ノート:

OCIでのOracle Analytics CloudおよびAPEXアプリケーションのサインオン・ポリシーの構成

イントロダクション

Oracle Cloud Infrastructure Identity and Access Management (OCI IAM)アイデンティティ・ドメインのサインオン・ポリシーは、Oracle Cloud Infrastructure (OCI)にデプロイされたアプリケーションへのアクセスを管理するための重要な要素です。

このチュートリアルは、顧客のユース・ケースにインスピレーションを与え、ISVまたはアプリケーション・サービス・プロバイダがサインオン・ポリシーを実装して、エンドユーザーに配信するアプリケーションへの認証を可能にし、OCIコンソールへのアクセスを妨げる方法の概要を示します。

このチュートリアルでは、Oracle Analytics Cloudアプリケーションと、Autonomous Transaction Processing (ATP)サービスで実行されるAPEXアプリケーションの2つのアプリケーションが使用されます。

目的

アーキテクチャ

このチュートリアルでは、次のアーキテクチャを使用します。

前提条件

タスク1: コンパートメントの構成

  1. デフォルト・ドメインのOCIコンソールに、テナンシ内のリソースを管理する権限を持つユーザー、またはコンパートメント・レベルでサインインし、そこからチュートリアル・コンパートメントを子コンパートメントとして作成します。

  2. チュートリアルのコンパートメントを作成します。

    コンパートメントの作成

  3. ログインしているデフォルト・ドメイン・ユーザーが、このコンパートメントに対する管理権限を持つグループに含まれていることを確認します。そうでない場合は、次のテンプレートを使用してポリシーを作成(またはテナンシ管理者に依頼します):

    Allow group <group to which your user belongs> to manage all-resources in compartment <compartment name>

タスク2: アプリケーション・ドメインの構成

  1. この新しく作成されたコンパートメントで、アプリケーション・ユーザーのアイデンティティ・ドメインを作成します。このチュートリアルでは、無料のドメインを使用できます。これは、アプリケーション・ユーザーと管理者ユーザーを分離するため、ベスト・プラクティスです。

    ドメインの作成

  2. 新しく作成したドメインで、アプリケーション・ユーザーのグループを作成します。現時点では、このグループにユーザーを追加しないでください。チュートリアルの後半で、テストの実行時に実行します。

    グループの作成

  3. Oracle Analytics CloudおよびATPインスタンスをプロビジョニングできるユーザーのグループを作成し、このグループにユーザーを割り当てます。このためにユーザーの作成が必要になる場合があります。

    ユーザー・グループの作成

    ユーザーをグループに追加

  4. このグループのユーザーが、このチュートリアル用に作成したコンパートメントにOracle Analytics CloudおよびATPインスタンスを作成できるようにするポリシーを作成します。

    Allow group <apps_domain>/<oac_provisioning_group> to manage analytics_instances in compartment <compartment name>
Allow group <apps_domain>/<oac_provisioning_group> to manage autonomous_databases in compartment <compartment name>

タスク3: Oracle Analytics Cloudアプリケーションの構成

  1. タスク2で作成したアプリケーション・ドメインに、Oracle Analytics CloudおよびATPインスタンスを管理するグループに追加したユーザーでサインインします。

  2. Oracle Analytics Cloudインスタンスを作成します。OCIコンソールを使用して、アプリケーション・ユーザーが作成および管理されるドメインに属するユーザーにOracle Analytics Cloudインスタンスをプロビジョニングする必要があります。この理由は、Oracle Analytics Cloudのプロビジョニング・プロセスで、ログオン時にプロビジョニングするユーザーがドメインにOracle Analytics Cloudアプリケーションが自動的に作成されるためです。

    Analyticsインスタンスの作成

    ノート: OCI APIを使用してOracle Analytics Cloudインスタンスをプロビジョニングした場合は、Oracle Analytics Cloudインスタンスを別のドメインのユーザーとともにプロビジョニングできますが、これは現在のチュートリアルの範囲外です。

  3. Oracle Analytics Cloudインスタンスが、サインインしているアイデンティティ・ドメインにバインドされていることを確認します。これを行うには、タスク2で作成したアイデンティティ・ドメインに移動し、Oracle Cloud Servicesに移動します。OCIにOracle Analytics Cloudプロビジョニング・プロセスによって自動的に作成されたアプリケーションが表示されます。

    Oracle Analytics Cloudアプリケーション

  4. Oracle Analytics Cloudアプリケーション・ロールをアプリケーション・ユーザー・グループに割り当てます。

    Oracle Analytics Cloudアプリケーション・ロール

タスク4: APEXアプリケーションの構成

  1. ATPインスタンスを作成します。

    ATPインスタンスの作成

  2. APEXワークスペースを作成し、APEXアプリケーションのサンプルをインストールします。アプリケーション・ギャラリに移動し、サンプル・アプリケーション(サンプル・カレンダ・アプリケーションなど)のいずれかを選択します。

    APEXアプリケーション・ギャラリ

  3. このOracle Analytics CloudおよびATPプロビジョニング・ユーザーを使用してドメインからサインアウトします。チュートリアルの開始時に使用したユーザーでサインインする必要があります。このユーザーには、チュートリアル・コンパートメント内のすべてのリソースを管理する権限があります。

  4. このガイドに従って、サンプル・アプリケーションをOCIアイデンティティ・ドメインと統合します。

    • 前のステップでインストールしたAPEXアプリケーションについて、アプリケーション・ドメインに機密アプリケーションを作成します。
    • APEXワークスペースで新しいWeb資格証明を作成します。
    • APEXアプリケーションの新しい認証スキームを作成します。

タスク5: サインオン・ポリシーの構成

  1. デフォルト・ドメインにサインインし、アプリケーション・ドメインのデフォルトのサインオン・ポリシーを変更します。Oracle Analytics CloudおよびATPプロビジョニング・グループのメンバーのみにアクセスできるように、デフォルトのサインオン・ルールを変更することから始めます。

    ノート: このチュートリアルの目的のために、ルールを次のように単純に保ちますが、本番ユース・ケースではMFAへのアクセスを規定する必要があります。

    デフォルト・ポリシー

  2. デフォルトのサインオン・ポリシーに別のサインオン・ルールを追加します。このルールは最初のルールの後に評価され、すべてのユーザーへのドメインへのアクセスが拒否されます。

    デフォルト・ポリシーrule2

    デフォルト・サインオン・ポリシーには、次に示すように2つのルールが必要です。

    ログイン・ルール

  3. アプリケーション・ユーザーがアプリケーションにのみサインオンできるようにする新しいサインオン・ポリシーを作成します。

    新規サインオン・ポリシー

  4. タスク4で作成されたAPEXアプリケーションとタスク3で自動的にプロビジョニングされたOracle Analytics Cloudアプリケーションの両方を、この新しいポリシーに関連付けます。

    アプリケーションの追加

  5. このポリシーのサインオン・ルールを作成して、アプリケーション・グループのユーザーがこれらの2つのアプリケーションにサインオンできるようにします。

    このポリシーのサインオン・ルールの作成

ノート: ドメインの切替え

Oracle Analytics CloudまたはOracle Integrationベースのアプリケーションのかわりに、カスタムWebアプリケーションをデプロイする必要がある場合は、このタスクのステップ1と2をスキップし、かわりにドメインを切り替えて、OCIコンソールのサインオン・ページで選択されないようにします。

ドメインのメイン・ページで、ドメインを編集し、OCIコンソールのサインオン・ページでドメインが選択されないようにします。これにより、ドメインへのOCI Webコンソール・アクセスが防止されます(アプリケーション・ユーザーとドメイン管理者の両方を含む)。

ドメインの編集

タスク6: テスト

  1. アプリケーション・ドメインに新しいユーザーを作成し、前のタスクで作成したアプリケーション・グループに追加します。

    ユーザーをアプリケーション・グループに追加

  2. 新しく作成したユーザーでOCIコンソールにサインオンし、アプリケーション・ドメインを選択して、アクセスが拒否されたことを確認します。

    ドメインによるアクセス拒否

  3. 新しく作成したユーザーでAPEXアプリケーションにサインオンし、正常にサインオンできることを確認します。

    許可されたAPEXアクセス

  4. 新しく作成したユーザーでOracle Analytics Cloudアプリケーションにサインオンし、正常にサインオンできることを確認します。

    Oracle Analytics Cloudアプリケーションへのサインオン

次のステップ

サインオン・ポリシーは、OCIのアプリケーション認証の重要な要素であるだけでなく、非常に使いやすいものです。このチュートリアルでは、アプリケーション・ユーザーの認証を完全に制御し、組織にとって意味のあるポリシーを適用することがいかに簡単かを示します。サインオン・ポリシーは、このチュートリアルで使用されている機能以外にも追加機能を提供します(特定のユーザー・グループにMFAを適用するなど)。追加のリソースを確認して、どのサインオン・ポリシーを使用できるかをより深く理解してください。

承認

その他の学習リソース

docs.oracle.com/learnで他のラボをご覧いただくか、Oracle Learning YouTubeチャネルでより無料のラーニング・コンテンツにアクセスしてください。また、education.oracle.com/learning-explorerにアクセスして、Oracle Learning Explorerになります。

製品ドキュメントについては、Oracle Help Centerを参照してください。