Oracle Cloud Infrastructureドキュメント

IAMの保護

IAMセキュリティ機能を管理します。

この項では、IAMの様々なセキュリティの側面について説明します:

  • 使用条件の管理: ユーザーの同意に基づいて、コンソールまたはターゲット・アプリケーションにアクセスするための使用条件を設定できます。
  • パスワード・ポリシーの管理: アイデンティティ・ドメインのグループベースのパスワード・ポリシーを作成および管理します。
  • アダプティブ・セキュリティおよびリスク・プロバイダの管理: アダプティブ・セキュリティおよびリスク・プロバイダの概要、アダプティブ・セキュリティをアクティブ化する方法、デフォルト・リスク・プロバイダを構成する方法、およびサードパーティ・リスク・プロバイダを追加する方法について学習します。
  • 委任認証の管理: ユーザーがMicrosoft Active Directory (AD)パスワードを使用してアイデンティティ・ドメインにサインインし、IAMによって保護されているリソースおよびアプリケーションにアクセスする方法について説明します。
  • アカウント・リカバリの構成: サインインに問題がある場合、ロックアウトされた場合、またはパスワードを忘れた場合に、ユーザーが自分のアカウントに再度アクセスできるように設計された自動プロセスを使用する方法について学習します。
  • 多要素認証の管理: 多要素認証(MFA)は、ユーザーのアイデンティティを検証するために複数の要素を使用する必要がある認証方法です。アイデンティティ・ドメインでこれを有効にする方法を確認します。
  • パスワードなし認証の管理: パスワードなし認証では、ユーザーは自分のユーザー名および別の認証ファクタ(電子メールで送信されたパスコードなど)を使用してサインインできます。設定方法を学んでください。
  • 信頼できるパートナー証明書の管理: 信頼できるパートナーは、IAMに対してリモートの、IAMと通信する、すべてのアプリケーションまたは組織です。信頼できるパートナ証明書(X.509デジタル証明書)を使用して、信頼関係を管理する方法について学習します。
  • ネットワーク・ペリメータの管理: ブロックリストを使用して、アイデンティティ・ドメインへのアクセスを管理するためのネットワーク・ペリメータを定義する方法を確認します。

ネットワーク・ペリメータの管理

IAMのアイデンティティ・ドメイン内のネットワーク・ペリメータによって、ユーザーがサインインに使用できるIPアドレスが制限されます。

ネットワーク・ペリメータに関連する次のタスクを実行できます。

概要

ネットワーク・ペリメータの作成後、ユーザーは、ネットワーク・ペリメータのIPアドレスのいずれかを使用すると、IAMにサインインできなくなります。これは、ブロックと呼ばれます。ブロックリストには、疑わしいIPアドレスまたはドメインが含まれます。たとえば、ハッキングが増加している国からのIPアドレスを使用して、ユーザーがIAMにサインインしようとする場合もあります。

IPアドレスは、インターネットに接続されているすべてのデバイスのネットワークを識別する一連の数値です。エンベロープの差出人住所のようなものであり、人間が読めるドメインに関連付けられています。IPアドレスは、他のデバイスでデータの送信元を示すため、不正なコンテンツをトラッキングするのに適した方法です。

ブロックリストでは、単一のIPアドレスまたはIPの範囲(セット)をリストできます。IAMでは、この情報を使用して、疑わしいIPアドレスからサインインしようとするユーザーをブロックできます。

ネットワーク・ペリメータに含まれるIPアドレスのみを使用して、ユーザーがサインインできるようにIAMを構成することも可能です。これは許可リストと呼ばれ、これらのIPアドレスを使用してIAMにサインインしようとしているユーザーは受け入れられます。許可リスティングは、ブロックリスト(疑わしいためにIAMへのアクセスが拒否されたIPアドレスを識別する操作の逆です)の逆です。

特定のIPアドレスまたは特定の範囲のIPアドレスを使用するユーザーのみがIAMへのサインインを許可されるように、IAMを構成できます。または、疑わしいIPアドレスまたはIPアドレスの範囲をモニターし、これらのIPアドレスを使用するユーザーがIAMにサインインできないようにIAMを構成できます。

ネットワーク・ペリメータでは、標準フォーマット、正確なIPアドレス、IPアドレスの範囲、またはマスクされたIPアドレスのセットを定義できます。Internet Protocol version 4 (IPv4)プロトコルとInternet Protocol version 6 (IPv6)プロトコルの両方がサポートされています。

  • 正確なIPアドレス。単一のIPアドレスまたは複数のIPアドレスを入力できます。正確なIPアドレスを複数入力する場合は、それぞれの間にカンマを挿入します。

  • ハイフンで区切られた2つのIPアドレス(これはIP範囲です)。たとえば、10.10.10.1-10.10.10.10のIP範囲を指定した場合、10.10.10.1から10.10.10.10までのIPアドレスを使用してIAMにサインインしようとしているユーザーは、そのIP範囲内のIPアドレスを使用している。

  • マスクされたIPアドレスの範囲。IPアドレスの各数値は、8ビットです。たとえば、マスクされた範囲が10.11.12.18/24の場合、最初の3つの数値(24ビット)は、IPアドレスがこの範囲内にあるかどうかを確認するために適用する必要があるマスクです。この例では、有効なIPアドレスは、10.11.12で始まるアドレスです。

    注意

    0.0.0.0/0のIPアドレス範囲は、すべてのIPv4アドレスをグローバルに網羅しているため、使用しないでください。
ノート

リストされている例では、IPv4プロトコルでIPアドレスを使用しています。ただし、IPv6プロトコルを使用するIPアドレスに同じフォーマットを適用できます(B138:C14:52:8000:0:0:4D8など)。

ネットワーク・ペリメータを定義した後、サインオン・ポリシーにそれらを割り当て、ネットワーク・ペリメータで定義されたIPアドレスを使用してIAMにサインインしようとしたときにIAMにサインインできるように、またはIAMにアクセスできないようにポリシーを構成できます。

サインオン・ポリシーへのネットワーク・ペリメータの割当ての詳細は、サインオン・ポリシーの追加を参照してください。

ネットワーク・ペリメータのリスト

ネットワーク・ペリメータのリストを取得します。

  1. ナビゲーション・メニューを開き、「アイデンティティおよびセキュリティ」を選択します。「アイデンティティ」で、「ドメイン」を選択します。
  2. 作業するアイデンティティ・ドメインの名前を選択します。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。
  3. 「セキュリティ」「ネットワーク・ペリメータ」の順に選択します。

    既存のネットワークペリメータのリストが表示されます。

ネットワーク・ペリメータの作成

IAMのアイデンティティ・ドメインにネットワーク・ペリメータを作成し、ユーザーがサインインに使用できるIPアドレスを制限するように構成します。

  1. 「ドメイン」リスト・ページで、変更するドメインを選択します。ドメインのリスト・ページの検索に関するヘルプが必要な場合は、アイデンティティ・ドメインのリストを参照してください。
  2. 「セキュリティ」「ネットワーク・ペリメータ」の順に選択します。

    既存のネットワークペリメータのリストが表示されます。

  3. 「ネットワーク・ペリメータ」リスト・ページで、「ネットワーク・ペリメータの作成」を選択します。
  4. ネットワークペリメータの名前、およびネットワークペリメータの正確なIPアドレスまたはIPアドレス、IP範囲、またはマスクされたIPアドレス範囲を入力します。IPアドレス形式について学習するには、ネットワーク・ペリメータの管理を参照してください。
  5. 「作成」を選択します。
次に、ネットワーク・ペリメータを含むサインオン・ポリシー・ルールを作成します。サイン・オン・ポリシー・ルールでこのネットワーク・デリメータを使用する方法の詳細は、サインオン・ポリシーの作成を参照してください。

ネットワーク・ペリメータの詳細の取得

IAMのアイデンティティ・ドメイン内のネットワーク・ペリメータの名前およびIPアドレスを表示します。

  1. 「ドメイン」リスト・ページで、変更するドメインを選択します。ドメインのリスト・ページの検索に関するヘルプが必要な場合は、アイデンティティ・ドメインのリストを参照してください。
  2. 「セキュリティ」「ネットワーク・ペリメータ」の順に選択します。

    既存のネットワークペリメータのリストが表示されます。

  3. 詳細情報を表示するネットワーク・ペリメータを見つけます。
  4. ネットワーク・ペリメータの「アクション」メニュー(3つのドット)から、「ネットワーク・ペリメータの編集」を選択します
    ウィンドウが開き、ネットワーク・ペリメータに関連付けられている名前とIPアドレスが表示されます。これらの値は、必要に応じて更新できます。

ネットワーク・ペリメータの更新

IAMのアイデンティティ・ドメイン内のネットワーク・ペリメータの名前およびIPアドレスを更新します。

  1. 「ドメイン」リスト・ページで、変更するドメインを選択します。ドメインのリスト・ページの検索に関するヘルプが必要な場合は、アイデンティティ・ドメインのリストを参照してください。
  2. 「セキュリティ」「ネットワーク・ペリメータ」の順に選択します。

    既存のネットワークペリメータのリストが表示されます。

  3. 更新するネットワーク・ペリメータの「アクション」メニュー(3つのドット)から、「ネットワーク・ペリメータの編集」を選択します。
  4. 必要に応じて、名前とIPアドレスを更新します。
  5. 「Save changes」を選択します。

ネットワーク・ペリメータの削除

IAMのアイデンティティ・ドメイン内の1つ以上のネットワーク・ペリメータを削除します。

  1. 「ドメイン」リスト・ページで、変更するドメインを選択します。ドメインのリスト・ページの検索に関するヘルプが必要な場合は、アイデンティティ・ドメインのリストを参照してください。
  2. 「セキュリティ」「ネットワーク・ペリメータ」の順に選択します。

    既存のネットワークペリメータのリストが表示されます。

  3. 更新するネットワーク・ペリメータの「アクション」メニュー(3つのドット)から、「ネットワーク・ペリメータの削除」を選択します。
  4. プロンプトが表示されたら削除を確認します。

継続的要員検証の管理(ベータ)

重要

Pre-General Availability: 2025-10-14

このドキュメントはPre-General Availability (一般提供前)版であり、デモおよび暫定使用のみを目的としたものです。このソフトウェアを使用するハードウェアに限定するものではありません。Oracle Corporationおよびその関連会社は、このドキュメントに関して一切の責任を負わず、いかなる保証もいたしません。また、このドキュメントを使用したことによって損失、費用、あるいは損害が発生しても、一切の責任を負いかねます。

このドキュメントは、マテリアルやコード、機能またはサービスを提供することのオラクルによるコミットメント(確約)ではありません。このドキュメントおよびOracleのPre-General Availability(一般提供前) プログラムとサービスは、予告なしにいつでも変更される可能性があります。したがって、購買決定を行う際の判断材料にしないでください。オラクルのPre-General Availability(一般提供前)プログラムおよびサービスの開発、リリース、およびすべての機能の時期は、オラクルの単独の裁量により決定されます。すべてのリリース日または将来のイベントなどの予測は変更される可能性があります。オラクルとのあらゆるライセンス契約またはサービス契約の締結にあたり、今後のオラクルのプログラムまたはサービスの将来の利用可能性を前提としないでください。

Oracleの法律上の注意点を参照してください。

はじめに(ベータ)

アイデンティティ検証(IDV)は、物理的な顔の属性をパスポートや運転免許などの政府発行の識別文書と比較して、個人の実際のアイデンティティを検証するプロセスです。これにより、ユーザーは自分が主張する人物であることを保証できます。

Continuous Workforce Verification (CWV)は、初期登録後に顔の生体認証を使用してユーザーのアイデンティティを定期的に再検証することで、IDV上に構築されます。これにより、アプリケーションまたはリソースにアクセスする個人が、アプリケーションまたはリソースにアクセスすることになっている個人(および資格証明を所有していた個人ではない)であることが保証され、不正なアクセスや不正アクセスに対する組織のセキュリティ状態が強化されます。

このサービスは、サード・パーティのアイデンティティ検証(またはアイデンティティ・プルーフ)プロバイダと統合して、初期ドキュメントおよびアイデンティティ・チェックを実行します。ユーザーのアイデンティティが検証されると、その顔の生体認証データがOracleのネイティブ・サービスに登録され、継続的な検証チェックが行われます。現在、OracleはDaonをサポートしています。

コンセプト(ベータ)

アイデンティティ検証(IDV):ライブ・セルフィーを政府発行のIDドキュメントと照合して、ユーザーのアイデンティティを証明する1回かぎりのプロセス。これは、サードパーティ・プロバイダを介して実行されます。

Facial Biometrics:セキュアな生体認証テンプレートを作成するために、ユーザー独自の顔特性を取得するプロセス。このテンプレートは、初期登録および後続の検証チェックに使用されます。IAMの顔の生体認証は、OCIネイティブの機能です。

Continuous Workforce Verification (CWV):ユーザーのアイデンティティが顔の生体認証を使用して定期的にチェックされ、認可されたユーザーがまだアカウントを操作していることが保証される継続的なセキュリティ状態。

アイデンティティ検証プロバイダ: OCI IAMに統合されたサードパーティ・サービス(Daonなど)で、政府発行のドキュメントを検証して初期アイデンティティ・プルーフィングを処理します。

居住性検出:ユーザーが物理的に存在し、写真、ビデオまたはマスクを使用してシステムをスプーフィングしていないことを確認するために、顔の生体認証スキャン中に使用されるテクノロジ。これには、頭部の傾きや点滅などのプロンプトが含まれます。

インライン登録:管理者によって要求され、サインイン・フロー内で直接発生する登録プロセス。ユーザーは、通常、アプリケーションにアクセスする前に完了する必要があります。

継続的なワークフォース検証プロセス

このプロセスには、次の2つの主要なペルソナが含まれます。

  • 管理者:アイデンティティ検証プロバイダを構成し、ユーザーがアイデンティティを検証する必要がある時期と頻度を定義する継続的ワークフォース検証ポリシーを設定します。
  • ユーザー:政府発行のIDと顔でIDを検証して、サービスに登録します。その後、管理者が定義した定期的な顔の生体認証チェックを完了します。

管理者ワークフロー(ベータ)

  1. Example Inc.の管理者は、まずDaonなどのサポートされているID検証プロバイダとの商用関係を確立します。
  2. OCIコンソールでは、管理者はアイデンティティ・ドメインに移動し、クライアントIDやシークレットなどの資格証明を使用してアイデンティティ検証プロバイダとしてDaonを構成し、アクティブ化します。
  3. 管理者は、継続的ワークフォース検証ポリシーを作成し、影響を受けるユーザー・グループを指定するルールを追加します。
  4. ルール内で、管理者は顔の生体認証を有効にし、定期的なチェック(たとえば、7~14日ごと)および再登録(たとえば、6~12か月ごと)の頻度を設定します。

Oracleでは、アイデンティティ保証を強化するために、アイデンティティ検証とバイオメトリクスを組み合せることをお薦めします。ただし、各機能はオプションであり、別々に使用できます。管理者は、組織固有のニーズに応じて、アイデンティティ検証および顔の生体認証または顔の生体認証のみを使用して、継続的ワークフォース検証を柔軟に構成できます。アイデンティティ検証と顔の生体認証の両方でインライン登録が有効になっている場合、IDVプロセスが最初にプロンプトされ、次に生体認証が行われます。

管理者は、必須のインライン・オプションとして登録を指定したり、ユーザーがスキップして検証頻度などの設定を定義できる機能を指定することもできます。

エンドユーザー・ワークフロー(ベータ)

  1. 初期登録: 従業員Johnは、認証後(継続的なワークフォース検証ポリシーがインライン登録用に構成されている場合)、または「自分のプロファイル」からインラインに登録するよう求められます。これは1回かぎりのプロセスです。
    1. アイデンティティ検証: Johnのコンピュータ画面にQRコードが表示されます。彼はスマートフォンでスキャンし、Daonで身元確認プロセスを開始します。彼はライブの自分撮りを行い、政府発行のIDをスキャンします。Daonは文書の真正性を検証し、セルフィーが文書内の写真と一致することを確認します。
    2. 生体認証登録: JohnはコンピュータのWebブラウザにリダイレクトされます。彼は顔をフレームに配置し、頭を傾けるなどの完全な無作為化ライブプロンプトを促されます。顔データが取得され、生体認証テンプレートが作成され、登録を完了するために安全に保存されます。
  2. 継続的な検証: 2週間後、Johnがアプリケーションにアクセスすると、標準の資格証明でサインインします。その後すぐに、CWVは顔の生体認証の課題を開始します。彼は顔の位置を決め、活力プロンプトを完了し、システムは保存されたテンプレートに対して身元を確認し、アクセス権を付与します。

ユースケース: Example IncがIDVとCWV(ベータ)を活用する方法の例

このユース・ケースでは、Example Incが継続的ワークフォース検証(CWV)のためにID検証ベンダーDaonをどのように利用しているかを紹介します。管理者は、アイデンティティ検証プロバイダと統合するようにIAMを構成し、ユーザーの定期的な検証のために継続的なワークフォース検証ポリシーを作成します。Employee of Example Inc.は、政府発行のIDでIDを検証し、顔の生体認証に登録し、定期的なIDチェックによって再検証されます。

管理構成(ベータ)

  1. Example Inc.の管理者は、アイデンティティ・ドメインに移動し、アイデンティティ検証プロバイダDaonを構成します。
  2. 管理者は、ベンダーから提供された資格証明(クライアントID、クライアント・シークレット、検出URL)を入力し、「サポートされている請求」をアイデンティティ・ドメイン属性にマップして、「作成」を選択します。アイデンティティ検証プロバイダが作成されます。次に、管理者がアイデンティティ検証プロバイダをアクティブ化します。
  3. 管理者は、継続的なワークフォース検証ポリシーを作成し、ルールを作成します。ルールでは、管理者は条件フィールドに前提条件を設定し、パスキーを最初の認証ファクタとして、Oracle Mobile Authenticator (OMA)を2番目のファクタとして設定し、ルールによって評価されるユーザー・グループを選択します。
  4. Example Inc.の管理者は、その後、顔の生体認証を有効にし、7日から14日の間の無作為化された間隔で顔の生体認証チェックをスケジュールし、6から12か月間の再登録頻度をスケジュールします。
  5. 管理者はアイデンティティ検証を有効にし、ステップ2で作成したプロバイダを選択します。
  6. 定義すると、ルールで指定された条件を満たすユーザーのアイデンティティ・ドメイン全体でポリシーが適用されます。

ユーザー登録(ベータ)

  1. 従業員Johnが、新しい要件を通知する電子メールを受信します。彼はプライマリおよび2番目の要素でサインインし、生体認証に登録するよう求められます。サインイン中に生体認証に登録するように求められない場合、ユーザーはマイログインプロファイルにサインインし、[生体認証に登録]を選択します。
  2. ユーザーは条件を確認して受け入れます。

  3. アイデンティティ検証

    1. コンピュータの画面にQRコードが表示されます。Johnはスマートフォンでスキャンし、DaonでID検証を開始します。Daonの構成によっては、JohnにDaonアプリケーションまたはExample Inc.が提供するアプリケーションのダウンロードを求められ、アイデンティティ検証が完了する場合があります。
    2. ジョンは自撮り。Daonは、ユーザーの自撮りが生きているかどうかを検証します。
    3. その後、彼は自分の電話を使って政府発行のIDをスキャンします。Daonは文書の真正性を検証し、セルフィーが文書内の写真と一致することを確認します。
    4. 成功メッセージは、彼の身元が確認されたことを示します。

  4. 顔の生体認証登録

    1. Johnは、コンピュータのWebブラウザにリダイレクトされます。
    2. ブラウザは、Webカメラへのアクセスを要求します。彼は、自分の顔をフレームに配置し、ユーザーの頭を右に傾けるなど、無作為化された生計プロンプトを完了するように求められます。これらのステップは、スプーフィングおよびリプレイ攻撃から保護します。
    3. システムは、彼の顔データを取得し、生体認証テンプレートを作成し、それを安全に保管します。彼の登録は完了しました。

継続的要員検証(ベータ)

  1. 登録すると、定期的な顔の生体認証がバックグラウンドでシームレスに行われます。たとえば、2週間後、エンタープライズ・アプリケーションにアクセスすると、Johnは標準のパスキー・ログインを完了し、2番目の要素としてOracle Mobile Authenticator (OMA)が続きます。
  2. その後すぐに、CWVは顔の生体認証チャレンジを開始します。Johnは、顔をフレーム内に配置し、無作為化された生活のプロンプトを完了し、安全に保存された生体認証テンプレートに対して自分のアイデンティティを検証します。
  3. Johnにはアプリケーションへのアクセス権が付与されます。検証イベントは監査目的でログに記録されます。

はじめに(ベータ)

重要

Pre-General Availability: 2025-10-14

このドキュメントはPre-General Availability (一般提供前)版であり、デモおよび暫定使用のみを目的としたものです。このソフトウェアを使用するハードウェアに限定するものではありません。Oracle Corporationおよびその関連会社は、このドキュメントに関して一切の責任を負わず、いかなる保証もいたしません。また、このドキュメントを使用したことによって損失、費用、あるいは損害が発生しても、一切の責任を負いかねます。

このドキュメントは、マテリアルやコード、機能またはサービスを提供することのオラクルによるコミットメント(確約)ではありません。このドキュメントおよびOracleのPre-General Availability(一般提供前) プログラムとサービスは、予告なしにいつでも変更される可能性があります。したがって、購買決定を行う際の判断材料にしないでください。オラクルのPre-General Availability(一般提供前)プログラムおよびサービスの開発、リリース、およびすべての機能の時期は、オラクルの単独の裁量により決定されます。すべてのリリース日または将来のイベントなどの予測は変更される可能性があります。オラクルとのあらゆるライセンス契約またはサービス契約の締結にあたり、今後のオラクルのプログラムまたはサービスの将来の利用可能性を前提としないでください。

Oracleの法律上の注意点を参照してください。

始める前に(ベータ)

この機能を構成する前に、次のものがあることを確認してください。

  1. サード・パーティID検証プロバイダ・サブスクリプション:サポートされているサード・パーティID検証プロバイダとのアクティブな商業関係およびライセンスが必要です。IAMは、OpenID Connect (OIDC)統合を使用したプロバイダとのアイデンティティ検証をサポートしています。アイデンティティ検証プロバイダ構成を開始する前に、サポートされているベンダー(Daonなど)からライセンスを取得する必要があります。
  2. IDVプロバイダから、構成に次の資格証明が必要です。
    1. クライアントID
    2. クライアント・シークレット
    3. 検出URL
  3. 機能の可用性:アイデンティティ検証および継続的ワークフォース検証機能は、OCI IAM Oracle Apps PremiumおよびPremiumドメイン・タイプでのみ使用できます。空きドメイン・タイプのドメインがある場合は、これらのドメイン・タイプのいずれかにアップグレードする必要があります。
  4. 管理アクセス:アイデンティティ検証プロバイダおよびドメイン・ポリシーを管理する権限が必要です。
  5. ユーザーの前提条件:ユーザーが登録の要件を認識していることを確認します。
    1. カメラとIDVプロバイダのアプリケーションをインストールできるモバイル・デバイス。
    2. NFC機能を持つ政府発行のID (たとえば、最新のパスポート)。
    3. 顔の生体認証登録と検証のためのウェブカメラを備えたコンピュータ。
    4. CWVの前提条件であるため、認証ファクタとして構成されたパスキー。

必要なIAMポリシー(ベータ)

アイデンティティ・ドメインのセキュリティ設定および継続的なワークフォース検証ポリシーを管理するには、次のいずれかの権限が必要です:

  1. 管理者グループのメンバーにします
  2. アイデンティティ・ドメイン管理者ロールまたはセキュリティ管理者ロールを付与します
  3. アイデンティティ・ドメインの管理権限が付与されているグループのメンバーにする

アイデンティティ検証プロバイダの使用(ベータ)

重要

Pre-General Availability: 2025-10-14

このドキュメントはPre-General Availability (一般提供前)版であり、デモおよび暫定使用のみを目的としたものです。このソフトウェアを使用するハードウェアに限定するものではありません。Oracle Corporationおよびその関連会社は、このドキュメントに関して一切の責任を負わず、いかなる保証もいたしません。また、このドキュメントを使用したことによって損失、費用、あるいは損害が発生しても、一切の責任を負いかねます。

このドキュメントは、マテリアルやコード、機能またはサービスを提供することのオラクルによるコミットメント(確約)ではありません。このドキュメントおよびOracleのPre-General Availability(一般提供前) プログラムとサービスは、予告なしにいつでも変更される可能性があります。したがって、購買決定を行う際の判断材料にしないでください。オラクルのPre-General Availability(一般提供前)プログラムおよびサービスの開発、リリース、およびすべての機能の時期は、オラクルの単独の裁量により決定されます。すべてのリリース日または将来のイベントなどの予測は変更される可能性があります。オラクルとのあらゆるライセンス契約またはサービス契約の締結にあたり、今後のオラクルのプログラムまたはサービスの将来の利用可能性を前提としないでください。

Oracleの法律上の注意点を参照してください。

ID検証プロバイダの作成(ベータ)

  1. 「ドメイン」リスト・ページで、変更するドメインを選択します。ドメインのリスト・ページの検索に関するヘルプが必要な場合は、アイデンティティ・ドメインのリストを参照してください。
  2. コンソールで、ナビゲーション・メニューを開き、「アイデンティティおよびセキュリティ」を選択します。
  3. ドメインのページで、「セキュリティ」タブを選択し、「アイデンティティ検証プロバイダ」を選択します。
  4. 「検証プロバイダの作成」を選択します。
  5. 「詳細」セクションで、次の操作を行います。
    1. ドロップダウン・リストから検証プロバイダ(Daonなど)を選択します。
    2. このプロバイダ構成の一意の「名前」および「摘要」を入力します。
  6. 「構成」セクションで、サード・パーティ・プロバイダから取得した資格証明を入力します。
    1. クライアントID
    2. クライアント・シークレット
    3. 検出URL
    4. トークン・終端
    5. ユーザー・エンドポイント
  7. 「サポートされている要求の取得」セクションで、プロバイダから返された要求をアイデンティティ・ドメイン内の属性にマップします。これにより、IDドキュメントのデータがユーザーのプロファイルに正しく関連付けられます。
  8. 「検証済要求」(名など)を選択します。
  9. マップ先の対応するアイデンティティ・ドメイン・ユーザー属性を選択します。
  10. 「別の要求の追加」を選択して、追加属性をマップします。
  11. 「作成」を選択します。
    ノート

    アイデンティティ検証プロバイダは、非アクティブ化状態で作成されます。継続的なワークフォース検証ポリシーでプロバイダを使用するには、まずアイデンティティ・プロバイダをアクティブ化する必要があります。

ID検証プロバイダの詳細の取得(ベータ)

  1. 「ドメイン」リスト・ページで、変更するドメインを選択します。ドメインのリスト・ページの検索に関するヘルプが必要な場合は、アイデンティティ・ドメインのリストを参照してください。
  2. 「セキュリティ」に移動して、「アイデンティティ検証プロバイダ」を選択します。
  3. いずれかのアイデンティティ検証プロバイダを選択して、詳細を表示します。

ID検証プロバイダの更新(ベータ)

  1. 「ドメイン」リスト・ページで、変更するドメインを選択します。ドメインのリスト・ページの検索に関するヘルプが必要な場合は、アイデンティティ・ドメインのリストを参照してください。
  2. 「セキュリティ」「アイデンティティ検証プロバイダ」の順に移動します。
  3. いずれかのアイデンティティ検証プロバイダを選択して、詳細を表示します。
  4. (オプション)「詳細」ページに必要な更新を行います。
  5. 「保存」を選択します。

アイデンティティ検証プロバイダの削除(ベータ)

  1. 「ドメイン」リスト・ページで、変更するドメインを選択します。ドメインのリスト・ページの検索に関するヘルプが必要な場合は、アイデンティティ・ドメインのリストを参照してください。
  2. 「ドメイン」「セキュリティ」「アイデンティティ検証プロバイダ」の順に移動します。
  3. 削除するアイデンティティ検証プロバイダの1つを選択します。
  4. 削除を確認します。

アイデンティティ検証プロバイダのアクティブ化(ベータ)

  1. 「ドメイン」リスト・ページで、変更するドメインを選択します。ドメインのリスト・ページの検索に関するヘルプが必要な場合は、アイデンティティ・ドメインのリストを参照してください。
  2. 「ドメイン」「セキュリティ」「アイデンティティ検証プロバイダ」の順に移動します。
  3. アクティブ化するアイデンティティ検証プロバイダの「アクション」メニュー(3つのドット)から、「検証プロバイダのアクティブ化」を選択します。
  4. アクティブ化を確認します。

アイデンティティ検証プロバイダの非アクティブ化(ベータ)

  1. 「ドメイン」リスト・ページで、変更するドメインを選択します。ドメインのリスト・ページの検索に関するヘルプが必要な場合は、アイデンティティ・ドメインのリストを参照してください。
  2. 非アクティブ化するアイデンティティ検証プロバイダの「アクション」メニュー(3つのドット)から、「検証プロバイダの非アクティブ化」を選択します。
  3. 非アクティブ化を確認します。

継続的ワークフォース検証の使用(ベータ)

重要

Pre-General Availability: 2025-10-14

このドキュメントはPre-General Availability (一般提供前)版であり、デモおよび暫定使用のみを目的としたものです。このソフトウェアを使用するハードウェアに限定するものではありません。Oracle Corporationおよびその関連会社は、このドキュメントに関して一切の責任を負わず、いかなる保証もいたしません。また、このドキュメントを使用したことによって損失、費用、あるいは損害が発生しても、一切の責任を負いかねます。

このドキュメントは、マテリアルやコード、機能またはサービスを提供することのオラクルによるコミットメント(確約)ではありません。このドキュメントおよびOracleのPre-General Availability(一般提供前) プログラムとサービスは、予告なしにいつでも変更される可能性があります。したがって、購買決定を行う際の判断材料にしないでください。オラクルのPre-General Availability(一般提供前)プログラムおよびサービスの開発、リリース、およびすべての機能の時期は、オラクルの単独の裁量により決定されます。すべてのリリース日または将来のイベントなどの予測は変更される可能性があります。オラクルとのあらゆるライセンス契約またはサービス契約の締結にあたり、今後のオラクルのプログラムまたはサービスの将来の利用可能性を前提としないでください。

Oracleの法律上の注意点を参照してください。

継続的要員検証ポリシーのリスト(ベータ)

  1. 「ドメイン」リスト・ページで、変更するドメインを選択します。ドメインのリスト・ページの検索に関するヘルプが必要な場合は、アイデンティティ・ドメインのリストを参照してください。
  2. 「ドメイン」「ドメイン・ポリシー」に移動し、「継続的ワークフォース検証」ポリシー・セクションを検索して、検証ポリシーのリストを表示します。

継続的要員検証ポリシーの追加(ベータ)

  1. 「ドメイン」リスト・ページで、変更するドメインを選択します。ドメインのリスト・ページの検索に関するヘルプが必要な場合は、アイデンティティ・ドメインのリストを参照してください。
  2. 「ドメイン」「ドメイン・ポリシー」に移動し、「継続的ワークフォース検証」ポリシー・セクションを見つけて、ルールを追加するデフォルトのポリシー名を選択するか、「ポリシーの作成」を選択します。
  3. (オプション)ポリシーの「名前」および「説明」を入力します。
  4. 継続的ワークフォース検証ポリシーのルールを作成します。
    1. ルールの「名前」および「説明」を追加します。
    2. 「グループ」セクションで、このルールに追加するグループを選択します
    3. 「顔の生体認証」セクションで、「顔の生体認証の有効化」をオンにします。
      1. 「検証頻度」を設定します(たとえば、7日ごとから14日ごと)。これは、定期的な顔スキャンが発生する頻度を決定します。
      2. 事前定義済の再登録頻度を選択します。これにより、ユーザーが再登録を要求される頻度が決まります。
      3. 「インライン登録の義務付け」をオンにすると、ユーザーは次回のサインイン時に強制的に登録されます。使用不可の場合、ユーザーは自分の「マイ プロファイル」ページで手動で登録する必要があります。
      4. アイデンティティ検証プロバイダを有効にします。このアイデンティティ・ドメインで作成およびアクティブ化したアイデンティティ検証プロバイダを選択します。
  5. 「規則の追加」をクリックします。
  6. (オプション)(オプション)「ポリシー・ルール」セクションで、「ルールの追加」を再度選択して、このポリシーに別のワークフォース検証ルールを追加します。
    ノート

    このポリシーに複数のルールを追加した場合は、それらの評価順序を変更できます。「優先度の編集」を選択してから、矢印を使ってルールの順序を変更します。
  7. 継続的ワークフォース検証ポリシーは、非アクティブ状態で保存されます。ポリシーの作成が終了したら、それを使用するにはポリシーをアクティブ化する必要があります。

継続的ワークフォース検証ポリシーの詳細の取得(ベータ版)

  1. 「ドメイン」リスト・ページで、変更するドメインを選択します。ドメインのリスト・ページの検索に関するヘルプが必要な場合は、アイデンティティ・ドメインのリストを参照してください。
  2. 継続的なワークフォース検証ポリシーのいずれかを選択して、詳細を表示します。

継続的ワークフォース検証ポリシーのアクティブ化(ベータ)

  1. 「ドメイン」リスト・ページで、変更するドメインを選択します。ドメインのリスト・ページの検索に関するヘルプが必要な場合は、アイデンティティ・ドメインのリストを参照してください。
  2. アクティブ化する継続的ワークフォース検証ポリシーを選択します。
  3. 「詳細」ページで、「アクション」メニュー(3つのドット)から「ポリシーのアクティブ化」を選択します。
  4. アクティブ化を確認するには、「ポリシーのアクティブ化」を選択します。

継続的ワークフォース検証ポリシーの非アクティブ化(ベータ)

  1. 「ドメイン」リスト・ページで、変更するドメインを選択します。ドメインのリスト・ページの検索に関するヘルプが必要な場合は、アイデンティティ・ドメインのリストを参照してください。
  2. 非アクティブ化する継続的ワークフォース検証ポリシーを選択します。
  3. 詳細ページで、「アクション」メニュー(3つのドット)から「ポリシーの非アクティブ化」を選択します。
  4. 非アクティブ化を確認するには、「ポリシーの非アクティブ化」を選択します。