Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OCIの認証・認可機能の総まとめ

 OCIの認証・認可機能の総まとめ

2019/11/20に実施した、同名セミナーの資料です。
OCIを使い始めた人が誰でも引っかかる、OCI IAM と Oracle Identity Cloud Service (IDCS) の、深くてフクザツな関係を紐解きます。
OCI の IAM機能のおさらいから手始めに、IDCSを使った場合にできることや、2つの認証/認可のツールの使い分け、より高度な要件(多要素認証、外部認証、IPホワイトリスティング)を行う際の方法などについて、ディープに語ります。

Masataka Marukawa

November 20, 2019
Tweet

More Decks by Masataka Marukawa

Other Decks in Technology

Transcript

  1. 2 Copyright © 2019 Oracle and/or its affiliates. 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯一 の目的とするものであり、いかなる契約にも組み込むことはできません。

    以下の事項は、マテリアルやコード、機能を提供することをコミットメント(確約)するものではない ため、購買決定を行う際の判断材料になさらないで下さい。 オラクル製品に関して記載されている機能の開発、リリースおよび時期については、弊社の裁量により 決定されます。 OracleとJavaは、Oracle Corporation 及びその子会社、関連会社の米国及びその他の国における登録商標で す。 文中の社名、商品名等は各社の商標または登録商標である場合があります。 Safe harbor statement
  2. 3 Copyright © 2019 Oracle and/or its affiliates. • OCIのID管理、認証、認可機能の概観とOCI

    IAMのおさらい • IDCSを利用した認証の強化とIDの管理 • IDCS + OCI のデモおよびハンズオン Agenda
  3. 4 Copyright © 2019 Oracle and/or its affiliates. Identity and

    Access Management (IAM) サービスは、OCIのIdentityの管理、認証 (ログイン)、および 認可(リソースに対するアクセス権)を制御する仕組み リソースは、OCIの各種サービスで作成、利用するオブジェクトの総称 (例 : インスタンス、ブロック・ボリューム、VCN、ルート・テーブル・・・) OCI IAMサービスの概要
  4. 5 OCIの認証・ID管理機能の位置付け OCIを使用するにあたり、ID管理と認証に関しては、OCI IAMに加えてIDCSも利用することができる A) Oracle Identity Cloud Service -

    Oracle Cloudの全てのサービスで使用される統合的な認証・ID管理サービス B) OCI Identity and Access Management (IAM) - Oracle Cloud Infrastructure 単独の環境でネイティブに使用される認証・ID管理サービス Oracle Identity Cloud Service OCI Identity and Access Management Oracle PaaS サービス群 Oracle SaaS サービス群 Copyright © 2019 Oracle and/or its affiliates.
  5. 6 IAMおさらい :プリンシパル (Principals) アクセス対象の OCIリソース IAM ユーザー インスタン ス・プリン

    シパル 認証 & 認可 グループ OCIにおける「プリンシパル」とは? • OCIのリソースと関連付けることができるIAMのエンティティ • IAMユーザー と インスタンス・プリンシパル の2種類 (A) IAMユーザー (IAM Users) • OCIを利用する個人やアプリケーションを表す永続的なエンティティ • グループへの所属を通じてリソースへのアクセス権が付与される (B) インスタンス・プリンシパル (Instance Principals)* • インスタンスとその上のアプリケーション) が、ユーザ証明書や設 定ファイルを設定する必要なく、OCIサービスへのAPIコールを許可 するための設定 Copyright © 2019 Oracle and/or its affiliates.
  6. ポリシー IAMおさらい :認可 (Authorization) グループ Group_X Group_Y プリンシパル User_1 User_2

    × 1 2 3 Policy_A Policy_B プリンシパルが実行できる操作を、ポリシー内に記 述して定義する • 許可する操作を ポリシー に記述する • ポリシーを グループ に関連付ける • プリンシパルとグループを関連付ける * プリンシパルとポリシーの直接関連付けは不可 最小権限の原則 に従う • デフォルトでは何の操作も許可されていない • (管理者ユーザーのものを除き)デフォルトではポ リシーは定義されていない • 設定にあたっては全ての許可条件を記述する必 要がある 1 2 3 Copyright © 2019 Oracle and/or its affiliates. 7
  7. IAMおさらい :コンパートメント (Compartments) インスタンス ブロック・ ストレージ ポリシー テナンシー コンパートメントA コンパートメントB

    ポリシー ポリシー インスタンス ブロック・ ストレージ コンパートメント とは、許可を与えられたプリンシパルによってのみアクセスできるOCIリソースの集合 体を作ることができる論理的な区分け グループにポリシーを付与するときに、テナンシー全体ではなくコンパートメントを指定することで、 認可の対象となるリソースを限定して指定することができる • Allow group <group_name> to <verb> <resource-type> in compartment <compartment_name> Copyright © 2019 Oracle and/or its affiliates. 8
  8. IAMおさらい :ポリシー (Policies) 認可 の内容を制御するための設定、ステートメント を1つ以上記述する • 『どのグループが』 『どんな操作を』 『どのリソースに』アクセス可能かを記載

    • 『操作可能範囲』を、テナンシー全体または個別コンパートメントから指定 • オプションで『条件』を指定可能 ステートメントの文法 記述できるのは許可ルール (Allow) のみ、拒否ルール (Deny) は記述できない allow group <group_name> to <verb> <resource-type> in tenancy allow group <group_name> to <verb> <resource-type> in compartment <compartment_name> [where <conditions>] Copyright © 2019 Oracle and/or its affiliates. 9
  9. IAMおさらい :コンパートメント (Compartments) インスタンス ブロック・ ストレージ ポリシー テナンシー コンパートメントA コンパートメントB

    ポリシー ポリシー インスタンス ブロック・ ストレージ コンパートメント とは、許可を与えられたプリンシパルによってのみアクセスできるOCIリソースの集合 体を作ることができる論理的な区分け グループにポリシーを付与するときに、テナンシー全体ではなくコンパートメントを指定することで、 認可の対象となるリソースを限定して指定することができる • Allow group <group_name> to <verb> <resource-type> in compartment <compartment_name> Copyright © 2019 Oracle and/or its affiliates. 10
  10. 11 IAMおさらい :フェデレーション (Federation) フェデレーション とは、認証やアイデンティティをシステム間で連携するソリューション • OCIの他に存在するアイデンティティ・プロバイダ (IdP) と間にフェデレーションを設定

    • OCIコンソールにアクセスするユーザーが、IdP によって提供されるサインオンを要求される • IdPが他システムとのフェデレーションを提供する場合、共通するユーザ名/パスワードでシングル・ サインオン(SSO)が実現できる OCIは下記アイデンティティ・プロバイダとのフェデレーションをサポート • Oracle Identity Cloud Service (IDCS) • Microsoft Active Directory • Security Assertion Markup Language (SAML) 2.0 プロトコルをサポートするIDP Copyright © 2019 Oracle and/or its affiliates.
  11. IDCS(マイサービス) 認証プロバイダー(IdP) OCI(IAM) サービスプロバイダー ユーザー Sato グループ OCI_Administrator グループ Administrators

    グループ マッピング 連携済 ユーザー idcs/Sato ID フェデレーション 12 Copyright © 2019 Oracle and/or its affiliates. IAMおさらい : IDCS - OCI間の連携 IDCS - OCI(IAM)間で以下が構成済 • SAMLによるIDフェデレーション • Administratorsのグループマッピング 動作の例 • Sato(IDCSユーザー)は、マイ・サービス とOCIの両方が利用可能 • SatoをIDCS/OCIどちらかで作成すると、 もう一方に連携(フェデレート)される • Tanaka(OCIユーザー)はOCIコンソールの みが利用可能 • Sato, TanakaはOCIでは共に管理者権限 を持つ IAMユー ザー Tanaka
  12. 13 Copyright © 2019 Oracle and/or its affiliates. OCI IAM

    / IDCS どちらからでもサインイン可能、ただしユーザー/パスワードは管理が異なる OCI コンソールへのサインイン https://console.us-tokyo-1.oraclecloud.com IDCSによる認証 OCI IAM による認証 OCIコンソール画面 OCI IAMで管理している ユーザー/パスワード IDCSで管理している ユーザー/パスワード IDCS OCI IAM
  13. 提供サービス 取引先 インターネット 15 Copyright © 2019 Oracle and/or its

    affiliates. エンタープライズ向けID・アクセス管理サービス オンプレミスや IaaS上の システム 社員 社内ネットワーク 顧客 • 二 要 素 認 証 • リ ス ク ・ ベ ー ス 認 証 • IP ホ ワ イ ト リ ス ト フ ェ デ レ ー シ ョ ン に よ る シ ン グ ル ・ サ イ ン オ ン Oracle Identity Cloud Service Oracle Internet Directory Application Gateway Bridge SSO(シングル・サインオン) フェデレーションの標準に対 応(SAML、OAuth、OpenID Connect) SNSやADFSなどの外部IdPの認 証の引継ぎ オンプレミス用のエージェン ト (Application Gateway) 認証強化 多要素認証、リスク・ベース 認証 IPホワイト・リスト、IPブラッ ク・リスト その他(認可、監査、APIなど) Oracle Cloud認証基盤、認可、 セルフサービス(パスワード忘 れ)、 監査、統計レポート、RESP API Active Directory ID管理 ID管理、セルフ・サービス機 能 SaaSへのIDの伝播、ADやOIDか らの同期エージェント(Bridge) Oracle Identity Cloud Service
  14. OCI 16 Copyright © 2019 Oracle and/or its affiliates. •

    IDCSユーザー(フェデレーティド・ユーザー)とIAMユーザー(ローカル・ユーザー) ユーザーの管理 IDCS 利用者 •ユーザー 1 •ユーザー 2 •ユーザー 3 ローカル・ユーザー •ユーザー A •ユーザー B IAM フェデレーティド・ユーザー •ユーザー 1 •ユーザー 2 OCIの 管理画面 での IDCS ユーザー の管理 Oracle Cloud フェデレー ション
  15. OCI IDCS 17 Copyright © 2019 Oracle and/or its affiliates.

    • IDCSからIAMへのフェデレーションの構成とグループのマッピング フェデレーションとグループ・マッピング コンパートメント A 利用者 ユーザー 1 グループ •グループ 1 •グループ 2 •グループ 3 •グループ 4 •グループ 5 ユーザー 1 グループ •グループ B •グループ C •グループ D グループ・ マッピング IAM フェデレー ション ポリシー •コンパートメントAの管 理をグループ Bに許可 Allow group B to manage all-resources in compartment A Oracle Cloud
  16. 18 Copyright © 2019 Oracle and/or its affiliates. • OCIのIdentity

    and Access ManagementとIdentity Cloud Serviceのユーザーの比較 IAMユーザーとIDCSユーザーの比較 機能 IAMユーザー IDCSユーザー OCI 管理画面へのログイン 〇 〇 OCI 利用者の管理 〇 (ローカル・ ユーザー) 〇 (フェデレーティド・ユーザー) 新機能の利用に制限がある場合あり (2019/11現在 Data Safe 利用不可) OCI グループの管理 〇 〇 (グループ・マッピングを利用) OCIのAPI (CLI、SDK) の認証 〇 〇 アプリケーションからの利用 (例: WebLogic Serverからのユーザー情報の参照) ✖ 〇 OracleのPaaS、SaaSでの認証 ✖ 〇 OCIのセキュリティー・ポリシーでの利用 〇 (グループ) 〇 (グループ・マッピングを利用) Active Directoryからのユーザー、グループ情報の同期 ✖ 〇 Oracle Cloud
  17. 19 Copyright © 2019 Oracle and/or its affiliates. • OCIのIdentity

    and Access ManagementとIdentity Cloud Serviceの機能の比較 IAMとIDCSの比較 機能 IAM IDCS Active Directory Federation ServiceからのSSO 〇 〇 外部システムからのSSO 〇 〇 他システムへのSSO ✖ 〇 ログイン画面のカスタマイズ ✖ 〇 セルフ・サービスのパスワード・リセット 〇 (メール) ◎ (SMS、メール、秘密の質問) レポート △ 〇 二要素認証 〇 (SMS) ◎ (SMS、メール、秘密の質問、 スマホアプリなど) リスク・ベース認証 ✖ 〇 IPフィルタリングによるログインの制御 ✖ 〇 Oracle Cloud
  18. 20 Copyright © 2019 Oracle and/or its affiliates. IDCS側でやること (ただし今はOCI画面でも可能)

    • ユーザーの作成 • グループの作成 • グループへのユーザーの配置 OCI側でやること • コンパートメントの作成、管理 • グループの作成 • ポリシーによるアクセス権限の設定 • OCIグループとIDCSグループのマッピング IDCSユーザーを利用する場合の OCI 管理ライフサイクルにおける各ツールの役割
  19. IDCS Web業務 アプリケーション Webブラウザ モバイルクライアント オンプレミス 他社SaaS Oracle Public Cloud

    21 Copyright © 2019 Oracle and/or its affiliates. • SAMLやOAuth、OpenID Connectのようなフェデレーションの標準技術を利用 して、他社SaaSやOracle Public Cloudにシングル・サインオン • カタログに用意されているアプリケーションは、簡単なウィザードによって 登録が可能 • 他社SaaSやOracle Public Cloudなど数百種類のアプリケーションをカタログで提供 他社SaaSやOracle Public Cloudに対するシングル・サインオン シングル・サインオン SSO IDCSへの ログイン IDCSから認証情 報を引き渡し
  20. 22 Copyright © 2019 Oracle and/or its affiliates. • HTTPヘッダーやCookieによる認証連携でIDCSからシングル・サインオンする

    ためのリバース・プロキシApplication Gateway をVMとして提供 • SAMLやOpenIDConnectに非対応なオンプレミスやIaaS上のアプリケーションの保護が可 能 • リバース・プロキシのVMを稼働させる環境が必要 IDCSでクラウドとオンプレミスのどちらもカバー Application Gateway EBS Asserter OAM WebGate Web Apps Web Apps Oracle Apps IDCS 他社SaaS Oracle SaaS シングル・ サインオン シングル・ サインオン SSO オンプレミス・システムの保護
  21. 23 Copyright © 2019 Oracle and/or its affiliates. • ADFS(Active

    Directory Federation Service)など、 SAMLのIdPをマスターとする認証連携が可能 • IDCSがSPとなる、既存の認証基盤をマスターにした 2段階の認証連携が可能 ADFSなど既存の認証基盤をマスターとする認証連携 外部認証システム連携 Active Directory Federation Service など SAMLのフェデレーションによる認証連携 IdP SP SP IdP SP SP フェデレーションによる認証連携 ① ② ③ SSO IDCS Oracle Public Cloud Web業務 アプリ ケーション オンプレミス 他社SaaS
  22. 24 Copyright © 2019 Oracle and/or its affiliates. • FacebookやTwitterなどのSNSやSaaSを認証マスターとして、それらのアカウン

    トを利用してIDCSにシングル・サインオン • SNSのアカウントとの紐付け方法 • ソーシャル・アカウントに対応するアカウントをIDCSに動的に作成 • IDCSにログイン後、既存のソーシャル・アカウントを指定して紐付け • SNSとIDCSはOpenID Connectを利用してフェデレーション SNSなどの外部サービスをマスターとするID・認証連携 ソーシャル・ログイン SSO IDCS 動的なユーザーの作成 / IDCSへのフェデレーション IDCSのログイン画面で、 SNSのアカウントの利 用を選択 SNS IdP RP ① ② ③ SNSのアカウント情 報の取得 IDCSによるアカウン ト情報の利用に同意 ④ 利用者
  23. 25 Copyright © 2019 Oracle and/or its affiliates. • サインオン・ポリシー機能で次のように認証の可否、再ログインや二要素認証の要求を設

    定 • リスク・スコアや端末のIPアドレスなどの条件を、IDCSにログインしたり、アプリケー ションにSSOしたりする時点で評価 リスク・スコアとIPアドレスなどで認証の可否や二要素認証の強制をルール化 認証ポリシーと多要素認証による認証強化 IDとパス ワードによ るログイン アプリケーションでの 通知への応答 SMSによるワンタ イムパスワード アプリケーションでの ワンタイムパスワード 秘密の質問 メールによる ワンタイムパスワード 多要素認証 パスワード ID ログイン インター ネット サインオン ・ポリシー • リスク・ スコア • IPアドレス • 所属 グループ 疑わしい アクセス 社内 ネットワーク SSO 対象アプリ ケーション 認証強化
  24. サインオン・ポリシー 26 Copyright © 2019 Oracle and/or its affiliates. •

    SSO対象のアプリケーションごとに次のようなサインオン・ポリシーを設定可能 • 1つのサインオン・ポリシーで複数のサインオン・ルールを定義可能 アプリケーションへのSSOのルールを定義するサインオン・ポリシー機能 認証ポリシー 他社SaaS Oracle Public Cloud Web業務 アプリ ケーション オンプレミス インター ネット 社内 ネットワーク 認証強化 サインオン・ポリシー 1 サインオン・ポリシー 2 サインオン・ポリシー 3 サインオン・ポリシー 4 サインオン・ルールの例 社外からのアクセス + 管理者権限 ログイン拒否 社内からのアクセス パスワード認証 社外からのアクセス 二要素認証 条件 リスク・スコアの値 端末のIPアドレス 所属グループ IDCSの管理者権限の有無 対処 ログインの許可 ログインの拒否 再ログインの強制 二要素認証の強制
  25. 27 Copyright © 2019 Oracle and/or its affiliates. • リスク・スコアの算出

    • ユーザーの疑わしい行動履歴から、リスク・スコアを算出 • リスク・スコアの高いユーザーに追加認証の要求やログインの禁止 • リスク・スコアに応じて二要素認証の要求やログインの禁止などの措置をポリシーと して指定して、アカウントの乗っ取りを防止 • 利用者の利便性を損なわずに認証を強化 • 通常はIDとパスワードでログインし、リスク・スコアが高い場合にのみ二要素認証を 必須にするような設定が可能 リスク・ベース認証を提供するアダプティブ・セキュリティ機能 リスク・ベース認証 通常はパスワード認証、 リスク・スコアが高い場合 のみ二要素認証を要求 What Where Who App センシティブな アプリケーション 一般的なアプリ ケーション App 認証強化 常に二要素認証を要求
  26. 28 Copyright © 2019 Oracle and/or its affiliates. • 次の項目について管理者が個別にスコアを設定し、合計値をリスク・スコアとして利用

    • ログインの失敗 • MFAの試行 • 未知の端末からのアクセス • 疑わしいIPからのアクセス • 通常とは異なる場所からのアクセス • 一定時間内の移動距離 • 増加したリスク・スコアは、ユーザーが異常な行動をしなければ、時間の経過に応じて減 少 アダプティブ・セキュリティ機能のリスク・スコア算出項目 リスク・ベース認証 認証強化
  27. 29 Copyright © 2019 Oracle and/or its affiliates. • サインオン・ポリシーで利用可能なIPアドレスの指定をネットワーク・ペリメータとして

    定義 • 複数のIPアドレスやIPアドレスの範囲指定が可能 • サインオン・ルールでネットワーク・ペリメータを指定 • プロキシ・サーバのIPアドレスを指定して、社内ネットワークからのアクセスのみを許 可したり、さらにインターネットからのアクセスでは二要素認証を必須にしたりする ことが可能 ネットワーク・ペリメータ機能によるIPフィルタリング IPフィルタリング クラウド・ サービス 認証強化 サインオン・ポリシー インター ネット 社内 ネットワーク サインオン・ポリシー 1 サインオン・ポリシー 2 サインオン・ポリシー 3 サインオン・ルールの例 ルール 1 ルール 2 プロキシ ・サーバ パスワード認証 二要素認証 ネットワーク・ペリ メータの指定なし プロキシ・サーバの IPアドレス 指定するネット ワーク・ペリメータ
  28. 多要素認証 ワンタイム・パスコード 30 Copyright © 2019 Oracle and/or its affiliates.

    • 次のような二要素認証による認証の強化 • ワンタイム・パスコード: メール、SMS、スマートフォン用アプリケーション • (より簡便な)スマートフォン用アプリケーションでの応答操作 • (非常用の)事前生成のコード • 秘密の質問 サインオン・ルールで指定可能な複数の手段を提供 二要素認証 アプリケーション での通知への応答 秘密の質問 インターネット 社内 ネットワーク メール SMS スマートフォン用 アプリケーション 事前生成 のコード 認証強化 IDとパス ワードによる ログイン パスワード ID ログイン
  29. 31 Copyright © 2019 Oracle and/or its affiliates. • 管理者は任意の二要素認証の手段を選択して有効化することが可能

    • スマートフォ用のアプリケーションは、App StoreやGoogle Playから入手が可能 • 一度二要素認証をパスすると、指定した日数の間同一のWebブラウザからのアクセスでは二 要素認証をスキップことを許可するオプションを提供 二要素認証の有効化 二要素認証 認証強化
  30. ID管理 管理者 一般利用者 ERP Cloud 32 Copyright © 2019 Oracle

    and/or its affiliates. • Oracle Public Cloudのユーザーやグループの管理 • Web画面、CSV、REST APIによるユーザーの管理 • パスワード忘れ対応などのセルフ・サービス機能 • ERP Cloudや他社SaaSとのユーザー情報の同期 Oracle Public Cloudのユーザーやグループを一元的に管理 ID管理 ユーザー情報の一覧画面 ユーザー情報の詳細画面 グループ情報の一覧画面 IDCS 32
  31. 33 Copyright © 2019 Oracle and/or its affiliates. • 委任管理の利用で、あるグループに属するユーザーに対象を限定した管理者

    を設定して、ユーザーの管理を委任することが可能 • 例えばグループ会社や部門のグループを作成して、そのグループに属するユーザーの管理を委任するような運 用が可能 グループ会社や部門に所属するユーザーの登録、変更や削除を委任 IDCS ユーザー管理者 社員 グループ会社 の管理者 グループ会社 の社員 部門の 管理者 部門の 社員 管理 管理 管理 IDCS ID管理 委任管理者となるユーザーを選択して、 管理対象となるグループを指定 ユーザー管理権限の委任
  32. 34 Copyright © 2019 Oracle and/or its affiliates. データの同期エージェント AD

    Bridge により、ADをマスターにしてユーザーとグループ情報を一元管理 Active Directory によるIDの一元管理 Identity Cloud クラウド オンプレミス インターネット からのアクセス 社内ネットワーク からのアクセス インターネット アクセス 管理 ユーザ 管理 IDCS ユーザー グループ etc. AD 社内ネットワーク AD ユーザー グループ パスワード etc. ユーザ同期 AD Bridge ID管理 Active Directoryをマスターにして、ユーザとグループを一元管理
  33. 35 Copyright © 2019 Oracle and/or its affiliates. • AD

    Bridgeを利用したADのIDとパスワードによるログイン • IDCSへのログイン時に、Active DirectoryのIDとパスワードの利用が可能 • HTTPリクエストはAD BridgeからIDCSに対してのみ発生 (IDCSからオンプレミスのADやAD Bridgeに対する通信は発生しない) IDCSでのログイン時にADのパスワードを利用 Active Directory のパスワードの利用 Active Directory ADのIDとパス ワードでログイン IDCS IDとパスワードを ADに問い合わせ AD Bridge ユーザー イントラ ネット インター ネット • IDとパスワードの確 認の要求のチェック • ADに問い合わせた結 果の送信 プ ロ キ シ ・ サ ー バ ID管理
  34. 36 Copyright © 2019 Oracle and/or its affiliates. • パスワードを除くユーザーとグループの情報を定期的にIDCSに伝播

    • IDCSでユーザー情報を更新するとADに反映 オンプレミス環境にインストールするエージェント AD Bridge Active Directory 連携機能の仕組み AD Bridge • 設定情報の取得 • ADを利用したログインや データの更新をチェック 社内ネットワーク IDCSのログイン画面で、ADに 保存されているパスワードを 入力してログイン • ユーザー情報、グ ループ情報の参照 • パスワードの参照 • データの更新 • ユーザー情報、グループ情報 の伝播 • パスワードが正しくログイン が成功したか否かリターン プ ロ キ シ ・ サ ー バ LDAPS HTTPS(REST) IDCS 社内ネットワークからインター ネットの方向の通信のみ発生 ID管理 同期対象のユーザーやグ ループ、属性のマッピング、 同期頻度などを設定
  35. 37 Copyright © 2019 Oracle and/or its affiliates. • Oracle

    E-Business Suiteなどで利用されているディレクトリ・サーバ Oracle Internet Directory と連携するための、オンプレミス環境にインストールする同期エー ジェント(Provisioning Bridge)を提供 • パスワードを除くユーザーとグループの情報を定期的にIDCSに伝播 Oracle Internet Directoryのユーザー、グループ情報をマスターとしてIDCSに同期 Oracle Internet Directory 連携機能 Provisioning Bridge • 設定情報の取得 社内ネットワーク • ユーザー情報 • グループ情報 の参照 • ユーザー情報 • グループ情報 の伝播 プ ロ キ シ ・ サ ー バ LDAPS HTTPS(REST) IDCS 社内ネットワークからインター ネットの方向の通信のみ発生 Oracle Internet Directory ID管理 同期対象のユーザーやグ ループ、属性のマッピング、 同期頻度などを設定
  36. 38 Copyright © 2019 Oracle and/or its affiliates. • ユーザーは自分自身でパスワードのリセットが可能

    • ユーザーはログイン画面からパスワードのリセットを申請 • 登録されているユーザーのメール・アドレスに、パスワードを再設定するためのリン クを送付 セルフ・サービスによりヘルプ・デスクの負担を軽減 ID管理 ログイン画面でパスワードのリセットを申請 メールで送られるリンクからパスワードを再設定 一般利用者 メール セルフ・サービスのパスワード・リセット
  37. 39 Copyright © 2019 Oracle and/or its affiliates. • イベントに対応したメール通知

    – 新規アカウント登録、アカウントの有効化 – 管理者によるプロファイル変更 – アカウントのロック、ロック解除 – パスワードの変更、リカバリ ユーザーへの通知を自動化して、ヘルプ・デスクの負担を軽減 メール通知 テンプレートによるメール の内容のカスタマイズ ID管理 ユーザーに通知する イベントの選択 • 通知メールのカスタマイズ – イベントごとに次の設定が可能 – メールの通知の有無 – メールの内容 一般利用者 管理者 IDCS メール
  38. 40 Copyright © 2019 Oracle and/or its affiliates. • 次のようなアドオンの開発が可能

    – 監査情報を取得して分析 – 独自のユーザー管理、グループ管理 – ログイン画面の完全なカスタマイズ – パスワードリセットの外部実装 – SAML/OAuthアプリケーションの登録 REST APIの利用 APIファースト: GUIで操作可能な機能はRESTAPIでも提供 API Node.js IDCS REST API • REST API https://docs.oracle.com/en/cloud/paas/identity- cloud/rest-api/index.html • APIの認証・認可にはOAuthを利用 Java Python Oracle PaaS APIファースト: GUIで操作可能な機能はREST APIでも提供
  39. 41 Copyright © 2019 Oracle and/or its affiliates. • IDCSはIdentity

    Providerとして機能し、Relying Partyのリソースを 保護 • IDCSはOracle Public Cloudの標準のIdPとしてデフォルトで構成 • API管理サービスで保護する他社APIについては手動で構成 OAuthによるOracle Public Cloudや他社API、他社アプリケーションの保護 APIの保護 API Gateway API管理 サービス Oracle SaaS IdP (IDCS) スマートフォン・ アプリケーション Oracle PaaS 他社 API RP Webブラウザ HTML/ Cookie REST/ OAuth 2.0 他社 アプリ ログイン 認可
  40. 42 Copyright © 2019 Oracle and/or its affiliates. • レポートの種類

    – ログインの成功、失敗 – アプリケーションへのアクセス – アプリケーションのロールの割り当て – 操作履歴などの監査情報(JSONのみ) 統計情報や監査情報を90日間保持して参照可能 監査情報、統計情報 監査 • レポートの出力 – Web – PDF、CSV – JSON(監査情報) JSON HTML CSV、PDF 管理者 ダウンロード Web REST API IDCS
  41. 43 Copyright © 2019 Oracle and/or its affiliates. 1つのクラウド・アカウントで独立した複数のIDCSのインスタンスの利用が可能 本番環境と検証環境や、グループ会社でインスタンスを分けた運用が可能

    複数のIDCSのインスタンスの利用 Oracle Cloud IDCS OCI 管理画面 IT部門管理者 開発者 一般利用者 IDCS IDCS Primary Secondary Third My Service 画面 IaaS開発環境 PaaS開発環境 IaaS本番環境 PaaS本番環境 ク ラ ウ ド ・ ア カ ウ ン ト
  42. クラウド・アカウント XYZ データ・リージョン アジア太平洋 データ・センター 東京(ホーム・リージョン) 44 Copyright © 2019

    Oracle and/or its affiliates. • IDCSは各データ・リージョンのいずれかのデータ・センターに1つ以上 • SIM(Shared IDM)はデータ・リージョンの特定のデータ・センターに1つ • IAMはクラウド・アカウントに1つ IDCSとIAMの配置 初期状態で存在するサービス 利用者が作成するサービス OCI PaaS コンパート メント IDCS OIC 2 OAC 2 データ・ リージョン 北米 データ・ リージョン 中南米 データ・ リージョン 欧州 IAM IDCS 2 IDCS 3 データ・ センター シドニー データ・ センター インド SIM OIC 1 OAC 1 白字 白字 コンパー トメント 2 Oracle Cloud
  43. 45 Copyright © 2019 Oracle and/or its affiliates. 株式会社アウトソーシング SSOによる利便性向上と運用管理の効率化

     「Oracle Documents Cloud Service」の ID・アクセス管理用に「Oracle Identity Cloud Service」を採用  SAML認証連携のシングル・サインオンにより、 ユーザーの利便性を向上  エンドユーザーにセルフサービスでのパスワード・リ セットを提供することで、運用管理コストを削減  マルチ・クラウドやオンプレミスの認証統合も考 慮した、ID・アクセス管理の技術と運用の確立  将来グループ企業全体のID基盤として活用 クラウド •ユーザー登録管理 •ID・パスワードの管理 •セルフサービスでの パスワードリセット •認証機能 SAMLのIdP オンプレミス Oracle Directory Server EE Oracle Identity Cloud Service Oracle SaaS/PaaS Oracle Oracle Documents Cloud Service SaaS •ファイル共有 •コラボレーション •承認ワークフロー •アクセス履歴 カスタム アプリケーション 将来の拡張 将来の拡張 IdP SP •MS Office 365 •G Suite •kintone 国内外のグループ企業向けクラウド共通のID・アクセス管理基盤の運用を確立
  44. 46 Copyright © 2019 Oracle and/or its affiliates. IoTビジネスにおけるクラウド型のID管理により“柔軟性とセキュア”を両立 国内事例

    株式会社リコー マルチクラウドでのID管理を実現  位置情報を活用した「病院向けソリューション」や 「街の活性化ソリューション」などセンシング ソリューションビジネスのID管理・認証基盤として 「Oracle Identity Cloud Service」を利用  社内外を問わず、一元的かつ柔軟にID管理を行 うことで、全ての認証/認可を一元管理  既存のIDを使った認証連携による利便性向上  個々のサービスの連携設定は、数時間で完了  将来的には、他社のサービスとAPI連携や IoT機器の認証・認可に活用 ユーザー お客様 ビジネスユーザ パーソナルユーザ 管理者 社員 パートナー お客様利用のサービス Office365 Facebook 既存のID管理システム サービスマネジメントツール 他社 クラウド 既存の外部ID による認証 既存システム との認証連携 お客様サービス のアカウント 企業管理の アカウント Oracle Ricoh Oracle Identity Cloud Service