アイデンティティ・ドメイン統合
アイデンティティ・ドメイン統合により、OCIアイデンティティ・ドメイン・ユーザーはビッグ・データ・サービス3.0.29以降のクラスタ・リソースにアクセスできます。アイデンティティ・ドメイン統合により、ビッグ・データ・サービス3.0.29以降のクラスタ・ユーザーがOCIサービスにアクセスすることもできます。
このアクセスは、アイデンティティ・ドメインとビッグ・データ・サービス・クラスタの間のユーザー/グループの同期をサポートすることで有効になります。これには、ユーザー・プリンシパル・セッション・トークンとKerberosトークンの交換のサポートも含まれます。
前提条件
アイデンティティ・ドメインの構成に進む前に、次の前提条件が満たされていることを確認してください。
- 最小バージョン要件:
- ビッグ・データ・サービス3.0.29以降
- ODH 2.0.10以降
- クラスタ構成は高可用性である必要があります。
- KerberosトークンのUPSTトークンを交換するための要件:
- この機能を有効にするビッグ・データ・サービス・ユーザーは、ビッグ・データ・サービス・クラスタと統合するために、アイデンティティ・ドメイン内の管理者権限を持っている必要があります。
- この機能で使用されるシークレットを格納するには、キー・シェイプAESのボールトにOCIボールトおよびマスター暗号化キーが必要です。
- UPST構成を作成するユーザーには、ボールト内にシークレットを作成する権限が必要です。
- 構成するアイデンティティ・ドメインには、構成済ボールト内のシークレットを読み取る権限が必要です。
たとえば、
allow resource domain <identity-domain> to readです。secret-familyin tenancy where all {target.vault.id = '<vault-id>'} - ユーザーがオブジェクト・ストレージ・バケットを読み取るためのポリシー。
たとえば、
allow group <domain_name>/<group_name> to manage objects in compartment ABCです。
- Oracle Identity Cloud Service (IDCS)ユーザー同期に固有の要件:
- クラスタ・バージョンはIDCS 3.0.30以降である必要があります。
- ユーザー同期機能用に統合されているIDCSアプリケーションでは、アプリケーションにIdentity Domain Administratorロールが必要です
- ユーザー同期機能用に統合されているIDCSアプリケーションでは、アプリケーションで認可付与タイプ「クライアント資格証明」を有効にする必要があります。
- ビッグ・データ・サービス・クラスタをActive Directoryと統合できません。