Oracle Cloud Infrastructureドキュメント

プロセスの自動化のための複数のアイデンティティ・ストライプの構成

Oracle Cloud Infrastructure Process Automationの場合、プライマリ(初期)ストライプは、事前構成済グループを使用して自動的にフェデレートされます。ただし、単一のクラウド・サービスまたはアプリケーションに対して個別の環境を作成できます(たとえば、開発用に1つの環境を作成し、本番用に1つを作成できます)。この場合、各環境のアイデンティティ要件およびセキュリティ要件は異なります。

ノート

このトピックは、アイデンティティ・ドメインを使用しないテナンシにのみ適用されます。アイデンティティ・ドメインとのテナンシの違いを参照してください。

1つ以上のセカンダリ・ストリップを実装すると、Oracle Identity Cloud Serviceの複数のインスタンスを作成および管理して、アプリケーションおよびOracle Cloudサービスを保護できます。

複数のOracle Identity Cloud Serviceストライプが同じクラウド・アカウントに関連付けられているSAML IDPフェデレーションを使用して、1つ以上のセカンダリ・ストライプをOracle Cloud Infrastructureに手動でフェデレートできます。アカウント所有者は、プライマリ・ストリップとセカンダリ・ストライプの両方を管理しますが、ストライプ内のアイデンティティは相互に分離されます。

最初に、ストライプの命名規則の定義の説明に従って、ストライプの命名規則を定義します。その後、次のステップに従って、クラウド・アカウントのセカンダリ・ストライプを手動でフェデレートします。アカウント所有者である必要があります。

  1. セカンダリ・ストライプ・ユーザーのIDCSグループの作成
  2. セカンダリ・ストライプでのOAuthクライアントの作成
  3. セカンダリ・ストライプ・ユーザーのIAMグループの作成
  4. フェデレーションとそのグループ・マッピングの作成
  5. フェデレーテッド・ユーザーがインスタンスを作成するためのIAMポリシーの作成
  6. セカンダリ・ストライプ・ユーザーのIAMグループ内のフェデレーテッド・ストライプへのアクセスの提供
  7. セカンダリ・ストライプ・コンパートメントでのプロセス自動化インスタンスの作成

ストライプのネーミング規則の定義

ベスト・プラクティスとして、作成するストライプに固有のすべてのエンティティに対して<stripename>を定義します。ストライプに関連付けられた構成を一意に識別するには、特に複数のストライプが構成されている場合に重要です。

後続の項では、次のエンティティでstripenameを使用します:

エンティティ 命名規則
IDCSグループ stripename_administrators
OCIグループ oci_stripename_administrators
コンパートメント stripename_compartment
アイデンティティ・プロバイダ stripename_service
ポリシー stripename_adminpolicy
ポリシー文 allow group oci_stripename_administrators to manage process-automation-instance in compartment stripename_compartment

セカンダリ・ストライプ・ユーザーのIDCSグループの作成

IDCSで、セカンダリ・ストライプにグループを作成し、セカンダリ・ストライプのユーザーをそのグループに追加します。

  1. セカンダリ・ストライプにグループを追加し、stripename_administratorsという名前を付けます。たとえば、stripe2_administratorsという名前を付けます。「終了」をクリックします。
    これらの管理者には、プロセス自動化インスタンスを作成する権限が付与されます。このIDCSグループは、IAMグループにマップされます。IDCSおよびIAMグループのマップを参照してください。
  2. セカンダリ・ストライプのユーザーをグループに追加します。

セカンダリ・ストライプでのOAuthクライアントの作成

OAuthクライアント資格証明を使用し、IDCSドメイン管理者ロールが割り当てられたIDCS機密アプリケーションを作成します。セカンダリ・テープごとに機密アプリケーションを作成する必要があります。

  1. IDCS管理者として、セカンダリIDCS管理コンソールにサインインします。
  2. 機密アプリケーションを追加します。
    1. 「アプリケーション」タブに移動します。
    2. 「追加」をクリックします。
    3. 「機密アプリケーション」を選択します。
    4. アプリケーションにClient_Credentials_For_SAML_Federationという名前を付けます。
    5. 「次へ」をクリックします。
  3. クライアント設定を構成します。
    1. 「今すぐこのアプリケーションをクライアントとして構成します」をクリックします。
    2. 「認可」で、「クライアント資格証明」を選択します。
    3. 「Identity Cloud Service管理APIへのクライアント・アクセス権を付与します」で、「追加」をクリックし、アプリケーション・ロール「Identity Domain Administrator」を選択します。
    4. 「次」を2回クリックします。
  4. 「終了」をクリックします。アプリケーションが作成されたら、そのクライアントIDとクライアント・シークレットをノートにとってください。この情報は、フェデレーションの今後のステップで必要になります。
  5. 「アクティブ化」をクリックし、アプリケーションのアクティブ化を確認します。

セカンダリ・ストライプ・ユーザーのIAMグループの作成

Oracle Cloud Infrastructure SAML IDPフェデレーションにはフェデレーテッドIDP (IDCS)からユーザーをフェデレートするためのグループ・マッピングが必要であり、フェデレーテッド・ユーザーにOracle Cloud Infrastructure権限(ポリシー)を定義および付与するにはOCIネイティブ・グループ・メンバーシップが必要であるため、このグループが必要です。

  1. Oracle Cloud Infrastructureコンソールでナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「グループ」をクリックします。
    このIAMグループは、作成したIDCSグループにマップされます。
  2. グループを作成し、oci_stripename_administratorsという名前を付けます。たとえば、oci_stripe2_administratorsと入力します。

フェデレーションとそのグループ・マッピングの作成

IDCSおよびIAMグループを作成し、必要なクライアント情報を取得したら、IDCSアイデンティティ・プロバイダを作成し、グループをマップします。

  1. Oracle Cloud Infrastructureコンソールにサインインします。初期ストライプ(アイデンティティ・クラウド・サービス)のアイデンティティ・ドメインを選択し、そのユーザー資格証明を入力します。
    セカンダリ・ストライプのグループ・マッピングでは、初期ストライプのユーザー・サインインが使用されることに注意してください。複数のストライプを追加すると、複数のオプションがこのドロップダウンに追加されるため、これは重要です。
  2. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」「フェデレーション」の順にクリックします。
  3. 「アイデンティティ・プロバイダの追加」をクリックします。
  4. 表示されるウィンドウで、次に示すようにフィールドに入力します。
    フィールド 入力する情報
    名前 <stripename>_service
    説明 Federation with IDCS secondary stripe
    タイプ Oracle Identity Cloud Service
    Oracle Identity Cloud ServiceベースURL

    形式を使用して次のURLを入力します。

    https://idcs-xxxx.identity.oraclecloud.com

    <IDCS-xxxx>のドメイン部分をセカンダリIDCSストライプに置き換えます。

    クライアントID/クライアント・シークレット

    セカンダリ・ストライプでのOAuthクライアントの作成中に取得したクライアントIDおよびシークレットを入力します。セカンダリ・ストライプでのOAuthクライアントの作成を参照してください。

    強制認証 このオプションを選択します。
  5. 「続行」をクリックします。
  6. 以前に作成したIDCSセカンダリ・ストライプおよびOCIグループをマップします。
    IDCSセカンダリ・ストライプ・グループ(セカンダリ・ストライプ・ユーザーのIDCSグループの作成で作成済)およびOCIグループ(セカンダリ・ストライプ・ユーザーのIAMグループの作成で作成済)をマップします。
  7. プロバイダの追加をクリックします。
    第2ストライプのフェデレーションが完了しました。グループ・マッピングが表示されます。
  8. セカンダリ・ストライプを確認し、セカンダリ・ストライプ管理者およびユーザーの可視性を構成します。

フェデレーテッド・ユーザーがインスタンスを作成するためのIAMポリシーの作成

フェデレーションが完了したら、セカンダリIDCSストライプのフェデレーテッド・ユーザーがOracle Cloud Infrastructure Process Automationインスタンスを作成できるようにするIAMポリシーを設定します。共通パターンは、ポリシーの範囲をコンパートメントに設定します。

  1. セカンダリIDCSストライプのOracle Cloud Infrastructure Process Automationインスタンスを作成できるコンパートメントを作成します。コンパートメントにstripename_compartmentという名前を付けます。
    たとえば、stripe2_compartmentというコンパートメントを作成します。
  2. フェデレーション・ユーザーがコンパートメントにOracle Cloud Infrastructure Process Automationインスタンスを作成できるようにするポリシーを作成します。ポリシーにstripename_adminpolicyという名前を付けます(例: stripe2_adminpolicy)。

    「ポリシー・ビルダー」で、「手動エディタの表示」を選択します。

    • 構文: allow group stripename_administrators to verb resource-type in compartment stripename_compartment
    • ポリシー: allow group oci_stripe2_administrators to manage process-automation-instance in compartment stripe2_compartment
このポリシーにより、ポリシー内のグループのメンバーであるユーザーは、Oracle Cloud Infrastructure Process Automationインスタンス(process- automation- instance)をstripe2_compartmentという名前のコンパートメントに作成できます。

セカンダリ・ストライプ・ユーザーのIAMグループ内のフェデレーテッド・ストライプへのアクセスの提供

セカンダリ・ストライプ管理者および他のすべてのセカンダリ・ストライプ・ユーザーがフェデレーションの下のストライプを表示できるようにするには、追加のステップを実行します。

  1. Oracle Identity Cloud Serviceで、stripe2_federation_administratorsというグループを作成します。
  2. フェデレーションを表示できるようにするグループにユーザーを追加し、そのストライプのOracle Cloud Infrastructureコンソールでユーザーおよびグループを作成します。
  3. Oracle Cloud Infrastructureコンソールで、適切な権限を持つプライマリ・ストライプ・ユーザーを使用して、oci_stripe2_federation_administratorsというIAMグループを作成します。
  4. stripe2_federation_administratorsおよびoci_stripe2_federation_administratorsグループをマップします。
  5. 次の文の例を使用して、フェデレーテッド・ストライプへのアクセス権を付与するポリシーを定義します。

    例のいくつかは、セカンダリ・ストライプを識別するwhere句を使用して、特定のフェデレーテッド・ストライプへのアクセス権を付与する方法を示しています。

    フェデレーションのOCIDは、Oracle Cloud Infrastructureコンソールのフェデレーション・ビューから取得できます。

    セカンダリ・ストライプ管理者は次のことを実行できます。 ポリシー文
    グループの作成(使用) allow group oci_stripe2_federation_administrators to use groups in tenancy
    フェデレーション内のアイデンティティ・プロバイダのリスト(検査) allow group oci_stripe2_federation_administrators to inspect identity-providers in tenancy

    セカンダリ・ストライプの管理者がグループを作成する必要がある場合、Where句を含めるときにこのポリシーが必要になることに注意してください。
    特定のフェデレーテッド・ストライプへのアクセス(使用) allow group oci_stripe2_federation_administrators to use identity-providers in tenancy where target.identity-provider.id=“ocid1.saml2idp.oc1..aaaaaaaaa...”

    前述のIDCSグループでユーザーとしてサインインすると、Oracle Cloud Infrastructureコンソールでユーザーおよびグループを作成し、プライマリ・ストライプの場合と同様に権限を割り当てることができます。

セカンダリ・ストライプ・コンパートメントでのプロセス自動化インスタンスの作成

フェデレーション・ポリシーおよびOracle Cloud Infrastructureポリシーが定義されている場合、フェデレーテッド・ユーザーはOracle Cloud InfrastructureコンソールにサインインしてOracle Cloud Infrastructure Process Automationインスタンスを作成できます。

  1. セカンダリ・ストライプのフェデレーテッド・ユーザーとしてサインインします。
    ユーザーは、「アイデンティティ・プロバイダ」フィールドでセカンダリ・ストライプを選択する必要があります。たとえば、stripe2_administratorsです。
  2. 権限のある管理者は、指定されたコンパートメント内のプロセス自動化インスタンス(stripe2_compartmentなど)を停止できます。