テナンシは更新されていません。

コンソールを使用してアイデンティティ・ドメインのないテナンシ内のIAMを管理するには、Identity and Access Managementの概要を参照してください。

APIを使用してアイデンティティ・ドメインのないテナンシ内のIAMを管理するには、IAM APIを参照してください。

更新発生時の状況の詳細は、OCI IAMアイデンティティ・ドメイン: OCI IAMの顧客が知っておく必要のあることを参照してください。

IDCS管理コンソールが表示されます。ストライプはアイデンティティ・ドメインに移行されていません。
コンソールを使用する場合:

APIを使用してIDCSでストライプを管理するには、Oracle Identity Cloud Service REST APIを参照してください。

移行発生時の状況の詳細は、OCI IAMアイデンティティ・ドメイン: Oracle IDCSの顧客が知っておく必要のあることを参照してください。