Die Abbildung zeigt die logische Architektur zum Einrichten einer OCI-IAM-Identitätsdomainumgebung. Es enthält zwei Abschnitte, eine On-Premise-Implementierung und einen OCI-Account.

Der On-Premise-Abschnitt enthält entweder einen Identitätsprovider oder eine Availability-Domain mit drei Verzeichnissen: ein Verzeichnis für Entwicklungsbenutzer, ein Verzeichnis für Testbenutzer und ein Verzeichnis für Produktionsbenutzer. Der OCI-Account enthält Administratoren und eine Standardverfügbarkeitsdomain. Darunter befinden sich drei Umgebungen: eine Entwicklungsumgebung, eine Textumgebung und eine Produktionsumgebung. Jede dieser Umgebungen enthält Benutzer, die ihrer Umgebung entsprechen, d.h. Entwicklungsbenutzer, Testbenutzer und Produktionsbenutzer. Die beiden enthalten außerdem jeweils eine OCI IAM-Einzugsdomäne und Instanzen von Oracle SaaS (z.B. ERP, HCM, EPM und OTM), Oracle PaaS und anderen Drittanbieteranwendungen.

Traffic wird über IDP-Föderation zwischen den On-Premise-Verzeichnissen und den OCI IAM-Einzugsdomains übertragen. Es wird auch über OCI-IAM-Identitätsdomains zwischen den On-Premise-Verzeichnissen und den Benutzern übertragen. Dieser Traffic wird dann über die OCI IAM-Einzugsdomäne jeder Umgebung an die verschiedenen Anwendungen und Services verteilt.