機械翻訳について
  1. Oracle Integration Generation 2のプロビジョニングおよび管理
  2. ユーザー、グループおよびポリシーの設定
  3. アイデンティティ・ドメインを使用しないクラウド・アカウントでのユーザー、グループおよびポリシーの設定
  4. Oracle Integration Generation 2の複数のアイデンティティ・ストライプの構成

Oracle Integration Generation 2の複数のアイデンティティ・ストライプの構成

Oracle Integration Generation 2の場合、プライマリ(初期)ストライプは、事前構成済グループを使用して自動的にフェデレートされます。 ただし、単一のクラウド・サービスまたはアプリケーション用に個別の環境を作成できます(たとえば、開発用に1つの環境を作成し、本番用に1つを作成できます)。環境ごとにアイデンティティおよびセキュリティ要件が異なります。 1つ以上のセカンダリ・ストライプを実装すると、Oracle Identity Cloud Serviceの複数のインスタンスを作成および管理して、アプリケーションおよびOracle Cloudサービスを保護できます。

ノート:

プロビジョニング後は、Oracle Identity Cloud Serviceストライプを変更したり、Oracle Integrationインスタンスの関連付けを別のIAMドメインに変更することはできません。

アイデンティティ・ドメインは使用しません このトピックは、アイデンティティ・ドメインを使用しないテナンシにのみ適用されます 「アイデンティティ・ドメインがある場合とない場合のテナンシの違い」を参照してください。

複数のOracle Identity Cloud Serviceストライプが同じクラウド・アカウントに関連付けられているSAML IDPフェデレーションを使用して、1つ以上のセカンダリ・ストライプをOracle Cloud Infrastructureと手動でフェデレートできます。 アカウント所有者はプライマリ・ストライプとセカンダリ・ストライプの両方を管理しますが、ストライプ内のアイデンティティは相互に分離されます。

複数のOracle Identity Cloud Serviceインスタンスを使用する利点は、「複数のインスタンスについて」を参照してください。

次のステップに従って、クラウド・アカウントのセカンダリ・ストライプを手動でフェデレートします。 アカウント所有者である必要があります。

  1. ストライプ命名規則の定義
  2. セカンダリ・ストライプ・ユーザーのIDCSグループの作成
  3. セカンダリ・ストライプでのOAuthクライアントの作成
  4. セカンダリ・ストライプ・ユーザーのOracle Cloud Infrastructureグループの作成
  5. フェデレーションとそのグループ・マッピングの作成
  6. フェデレーテッド・ユーザーがインスタンスを作成するためのOracle Cloud Infrastructureポリシーの作成
  7. セカンダリ・ストライプ・ユーザーのOracle Cloud Infrastructureコンソール・グループでのフェデレーテッド・ストライプへのアクセスの提供
  8. セカンダリ・ストライプ・コンパートメントでのOracle Integrationインスタンスの作成

ストライプ命名規則の定義

ベスト・プラクティスとして、ストライプに固有に作成するすべてのエンティティに対して<stripename>を定義します。 ストライプに関連付けられた構成を一意に識別することは、特に複数のストライプが構成されている場合に重要です。

次の各項では、次のエンティティでstripenameを使用します:

エンティティ 命名規則

IDCSグループ

stripename_administrators

OCIグループ

oci_stripename_administrators

区分

stripename_compartment

アイデンティティ・プロバイダ

stripename_service

ポリシー

stripename_adminpolicy

ポリシー・ステートメント

allow group oci_stripename_administrators to manage integration-instances in compartment stripename_compartment

セカンダリ・ストライプ・ユーザーのIDCSグループの作成

IDCSで、セカンダリ・ストライプにグループを作成し、セカンダリ・ストライプからグループにユーザーを追加します。

  1. セカンダリ・ストライプにグループを追加し、stripename_administratorsという名前を付けます。 「ストライプ命名規則の定義」を参照してください。 たとえば、stripe2_administratorsという名前を付けます。 「終了」をクリックします。
    詳細は、「グループの作成」 (「Oracle Identity Cloud Serviceの管理」)を参照してください。

    これらの管理者には、Oracle Integrationインスタンスを作成する権限が付与されます。 このIDCSグループは、Oracle Cloud Infrastructureグループにマップされます。

  2. セカンダリ・ストライプからグループにユーザーを追加します。

セカンダリ・ストライプでのOAuthクライアントの作成

OAuthクライアント資格証明を使用し、IDCSドメイン管理者ロールが割り当てられたIDCS機密アプリケーションを作成します。 セカンダリ・ストライプごとに機密アプリケーションを作成する必要があります。

  1. IDCS管理者として、セカンダリIDCS管理コンソールにサインインします。
  2. 機密アプリケーションを追加します。
    1. 「アプリケーション」タブにナビゲートします。
    2. 「追加」をクリックします。
    3. 「機密アプリケーション」を選択します。
    4. アプリケーションにClient_Credentials_For_SAML_Federationという名前を付けます。
    5. 「次へ」をクリックします。
  3. クライアント設定を構成します。
    1. 「このアプリケーションをクライアントとして構成」をクリックします。
    2. 「認可」の下で、「クライアント資格証明」を選択します。
    3. 「クライアントにIdentity Cloud Service Admin APIへのアクセスを許可」「追加」をクリックし、アプリケーション・ロール「アイデンティティ・ドメイン管理者」を選択します。
    4. 「次へ」を2回クリックします。
  4. 「終了」をクリックします。 アプリケーションが作成されたら、そのクライアントIDとクライアント・シークレットに注意してください。 この情報は、フェデレーションの次のステップで必要になります。
  5. 「アクティブ化」をクリックし、アプリケーションのアクティブ化を確認します。

セカンダリ・ストライプ・ユーザーのOracle Cloud Infrastructureグループの作成

Oracle Cloud Infrastructure SAML IDPフェデレーションにはフェデレーテッドIDP (IDCS)からユーザーをフェデレートするためのグループ・マッピングが必要であり、フェデレーテッド・ユーザーのOracle Cloud Infrastructure権限(ポリシー)を定義して付与するにはOCIネイティブ・グループ・メンバーシップが必要なため、このグループが必要です。

  1. Oracle Cloud Infrastructureコンソールでナビゲーション・メニューを開き、「アイデンティティ&セキュリティ」をクリックします。 「アイデンティティ」で、「グループ」をクリックします。

    このOracle Cloud Infrastructureグループは、作成したIDCSグループにマップされます。

  2. グループを作成し、oci_stripename_administratorsという名前を付けます。 たとえば、oci_stripe2_administratorsという名前を付けます。

フェデレーションとそのグループ・マッピングの作成

IDCSおよびOracle Cloud Infrastructureグループが作成され、必要なクライアント情報があるため、IDCSアイデンティティ・プロバイダを作成してグループをマップします。

  1. Oracle Cloud Infrastructureコンソールにサインインします。 最初のストライプ(identitycloudservice)のアイデンティティ・ドメインを選択し、そのユーザー資格証明を入力します。

    セカンダリ・ストライプのグループ・マッピングでは、最初のストライプのユーザー・サインインが使用されることに注意してください。 複数のストライプを追加すると、このドロップダウンに複数のオプションが追加されるため、これは重要です。

  2. ナビゲーション・メニューを開き、「アイデンティティ&セキュリティ」「フェデレーション」の順にクリックします。
  3. 「アイデンティティ・プロバイダを追加」をクリックします。
  4. 表示された画面で、次に示すようにフィールドに入力します。
    フィールド エントリ

    名前

    <stripename>_service

    説明

    Federation with IDCS secondary stripe

    タイプ

    Oracle Identity Cloud Service

    Oracle Identity Cloud ServiceベースURL

    次の書式を使用して、このURLを入力します:

    https://idcs-xxxx.identity.oraclecloud.com

    <idcs-xxxx>ドメイン部分をセカンダリIDCSストライプに置き換えます。

    クライアントID/クライアント・シークレット

    セカンダリ・ストライプで作成し、「セカンダリ・ストライプでのOAuthクライアントの作成」のステップでノートした情報を入力します。

    強制認証

    このオプションを選択します
  5. 「続行」をクリックします。
  6. 以前に作成したIDCSセカンダリ・ストライプおよびOCIグループをマップします。
  7. 「プロバイダの追加」をクリックします。
    セカンダリ・ストライプのフェデレーションが完了しました。 グループ・マッピングが表示されます。
  8. セカンダリ・ストライプを確認し、セカンダリ・ストライプ管理者およびユーザーの表示を構成します。

フェデレーテッド・ユーザーがインスタンスを作成するためのOracle Cloud Infrastructureポリシーの作成

フェデレーションが完了したら、セカンダリIDCSストライプのフェデレーテッド・ユーザーがOracle Integrationインスタンスを作成できるようにするOracle Cloud Infrastructureポリシーを設定します。 共通パターンとして、ポリシーはコンパートメントにスコープ指定されます。

  1. セカンダリIDCSストライプのOracle Integrationインスタンスを作成できるコンパートメントを作成します。 コンパートメントにstripename_compartmentという名前を付けます。
    たとえば、stripe2_compartmentという名前のコンパートメントを作成します。
  2. フェデレーテッド・ユーザーがコンパートメントにOracle Integrationインスタンスを作成できるようにするポリシーを作成します。 ポリシーにstripename_adminpolicyという名前を付けます(たとえば、stripe2_adminpolicy)。
    「ポリシー・ビルダー」の下で、「手動エディタの表示」を選択します。

    • 構文: allow group stripename_administrators toverb resource-typein compartmentstripename_compartment

    • ポリシー: allow group oci_stripe2_administrators to manage integration-instances in compartment stripe2_compartment

    このポリシーにより、ポリシー内のグループのメンバーであるユーザーは、stripe2_compartmentという名前のコンパートメントにOracle Integrationインスタンス(integration-instance)を作成できます。

セカンダリ・ストライプ・ユーザーのOracle Cloud Infrastructureコンソール・グループでのフェデレーテッド・ストライプへのアクセスの提供

追加のステップを実行して、セカンダリ・ストライプ管理者および他のすべてのセカンダリ・ストライプ・ユーザーがフェデレーション下のストライプを表示できるようにします。

  1. Oracle Identity Cloud Serviceで、stripe2_federation_administratorsというグループを作成します。
  2. フェデレーションを表示できるようにするグループにユーザーを追加し、そのストライプのOracle Cloud Infrastructureコンソールでユーザーおよびグループを作成します。
  3. Oracle Cloud Infrastructureコンソールで、プライマリ・ストライプ・ユーザーと適切な権限を使用して、oci_stripe2_federation_administratorsというOracle Cloud Infrastructureグループを作成します。
  4. stripe2_federation_administratorsおよびoci_stripe2_federation_administratorsグループをマップします。
  5. 次の文の例を使用して、フェデレーテッド・スイプへのアクセス権を付与するポリシーを定義します。
    いくつかの例では、セカンダリ・ストライプを識別するwhere句を使用して、特定のフェデレーテッド・スイプへのアクセス権を付与する方法を示します。 フェデレーションOCIDは、Oracle Cloud Infrastructureコンソールのフェデレーション・ビューから取得できます。
    セカンダリ・ストライプ管理者に許可します.... ポリシー・ステートメント

    グループの作成(使用)

    allow group oci_stripe2_federation_administrators to use groups in tenancy

    フェデレーション内のアイデンティティ・プロバイダのリスト(調査)

    allow group oci_stripe2_federation_administrators to inspect identity-providers in tenancy

    セカンダリ・ストライプ管理者がグループを作成する必要がある場合は、where句を含めるときにこのポリシーが必要です。

    特定のフェデレーテッド・ストライプにアクセスする(使用)

    allow group oci_stripe2_federation_administrators to use identity-providers in tenancy where target.identity-provider.id=“ocid1.saml2idp.oc1..aaaaaaaaa…”

    特定のセカンダリ・ストライプのアイデンティティ・プロバイダすべてまたはのみを管理(manage)

    • ALL:

      allow group oci_stripe2_federation_administrators to manage identity-providers in tenancy

    • 特定のセカンダリ・ストライプのアイデンティティ・プロバイダのみ:

      allow group oci_stripe2_federation_administrators to manage identity-providers in tenancy where target.identity-provider.id = "ocid1.saml2idp.oc1..aaaaaaaaa…"

前述のOracle Identity Cloud Serviceグループのユーザーとしてサインインすると、Oracle Cloud Infrastructureコンソールにユーザーおよびグループを作成し、プライマリ・ストライプと同様に権限を割り当てることができます。

where句の追加情報

manage動詞を特定のアイデンティティ・プロバイダ(ocid)に制限するwhere句とともに使用するグループのポリシーを(次の例のように)定義するとします。

ポリシーの例:

allow group OCISecStripeAdmin to manage identity-providers in tenancy where target.identity-provider.id='ocid1.saml2idp.oc1..aaaaaaaa...’

グループからのユーザーがOracle Cloud Infrastructureコンソールにログインし、フェデレーション・ページに移動すると、表内に次のメッセージが表示されます: Authorization failed or requested resource not found.

次の追加ポリシーを追加すると、グループ内のユーザーは同じページに移動してアイデンティティ・プロバイダを表示できます。 これらは両方を検査できますが、許可されたアイデンティティ・プロバイダのグループ・マッピング(読取り)のみを表示できます:

追加のポリシーの例: allow group OCISecStripeAdmin to inspect identity-providers in tenancy

セカンダリ・ストライプ・コンパートメントでのOracle Integrationインスタンスの作成

フェデレーション・ポリシーおよびOracle Cloud Infrastructureポリシーが定義されている場合、フェデレーテッド・ユーザーはOracle Cloud InfrastructureコンソールにサインインしてOracle Integrationインスタンスを作成できます。

  1. セカンダリ・ストライプからフェデレーテッド・ユーザーとしてサインインします。
    ユーザーは、「アイデンティティ・プロバイダ」フィールドでセカンダリ・ストライプを選択する必要があります(この場合、idcs-secondary-stripe-service)。
  2. 認可された管理者は、指定されたコンパートメント(この場合はidcs-secondary-stripe-compartment)内のOracle Integrationインスタンスを終了できます。