アイデンティティ・アップグレードの概要

• Fusion ApplicationsのサインインURLは変更されません。サインイン・ページのUIは異なる場合があります。

  正しいURLはhttps://(DNS_prefix)environment_system_name.fa.ocs.oraclecloud.com/fscmUI/faces/FuseOverviewまたはhttps://environment_system_name.fa.(data center code).oraclecloud.com/fscmUI/faces/FuseOverviewです。

• URL https://login-(environment name)-saasfaprod1.fa.ocs.oraclecloud.comは使用しないでください。このURLは、アイデンティティ・アップグレード後は機能しません。

Oracle Cloudコンソール、マイ・アプリケーション。

アイデンティティ・アップグレードの一環として、チューザ・ページの動作は保持され、環境の選択ページ設定は変更されません。

アイデンティティのアップグレード後、セキュリティ・コンソールのシングル・サインオン・メニューが削除されます。OCI IAMコンソールでチューザ・ページを無効化または有効化できます。

チューザ・ページを無効にするには:

1. Fusion Applications環境のアイデンティティ・ドメインに移動します。
2. 「フェデレーション」を選択します。
3. 「アイデンティティ・プロバイダ・ポリシー」セクションで、「デフォルト・アイデンティティ・プロバイダ・ポリシー」にドリルダウンすることを選択します。
4. 「IDプロバイダ・ルール」タブを選択します。
5. 「アクション」メニュー(3つのドット)を選択し、「IdPルールの編集」メニューを選択します。
6. 「アイデンティティ・プロバイダの割当て」フィールドで、ドロップダウンを選択し、「ユーザー名- パスワード」の選択を解除します。
7. 「保存」を選択します。

   これにより、「サインイン」ページからユーザー名/パスワード・オプションが削除され、他のSSOオプションのみが有効になります。

• 環境のスケジュールされた停止時間の10日以内、またはステージと本番のウェーブの間の2週間の間に、スケジュールされた環境に対してフェデレーテッドSSOを有効化(または新しいアイデンティティ・プロバイダを追加)しないでください。かわりに、アイデンティティ・アップグレードが完了するまで待機します。
• ただし、最初の環境のスケジュール済停止時間の前に本番を含む各環境で必要なアップグレード前タスクを完了できる場合は、アイデンティティ・アップグレードの前にフェデレーテッドSSOを有効にするか、新しいアイデンティティ・プロバイダを追加できます。

  これを行う場合は、次の点に注意してください。

  • コンソールには、24時間以内に必要なアップグレード前タスクが表示されます。つまり、アップグレード前のタスク・セクションに「保留」ステータスが表示されるまで1日待つ必要があります。同時に、フェデレーテッドSSOが環境に対して有効になっていることを示すリマインダ通知を受信します。
  • その環境に対するアップグレード前タスクの完了の確認がリセットされます。すでに準備状況を確認したが、後で新しいアイデンティティ・プロバイダを追加した場合は、アップグレード前のタスクをやり直す必要があり、再度確認する必要があります。

「アップグレード前のタスクの完了を確認した後、セキュリティ・コンソールを使用してサードパーティのアイデンティティ・プロバイダを追加できますか。」を参照してください。

• フェデレーテッドSSO構成は変更されません。環境では、同じアイデンティティ・プロバイダ(IdP) (Oracle Identity Access and Managementまたは他のサード・パーティのアイデンティティ・プロバイダ)が引き続き使用されます。
• アイデンティティ・アップグレード後も構成は同じです。

これは、使用しているサード・パーティ・アイデンティティ・プロバイダによって異なります。最新のクラウドベースのアイデンティティ・プロバイダ(IdP)には、新しいサービス・プロバイダの新しいサインイン証明書が含まれています。アップグレード前のアクションでは、Oracle CloudコンソールUIのIdPをアイデンティティ・プロバイダのSAMLメタデータで更新し、接続および認証をテストする必要があります。

アイデンティティのアップグレード後、サインイン・ページで複数のSSOを選択できます。

2つのアップグレードを同時に追跡しない場合は、サービス・リクエストを使用してアイデンティティ・アップグレードの延期をリクエストできます。また、SSOが変更後に機能しない場合、デバッグが困難になる可能性があります。

いいえ。必要なアクションは既存のSSOサインインには影響しません。これは、アイデンティティのアップグレード後にのみ有効です。

はい、アップグレード後も動作し続けます。

はい。Fusion Application SecurityコンソールからSSOを削除できます。必要なアクションは24時間後に消えます。必要なアクションを無視することもできますが、必要なアクションがすべて完了していることを確認する必要があります。

準備が確認されたら、Fusion Applicationsセキュリティ・コンソールで新しいアイデンティティ・プロバイダを追加したり、アイデンティティ・プロバイダを変更しないでください。

これを行うと、新しいアイデンティティ・プロバイダが24時間後にクラウド・コンソールに表示され、アップグレード前のタスクの完了の確認が自動的にリセットされます。すべてのアイデンティティ・プロバイダを更新して再テストし、準備状況を再度確認する必要があります。レディネスを確認しないと、ユーザーはアイデンティティのアップグレード後にSSOを使用して環境にサインインできなくなります。

一方、最初の環境のアイデンティティ・アップグレードが少なくとも数週間スケジュールされていない場合、セキュリティ・コンソールで新しいアイデンティティ・プロバイダを追加できます。しかし、必要なアクションを完了し、できるだけ早く準備を認めてください。

ただし、通常、アイデンティティ・アップグレードが完了するまで待機することをお薦めします。その後、OCI IAMコンソールで新しいアイデンティティ・プロバイダを追加できます。

必要に応じて、アイデンティティ・アップグレードの完了後に、OCI IAMコンソールでアイデンティティ・プロバイダの名前を変更することをお薦めします。

• 環境に対してMFAを有効にするには、OCI IAMにアップグレードする必要があります。
• 環境をOCI IAMにアップグレードしたら、マルチファクタ認証(MFA)の有効化の手順を参照してください。

MFAイネーブルメントにOCI IAMドメインを追加した場合は、そのドメインを保持できますが、関連する必要なアップグレード前アクションを完了する必要があります。または、アイデンティティ・アップグレードによってローカル・ユーザーに対してMFAが有効になるため、削除できます。

• アイデンティティ・アップグレードの完了後にパスワードのリセットが必要になる場合があります。
• Fusion Applicationsユーザーに、現在のパスワードが期限切れになると、アップグレード後にFusion Applications環境にサインインする際にパスワードのリセットを求められることを通知する必要があります。
• API統合に使用されるアカウントでは、パスワードのリセットが必要になる場合もあります。
• 中断を回避するために、アイデンティティのアップグレード前に、統合ユーザーおよびその他の重要なアカウントのパスワードをプロアクティブにリセットできます。

はい。アイデンティティのアップグレード後に、セキュリティ・コンソールでパスワード・ポリシーの管理を続行できます。

これらは変更されません。セキュリティ・コンソールに残ります。

これは既知の問題です。デフォルトのパスワード・ポリシーを変更した場合は、アイデンティティのアップグレード後にポリシーを確認し、必要に応じて変更を再適用します。

FA SCIM REST APIを使用してFusionにユーザー・プロビジョニングするためのSCIMワークフローを実装した場合、Fusionで既存のユーザー・ライフ・サイクル・ワークフローを使用するには、IAMアップグレード後も引き続き使用する必要があります。OCI IAMはアイデンティティ・ストアです。

ローカル・ユーザーは、既存のFusion Applicationで作成されたアイデンティティ・ドメインに移行されます。このドメインは、Oracleクラウド・コンソールのデフォルト・ドメインではないことに注意してください。

Fusion Applicationsのセキュリティ・コンソールは変更されません。これを引き続き使用して、ユーザーをFA環境に追加したり、パスワードをリセットしたり、アプリケーション・ロールを割り当てることができます。ただし、アイデンティティのアップグレード後は、セキュリティ・コンソールのシングル・サインオン(SSO)メニューを使用してフェデレーテッドSSOを有効にする必要がなくなりました。FA環境のフェデレーテッドSSOを有効にする機能は、Oracle Cloudコンソールに移動されます。フェデレーテッドSSOを有効にするには、アイデンティティ・プロバイダによるフェデレーションを参照してください。

いいえ。すべてのFusion Applicationsユーザーは、OCI IAMコンソールの各Fusion Applications環境に対応するアイデンティティ・ドメインには表示されません。これらのユーザーは、Oracle Cloudコンソールにサインインできません。

影響はなく、そのまま作業を続けています。

停止時間スケジュールは事前に通知されます。フェデレーテッドSSOでいずれかの環境が有効になっている場合、通知が90日前に送信されます。どの環境でもフェデレーテッドSSOが有効になっていない場合、通知は30日前に送信されます。

アイデンティティ・アップグレードに関する通知を受け取ったら、Oracle Cloudコンソールにサインインし、Fusion Applicationsの「環境ファミリ」ページに移動して環境のスケジュールを表示できます:

1. Oracle Cloudコンソールへのサインイン。
2. コンソールの「アプリケーション・ホーム」の「サブスクリプション」で、Fusion Applicationsタイルの「サービスに移動」を選択します。
3. 環境ファミリの詳細ページで、「メンテナンス」タブを選択します。「アイデンティティ・アップグレード」セクションで、環境のアップグレード・スケジュールを表示できます。

アップグレードの実行中は、環境は使用できません。

アイデンティティ・アップグレードは、ユーザー数に応じて最大3時間以上続くことが予想されます。

いいえ。アイデンティティ・アップグレードは必須であり、すべてのFusion Applications環境で完了する必要があります。

スケジュールされたウィンドウがクリティカルなビジネス・イベントと競合する場合は、できるだけ早くOracle Supportに連絡し、サポート・リクエスト(SR)を送信して再スケジュールをリクエストしてください。リクエストでは、重要度と範囲を含むビジネス・インパクトの理由と明確な説明を提供する必要があります。アップグレードの再スケジュール機能は保証されず、必要な場合にのみリクエストする必要があります。

必要なアップグレード前アクションが完了していない場合、アップグレードの完了後、ユーザーはフェデレーテッドSSOを使用してFusion Applications環境にサインインできなくなります。

アクセスの中断を回避するには、各環境のスケジュールされた停止時間の72時間前に、本番環境を含む各環境のすべてのアップグレード前アクションを完了します。

期限を過ぎている場合は、アップグレード前のアクションを完了してアクセスを復元する必要があります。フェデレーテッドSSO環境のアップグレード前のタスクを参照してください。

アイデンティティ・アップグレードの一部として追加コストはありません。

Fusion Applicationsサブスクリプションに変更はありません。

はい。アイデンティティのアップグレード後は、サインインおよびサインアウト監査REST APIを使用できなくなります。(Oracle Fusion Cloud Applicationsの共通機能のためのREST APIのサインインおよびサインアウト監査を参照してください。)

かわりに、アイデンティティのアップグレード後に監査レポートを生成するには、次を参照してください:

• Oracle Cloud Infrastructure AuditからのIdentity and Access Managementレポートの生成
• 監査ログイベントの内容
• 監査API