Identity Cloud Serviceのユーザー管理 - パート1 (2021/07/29)

Identity Cloud Serviceのユーザー管理 - パート1 (2021/07/29)

https://blogs.oracle.com/cloudsecurity/post/managing-users-in-identity-cloud-service-pt1

投稿者:Paul Toal


Oracle Identity Cloud Service (IDCS)の話題でよく聞かれるのが、ユーザー管理、より具体的にはIDCSでユーザーを管理するにはどのようなオプションがあるのかということです。IDCSが他の対象システムのアイデンティティをどのように管理できるかという意味ではありません。IDCSが他の対象システムのアイデンティティをどのように管理するかということではなく、IDCSのサービス自体でアイデンティティをどのように管理するかということです。そのため、すべてのオプションを1つにまとめるべきだと考え、この記事を作成しました。この記事では、IDCSにアイデンティティを導入するためのさまざまな方法を検討します。


ここでは、手動プロセスではなく、自動化された方法に焦点を当てます。もちろん、IDCSにはWebベースの管理コンソールがあり、ユーザの追加、編集、有効化、無効化などのユーザ管理タスクを実行できます。



これは少数の変更には適していますが、何千人ものユーザーを追加するために使用することはないでしょう。同様に、IDCSは、ユーザーが自分のプロファイルを作成できる自己登録などのセルフサービス機能も提供しています。



繰り返しになりますが、これは消費者向けのユースケースでは非常に便利ですが、一般的には、従業員が自分で登録することは望んでいません。特に、すでに複数の場所で従業員のアイデンティティを管理している場合はなおさらです。


では、どのような選択肢があるのでしょうか。自動化されたユーザ管理を実現するためには、以下の図のように6つの異なる方法があります。



それぞれの選択肢を見てみましょう。


Active Directory(AD)ブリッジ


最初のオプションは、IDCS ADブリッジを使用してADからユーザーとグループを同期させることです。これは、既存のADメンバー・サーバーまたはドメイン・コントローラーにインストールするサービスです。ブリッジはLDAPSをADサーバーに話し、それをIDCSへのアウトバウンドHTTPS RESTコールに変換します。ここで重要なのは、データの流れです。ブリッジからの通信はアウトバウンドのみです。ブリッジへのインバウンドポートを開く必要はありません。設定により、どのユーザーやグループのセットを同期させるか、また同期のスケジュールを完全にコントロールすることができます。



ブリッジは、ADのパスワードをIDCSに同期しないことに注意することが重要です。ADのユーザー名とパスワードを使ってIDCSにユーザーを認証する必要がある場合(そしてフェデレーションが利用できない場合)は、委任認証を使用することができます。


LDAP


IDCSのアプリケーションカタログには、一般的なソースやターゲットとの統合を促進するための多くのアプリケーション・テンプレートが用意されています。テンプレートの中には、Oracle Unified Directory (OUD)とOracle Internet Directory (OID)用のものがあり、これらのLDAP v3準拠のディレクトリからのユーザーの権威ある同期をサポートします。これは、IDCSプロビジョニング・ブリッジを使用することで実現します。IDCSプロビジョニング・ブリッジは、ADブリッジと同様に、LDAPを介してディレクトリと通信し、変更をIDCSへのアウトバウンドHTTPS RESTコールに変換します。


ただし、ADブリッジとは異なり、LDAPアプリケーション・テンプレートにはフィルタリング・オプションがありません。LDAPサービスアカウントが表示する権限を持つすべてのユーザーとグループがIDCSに同期されます。


アプリケーションカタログ


アプリケーションカタログには、OUDおよびOIDテンプレートに加えて、HCM(Human Capital Management)などの一般的なアプリケーション用の設定済みアプリケーションテンプレートが多数含まれています。テンプレートを使用してシングル・サインオン(SSO)を容易にするだけでなく、テンプレートの多くはプロビジョニングと同期をサポートし、IDCSに供給されるIDデータのソースがマスターである場合には、権威的な同期をサポートするものも含まれています。


すべてのアプリケーション・テンプレートがプロビジョニング・ブリッジの使用を必要とするわけではありません。これは、対象となるアプリケーション/サービス、それが存在する場所、およびそれが利用可能にするユーザ管理インタフェースに依存します。完全なアプリケーションカタログには、スクリプティングなどの汎用テンプレートや、カスタム統合が必要なSCIMテンプレートが含まれています。


API/SDK


IDCSは、System for Cross-domain Identity Management (SCIM)プロトコルに基づいた非常に豊富なREST APIのセットを持っています。また、.NET、Android、iOS、Java、Node.js、Python用のSDKセットも用意されています。そのため、REST APIの呼び出しやSDKの使用が可能なクライアントであれば、プログラムでIDCSのユーザーを管理することができます。APIは、個別操作と一括操作の両方に対応しています。


REST APIを使い始めるために、postmanコレクションとチュートリアルが提供されています。


CSV


すべての組織が、ユーザーを管理するための自動化された方法を持っているわけではありません。カンマ区切り値(CSV)は、あるシステムからID情報を抽出して別のシステムに提供するための、比較的一般的なアプローチです。IDCSは、管理コンソールを介して、またはAPIを介してプログラム的にCSVファイルを消費することができます。これには、ユーザ、グループ、およびグループ・メンバーシップ情報が含まれます。


JIT


連携認証を使用する場合、ジャストインタイム(JIT)プロビジョニングを使用することができます。通常、ID プロバイダ (IdP) が発行する認証トークンには、通常、ユーザ識別子のみが含まれています。しかし、JIT を使用する場合、トークンには、認証されたユーザに必要なすべての属性(グループ・メンバーシップを含む)が含まれるように構成されます。そしてIDCSは、これらの属性に基づいてそのユーザのIDレコードを作成します。


一致するユーザが既に存在する場合は、属性が変更された場合にユーザ・レコードを更新することができます。


上記の各オプションには異なる考慮事項があり、それを以下の表にまとめました。





このトピックでは、もう1つの一般的なユースケースとして、Oracle Fusion SaaSからユーザーを同期させる方法がありますが、これについては別の記事で紹介しますので、こちらをご覧ください。


ご覧のように、IDCSのユーザー管理を自動化するには多くの選択肢があります。

管理を効率化し、運用コストを削減することができます。

IDCSについてさらに詳しく知りたい方は、こちらのドキュメントをご覧ください。

上記のオプションのいくつかを設定するのに役立つさまざまなチュートリアルが含まれています。

コメント

コメントを投稿

このブログの人気の投稿

Oracle RACによるメンテナンスのためのドレインとアプリケーション・コンティニュイティの仕組み (2023/11/01)

イメージ
Oracle RACによるメンテナンスのためのドレインとアプリケーション・コンティニュイティの仕組み (2023/11/01) https://database-heartbeat.com/2023/11/01/draining-ac-rac/ はじめに Oracle RACは、Oracle Databaseのスケーラビリティと高可用性を提供します。1つのサーバー(RACノード)に障害が発生した場合、またはメンテナンスのためにオフラインになった場合でも、追加のノードを介してデータベースにアクセスできます。ただし、メンテナンスの開始時に、データの読取りまたは変更に関係なく、一部の作業を実行しているクライアント・セッションはどうなりますか。この作業は中断され、ドレインを実装してアプリケーション・コンティニュイティまたは透過的アプリケーション・コンティニュイティを有効にしないかぎり、エンドユーザーまたはアプリケーションによって再度実行する必要があります。 環境 2ノードのOracle RACを例に挙げて、高速アプリケーション通知(FAN)、ドレインおよびアプリケーション・コンティニュイティによってメンテナンス・イベントがエンドユーザーに透過的になる方法を理解しましょう。アプリケーションは、30個のセッションを保持するように構成された接続プールを使用しています。 通常の操作 通常の操作中は、両方のRACノードが起動し、アプリケーションを実行しています。ロード・バランシング戦略によっては、セッションの数が両方のノード間で異なるか、均等に分散される場合があります。次の図をよりよく視覚化するために、ノード2のノード1および20のセッションに10のセッションがあるとします。 セッションは、アイドル状態(接続されているが何もしていない)またはアクティブ状態(リクエストの途中)にできます。リクエストは、データの読取り(SELECT)または操作(INSERT、DELETE、UPDATE)が可能です。 ドレインによるサービスの停止 ある時点で、システムのメンテナンスが必要になります。2ノードRACがあるため、メンテナンスはローリング方式で、1つのノードを順番に(ほとんどの場合)実行できます。メンテナンスは、たとえば、オペレーティング・システム、Grid Infrastructureまたはデ
続きを読む

Oracle Cloud Infrastructure Secure Desktopsを発表: デスクトップ仮想化のためのOracleのクラウドネイティブ・サービス (2023/06/28)

イメージ
Oracle Cloud Infrastructure Secure Desktopsを発表: デスクトップ仮想化のためのOracleのクラウドネイティブ・サービス (2023/06/28) https://blogs.oracle.com/cloud-infrastructure/post/secure-desktops-cloud-native-virtualization 投稿者: Joost Pronk Van Hoogeveen Jan Hendrik Mangold | Principal Product Manager Oracleは、Oracle Cloud Infrastructure(OCI)Secure Desktopsという新しいクラウド・ネイティブ・サービスをリリースしています。このエキサイティングな開発により、顧客はOCIテナンシから簡単にすばやく仮想デスクトップ・インフラストラクチャ(VDI)をデプロイできます。 OCIの使用状況は大幅に拡大しています。組織は、OCI内でデータを安全に保つことの価値を実現しています。ゼロトラストなセキュリティ優先アーキテクチャを実装することで、OCI Compute、Storage、およびNetworkingサービスは、グローバル・アクセスのためのエンタープライズ・アプリケーションを導入するための信頼できるプラットフォームを提供します。 データ・セキュリティとVDIがどのように役立つか 業界のアナリストによると 、ラップトップは53秒ごとに盗まれています。その事実と現実を結び付けると、会社のデータは、公共の場所を経由したり、従業員の自宅に座ったりするラップトップやデスクトップへと移行します。ローカル・ディスクの暗号化、データ・アクセス権限の強制、VPNアクセスの保護によってデータを保護するためにテクノロジが使用されていますが、いずれも許容可能なセキュリティ・レベルが適用されるため、リスクは依然として高くなる可能性があります。盗難または準拠していないいくつかのマシンでは、企業データ、さらには顧客データのデータ侵害が発生する可能性があります。 VDIテクノロジは長年にわたって存在してきましたが、従業員はローカル・マシンを使用して、会社のデータ・センター内の仮想マシンで実行されているデスクトップ・アプリケー
続きを読む

新しいOracle Container Engine for Kubernetesの機能強化により、大規模なKubernetesがさらに簡単になりました (2023/03/20)

イメージ
新しいOracle Container Engine for Kubernetesの機能強化により、大規模なKubernetesがさらに簡単になりました (2023/03/20) https://blogs.oracle.com/cloud-infrastructure/post/oracle-container-engine-kubernetes-enhancements 投稿者: Mickey Boxell | Product Management Linux以降、 Kubernetes はオープンソースソフトウェアの歴史上最も急速に成長しているプロジェクトです。10年も経たないうちに、 Kubernetesは主流 になり、特に過去2年間で導入がかつてないほど大きくなりました。 Oracle Cloud Infrastructure(OCI) は、この勢いも見ています。あらゆる業界の何千ものエンタープライズ顧客が、クラウドネイティブアプリケーション開発のメリットを経験しており、その導入を迅速化し、Kubernetesの使用を拡大しています。 Oracle Container Engine for Kubernetes (OKE)で実行されている抽出、変換、ロード(ETL)ジョブ、パイプライン、ハイパフォーマンスコンピューティング(HPC)ワークロード、さらにはデータベースなどにKubernetesを使用するために、顧客はKubernetesで標準化されており、コンテナ化されたアプリケーションを実行するのみでなく拡張されています。  「私たちは、Kubernetes インフラストラクチャと OKE、GPU、HPC、およびストリーミング、OpenSearch などの最新の開発者サービスを組み合わせて使用​​して、OCI で数十億の音声 AI クエリを実行しています。私たちは、次世代のトレーニングと配信に最適なクラウドとして OCI を選択しました。 AI アプリケーション – Mercedes Benz、Toast、VIZIO、Hyundai などのグローバル ブランドに最速かつ最も正確な音声エクスペリエンスを提供するのに役立ちます.OCI を使用することで、以前のクラウドと比較してパフォーマンスが 50 ~ 60% 向上しました。 2 倍のコスト削減 – 使用量
続きを読む