Oracle Integration Generation 2の複数のアイデンティティ・ストライプの構成

Oracle Integration Generation 2では、プライマリ(初期)ストライプは事前構成済グループを使用して自動的にフェデレートされます。ただし、単一のクラウド・サービスまたはアプリケーションに対して個別の環境を作成できます(たとえば、開発用に1つの環境を作成し、本番用に1つを作成できます)。この場合、各環境のアイデンティティ要件およびセキュリティ要件は異なります。1つ以上のセカンダリ・ストライプを実装すると、Oracle Identity Cloud Serviceの複数のインスタンスを作成および管理して、アプリケーションおよびOracle Cloudサービスを保護できます。

ノート

プロビジョニング後は、Oracle Identity Cloud Serviceストライプを変更したり、Oracle Integrationインスタンスのアソシエーションを別のIAMドメインに変更することはできません。

このトピックは、アイデンティティ・ドメインを使用しないテナンシにのみ適用されます。「アイデンティティ・ドメインの有無によるテナンシの違い」を参照してください。

複数のOracle Identity Cloud Serviceストライプが同じクラウド・アカウントに関連付けられているSAML IDPフェデレーションを使用して、1つ以上のセカンダリ・ストライプをOracle Cloud Infrastructureに手動でフェデレートできます。アカウント所有者はプライマリ・ストライプとセカンダリ・ストライプの両方を管理しますが、ストライプ内のアイデンティティは相互に分離されます。

複数のOracle Identity Cloud Serviceインスタンスを使用する利点は、複数のインスタンスについてを参照してください。

次の手順に従って、クラウド・アカウントのセカンダリ・ストライプを手動でフェデレートします。アカウント所有者である必要があります。

ストライプのネーミング規則の定義

ベスト・プラクティスとして、作成するストライプに固有のすべてのエンティティに対して<stripename>を定義します。ストライプに関連付けられた構成を一意に識別することは、特に複数のストライプが構成されている場合に重要です。

後続のセクションでは、次のエンティティでstripenameを使用します:

エンティティ	命名規則
IDCSグループ	`stripename_administrators`
OCIグループ	`oci_stripename_administrators`
コンパートメント	`stripename_compartment`
アイデンティティ・プロバイダ	`stripename_service`
ポリシー	`stripename_adminpolicy`
ポリシー・ステートメント	`allow group oci_stripename_administrators to manage integration-instances in compartment stripename_compartment`

セカンダリ・ストライプ・ユーザーのIDCSグループの作成

IDCSで、セカンダリ・ストライプにグループを作成し、セカンダリ・ストライプのユーザーをそのグループに追加します。

セカンダリ・ストライプにグループを追加し、stripename_administratorsと入力します。ストライプのネーミング規則の定義を参照してください。たとえば、stripe2_administratorsという名前を付けます。「終了」をクリックします。
詳細は、『Oracle Identity Cloud Serviceの管理』のグループの作成を参照してください。

これらの管理者には、Oracle Integrationインスタンスを作成する権限が付与されます。このIDCSグループは、Oracle Cloud Infrastructureグループにマップされます。
セカンダリ・ストライプのユーザーをグループに追加します。

セカンダリ・ストライプでのOAuthクライアントの作成

OAuthクライアント資格証明を使用し、IDCSドメイン管理者ロールが割り当てられたIDCS機密アプリケーションを作成します。セカンダリ・ストライプごとに機密アプリケーションを作成する必要があります。

IDCS管理者として、セカンダリIDCS管理コンソールにサインインします。
機密アプリケーションを追加します。
1. 「アプリケーション」タブに移動します。
2. 「追加」をクリックします。
3. 「機密アプリケーション」を選択します。
4. アプリケーションにClient_Credentials_For_SAML_Federationという名前を付けます。
5. 「次」をクリックします。
クライアント設定を構成します。
1. 「このアプリケーションをクライアントとして今すぐ構成します」を選択します。
2. 「認可」で、「クライアント資格証明」を選択します。
3. 「Identity Cloud Service管理APIへのクライアント・アクセス権を付与します」の下で、「追加」をクリックし、アプリケーション・ロールの「アイデンティティ・ドメイン管理者」を選択します。
4. 「次」を2回クリックします。
「終了」をクリックします。アプリケーションを作成したら、そのクライアントIDおよびクライアント・シークレットをメモします。この情報は、フェデレーションの今後のステップで必要になります。
「アクティブ化」をクリックし、アプリケーションのアクティブ化を確認します。

セカンダリ・ストライプ・ユーザーのOracle Cloud Infrastructureグループの作成

Oracle Cloud Infrastructure SAML IDPフェデレーションにはフェデレーテッドIDP (IDCS)からのユーザーをフェデレートするためのグループ・マッピングが必要で、フェデレーテッド・ユーザーのOracle Cloud Infrastructure権限(ポリシー)を定義および付与するにはOCIネイティブ・グループ・メンバーシップが必要であるため、このグループが必要です。

In the Oracle Cloud Infrastructure Console, open the navigation menu and click Identity & Security. Under Identity, click Groups.

このOracle Cloud Infrastructureグループは、作成したIDCSグループにマップされます。
グループを作成し、oci_stripename_administratorsを指定します。たとえば、oci_stripe2_administratorsという名前を付けます。

フェデレーションとそのグループ・マッピングの作成

IDCSおよびOracle Cloud Infrastructureグループが作成され、クライアント情報が必要なため、IDCSアイデンティティ・プロバイダを作成してグループをマップします。

Oracle Cloud Infrastructureコンソールにサインインします。初期ストライプ(identitycloudservice)のアイデンティティ・ドメインを選択し、そのユーザー資格証明を入力します。

セカンダリ・ストライプのグループ・マッピングでは、初期ストライプのユーザー・サインインが使用されることに注意してください。複数のストライプを追加すると、このドロップダウンに複数のオプションが追加されるため、これは重要です。
Open the navigation menu and click Identity & Security, then Federation.
「アイデンティティ・プロバイダの追加」をクリックします。

表示された画面で、次のようにフィールドに入力します。

フィールド	エントリ
名前	`<stripename>_service`
説明	`Federation with IDCS secondary stripe`
タイプ	Oracle Identity Cloud Service
Oracle Identity Cloud ServiceベースURL	次のフォーマットを使用してこのURLを入力します: `https://idcs-xxxx.identity.oraclecloud.com` `<idcs-xxxx>`のドメイン部分をセカンダリIDCSストライプに置き換えます。
クライアントID/クライアント・シークレット	セカンダリ・ストライプで作成し、セカンダリ・ストライプでのOAuthクライアントの作成のステップでメモしたこの情報を入力します。
強制認証	このオプションを選択します

「続行」をクリックします。
以前に作成したIDCSセカンダリ・ストライプおよびOCIグループをマップします。
IDCSセカンダリ・ストライプ・グループ(セカンダリ・ストライプ・ユーザーのIDCSグループの作成で作成済)およびOCIグループ(セカンダリ・ストライプ・ユーザーのOracle Cloud Infrastructureグループの作成で作成済)をマップします。
「プロバイダの追加」をクリックします。
セカンダリ・ストライプのフェデレーションが完了しました。グループ・マッピングが表示されていることがわかります。
セカンダリストライプを確認し、セカンダリストライプ管理者およびユーザーの表示を構成します。
- テナント管理者は、OCIコンソールですべてのフェデレーテッドIDCSストライプを表示できます。
- セカンダリ・ストライプ管理者およびその他のすべてのセカンダリ・ストライプ・ユーザーには、フェデレーションの下にストライプは表示されません。これを解決するには、セカンダリ・ストライプ・ユーザーのためのOracle Cloud Infrastructure Consoleグループのフェデレーテッド・ストライプへのアクセス権の付与を参照してください。

フェデレーテッド・ユーザーがインスタンスを作成するためのOracle Cloud Infrastructureポリシーの作成

フェデレーションが完了したら、セカンダリIDCSストライプのフェデレーテッド・ユーザーがOracle Integrationインスタンスを作成できるようにするOracle Cloud Infrastructureポリシーを設定します。共通パターンとして、ポリシーはコンパートメントにスコープ指定されます。

セカンダリIDCSストライプのOracle Integrationインスタンスを作成できるコンパートメントを作成します。コンパートメントにstripename_compartmentを指定します。
たとえば、stripe2_compartmentというコンパートメントを作成します。
フェデレーテッド・ユーザーがコンパートメントにOracle Integrationインスタンスを作成できるようにするポリシーを作成します。ポリシーにstripename_adminpolicyという名前を付けます(例: stripe2_adminpolicy)。
「ポリシー・ビルダー」で、「手動エディタの表示」を選択します。
- 構文: allow group stripename_administrators toverb resource-typein compartmentstripename_compartment
- ポリシー: allow group oci_stripe2_administrators to manage integration-instances in compartment stripe2_compartment
このポリシーにより、ポリシーのグループのメンバーであるユーザーは、stripe2_compartmentという名前のコンパートメントにOracle Integrationインスタンス(integration-instance)を作成できます。

セカンダリ・ストライプ・ユーザーのOracle Cloud Infrastructureコンソール・グループでのフェデレーテッド・ストライプへのアクセスの提供

追加のステップを実行して、セカンダリ・ストライプ管理者および他のすべてのセカンダリ・ストライプ・ユーザーがフェデレーション下のストライプを表示できるようにします。

Oracle Identity Cloud Serviceで、stripe2_federation_administratorsというグループを作成します。
フェデレーションを表示できるグループにユーザーを追加し、そのストライプのOracle Cloud Infrastructureコンソールでユーザーとグループを作成します。
Oracle Cloud Infrastructureコンソールで、正しい権限を持つプライマリ・ストライプ・ユーザーを使用して、oci_stripe2_federation_administratorsというOracle Cloud Infrastructureグループを作成します。
stripe2_federation_administratorsおよびoci_stripe2_federation_administratorsグループをマップします。

次の文の例を使用して、フェデレーテッド・スイプへのアクセス権を付与するポリシーを定義します。

いくつかの例では、セカンダリ・ストライプを識別するwhere句を使用して、特定のフェデレーテッド・スイプへのアクセス権を付与する方法を示します。フェデレーションのOCIDは、Oracle Cloud Infrastructureコンソールのフェデレーション・ビューから取得できます。

セカンダリ・ストライプ管理者に許可します....	ポリシー・ステートメント
グループの作成(使用)	`allow group oci_stripe2_federation_administrators to use groups in tenancy`
フェデレーションのアイデンティティ・プロバイダをリストします(調査)	`allow group oci_stripe2_federation_administrators to inspect identity-providers in tenancy` セカンダリ・ストライプ管理者がグループを作成する必要がある場合は、WHERE句を含めるときにこのポリシーが必要です。
特定のフェデレーテッドストライプにアクセスする(使用)	`allow group oci_stripe2_federation_administrators to use identity-providers in tenancy where target.identity-provider.id=“ocid1.saml2idp.oc1..aaaaaaaaa…”`
特定のセカンダリ・ストライプのアイデンティティ・プロバイダのみを管理(manage)	すべて: `allow group oci_stripe2_federation_administrators to manage identity-providers in tenancy` 特定のセカンダリ・ストライプのアイデンティティ・プロバイダのみ: `allow group oci_stripe2_federation_administrators to manage identity-providers in tenancy where target.identity-provider.id = "ocid1.saml2idp.oc1..aaaaaaaaa…"`

前述のOracle Identity Cloud Serviceグループのユーザーとしてサインインすると、Oracle Cloud Infrastructureコンソールでユーザーとグループを作成し、プライマリ・ストライプと同様に権限を割り当てることができます。

WHERE句の追加情報

manage動詞を特定のアイデンティティ・プロバイダ(ocid)に制限するwhere句とともに使用するグループのポリシーを(次の例のように)定義するとします。

ポリシーの例:

allow group OCISecStripeAdmin to manage identity-providers in tenancy where target.identity-provider.id=‘ocid1.saml2idp.oc1..aaaaaaaa...’

グループのユーザーがOracle Cloud Infrastructureコンソールにログインして「フェデレーション」ページに移動すると、表内に認可に失敗したか、リクエストされたリソースが見つかりません。というメッセージが表示されます。

次の追加ポリシーを追加すると、グループ内のユーザーは同じページに移動してアイデンティティ・プロバイダを表示できます。これらは両方を検査できますが、許可されたアイデンティティ・プロバイダのグループ・マッピング(読取り)のみを表示できます。

追加のポリシーの例: allow group OCISecStripeAdmin to inspect identity-providers in tenancy

セカンダリ・ストライプ・コンパートメントでのOracle Integrationインスタンスの作成

フェデレーションおよびOracle Cloud Infrastructureポリシーを定義すると、フェデレーテッド・ユーザーはOracle Cloud Infrastructureコンソールにサインインし、Oracle Integrationインスタンスを作成できます。

セカンダリ・ストライプからフェデレーテッド・ユーザーとしてサインインします。
ユーザーは、「アイデンティティ・プロバイダ」フィールドでセカンダリ・ストライプを選択する必要があります(この場合はidcs-secondary-stripe-service)。
認可された管理者は、指定したコンパートメント(この場合はidcs-secondary-stripe-compartment)にOracle Integrationインスタンスを作成できます。

Oracle Cloud Infrastructureドキュメント