ノート:
- このチュートリアルでは、Oracle Cloudへのアクセスが必要です。無料アカウントにサインアップするには、Oracle Cloud Infrastructure Free Tierの開始を参照してください。
- Oracle Cloud Infrastructureの資格証明、テナンシおよびコンパートメントの値の例を使用します。演習を完了するときに、これらの値をクラウド環境に固有の値に置き換えます。
Oktaプッシュ・グループによるOracle Cloud Infrastructure Identity and Access Managementドメイン・グループ・メンバーシップの自動化
イントロダクション
現実世界では、顧客がOktaをコーポレート・アイデンティティ・プロバイダ(IdP)として持つことができるが、ユーザーがOracle Cloud Infrastructure (OCI)によってホストされるサービスにアクセスする必要があるシナリオがある場合があります。このようなシナリオでは、ユーザーのライフサイクル管理を改善するために、ユーザーを自動化し、Oktaからアイデンティティ・ドメインへのグループの自動プロビジョニングをフェデレーションを設定することをお薦めします。
フェデレーションおよびプロビジョニングの設定の詳細は、OCIおよびOktaを使用したSSOおよびOCIとOkta間のアイデンティティ・ライフサイクル管理を参照してください。
OktaとOracle Cloud Infrastructure(OCI)でグループ・メンバーシップを管理するには、Push Groupが重要な役割を果たします。Oktaプッシュ・グループを使用したグループ・メンバーシップのプロビジョニングと管理に関する様々なシナリオを見てみましょう。
主な利点
- Okta IdPのグループを活用して、Oracle Cloud Infrastructure Identity and Access Management (OCI IAM)ドメインにプッシュできます。
- ルールを作成してOCI IAMドメインに同期することで、複数のグループをプッシュすることもできます。
目的
- Okta Push Groupにより、Oracle Cloud Infrastructure Identity and Access Management (OCI IAM)ドメイン・グループ・メンバーシップを自動化します。
前提条件
- OCI IAMドメイン向けのOracle Apps Premium SKU。
- OCI IAMドメインの管理アカウント。
- IdPとしてOktaがOCI IAMドメインに追加されました。
- Oktaの管理アカウント。
タスク1: OCI IAMドメインへのグループ・メンバーシップの同期
グループがOCI IAMドメインに存在しない場合は、名前でプッシュ・グループを作成できます。
-
メンバーを含むOktaグループを選択します。
-
OCIの「グループの作成」を選択します。
このプロセスにより、グループはOCI IAMドメインに表示されるが、メンバーが含まれていないことが保証されます。
次に、Oktaグループのユーザーを「割当」の下のアプリケーションに割り当てることができます。
Oktaで割り当てたユーザーがOCI IAMドメインにプロビジョニングされ、グループのメンバーシップが更新されることがわかります。
ノート: Okta側のOktaグループ内のユーザー数に関係なく、アプリケーションに割り当てられたユーザーは、OCI IAMドメインのプッシュされたグループのメンバーシップの下に表示されます。また、Oktaでは、プッシュ・グループを介してプッシュするときに、グループにグループを割り当てることをお薦めします。
または
グループがOCI IAMドメインにすでに存在するシナリオでは、効率的なグループ同期を確保するプロセスに次のステップが含まれます。
-
必要なメンバーを含むOktaグループを識別します。
-
グループをリンクし、OCI IAMドメイン上の既存のグループを選択します。
ノート: OCI IAMドメインに同じ名前のグループが見つかった場合、システムはメンバーをこの既存のグループにシームレスに移動します。逆に、グループ名が一致しない場合は、選択したグループの名前が自動的にOktaグループ名と一致するように変更されるため、2つのプラットフォーム間の整合性が維持されます。
これらのガイドラインに従うことで、組織はグループ・メンバーシップの管理を合理化し、OCI IAMドメインおよびOktaプラットフォーム全体で命名規則を維持しながらメンバーを正確に割り当てることができます。
タスク2: プッシュ・プロビジョニングからのグループの関連付け解除
グループがOkta側のプッシュからリンク解除される場合、グループを効果的にリンク解除するには2つの方法があります。
-
ターゲット・アプリ内のグループの削除(推奨):ターゲット・アプリ内のグループを削除すると、リンクが効果的に解除されます。このアクションにより、OCI IAMドメイン内のグループが削除されますが、ユーザーはOCI IAMドメイン内に残り、アクティブな状態のままになります。同じグループに対して「プッシュ・グループ」リンクが再度作成された場合、グループは、そのメンバーシップとともにOCI IAMドメインで再作成されます。
-
ターゲット・アプリにグループを残す:ターゲット・アプリにグループを離れるようにすると、グループのリンクも解除されますが、グループはメンバーシップとともにOCI IAMドメインに保持されます。
グループ・リンクを再度作成すると、OCI IAMドメインのグループと一致していることがわかります。このプロセスにより、グループ間のリンクが再設定されます。
注意事項
リンクされたグループがOCI IAMドメインから明示的に削除される場合、特定のステップを実行する必要があります。
-
削除後も、リンクはOktaに表示されている可能性がありますが、プッシュ・プロセスでは、OCI IAMでリンクされたグループが欠落していることを示すエラーが発生します。リンクされたグループを変更して、グループ・メンバーシップのプッシュを再開します。
-
OCI IAMドメインで同じ名前のグループを再作成しても、Oktaグループは自動的に再リンクされません。推奨される解決策は、Oktaのリンクを削除してから、リンクを再作成することです。
さらに、ルール別のプッシュ・グループと呼ばれるプッシュ・グループに便利な機能があります。次に、このしくみを示します。
-
OktaからOCI IAMドメインにグループをプッシュするタイミングに関する条件を持つルールを作成できます。
-
条件は、グループ名またはグループの説明に基づいており、両方のフィールド(先頭、末尾、次を含むなど)で様々な演算子を使用できます。
次のステップ
メンバーシップを持つグループをOktaからOCI IAMドメインにプッシュすると、これらのグループをアプリケーションに割り当てることで、エンド・アプリケーションへのアクセスを簡単に維持できます。さらに、Oktaのメンバーシップを更新するだけで、メンバーシップを更新してエンド・アプリケーションへのアクセスを許可または禁止できます。
承認
- 作成者 - Sagar Takkar
その他の学習リソース
docs.oracle.com/learnの他のラボを確認するか、Oracle Learning YouTubeチャネルで無料のラーニング・コンテンツにアクセスしてください。また、education.oracle.com/learning-explorerにアクセスしてOracle Learning Explorerになります。
製品ドキュメントは、Oracle Help Centerを参照してください。
Automate OCI IAM Domain Group Membership with Okta Push Groups
G13466-01
August 2024