Oracle Integration 3の複数のアイデンティティ・ストライプの構成

Oracle Integration 3では、プライマリ(初期)ストライプは事前構成済グループを使用して自動的にフェデレートされます。ただし、単一のクラウド・サービスまたはアプリケーションに対して個別の環境を作成できます(たとえば、開発と本番にそれぞれ1つの環境を作成できます)。この場合、各環境のアイデンティティ要件およびセキュリティ要件は異なります。1つ以上のセカンダリ・ストライプを実装すると、Oracle Identity Cloud Serviceの複数のインスタンスを作成および管理して、アプリケーションおよびOracle Cloudサービスを保護できます。

ノート

プロビジョニング後は、Oracle Identity Cloud Serviceストライプを変更したり、Oracle Integrationインスタンスの別のIAMドメインへの関連付けを変更することはできません。

このトピックは、アイデンティティ・ドメインを使用しないテナンシのみに適用されます。「アイデンティティ・ドメインの有無によるテナンシの違い」を参照してください。

複数のOracle Identity Cloud Serviceストライプが同じテナンシに関連付けられているSAML IDPフェデレーションを使用して、1つ以上のセカンダリ・ストライプをOracle Cloud Infrastructureに手動でフェデレートできます。アカウント所有者はプライマリ・ストライプとセカンダリ・ストライプの両方を管理しますが、ストライプ内のアイデンティティは相互に分離されます。

複数のOracle Identity Cloud Serviceインスタンスを使用する利点については、複数のインスタンスについてを参照してください。

次のステップに従って、テナンシのセカンダリ・ストライプを手動でフェデレートします。テナンシの所有者である必要があります。

ストライプの命名規則の定義

ベスト・プラクティスとして、作成する、ストライプに固有のすべてのエンティティに対して<stripename>を定義します。ストライプに関連付けられた構成を一意に識別することは、特に複数のストライプが構成されている場合に重要になります。

後続の項では、次のエンティティでstripenameを使用します:

エンティティ	命名規則
IDCSグループ	`stripename_administrators`
OCIグループ	`oci_stripename_administrators`
コンパートメント	`stripename_compartment`
アイデンティティ・プロバイダ	`stripename_service`
ポリシー	`stripename_adminpolicy`
ポリシー・ステートメント	`allow group oci_stripename_administrators to manage integration-instances in compartment stripename_compartment`

セカンダリ・ストライプ・ユーザーのIDCSグループの作成

IDCSで、セカンダリ・ストライプにグループを作成し、セカンダリ・ストライプのユーザーをそのグループに追加します。

セカンダリ・ストライプにグループを追加し、stripename_administratorsという名前を付けます。ストライプの命名規則の定義を参照してください。たとえば、stripe2_administratorsという名前を付けます。「完了」をクリックします
詳細は、『Oracle Identity Cloud Serviceの管理』のグループの作成を参照してください。

これらの管理者には、Oracle Integrationインスタンスを作成する権限が付与されます。このIDCSグループは、1つのOracle Cloud Infrastructureグループにマップされます。
セカンダリ・ストライプのユーザーをそのグループに追加します。

セカンダリ・ストライプでのOAuthクライアントの作成

OAuthクライアント資格証明を使用し、IDCSドメイン管理者ロールが割り当てられたIDCS機密アプリケーションを作成します。セカンダリ・ストライプごとに機密アプリケーションを作成する必要があります。

IDCS管理者として、セカンダリIDCS管理コンソールにサインインします。
機密アプリケーションを追加します。
1. 「アプリケーション」タブに移動します。
2. 「追加」をクリックします。
3. 「機密アプリケーション」を選択します。
4. アプリケーションにClient_Credentials_For_SAML_Federationという名前を付けます。
5. 「次へ」をクリックします
図add_confidential_application.pngの説明
クライアント設定を構成します。
1. 「このアプリケーションをクライアントとして今すぐ構成します」をクリックします。
2. 「認可」で、「クライアント資格証明」を選択します。
  
  図add_confidential_application_client_tab.pngの説明
3. 「Identity Cloud Service管理APIへのクライアント・アクセス権を付与します」で、「追加」をクリックし、アプリケーション・ロール「アイデンティティ・ドメイン管理者」を選択します。
  
  図add_confidential_application_app_roles.pngの説明
4. 「次へ」を2回クリックします。
「終了」をクリックします。アプリケーションを作成したら、そのクライアントIDおよびクライアント・シークレットを書き留めます。この情報は、フェデレーションの今後のステップで必要です。

図application_added.pngの説明
「アクティブ化」をクリックし、アプリケーションのアクティブ化を確認します。

セカンダリ・ストライプ・ユーザーのOracle Cloud Infrastructureグループの作成

フェデレーテッドIDP (IDCS)からユーザーをフェデレートするにはOracle Cloud Infrastructure SAML IDPフェデレーションにグループ・マッピングが必要であり、フェデレーテッド・ユーザーにOracle Cloud Infrastructure権限(ポリシー)を定義して付与するにはOCIネイティブ・グループ・メンバーシップが必要であるため、このグループが必要です。

Oracle Cloud Infrastructureコンソールで、ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「グループ」をクリックします

このOracle Cloud Infrastructureグループは、作成したIDCSグループにマップされます。
グループを作成し、oci_stripename_administratorsという名前を付けます。たとえば、oci_stripe2_administratorsという名前を付けます。

フェデレーションとそのグループ・マッピングの作成

IDCSおよびOracle Cloud Infrastructureグループを作成し、必要なクライアント情報を取得したら、IDCSアイデンティティ・プロバイダを作成し、グループをマップします。

Oracle Cloud Infrastructureコンソールにサインインします。初期ストライプ(identitycloudservice)のアイデンティティ・ドメインを選択し、そのユーザー資格証明を入力します。

セカンダリ・ストライプのグループ・マッピングでは、初期ストライプのユーザー・サインインが使用されることに注意してください。複数のストライプを追加すると、このドロップダウンに複数のオプションが追加されるため、これは重要です。
ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「フェデレーション」の順にクリックします。
「アイデンティティ・プロバイダの追加」をクリックします。

表示された画面で、次のようにフィールドに入力します。

フィールド	入力
名前	`<stripename>_service`
説明	`Federation with IDCS secondary stripe`
タイプ	Oracle Identity Cloud Service
Oracle Identity Cloud ServiceベースURL	次の形式を使用してこのURLを入力します: `https://idcs-xxxx.identity.oraclecloud.com` `<IDCS-xxxx>`のドメイン部分をセカンダリIDCSストライプに置き換えます。
クライアントID/クライアント・シークレット	セカンダリ・ストライプで作成し、セカンダリ・ストライプでのOAuthクライアントの作成のステップで書き留めたこの情報を入力します。
強制認証	このオプションを選択します

「続行」をクリックします。
以前に作成したIDCSセカンダリ・ストライプおよびOCIグループをマップします。
IDCSセカンダリ・ストライプ・グループ(セカンダリ・ストライプ・ユーザーのIDCSグループの作成で作成)およびOCIグループ(セカンダリ・ストライプ・ユーザーのOracle Cloud Infrastructureグループの作成で作成)をマップします。
「プロバイダの追加」をクリックします。
セカンダリ・ストライプ・フェデレーションが完了しました。グループ・マッピングが表示されていることに注目してください。

図striping_federation.pngの説明
セカンダリ・ストライプを確認し、セカンダリ・ストライプ管理者およびユーザーの可視性を構成します。
- テナント管理者は、OCIコンソールですべてのフェデレーテッドIDCSストライプを表示できます:
- セカンダリ・ストライプ管理者およびその他のすべてのセカンダリ・ストライプ・ユーザーには、フェデレーションに含まれるストライプは表示されません。これを解決するには、セカンダリ・ストライプ・ユーザーのためのOracle Cloud Infrastructureコンソール・グループのフェデレーテッド・ストライプへのアクセス権の付与を参照してください。

フェデレーテッド・ユーザーがインスタンスを作成するためのOracle Cloud Infrastructureポリシーの作成

フェデレーションが完了したら、セカンダリIDCSストライプのフェデレーテッド・ユーザーがOracle Integrationインスタンスを作成できるようにするOracle Cloud Infrastructureポリシーを設定します。ポリシーは、共通パターンとしてコンパートメントにスコープ指定されます。

セカンダリIDCSストライプのOracle Integrationインスタンスを作成できるコンパートメントを作成します。コンパートメントにstripename_compartmentという名前を付けます。
たとえば、stripe2_compartmentという名前のコンパートメントを作成します。
フェデレーテッド・ユーザーがコンパートメントにOracle Integrationインスタンスを作成できるようにするポリシーを作成します。ポリシーにstripename_adminpolicyと入力します(例: stripe2_adminpolicy)。
「ポリシー・ビルダー」で、「手動エディタの表示」を選択します。
- 構文: allow group stripename_administrators toverb resource-typein compartmentstripename_compartment
- ポリシー: allow group oci_stripe2_administrators to manage integration-instances in compartment stripe2_compartment
このポリシーにより、ポリシーのグループのメンバーであるユーザーは、Oracle Integrationインスタンス(integration-instance)をstripe2_compartmentという名前のコンパートメントに作成できます。

セカンダリ・ストライプ・ユーザーのためのOracle Cloud Infrastructureコンソール・グループのフェデレーテッド・ストライプへのアクセス権の付与

追加のステップを実行して、セカンダリ・ストライプ管理者および他のすべてのセカンダリ・ストライプ・ユーザーがフェデレーションに含まれるストライプを表示できるようにします。

Oracle Identity Cloud Serviceで、stripe2_federation_administratorsというグループを作成します。
そのストライプのOracle Cloud Infrastructureコンソールでフェデレーションを表示でき、ユーザーおよびグループを作成できるユーザーをグループに追加します。
Oracle Cloud Infrastructureコンソールで、適切な権限を持つプライマリ・ストライプ・ユーザーを使用して、oci_stripe2_federation_administratorsというOracle Cloud Infrastructureグループを作成します。
stripe2_federation_administratorsおよびoci_stripe2_federation_administratorsグループをマップします。

次のステートメントの例を使用して、フェデレーテッド・ストライプへのアクセス権を付与するポリシーを定義します。

例のいくつかは、セカンダリ・ストライプを識別するwhere句を使用して、特定のフェデレーテッド・ストライプにアクセス権を付与する方法を示しています。フェデレーションのOCIDは、Oracle Cloud Infrastructureコンソールのフェデレーション・ビューから取得できます。

セカンダリ・ストライプ管理者に次のことを許可します...	ポリシー・ステートメント
グループの作成(使用)	`allow group oci_stripe2_federation_administrators to use groups in tenancy`
フェデレーション内のアイデンティティ・プロバイダのリスト(検査)	`allow group oci_stripe2_federation_administrators to inspect identity-providers in tenancy` グループを作成するためにセカンダリ・ストライプ管理者が必要な場合、where句が含まれるときにこのポリシーが必要になることに注意してください。
特定のフェデレーテッド・ストライプへのアクセス(使用)	`allow group oci_stripe2_federation_administrators to use identity-providers in tenancy where target.identity-provider.id=“ocid1.saml2idp.oc1..aaaaaaaaa…”`
すべて、または特定のセカンダリ・ストライプ・アイデンティティ・プロバイダのみの管理(管理)	すべて: `allow group oci_stripe2_federation_administrators to manage identity-providers in tenancy` 特定のセカンダリ・ストライプ・アイデンティティ・プロバイダのみ: `allow group oci_stripe2_federation_administrators to manage identity-providers in tenancy where target.identity-provider.id = "ocid1.saml2idp.oc1..aaaaaaaaa…"`

前述のOracle Identity Cloud Serviceグループにユーザーとしてサインインすると、Oracle Cloud Infrastructureコンソールでユーザーおよびグループを作成し、プライマリ・ストライプの場合と同様に権限を割り当てることができます。

where句に関する追加情報

管理動詞とwhere句を使用して特定のアイデンティティ・プロバイダ(ocid)に制限するグループのポリシーを定義するとします(次の例を参照)。

ポリシーの例:

allow group OCISecStripeAdmin to manage identity-providers in tenancy where target.identity-provider.id='ocid1.saml2idp.oc1..aaaaaaaa...’

グループのユーザーがOracle Cloud Infrastructureコンソールにログインして「フェデレーション」ページに移動すると、表内に次のメッセージが表示されます: 認可に失敗したか、リクエストされたリソースが見つかりません。

次の追加ポリシーを追加すると、グループ内のユーザーは同じページに移動し、アイデンティティ・プロバイダを表示できます。ユーザーは両方を検査できますが、許可されたアイデンティティ・プロバイダのグループ・マッピングのみを表示(読取り)できます:

追加ポリシーの例: allow group OCISecStripeAdmin to inspect identity-providers in tenancy

セカンダリ・ストライプ・コンパートメントでのOracle Integrationインスタンスの作成

フェデレーション・ポリシーおよびOracle Cloud Infrastructureポリシーが定義されている場合、フェデレーテッド・ユーザーはOracle Cloud InfrastructureコンソールにサインインしてOracle Integrationインスタンスを作成できます。

セカンダリ・ストライプのフェデレーテッド・ユーザーとしてOracle Cloud Infrastructureコンソールにサインインします。
ユーザーは、「アイデンティティ・プロバイダ」フィールドでセカンダリ・ストライプを選択する必要があります(この場合はidcs-secondary-stripe-service)。
承認された管理者は、指定したコンパートメント(この場合はidcs-secondary-stripe-compartment)にOracle Integrationインスタンスを作成できます。

Oracle Cloud Infrastructureドキュメント