Identity Cloud Serviceのユーザー管理 - パート1 (2021/07/29)

Identity Cloud Serviceのユーザー管理 - パート1 (2021/07/29)

https://blogs.oracle.com/cloudsecurity/post/managing-users-in-identity-cloud-service-pt1

投稿者:Paul Toal


Oracle Identity Cloud Service (IDCS)の話題でよく聞かれるのが、ユーザー管理、より具体的にはIDCSでユーザーを管理するにはどのようなオプションがあるのかということです。IDCSが他の対象システムのアイデンティティをどのように管理できるかという意味ではありません。IDCSが他の対象システムのアイデンティティをどのように管理するかということではなく、IDCSのサービス自体でアイデンティティをどのように管理するかということです。そのため、すべてのオプションを1つにまとめるべきだと考え、この記事を作成しました。この記事では、IDCSにアイデンティティを導入するためのさまざまな方法を検討します。


ここでは、手動プロセスではなく、自動化された方法に焦点を当てます。もちろん、IDCSにはWebベースの管理コンソールがあり、ユーザの追加、編集、有効化、無効化などのユーザ管理タスクを実行できます。



これは少数の変更には適していますが、何千人ものユーザーを追加するために使用することはないでしょう。同様に、IDCSは、ユーザーが自分のプロファイルを作成できる自己登録などのセルフサービス機能も提供しています。



繰り返しになりますが、これは消費者向けのユースケースでは非常に便利ですが、一般的には、従業員が自分で登録することは望んでいません。特に、すでに複数の場所で従業員のアイデンティティを管理している場合はなおさらです。


では、どのような選択肢があるのでしょうか。自動化されたユーザ管理を実現するためには、以下の図のように6つの異なる方法があります。



それぞれの選択肢を見てみましょう。


Active Directory(AD)ブリッジ


最初のオプションは、IDCS ADブリッジを使用してADからユーザーとグループを同期させることです。これは、既存のADメンバー・サーバーまたはドメイン・コントローラーにインストールするサービスです。ブリッジはLDAPSをADサーバーに話し、それをIDCSへのアウトバウンドHTTPS RESTコールに変換します。ここで重要なのは、データの流れです。ブリッジからの通信はアウトバウンドのみです。ブリッジへのインバウンドポートを開く必要はありません。設定により、どのユーザーやグループのセットを同期させるか、また同期のスケジュールを完全にコントロールすることができます。



ブリッジは、ADのパスワードをIDCSに同期しないことに注意することが重要です。ADのユーザー名とパスワードを使ってIDCSにユーザーを認証する必要がある場合(そしてフェデレーションが利用できない場合)は、委任認証を使用することができます。


LDAP


IDCSのアプリケーションカタログには、一般的なソースやターゲットとの統合を促進するための多くのアプリケーション・テンプレートが用意されています。テンプレートの中には、Oracle Unified Directory (OUD)とOracle Internet Directory (OID)用のものがあり、これらのLDAP v3準拠のディレクトリからのユーザーの権威ある同期をサポートします。これは、IDCSプロビジョニング・ブリッジを使用することで実現します。IDCSプロビジョニング・ブリッジは、ADブリッジと同様に、LDAPを介してディレクトリと通信し、変更をIDCSへのアウトバウンドHTTPS RESTコールに変換します。


ただし、ADブリッジとは異なり、LDAPアプリケーション・テンプレートにはフィルタリング・オプションがありません。LDAPサービスアカウントが表示する権限を持つすべてのユーザーとグループがIDCSに同期されます。


アプリケーションカタログ


アプリケーションカタログには、OUDおよびOIDテンプレートに加えて、HCM(Human Capital Management)などの一般的なアプリケーション用の設定済みアプリケーションテンプレートが多数含まれています。テンプレートを使用してシングル・サインオン(SSO)を容易にするだけでなく、テンプレートの多くはプロビジョニングと同期をサポートし、IDCSに供給されるIDデータのソースがマスターである場合には、権威的な同期をサポートするものも含まれています。


すべてのアプリケーション・テンプレートがプロビジョニング・ブリッジの使用を必要とするわけではありません。これは、対象となるアプリケーション/サービス、それが存在する場所、およびそれが利用可能にするユーザ管理インタフェースに依存します。完全なアプリケーションカタログには、スクリプティングなどの汎用テンプレートや、カスタム統合が必要なSCIMテンプレートが含まれています。


API/SDK


IDCSは、System for Cross-domain Identity Management (SCIM)プロトコルに基づいた非常に豊富なREST APIのセットを持っています。また、.NET、Android、iOS、Java、Node.js、Python用のSDKセットも用意されています。そのため、REST APIの呼び出しやSDKの使用が可能なクライアントであれば、プログラムでIDCSのユーザーを管理することができます。APIは、個別操作と一括操作の両方に対応しています。


REST APIを使い始めるために、postmanコレクションとチュートリアルが提供されています。


CSV


すべての組織が、ユーザーを管理するための自動化された方法を持っているわけではありません。カンマ区切り値(CSV)は、あるシステムからID情報を抽出して別のシステムに提供するための、比較的一般的なアプローチです。IDCSは、管理コンソールを介して、またはAPIを介してプログラム的にCSVファイルを消費することができます。これには、ユーザ、グループ、およびグループ・メンバーシップ情報が含まれます。


JIT


連携認証を使用する場合、ジャストインタイム(JIT)プロビジョニングを使用することができます。通常、ID プロバイダ (IdP) が発行する認証トークンには、通常、ユーザ識別子のみが含まれています。しかし、JIT を使用する場合、トークンには、認証されたユーザに必要なすべての属性(グループ・メンバーシップを含む)が含まれるように構成されます。そしてIDCSは、これらの属性に基づいてそのユーザのIDレコードを作成します。


一致するユーザが既に存在する場合は、属性が変更された場合にユーザ・レコードを更新することができます。


上記の各オプションには異なる考慮事項があり、それを以下の表にまとめました。





このトピックでは、もう1つの一般的なユースケースとして、Oracle Fusion SaaSからユーザーを同期させる方法がありますが、これについては別の記事で紹介しますので、こちらをご覧ください。


ご覧のように、IDCSのユーザー管理を自動化するには多くの選択肢があります。

管理を効率化し、運用コストを削減することができます。

IDCSについてさらに詳しく知りたい方は、こちらのドキュメントをご覧ください。

上記のオプションのいくつかを設定するのに役立つさまざまなチュートリアルが含まれています。

コメント

コメントを投稿

このブログの人気の投稿

Oracle APEXのInteractive Gridで、Oracle Formsと比較して、重複行の検証を制御/通過させる方法 (2022/07/21)

イメージ
Oracle APEXのInteractive Gridで、Oracle Formsと比較して、重複行の検証を制御/通過させる方法 (2022/07/21) https://medium.com/oracledevs/how-to-control-or-pass-validation-for-duplicate-rows-in-interactive-grid-of-oracle-apex-as-compare-18f453f750bf 投稿者: Jignesh oracle Formsでは、データブロックの重複行を制御するのは非常に簡単ですが、IGの検証を制御するにはどうすればよいでしょうか。 必要な出力 ステップ1:インタラクティブグリッドのある白紙ページを作成します(私は1つの領域「IG」を作成し、インタラクティブグリッドとしてタイプを選択しました) ステップ 2: リージョンに Static ID を定義する (私の場合、リージョンは IG で、Static ID も IG です) ステップ3:複製を制御したいカラムのStatic IDを定義します ステップ4:関数とグローバル変数に移動します コード: var validity, message, ui = this.data; (function($) { function update(model) { var projKey = model.getFieldKey(“PROJECT_ID”), recObj = [], recArray = []; model.forEach(function(record, index, id) { var projid = parseInt(record[projKey], 10), // record[salKey] should be a little faster than using model.getValue in a loop meta = model.getRecordMetadata(id); if (!isNaN(projid) && !meta.deleted && !meta.agg) { recObj = {ID: id, project_id: projid}; recArray.push(recObj)
続きを読む

Oracle APEX 24.1の一般提供の発表 (2024/06/17)

イメージ
Oracle APEX 24.1の一般提供の発表 (2024/06/17) https://blogs.oracle.com/apex/post/announcing-oracle-apex-241 投稿者: Ashish Mohindroo | Vice President, Product Management APEX Low Code Application Platform Oracle APEX 24.1は、 ダウンロード が一般的に可能になり、世界中のOCI APEX Application DevelopmentおよびAutonomous Database Cloud Serviceリージョンにロールアウトされています。この最新リリースで、GenAIを使用して最初のローコード・アプリケーションを構築する方法を学習します。リリースのお知らせのリプレイはこちらからご覧いただけます。 このリリースでは、優れたエンタープライズ・グレードのアプリケーションを簡単に構築できるイノベーションの3つの主要な柱(AI支援アプリケーション開発、Oracleの次世代データ・プラットフォームのパワー活用、高度なWebおよびモバイル・アプリケーションを構築するための強力なエンタープライズ・グレードのコンポーネント)が提供されています。 AI支援アプリ開発 このリリースでは、AIをローコード開発に直接取り込み、すべての開発者が高度なクラウドおよびモバイル・アプリケーションを簡単に構築できるようにしています。開発者は、AIをアシスタントとして使用して、時間と労力を削減してアプリを構築できるようになりました。APEX AIアシスタントを使用すると、開発者は複数のウィンドウを使用して表名と列名を検索する必要がなくなります。 APEX 24.1 では、クラウドおよびモバイル・アプリの自然言語ベースの開発を可能にするネイティブAI搭載APEX AIアシスタントを導入しました。APEX AIアシスタントを使用すると、すべての開発者は自然言語を使用してSQLを生成できるため、アプリケーションをより簡単に構築したり、ワンクリックで構文修正を実行したり、表名を覚える必要がなくなります。開発者は、自然言語プロンプトを使用して目的の機能とコンポーネントを指定し、直感的な会話型インタフェースを使用し
続きを読む

Oracle Cloudのデータベースをオブジェクト・ストレージにバックアップする3つの方法 (2021/12/13)

イメージ
Oracle Cloudのデータベースをオブジェクト・ストレージにバックアップする3つの方法 (2021/12/13) https://database-heartbeat.com/2021/12/13/three-ways-backup-cloud/ はじめに Oracle Cloudでは、ボタンをクリックするだけで自動バックアップを有効にするオプションが用意されています。バックアップの要件が異なる場合でも、手動でバックアップ設定を行い、コマンドライン・ツールやRMANを直接使用してバックアップを作成する柔軟性があります。これは、VM DB Systems、Exadata Cloud Service、およびExadata Cloud at Customerに適用されます。 このブログ記事では、Oracle Cloud Object Storageをバックアップ先として使用する場合の、さまざまなバックアップ・オプションの主な違いと、それに伴うコストについて紹介します。Object Storageは、内蔵されたトリプル・ミラーリングと99.999999%(イレブンナイン)の耐久性を提供します。 ハイブリッド・クラウドとマルチ・クラウド Oracle Cloud Object StorageへのOracle Databaseのバックアップは、Oracle Cloud上のOracle Databaseに限らず、ハイブリッドクラウド上のオンプレミスのOracle Databaseや、マルチクラウド環境のOracle以外のクラウド上で稼働しているOracle Databaseに対しても、RMANを介して実装することができます。 プライベートおよび専用のネットワーク接続は、FastConnect、Azure Interconnect、またはサードパーティのネットワーク接続プロバイダを介して提供できます。マルチクラウド環境では、クラウドプロバイダー、リージョン、転送するデータ量に応じて、追加のアウトバウンドトラフィックコストが発生する可能性があります。オラクルをはじめとする多くのクラウドプロバイダーは、すでに Bandwidth Alliance に参加しており、ネットワークエグレス料金を削減または排除しています。 環境について     Oracle Cloud VM DB Sy
続きを読む