Oracle Access Governanceとフラット・ファイル間のアイデンティティ・オーケストレーションの設定

概要

Oracle Access Governanceは、高度なセキュリティの脅威および規制の増加に対処する際にセキュリティ所有者が直面する課題の増大に対処します。 このクラウド・ネイティブ・ソリューションは、企業が複数のアプリケーション、ワークロード、インフラストラクチャ、およびアイデンティティ・プラットフォームにわたってガバナンスとコンプライアンスの要件を満たすのに役立ちます。

Access Governanceは、プロビジョニングとアクセス・ガバナンス・プロセスを自動化することで、アイデンティティ管理の効率を向上させます。 この自動化は、属性ベース、ロールベースおよびポリシーベースのアクセス制御をカバーし、シームレスな管理とアクセス権の付与を容易にします。

Oracle Access Governanceは、接続されたシステムを定義することで、アイデンティティ・システムと統合できます。 接続されたシステムを使用すると、アイデンティティ・システムからOracle Access Governanceにアイデンティティおよびアクセス・データをロードできます。 接続済システムを定義すると、直接接続またはエージェントを介して、ターゲット・アイデンティティ・システムとOracle Access Governanceの間の統合およびデータ同期が可能になります。 オンプレミス・システム、フラット・ファイルおよびクラウド・サービスをOracle Access Governanceに接続できます。

Oracle Access Governanceの詳細は、次を参照してください:

目的

このチュートリアルでは、次のことを学習します:

チュートリアル・シナリオ

フラット・ファイル統合により、ID、権限、サービス・アカウントおよびユーザー・アカウントを切断されたアプリケーションからOracle Access Governanceにオンボードできます。

このチュートリアルでは、Oracle Access Governanceとフラット・ファイルの間にアイデンティティ・オーケストレーションを設定する方法を学習します。 このチュートリアルでは、OCIテナンシのオブジェクト・ストレージに格納されているCSVファイルを使用します。

前提条件

OCI CLIを:

タスク1: Oracle Cloud Infrastructure (OCI)でのバケットの作成

データをOracle Access Governanceにロードするには、OCIオブジェクト・ストレージ・サービスを使用して作成されたバケットにデータファイルを配置する必要があります。 バケットは、OCIテナンシの任意のコンパートメントに作成できます。

バケットおよびバケットに対するmanage権限を持つサービス・ユーザーを作成するには、次のステップに従います。

  1. コンパートメントを作成します。 たとえば、accessgovです。 コンパートメントの作成の詳細は、「コンパートメントの作成」を参照してください。
機械翻訳について

バケットの作成

  1. Oracle Cloud Infrastructure (OCI)コンソールにログオンします。

  2. ナビゲーション・メニュー・アイコンを開き、「ストレージ」をクリックします。

    図storage.pngの説明

  3. 「オブジェクト・ストレージ &アーカイブ・ストレージ」で、「バケット」をクリックします。

    図bucketsoption.pngの説明

  4. 「リスト範囲」から必要なコンパートメントを選択します。

  5. 「バケットの作成」をクリックします。 「バケットの作成」ダイアログ・ボックスが表示されます。

    図creatbucket.pngの説明

  6. バケット名: 現在の年、月、日および時間を反映するデフォルトのバケット名(bucket-2019030620230306-1359など)が生成されます。 このデフォルトを他のバケット名に変更する場合は、文字、数字、ダッシュ、アンダースコアおよびピリオドを使用します。 機密情報の入力は避けてください。

  7. 他の設定をそのままにするか無視して、「作成」をクリックします。 「バケットの作成」画面の様々なオプションの詳細は、「オブジェクト・ストレージ・バケットの作成」を参照してください。

サービス・ユーザーを作成し、バケットに「管理」権限を割り当てます

  1. ローカル・アイデンティティ・ユーザーagcs_userをバケットと同じコンパートメントに作成します。 この例では、バケットがaccessgovコンパートメントに作成されます。 ユーザーの作成の詳細は、「ユーザーの作成」を参照してください。

  2. アイデンティティ・グループagcs_flatfilegroupを、ローカル・アイデンティティ・ユーザーと同じドメインおよびコンパートメントに作成します。 この例では、ドメイン名はdefaultで、コンパートメント名はaccessgovです。 グループの作成の詳細は、「グループの作成」を参照してください。

  3. アイデンティティ・ユーザーagcs_userをアイデンティティ・グループagcs_flatfilegroupに割り当てます。

  4. 次のポリシー・ステートメントを使用して、ポリシーagcs_flatfilepolicyを作成します:

    構文

    グループ<groupname>に、コンパートメント<compartmentname>内のオブジェクトの管理を許可します(target.bucket.name = <'bucketname'>)

    たとえば

    グループagcs_flatfilegroupに、コンパートメントaccessgov内のオブジェクトの管理を許可します(target.bucket.name = 'bucket-20231130-1143')

ポリシーの作成の詳細は、「ポリシーの作成」を参照してください。

サービス・ユーザーのAPIキーの生成

  1. Oracle Cloud Infrastructure (OCI)コンソールで、「アイデンティティ&セキュリティ」「ドメイン ->デフォルト・ドメイン」の順に選択し、左ペインから「ユーザー」を選択します。

  2. 前に作成したagcs_userユーザー名を選択します。

  3. 左側のナビゲーション・パネルの「リソース」セクションで、「APIキー」を選択します。

  4. 「APIキーの追加」をクリックし、「APIキー・ペアの生成」を選択します。

  5. 「秘密キーのダウンロード」をクリックして保存します。

    図addapikey.pngの説明

  6. 「Add」をクリックします。 フィンガープリントおよび構成ファイルの詳細を表示する構成ファイルが作成されます。 構成ファイルで使用可能な情報を別のテキスト・ファイルに保存します。

    図APIpreview.pngの説明

参照用のサンプル構成ファイルは次のとおりです:

[DEFAULT]
user=abcd1.user.zyx1...
fingerprint=14:b5:a1:90:a1:d3:...
tenancy=abcd1.tenancy.ab1...
region=ab-sample-2..
key_file=<path to your private keyfile> # TODO

タスク2: バケットとOracle Access Governanceの間の接続の確立

接続の詳細を入力して、バケットとOracle Access Governanceの間の接続を確立できます。 これを実現するには、Oracle Access Governanceコンソールで使用可能な接続システム機能を使用します。

  1. Oracle Access Governanceインスタンスにログオンします。

  2. Oracle Access Governanceナビゲーション・メニュー・アイコンから、「サービス管理」>「接続されたシステム」を選択します。

  3. 「接続されたシステムを追加」をクリックします。

    図addconnectedsystem.pngの説明

  4. 「新しい接続システムの選択および構成」ステップで、「フラット・ファイル」タイルを選択し、「次」をクリックします。

    図flatfile.pngの説明

  5. 「詳細の入力」ステップで、接続先のアプリケーションの名前を「フラット・ファイルを何と呼びますか。」フィールドに入力します。

  6. 「このフラット・ファイルをどのように記述しますか。」フィールドにアプリケーションの説明を入力します。

  7. この接続済システムが認可ソースであるかどうか、およびOracle Access Governanceが次のチェック・ボックスを設定して既存のユーザーの権限を管理できるかどうかを確認します。

    • 「これは自分のアイデンティティの認可ソースです」 - 選択すると、ユーザーとしてAccess Governanceシステムにアイデンティティをロードできます。
    • 「この接続済システムの権限を管理したい」 - 選択すると、アカウントおよび権限をアクセス・ガバナンス・システムにロードできます。

    ノート: 両方のオプションを組み合せると、アイデンティティがシステムにロードされ、続いてアカウント詳細がロードされ、アイデンティティとアカウントの間に相互リンクが作成されます。

  8. 次へをクリックします。

    図enterdetails.pngの説明

  9. 「構成」ステップで、次の詳細を入力し、「追加」をクリックします。

    • 「OCIユーザーのOCIDは何ですか。」フィールドに、統合するフラット・ファイルを含むバケットを所有するOCIユーザーのOCIDを追加します。 たとえば、userフィールドの情報です。 
    user=abcd1.user.zyx1...
    • 「OCIユーザーのAPIキーのフィンガープリントは何ですか。」フィールドに、OCUユーザーのAPIキーのフィンガープリントを入力します。 たとえば、fingerprintフィールドの情報です。 
    fingerprint=14:b5:a1:90:a1:d3:...

    • ユーザーの非公開APIキーをPEM形式で「OCIユーザーのPEM形式のプライベートAPIキーは何ですか。」フィールドに入力します。 たとえば、以前にダウンロードした「秘密キー」を任意のテキスト・エディタで開き、ファイルの内容をコピーして「OCIユーザーのPEM形式のプライベートAPIキーは何ですか。」フィールドに配置します。

    • テナンシを「OCIユーザーのテナンシは何ですか。」フィールドに入力します。 たとえば、tenancyフィールドに表示される情報です。 

    tenancy=abcd1.tenancy.ab1...
    • テナンシのホーム・リージョン・コードを「OCIテナンシのホーム・リージョン・コードは何ですか。」フィールドに入力します。 たとえば、regionフィールドの情報です。 
    region=ab-sample-2..

    • テナンシのバケット・ネームスペースを「バケットのネームスペースは何ですか。」フィールドに入力します。

      バケット・ネームスペースの詳細を取得するには:

      1. Oracle Cloud Infrastructure (OCI)コンソールで、「ストレージ」を選択し、「オブジェクト・ストレージ &アーカイブ・ストレージ」「バケット」をクリックします。

      2. 以前に作成したバケットをクリックします。 この場合、bucket-2019030620230306-1359です。

      3. 「バケット情報」タブから、バケット・ネームスペースをコピーします。

        図bucketnamespace.pngの説明

    • 「バケットの名前は何ですか。」フィールドに、フラット・ファイルがOCIオブジェクト・ストレージに格納されるバケットの名前を入力します。 この場合、bucket-2019030620230306-1359です。

    • エンコーディングを「エンコーディング」フィールドに入力します。 デフォルトはUTF-8です。

    • 「フィールド・デリミタ」フィールドに、フラット・ファイルで使用されるフィールド・デリミタ文字を入力します。 デフォルトは,です。

    • 「サブ・フィールド・デリミタ」フィールドに、フラット・ファイルで使用されるサブ・フィールド・デリミタ文字を入力します。 デフォルトは#です。

    • 「MultiValueデリミタ」フィールドに、フラット・ファイルで使用される複数値デリミタ文字を入力します。 デフォルトは;です。

    • 「テキスト修飾子」フィールドに、テキスト修飾子として機能するためにフラット・ファイルで使用される文字を入力します。 デフォルトは"です。

    • フラット・ファイルへの接続をチェックする場合は、「接続性のテスト」ボタンをクリックします。 接続を確認したら、「追加」をクリックして構成を保存します。

      図configureflatfile.pngの説明

タスク3: バケット・フォルダ構造の確認

バケット・フォルダ構造を確認するには、OCIコンソールにログインし、オブジェクト・ストレージに移動します。 接続されているシステム・バケットを選択します。 「リソース」メニューで、「オブジェクト」を選択し、フォルダ構造を確認します。<ServiceInstanceName>/<ConnectedSystemName> failed inbox outbox sample schema

図folderstructure.pngの説明

これらのフォルダは次の目的で使用されます:

タスク4: CSVフラット・ファイルの作成

このチュートリアルでは、次のものからアクセスできるサンプルのcsvファイルを使用します:

ノート: ファイルをダウンロードするには、ファイル名を右クリックして、リンクを新しいタブで開くを選択します。

タスク5: CSVフラット・ファイルをバケット・フォルダに配置

次のステップを実行して、CSVフラット・ファイルをバケット・オブジェクト・ストレージにアップロードします。

  1. OCI上のバケットにアクセスし、inboxフォルダをクリックしてCSVフラット・ファイルをアップロードします。

    図inbox.pngの説明

  2. フォルダに対応する3つのドットをクリックして、CSVフラット・ファイルをアップロードします:

    • IDENTITY - identity.csvをアップロードするには
    • PERMISSION - permission.csvをアップロードするには
    • TARGETACCOUNT - targetaccount.csvをアップロードするには

  3. 「アップロード」をクリックします。

  4. 「オブジェクトのアップロード」ポップアップ画面で、「コンピュータからファイルを選択」フィールドの「ファイルを選択」リンクをクリックします。

  5. ファイルを参照して検索し、「アップロード」をクリックします。

    図uploadidentityfiles.pngの説明

  6. 同様のステップを実行して、他の必要なCSVフラット・ファイルをアップロードします。

    図inboxuploadedfiles.pngの説明

タスク6: Oracle Access Governanceでのデータ・ロードの実行およびアイデンティティの管理

関連するCSVフラット・ファイルをinboxフォルダに配置した後、オンデマンドでデータ・ロードを実行する必要があります。 データ・ロードを実行するたびに、常に完全なデータ・ロードとなり、増分データ・ロードはありません。

何らかの障害(単一のレコードまたは完全なファイル障害)がある場合、データ・ロード操作は失敗としてマークされます。 正常に処理されたファイルは「受信ボックス」にとどまり、失敗したファイルはfailedフォルダに移動されます。 データの問題を修正した後、ファイルを「受信ボックス」に戻し、データ・ロード操作を再試行する必要があります。 CSVで欠落しているアカウントに権限が割り当てられているなど、データ整合性の問題が発生すると、データ・ロード操作が失敗する可能性があります。 ただし、このような場合、CSVファイルは失敗したフォルダに移動されません。 ファイルは、必須データの欠落など、データ自体の読取りに問題がある場合にのみ、失敗したフォルダに移動されます。

データ・ロードを実行するには

  1. Oracle Access Governanceコンソールにログオンします。

  2. Oracle Access Governanceナビゲーション・メニュー・アイコンから、「サービス管理」>「接続されたシステム」を選択します。

  3. フラット・ファイル接続システムをクリックします。

  4. 「今すぐデータをロード」ボタンをクリックします。

    図dataload.pngの説明

  5. データ・ロードが完了するまで待ってから、統合ファイルにアクセスします。

アイデンティティを管理するには

  1. Oracle Access Governanceコンソールにログオンします。

  2. Oracle Access Governanceナビゲーション・メニュー・アイコンから、「サービス管理者」>「アイデンティティの管理」を選択します。

  3. 「アイデンティティの管理」ページから「アクティブ」を選択します。

  4. いずれかのセット条件を満たす必要がある場合はすべてを選択し、そのアイデンティティに対してすべてのセット条件を満たす必要がある場合は「すべて」を選択します。 このチュートリアルでは、「任意」を選択します。

  5. リストから属性名ステータスを選択します。

  6. 次と等しい条件演算子を選択します。

  7. アクティブ属性値を選択します。

    図manageidentities.pngの説明

  8. 追加の属性に対する条件文またはルールの追加を続行します。

  9. ルールを定義したら、「上記のルールに基づいて概要をプレビュー」を選択して「サマリーのプレビュー」ポップアップに移動します。 各カテゴリの上位10件について、次の情報が表示されます:

    • 入力したルールに基づく一致の合計数。
    • サービスのアイデンティティの合計数。
    • 次に基づく含まれるアイデンティティの分布の内訳:
      • ジョブ・コード
      • 場所
      • 従業員タイプ

    図previewsummary.pngの説明

  10. 「保存」をクリックして、含まれているアイデンティティ・ルールを保存します。

このルールが正常に実行されると、アイデンティティ属性など、いくつかのメニュー・オプションが有効になります。 アイデンティティは、「誰が何にアクセスできるか」 > 「企業全体のアクセス」から確認できます。

誰が何にアクセスできるかを確認するには

  1. Oracle Access Governanceコンソールで、Oracle Access Governanceナビゲーション・メニュー・アイコンから、「誰が何にアクセスできるか」>「企業全体のアクセス」を選択します。

    図whohasaccesstowhat.pngの説明

  2. 接続されたシステムに対応する「アクセス権を持つアイデンティティの表示」リンクをクリックして、データ・ロードを表示します。

    図identitiesdataload.pngの説明

謝辞

その他の学習リソース

docs.oracle.com/learnの他のラボを探すか、「Oracle Learning YouTubeチャネル」にあるより無料のラーニング・コンテンツにアクセスしてください。 また、education.oracle.com/learning-explorerにアクセスして、Oracle Learning Explorerになります。

製品ドキュメントについては、Oracle Help Centerを参照してください。