Identity Management

この機能では、Oracle Integrationを含むOracle Cloud Infrastructureリソースと対話するユーザーおよびアプリケーションのアイデンティティが管理されます。作成から廃止まで、これらのアイデンティティのライフサイクル全体をカバーしています。この機能の主な側面は次のとおりです。

• 認証サービス: IAMは、次のような様々な方法でユーザーおよびアプリケーションを認証することで、リソースへのアクセスを保護します:
  • インバウンド認証:通常はマルチファクタ認証(MFA)で拡張されたクラシック・ユーザー名/パスワード・ログインを使用して、セキュリティを強化します。
  • アウトバウンド認証: Oracle Cloud Infrastructureサービスが外部システムまたはアプリケーションを使用して認証しやすくなり、セキュアな統合が保証されます。
  • シングル・サインオン(SSO):ユーザーが既存の資格証明を使用してOracle Cloud Infrastructureリソースにアクセスできるように、企業のアイデンティティ・プロバイダとシームレスに統合されます。

  認証に使用できる様々な資格証明タイプの詳細は、ユーザー資格証明の使用を参照してください。

• アイデンティティ・ライフサイクル管理: IAMは、アカウントの作成、変更、無効化、削除、パスワードのリセットなど、ユーザー・アカウントとその属性を管理するための一元化されたプラットフォームを提供します。これにより、管理が簡素化され、一貫性のあるポリシー施行が可能になります。「ユーザー管理のライフサイクル」を参照してください。
• 他のアイデンティティ・プロバイダとのフェデレーション: IAMは、既存のアイデンティティ・プロバイダおよびストア(Microsoft Active Directory、Azure AD、SAML 2.0プロバイダなど)とシームレスに統合され、既存のユーザー・ディレクトリを使用でき、アカウントの重複を回避できます。これにより、オーバーヘッドが軽減され、ユーザー・エクスペリエンスが向上します。アイデンティティ・プロバイダによるフェデレートを参照してください。

アクセス管理

ユーザーまたはアプリケーションが認証されると、アクセス管理機能によって、Oracle Cloud Infrastructure環境内で実行できる操作が決まります。これにより、リソース・アクセスをきめ細かく制御できます。

• 認可:これは、アクセス管理のコア機能です。誰がどのリソースにアクセスできるかを定義します。設計上、IAMの認可メカニズムでは最小権限の原則が使用され、特定のタスクを実行するために必要な最小限の権限のみがユーザーに付与されます。
• ロールベースのアクセス制御(RBAC): IAMではRBACが使用され、権限はロールにグループ化され、ユーザーはこれらのロールに割り当てられます。人間が読める形式で記述されたポリシーでは、これらのロールおよび特定のリソースに対する権限を定義します。ロールへのユーザーの割当およびポリシーの管理を参照してください。
• ポリシー強制:ユーザーがリソースに対してアクションを試行すると(たとえば、Oracle Cloud Infrastructureコンピュート・インスタンスの起動)、IAMはユーザーのロールに関連付けられたポリシーをチェックします。ポリシーによってその特定のアクションおよびリソースに対する権限が明示的に付与されている場合、アクションは許可され、それ以外の場合は拒否されます。この動的評価により、Oracle Cloud Infrastructure環境全体で一貫性のあるセキュアなアクセス制御が保証されます。ポリシーの動作を参照してください。