1. オンプレミス・アクセス管理からOracle Identity Cloud Serviceへの移行について学習
  2. クラウドのロードマップ・ステージについて学習

クラウドのロードマップ・ステージについて学習

このクラウド導入ロードマップの目的は、オンプレミス・アクセス管理システムをOracle Identity Cloud Serviceに移行し、クラウド・アプリケーションとオンプレミス・アプリケーションをOracle Identity Cloud Serviceが提供するシングル・サインオンと統合することです。

このロードマップには4つのステージがあります。あるステージから別のステージに移行するプロセスは、独自のビジネス上の優先順位とタイムラインがあるため一意です。ロードマップには、次のステージに移行するために各ステージで満たす必要のある最小限の要件が含まれています。

ステージ1の理解

この段階では、オンプレミス・アプリケーションとクラウド・アプリケーション用に環境が分離されています。これらのアプリケーションは、認証のために統合されていません。ユーザーは、オンプレミス・アプリケーションにアクセスするにはサインインし、異なる認証フローを介してクラウド・アプリケーションにアクセスするには再度サインインする必要があります。

cloud-roadmap-stage-1.pngの説明が続きます
図cloud-roadmap-stage-1.pngの説明

ステージ2の理解

この段階では、Oracle Identity Cloud Serviceを使用して、オンプレミス・アプリケーションとクラウド・アプリケーションの間にシングル・サインオン(SSO)を確立します。

オンプレミス・アプリケーションへのサインイン方法を変更してユーザーに影響を与えない場合は、Security Assertion Markup Language (SAML)を使用して、オンプレミス・アクセス管理システムをOracle Identity Cloud Serviceと統合できます。アクセス管理システムがアイデンティティ・プロバイダとして機能し、Oracle Identity Cloud Serviceがサービス・プロバイダとして機能します。

ユーザーがOracle Identity Cloud Serviceと統合されたクラウド・アプリケーションにアクセスしようとすると、Oracle Identity Cloud Serviceは認証をオンプレミス・アクセス管理システムに委任します。アクセス管理システムでは、サインイン・ページが表示され、ユーザーは資格証明をシステムに送信します。

cloud-roadmap-stage-2.pngの説明が続きます
図cloud-roadmap-stage-2.pngの説明

または、ユーザーがOracle Identity Cloud Serviceにサインインしてオンプレミス・アプリケーションにアクセスできるようにする場合は、オンプレミス・アクセス管理システムとOracle Identity Cloud Service間の信頼関係を変更します。このようにして、Oracle Identity Cloud Serviceがアイデンティティ・プロバイダとして機能し、アクセス管理システムがサービス・プロバイダとして機能します。ユーザーがOracle Identity Cloud Serviceに統合されたクラウド・アプリケーションにアクセスしようとすると、Oracle Identity Cloud Serviceがユーザーを認証します。その後、ユーザーがオンプレミス・アクセス管理システムと統合されたオンプレミス・アプリケーションにアクセスしようとすると、システムは認証をOracle Identity Cloud Serviceに委任します。

Oracle Identity Cloud Serviceをアイデンティティ・プロバイダとして使用することで、その機能(ステージ4にリストされている機能など)を活用できます。また、Oracle Identity Cloud Serviceのサインイン・ページをカスタマイズしたり、会社の標準に従ってこのページをブランド化することもできます。これにより、ユーザーの認証フローにおける変更の影響を最小限に抑えることができます。

ステージ3の理解

この段階では、オンプレミス・アプリケーションをOracle Identity Cloud Serviceと直接統合します。

シングル・サインオン目的でアプリケーションを統合するためにOracle Identity Cloud Serviceでサポートされる統合方法を識別する必要があります。次に例を示します。

  • アプリケーション・テンプレート: アプリケーション・カタログにリストされているアプリケーション用。
  • フェデレーション: Security Assertion Markup Language (SAML)アプリケーション用。アプリケーションはサービス・プロバイダで、Oracle Identity Cloud Serviceはアイデンティティ・プロバイダです。
  • OpenID Connect: OpenID Connectをサポートするアプリケーション用。
  • Oracle E-Business Suiteアプリケーション用のEBSアサータ。
  • ソース・コードにアクセスできるアプリケーション用のソフトウェア開発キット(SDK)。
  • WebGate: WebGateで保護されたアプリケーションの場合。
  • OpenID Connect、OAuth、SDKまたはSAMLがアプリケーションに適用されない場合に、セキュア・フォーム入力。
  • アプリケーション・ゲートウェイ: ゲートウェイでサポートされているエンタープライズ・アプリケーション用。
cloud-roadmap-stage-3.pngの説明が続きます
図cloud-roadmap-stage-3.pngの説明

アプリケーションをオンプレミス・アクセス管理システムからOracle Identity Cloud Serviceに移行するために必要な労力を評価する必要があります。また、一部のアプリケーションを移行できない可能性があるため、これらのアプリケーションはアクセス管理システムに依存したままになります。

ステージ4の理解

この段階では、オンプレミス・アプリケーションはアクセス管理システムに依存しなくなりました。

オンプレミス・アクセス管理システムからOracle Identity Cloud Serviceを切断し、Oracle Identity Cloud Service機能の活用を開始できます。次に、このような機能をいくつか示します。

  • アダプティブ・セキュリティ: Oracle Identity Cloud Service内のユーザーの動作に基づいて、強力な認証機能を提供します。アクティブにすると、アダプティブ・セキュリティは、失敗したサインインや多要素認証(MFA)の試行回数など、過去の動作に基づいてユーザーのリスク・プロファイルを分析できます。
  • サインイン・ポリシー: サインオンを許可するか、ユーザーがOracle Identity Cloud Serviceにサインインできないようにする、管理者定義の基準。
  • MFA: ユーザーのアイデンティティを検証するには、2つの要素が必要です。最初のファクタは、ユーザー名とパスワードのプロンプトです。2つ目の要因は、ユーザーのアイデンティティを検証してサインイン・プロセスを完了するための追加情報または2つ目のデバイスで構成される別の検証です。2つの要素が連携して、別のセキュリティ・レイヤーを追加します。
  • アカウント・リカバリ: サインインに問題がある場合、ロックアウトされた場合、またはパスワードを忘れた場合に、ユーザーがアカウントにアクセスするのに役立ちます。管理者は、セキュリティ質問、電子メールおよびテキスト・メッセージの3つのアカウント・リカバリ・ファクタを構成できます。
  • ソーシャル・サインオン: ユーザーは、自分のソーシャル・アカウントを使用してOracle Identity Cloud Serviceにサインインできます。

Oracle Identity Cloud Serviceはアクセス管理システムとして機能するようになったため、オンプレミスのエンタープライズ・ディレクトリを評価することが重要です。ディレクトリが必要な場合は、Active Directory (AD)エンタープライズ・ディレクトリまたはエンタープライズLightweight Directory Access Protocol (LDAP)からOracle Identity Cloud Serviceへのユーザーの同期を続行します。これを行うには、次のいずれかのブリッジを使用します。

  • ADブリッジ: ADエンタープライズ・ディレクトリ構造とOracle Identity Cloud Service間のリンクを提供します。新規作成、更新または削除されたユーザー・レコードがOracle Identity Cloud Serviceに転送されるように、Oracle Identity Cloud Serviceがこのディレクトリ構造を同期できます。ブリッジは、これらのレコードに対する変更をADにポーリングし、これらの変更をOracle Identity Cloud Serviceに反映します。そのため、ADでユーザーが削除されると、この変更はOracle Identity Cloud Serviceに伝播されます。
  • プロビジョニング・ブリッジ: Oracle Internet DirectoryやOracle Identity Cloud ServiceなどのエンタープライズLDAP間のリンクを提供します。同期を通じて、LDAPで直接作成および更新されるアカウント・データがOracle Identity Cloud Serviceにプルされ、対応するユーザー用に格納されます。これらのレコードに対する変更はOracle Identity Cloud Serviceに転送されます。
cloud-roadmap-stage-4.pngの説明が続きます
図cloud-roadmap-stage-4.pngの説明

移行できず、オンプレミス・アクセス管理システムに依存し続けるアプリケーションの場合、アクセス管理システムとOracle Identity Cloud Service間の信頼関係を変更します。このようにして、Oracle Identity Cloud Serviceがアイデンティティ・プロバイダとして機能し、アクセス管理システムがサービス・プロバイダとして機能します。