アイデンティティ・ドメインの有無によるテナント間の違い
Oracle Integrationにアクセスするためのユーザー、グループおよびポリシーの管理は、テナンシでアイデンティティ・ドメインを使用するかどうかによって異なります。
ユーザーおよびグループの管理場所
2023年3月から、Oracleは、アイデンティティ・ドメインを使用するためのすべてのテナンシのリージョンごとの移行を開始しました。テナンシの移行の2週間前にテナンシの所有者に通知されます。IDCSホーム・リージョンに関係なく、テナンシ内のすべてのIDCSインスタンスは同時に変換されます。
テナンシの作成前に、Oracleがアイデンティティ・ドメインを使用するようにリージョンを更新した場合、テナンシではすでにアイデンティティ・ドメインが使用されています。ただし、テナンシを作成した後にアイデンティティ・ドメインを使用するようにOracleがリージョンを更新した場合、テナンシは移行されます。
- 次のいずれかに該当する場合は、Oracle Cloud Infrastructure Identity and Access Management (IAM)でユーザー、グループおよびロールを管理します:
- Oracleは、テナンシを作成する前にアイデンティティ・ドメインを使用するようにリージョンを更新しました
- または、Oracleが、アイデンティティ・ドメインを使用するようにリージョン内の既存のテナンシを移行しました
どちらのシナリオでも、Oracle Identity Cloud Service (IDCS)またはフェデレーションを使用してユーザーとグループを管理しません。
- 次の両方に当てはまる場合、フェデレーションを使用してリンクされたIDCSとOracle Cloud Infrastructure IAMの両方で、ユーザー、グループおよびロールを管理します:
- Oracleは、テナンシの作成後にアイデンティティ・ドメインを使用するようにリージョンを更新しました
- また、Oracleは、アイデンティティ・ドメインを使用するようにリージョン内の既存のテナンシをまだ移行していません
テナンシがアイデンティティ・ドメインを使用するかどうかの決定
テナンシでアイデンティティ・ドメインを使用するかどうかを確認するには、Oracle Cloud Infrastructureナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」を確認します。
-
「ドメイン」がリストされている場合、テナンシはアイデンティティ・ドメインを使用します。
アイデンティティ・ドメインでのアクセスの管理を参照してください。
-
ドメインがリストされていない場合、テナンシは、フェデレーションを使用してIDCSおよびOracle Cloud Infrastructure IAMのアイデンティティをリンクするように構成されています。
「アイデンティティ・ドメインなしでのアクセスの管理」を参照してください。
アイデンティティ・ドメインについて
アイデンティティ・ドメインは、ユーザーやロールを管理し、その他のアクセス関連タスクを実行するためのコンテナです。すべてのテナンシにはデフォルトのアイデンティティ・ドメインが含まれ、必要に応じて追加のアイデンティティ・ドメインを作成して、異なるユーザー・グループを保持できます。
アイデンティティ・ドメインには、パフォーマンスとスケーラビリティの向上、管理のための統合エクスペリエンスなど、いくつかの利点があります。詳細は、アイデンティティ・ドメインの管理を参照してください。
差異
次の表に、2つの構成の違いを示します。
| アイデンティティ・ドメインを使用するテナンシ | アイデンティティ・ドメインを使用しないテナンシ |
|---|---|
| ユーザーおよびグループは、Oracle Cloud Infrastructure IAMで構成されます。 |
ユーザーおよびグループは、Oracle Cloud Infrastructure IAMおよびIDCSで構成され、フェデレーションを介してリンクされます。Oracle Integrationフェデレーションの理解を参照してください。 ノート: 読取り専用ユーザーは、1つのOracle Cloud Infrastructureグループにのみ割り当てることができ、IDCSグループに割り当てることはできません。 |
| Oracle Cloud Infrastructure IAMサービスは、ドメインでユーザー、グループ、動的グループおよびアプリケーションを管理するための単一の統合コンソールを提供します。 | Oracle Cloud Infrastructure IAMは、テナンシのIDCSとフェデレートする必要があります。 |
| 単一の資格証明セットおよび統合認証プロセスを使用して、より多くのアプリケーションにシングル・サインオンを提供します。 | IDCSには個別のフェデレーテッド資格証明が必要です。 |
| 「フェデレーション」ページには、IDCSエントリはリストされません。 | 「フェデレーション」ページには、テナンシ作成の一部として自動的にフェデレートされる初期IDCSタイプがリストされます。 |