In OCI IAM wird sich das Benutzerinterface für die Verwaltung des IAM ändern. Neue Tenants bekommen bereits die neue Oberfläche, die Identity Domains einführt. Das bestehende native IAM in OCI wird in eine Default Domain überführt werden, die IDCS Instanz(en) in entsprechende Domains analog zu den bisher vergebenen Typen wie Enterprise oder Consumer. In bestehenden Tenants wird der Benutzer mit entsprechenden Meldungen geführt. Sobald ein Benutzer einen Funktionsbereich auswählt der durch das neue UI verwaltet wird, erfolgt ein entsprechender Hinweis um eine schrittweise Umgewöhnung zu unterstützten.
IAM Domains
IAM Domains vereinigen das native OCI IAM und den IDCS (Identity Cloud Service). Die Backendfunktionalitäten bleiben dabei erhalten, lediglich das UI/Frontend ändert sich. Damit gibt es keinen Wechsel mehr zwischen der Console von OCI und IDCS. Die bisherigen Automatisierungen mit den REST APIs sind weiterhin verfügbar. Parallel dazu gibt es neue APIs, die funktional äquivalent bleiben. IAM Domains sind etwa IDCS Stripes/Instanzen. Dies umfasst auch IDCS Stripes die im Rahmen von SaaS Tenants angelegt wurden. IAM Domains sind getrennte, unabhängig voneinander verwendbare Benutzerverwaltungen. Funktionale Änderungen sind zusammengefasst einheitliche Federations und “Domain-sensitive” Policies.
Federations werden nun ausschließlich neu über den Mechanismus des IDCS definiert. D.h. die transienten Federations von OCI weichen dem IDCS Modell und ein Mapping von Gruppen gibt es so nicht mehr. User die sich über das SSO anmelden müssen im OCI IAM vorhanden und berechtigt worden sein. Dies kann während der Anmeldung passieren (SAML JIT – Just in Time Provisioning) oder im Vorfeld über die verschiedenen Arten der Provisionierung (API, SCIM, Upload, App Template) oder Synchronisierung (Bridge, App Template). Im Falle einer Migration werden bestehende Federations übernommen und deren Verhalten beibehalten.
Im Falle der OCI Policies ist nun die Domain anzugeben. Dies bietet der Policywizard entsprechend an. Der Policywizard prüft auch ob die Domain im entsprechenden Compartment verfügbar ist. Eine Besonderheit der IAM Domains ist dass diese nun auf Compartment Levele definiert werden können.
IAM Domains haben andere Servicelimits als das bisherige OCI IAM. Auch das Lizenzmodell ist gegenüber dem bisherigen OCI IAM erweitert. Es gibt neue Lizenztypen, Apps (im Rahmen von SaaS erzeugt) und Apps Premium (funktionale SaaS Erweiterung). Die bisherigen Lizenzen wurden teils beschränkt (Anzahl User) und teils erweitert (z.B. 2 individuelle Anwendungen pro Free Domain).
Überblick zu den Domaintypen: https://docs.oracle.com/en-us/iaas/Content/Identity/sku/overview.htm#overview
Überblick zu den Service Limits: https://docs.oracle.com/en-us/iaas/Content/General/Concepts/servicelimits.htm#iam-service-limits
Pricing: https://www.oracle.com/cloud/price-list.html#identity-access-management
Migration
Eine Migration vom bisherigen OCI IAM zu IAM Domains findet regionsweise statt. Der Tenant enthält dann im Bereich der Meldungen den entsprechenden Hinweis auf die Migration bzw. den geplanten Zeitraum. Für Kunden ist keine Umstellung Ihrer Services erforderlich. Alte OCI Federations funktionieren weiterhin. Neue “alte” Federations können jedoch nicht angelegt werden. “Alte” Federations können bearbeitet werden.
Look&Feel
Ob ein Tenant mit den IAM Domains arbeitet lässt sich am UI schon bei der Anmeldung erkennen. Im Falle der IAM Domains ist bei der Anmeldung die Domain auszuwählen.
Die Default Domain entspricht dabei dem bisherigen OCI IAM. Sind weitere Domains angelegt können diese über die Auswahlbox gewählt werden. Beispiel mit mehreren Domains:
Nach der Auswahl der Domains erscheinen die möglichen Anmeldeverfahren. Da eine IAM Domain immer auch die jeweiligen User hat/kennt ist bei jeder Domain sowohl der Local User möglich (oberer Teil des Dialogs) als auch SSO (hier Azure).
Nach der Anmeldung können die Domains aufgerufen werden (z.B. Domains im Suchfeld eingeben). Sollen Federations bearbeitet werden so ist vorher die Domain zu selektieren. Daher ist eine Suche nach Federation nicht erfolgreich.
Im Menü ist zu sehen, dass es “globale, Compartment-sensitive Objekte wie Polices, Compartments und Network Sources gibt. Global im Sinne des Tenants. Nach Auswahl einer Domain ist die Bearbeitung möglich:
Die Menüs entsprechen denjenigen des IDCS. Eine IDCS Console gibt es so nicht mehr. Selbst wenn die IDCS URL gewählt wird (im rechten oberen Bereich, vergrössert im folgenden Screenshot), wird nach Aufruf wieder auf die IAM Console verzweigt.
Für mehr Informationen zu den Funktionen, siehe Doku: https://docs.oracle.com/en-us/iaas/Content/Identity/home.htm