Die Abbildung zeigt die logische Architektur zum Einrichten einer OCI IAM-Identitätsdomainumgebung. Er enthält zwei Abschnitte, eine On-Premise-Implementierung und einen OCI-Account.

Der On-Premise-Abschnitt enthält entweder einen Identitätsprovider oder eine Availability-Domain mit drei Verzeichnissen: ein Verzeichnis für Entwicklungsbenutzer, ein Verzeichnis für Testbenutzer und ein Verzeichnis für Produktionsbenutzer. Der OCI-Account enthält Admins und eine Standardverfügbarkeitsdomain. Darunter befinden sich drei Umgebungen: eine Entwicklungsumgebung, eine Textumgebung und eine Produktionsumgebung. Jede dieser Umgebungen enthält Benutzer entsprechend ihrer Umgebung, d.h. Entwicklungsbenutzer, Testbenutzer und Produktionsbenutzer. Außerdem enthalten sie jeweils eine jeweilige OCI IAM-Indentitätsdomain und Instanzen von Oracle SaaS (z.B. ERP, HCM, EPM und OTM), Oracle PaaS und andere Anwendungen von Drittanbietern.

Durch IDP-Föderation wird Traffic zwischen den On-Premise-Verzeichnissen und den OCI IAM-Indentity-Domains übertragen. Außerdem erfolgt die Übertragung zwischen den On-Premise-Verzeichnissen und den Benutzern über OCI IAM-Identitätsdomains. Dieser Traffic wird dann über die OCI IAM-Indentity-Domain jeder Umgebung an die verschiedenen Anwendungen und Services verteilt.