Oracle Cloud Infrastructureドキュメント

フェデレーテッド・ユーザーのユーザー・プロビジョニング

このトピックでは、SCIMを使用して、フェデレートされたユーザーをOracle Cloud Infrastructureでプロビジョニングする方法について説明します。 プロビジョニングされたフェデレーテッド・ユーザーは、APIキーおよびその他のサービス固有の資格証明を持つことができます。

概要

「SCIM (クロス・ドメイン・アイデンティティ管理用のシステム)」は、アイデンティティ・システム全体でのユーザー・プロビジョニングを可能にするIETF標準プロトコルです。 Oracle Cloud Infrastructureは、フェデレートされたユーザーをOracle Cloud InfrastructureにプロビジョニングするためのSCIMエンドポイントをホストします。 IdPがOracle Identity Cloud Serviceまたはoktaの場合、SCIMユーザー・プロビジョニングを設定できます。

IdPとOracle Cloud Infrastructure間のSCIM統合を構成すると、Oracle Cloud Infrastructureグループにマップされたグループに属するユーザーは、Oracle Cloud Infrastructureで自動的にプロビジョニングされます。 プロビジョニングされたユーザーには一意のOCIDが割り当てられ、APIキーおよびその他のサービス固有の資格証明を設定できます。

プロビジョニングされたフェデレーテッド・ユーザーでは次の機能がサポートされています:

  • プロビジョニングされたユーザーに一意のOCIDが割り当てられます。
  • プロビジョニングされたユーザーは、APIキー、認証トークンおよびその他のサービス固有の資格証明を持つことができます。
  • コンソールのユーザーをリストできます
  • プロビジョニングされたユーザーは、「ユーザー設定」ページにアクセスして、自分自身のためにこれらの資格証明を表示および管理できます
  • IdPのOracle Cloud Infrastructureのマップされたグループに対してユーザーを追加または削除すると、更新はOracle Cloud Infrastructureと自動的に同期されます。

ユーザー・タイプについて

SCIM構成では、「プロビジョニング済」または「同期済」ユーザーの概念が導入されています。 次に、管理するユーザー・タイプの理解に役立つ詳細を説明します。

  • フェデレートされたユーザー

    フェデレートされたユーザーは、アイデンティティ・プロバイダで作成および管理されます。 フェデレートされたユーザーは、そのユーザーのアイデンティティ・プロバイダで管理されているパスワードを使用して、コンソールにサインインできます。 フェデレートされたユーザーには、Oracle Cloud Infrastructureグループにマップされたグループ内のメンバーシップに基づいて、Oracle Cloud Infrastructureへのアクセス権が付与されます。

  • プロビジョニング済(または同期済)ユーザー

    同期されたユーザーは、Oracle Cloud Infrastructureのidプロバイダによってシステム的にプロビジョニングされます。 同期されたユーザーはOracle Cloud Infrastructureの資格証明を持つことができますが、コンソールのパスワードは許可されません。 コンソールのユーザーをリストする場合、「ユーザー・タイプ」フィルタを使用して同期されたユーザーを識別できます。

  • ローカル・ユーザー

    ローカル・ユーザーとは、Oracle Cloud Infrastructure IAMサービスで作成および管理されるユーザーです。 一般に、フェデレートされたテナンシは、ローカル・ユーザー(存在する場合)がいくつかあることがあります。 コンソールのユーザーをリストする場合、「ユーザー・タイプ」フィルタを使用してローカル・ユーザーを識別できます。

次の図に、ユーザー・タイプの特性を要約します。

このイメージは、ユーザー・タイプの特性を要約しています。

この統合を設定するユーザー

IdPがOracle Identity Cloud ServiceまたはOktaで、フェデレーテッド・ユーザーが一部のサービスおよび機能で必要な特殊な資格証明を持っている必要がある場合、この統合を設定します。 たとえば、フェデレートされたユーザーがSDKまたはCLIを使用してOracle Cloud Infrastructureにアクセスする必要がある場合、この統合を設定すると、これらのユーザーはこのアクセスに必要なAPIキーを取得できるようになります。

前提条件

IdPとOracle Cloud Infrastructureの間のフェデレーションが正常に設定された後で、この同期設定を実行します。 「サポートされているアイデンティティ・プロバイダ」も参照してください。

ユーザー・プロビジョニングの有効化

Oracle Identity Cloud Serviceフェデレーションの手順

アイデンティティ・プロバイダがOracle Identity Cloud Serviceの場合、1回かぎりのアップグレードを実行する必要があります。

重要

テナンシが2018年12月21日以降に作成された場合、テナンシはOracle Cloud InfrastructureのOracle Identity Cloud Serviceユーザーをプロビジョニングするよう自動的に構成されます。
このトピックのステップを実行する必要はありません。 フェデレーテッド・ユーザーの管理の詳細は、「ユーザー・タイプについて」および「フェデレートされたユーザーのユーザー機能の管理」を参照してください。

Oracle Identity Cloud Service Federationのアップグレード

Oktaフェデレーションの手順

Okta付きの既存のフェデレーションがない場合は、ホワイトペーパー(「Oracle Cloud InfrastructureフェデレーションのOkta構成およびプロビジョニング」)の指示に従ってください。 このペーパーには、SCIMでフェデレーションおよびプロビジョニングの両方の設定の手順が含まれます。

保守するグループ・マッピングを持つOktaを持つ既存のフェデレーションがある場合、SCIMプロビジョニングを次のように追加できます:

  1. Oktaでは、最初にOracle Cloud Infrastructureでフェデレートに設定した既存のSAMLアプリケーションを削除します。
  2. 次の例外はありますが、新規SAMLアプリケーションはホワイトペーパー「Oracle Cloud InfrastructureフェデレーションのOkta構成およびプロビジョニング」の指示に従ってOktaに設定します:

    • 「アイデンティティ・プロバイダの追加」からOracle Cloud Infrastructureまでのステップをスキップします(このリソースはOracle Cloud Infrastructureにすでに存在します)。
    • かわりに、「アイデンティティ・プロバイダの編集」をクリックして、作成した新しいOktaアプリケーションから新規のmetadata.xmlドキュメントをアップロードしてください。
    • 次に、Oracle Cloud Infrastructure「資格証明のリセット」を確認します。 新しいクライアントIDおよびシークレットをAPI統合設定ページのOkta (ホワイト・ペーパーのステップ7)に追加します。

アップグレード後に期待される処理

システムに同期化時間があると、フェデレートされたユーザーのユーザー機能をコンソールで管理できます。 Oracle Cloud Infrastructureのグループにマップされているグループに属するユーザーは、コンソールのユーザー・ページにリストされます。 Oracle Identity Cloud Serviceでマップされたグループに新しいユーザーを追加すると、システムが同期された後、コンソールでそれらのユーザーが使用可能になります。

デフォルトでは、次のユーザー機能が有効です。

  • APIキー
  • トークンを認証
  • SMTP資格証明
  • 顧客秘密キー

ローカル・パスワードは有効にできません。 Oracle Cloud Infrastructureコンソールのパスワードは、IdPでのみ管理されます。

ユーザーの機能の詳細は、「フェデレートされたユーザーのユーザー機能の管理」を参照してください。

資格証明のリセット

SCIMクライアント資格証明をリセットするには、「資格証明のリセット」ボタンを使用します。 このタスクは、資格証明を回転するためのセキュリティ対策として定期的に実行できます。 これらの資格証明をリセットしたら、IdプロバイダのSAMLアプリケーションを新しい資格証明で更新する必要があります。

注意: IdPがOracle Identity Cloud Serviceの場合、Oracle Cloud Infrastructureは自動的にOracle Identity Cloud Serviceを使用して資格証明をリセットします。 構成を手動でリセットする必要はありません。

アイデンティティ・プロバイダで実行するアクション

統合の設定後は、IdPで次のアクションを実行し続けます:

  • ユーザーを作成してグループに割り当てます。

  • ユーザー削除

    IdPから削除したユーザーは、次の同期サイクルが完了するとOracle Cloud Infrastructureから削除されます。

  • グループ・メンバーシップを問合せます。
  • ユーザーのサインイン・パスワードを管理します。