OKEでのカスタム・サインイン・アプリケーションによるユーザー・エクスペリエンスの強化
デフォルトのOCI IAMサインイン・ページおよびURLを使用するかわりに、独自のドメインでカスタム・サインイン・アプリケーションをホストして、従業員のサインイン中に組織独自のURLを表示できます。
Oracle Cloudでサービスをホストする保険会社Unified Insuranceの例を考えてみます。Unified Insuranceは、Vision Corporationの従業員に健康保険を提供します。Vision Corporationの従業員は健康保険契約の消費者であり、統合保険ポータルにアクセスして福利厚生を管理します。Oracleはアイデンティティ・プロバイダであるため、ブラウザに表示されるURLは、次のように標準のOracleアイデンティティURLになります。
https://<oracle-customer-identity-domain instance>.identity.oraclecloud.com/ui/<version>/signin統合保険では、カスタム・サインイン・アプリケーションを使用して独自のドメインでサービスをホストすることにより、このURLをVision Corporationに固有のURLに置き換えることができます。組織固有のURLの例を次に示します。
https://visioncorporation.com/employee-signinこのソリューション・プレイブックでは、Oracle Cloud Infrastructure Kubernetes Engine (OKE)でカスタム・サインイン・アプリケーションをホストして、デフォルトのOCI IAMサインイン・ページおよびURLを組織固有のバニティURLおよびサインイン・ページに置き換える方法を学習します。
開始する前に
組織の要件を特定し、適切なソリューションを選択します。
エンタープライズ組織従業員のホスト・サインイン
アイデンティティ・ドメインのホストされるサインイン・ページおよびアイデンティティ・ドメインのサインインUIのブランディングをカスタマイズします。
エンド・ユーザーまたはコンシューマのバニティURL
このソリューションを使用して、エンド・ユーザーまたはコンシューマの組織固有のバニティURLをサポートします。
アーキテクチャ
次のアーキテクチャ設計は、OCI Kubernetes Engine (OKE)でカスタム・サインイン・アプリケーションをデプロイおよび実行する方法を示しています。
図custom-sign-app-arch.pngの説明
custom-sign-app-arch-oracle.zip
このソリューションを実装した後のVision Corporation従業員のユーザー・ワークフローの例を次に示します。
- 従業員は、自身のセルフサービス・ポータル・アプリケーションを使用してサインインし、健康保険の福利厚生を表示できます。
- 組織の健康保険および福利厚生Webサイトに移動します。
- アドレス・バーに表示されるURLは、Oracle提供のURLではなく、勤務している組織に固有です。
統合保険は、OKEでカスタム・サインイン・アプリケーションをホストすることで、Vision Corporationにこのエクスペリエンスを提供できます。
ノート:
テスト目的で、アイデンティティ・ドメインのすぐに使用できるサインインUIで保護されている、動作中のサンプル・アプリケーションが必要です。カスタム・アプリケーションを使用してサインインすると、テスターがこのアプリケーションに移動します。このアプリケーションはどこでもホストでき、SAML 2.0、OAUTHまたはアプリケーション・ゲートウェイで保護されたアプリケーションである必要があります。このアーキテクチャでは、次のコンポーネントがサポートされています。
- アイデンティティおよびアクセス管理(IAM)
Oracle Cloud Infrastructure Identity and Access Management(IAM)は、Oracle Cloud Infrastructure(OCI)およびOracle Cloud Applicationsのアクセス・コントロール・プレーンです。IAM APIおよびユーザー・インタフェースを使用すると、アイデンティティ・ドメインおよびアイデンティティ・ドメイン内のリソースを管理できます。各OCI IAMアイデンティティ・ドメインは、スタンドアロンのアイデンティティおよびアクセス管理ソリューション、または異なるユーザー集団を表します。
- Kubernetes Engine
Oracle Cloud Infrastructure Kubernetes Engine (OCI Kubernetes EngineまたはOKE)は、コンテナ化されたアプリケーションをクラウドにデプロイするために使用できる、完全に管理されたスケーラブルで可用性の高いサービスです。アプリケーションで必要なコンピュート・リソースを指定すると、KubernetesエンジンがそれらをOracle Cloud Infrastructureの既存のテナンシにプロビジョニングします。OKEは、Kubernetesを使用して、ホストのクラスタにわたるコンテナ化されたアプリケーションのデプロイメント、スケーリングおよび管理を自動化します。
- ロード・バランサ
Oracle Cloud Infrastructure Load Balancingサービスは、単一のエントリ・ポイントからバックエンドの複数のサーバーへの自動トラフィック分散を提供します。
- レジストリ
Oracle Cloud Infrastructure Registryは、本番ワークフローを簡素化できる、Oracle管理のレジストリです。レジストリを使用すると、Dockerイメージなどの開発アーティファクトを簡単に格納、共有および管理できます。Oracle Cloud Infrastructureの高可用性とスケーラビリティのアーキテクチャにより、アプリケーションを確実にデプロイして管理できます。
- サービス・ゲートウェイ
サービス・ゲートウェイは、VCNからOracle Cloud Infrastructure Object Storageなどの他のサービスへのアクセスを提供します。The traffic from the VCN to the Oracle service travels over the Oracle network fabric and does not traverse the internet.
- インターネット・ゲートウェイ
インターネット・ゲートウェイは、VCN内のパブリック・サブネットとパブリック・インターネット間のトラフィックを許可します。
- 仮想クラウド・ネットワーク(VCN)およびサブネット
VCNは、Oracle Cloud Infrastructureリージョンで設定する、カスタマイズ可能なソフトウェア定義のネットワークです。従来のデータ・センター・ネットワークと同様に、VCNsではネットワーク環境を制御できます。VCNには重複しない複数のCIDRブロックを含めることができ、VCNの作成後にそれらを変更できます。VCNをサブネットにセグメント化して、そのスコープをリージョンまたは可用性ドメインに設定できます。各サブネットは、VCN内の他のサブネットと重複しない連続した範囲のアドレスで構成されます。サブネットのサイズは、作成後に変更できます。サブネットはパブリックにもプライベートにもできます。
- Docker
アプリケーションを迅速に構築、テストおよびデプロイできるソフトウェア・プラットフォーム。Dockerは、コンテナと呼ばれる疎分離された環境でアプリケーションをパッケージ化して実行する機能を提供します。分離とセキュリティにより、特定のホストで多数のコンテナを同時に実行できます。
必須サービスおよびロールについて
このソリューションには、次のサービスおよびロールが必要です。
| サービス名: ロール | 必須... |
|---|---|
| GitHub: 開発者 | リポジトリをフォークし、カスタム・サインイン・アプリケーションをダウンロードします。 |
| Docker: 開発者 | Dockerイメージ・ファイルを作成します。 |
| アイデンティティ・ドメイン: アプリケーション管理者 |
|
| Oracle Cloud Infrastructure: OCIRリポジトリの作成 | OCIRリポジトリを作成し、OKEクラスタを作成します。 |
| Kubernetes: コマンドライン・ツール | Kubernetesコマンドライン・ツールへのアクセス。 |
サインイン・アプリケーション: IDCS_CLIENT_IDおよびIDCS_CLIENT_CREDENTIALS |
アイデンティティ・ドメインAPIの呼出し |