※ 本記事は、Kiran Thakkarによる”IAM Domain Upgrade“を翻訳したものです。

2023年7月31日

概要

Oracleは、すべてのテナンシをIAMドメインでアップグレードする準備をしているため、ログイン・エクスペリエンスには微妙な変更があります。アップグレードしたテナンシ内のIDCSインスタンスとIAMドメイン間のマッピング、およびログイン・エクスペリエンスの変更について学習します。一部のPoC、LAおよびSaaSテナンシでは、過去数週間にすでにアップグレードがありました。他のテナンシは、今後数か月以内にアップグレードされます。

Upgraded

IDCSからアイデンティティ・ドメインへのマッピング

 

アップグレードでは、IDCSインスタンスのマネジメントおよび管理がOCIコンソールに移動されます。REST APIを含むIDCSデータ・プレーンに変更はありません。ネイティブOCI IAMサービスがフル・フェデレーション・アイデンティティ・ドメインにアップグレードされます。アイデンティティ・ドメイン・マッピングは次のとおりです。

  • ネイティブOCI IAMサービスがデフォルトのアイデンティティ・ドメインにアップグレードされます。
  • 基本的なIDCSストライプがOracleIdentityCloudServiceアイデンティティ・ドメインにアップグレードされます。わかりやすくするために、アイデンティティ・ドメインをIDCSアイデンティティ・ドメインと呼びます。
  • Fusion IDCSインスタンスを含むすべてのIDCSインスタンスは、テナンシ内のアップグレードされたアイデンティティ・ドメインです。

IDM Domain Mapping

IAMフェデレーション・マッピング

 

既存の設定では、SAML統合とグループ・マッピングは、ネイティブOCI IAMサービスとIDCS基本インスタンス間に存在します。プライマリ・ストライプがアイデンティティ・ドメインにアップグレードされると、グループ・マッピングはデフォルト・アイデンティティ・ドメインとIDCSアイデンティティ・ドメインの間で保持されます。ただし、デフォルトとIDCSアイデンティティ・ドメインの間にSAML統合は存在しません。ネイティブOCI IAMおよび基本的なIDCSインスタンスとのSAML統合の残りの部分への影響を次に示します。

  • 基本的なIDCSインスタンスとのSAML統合は保持されます。
  • OCI IAMとのSAML統合により、維持されます。ただし、これらのSAML統合は読取り専用であり、変更できません。

SAML Mappings

アイデンティティ・ドメイン・ログイン・エクスペリエンス

アイデンティティ・ドメイン・テナンシでは、アイデンティティ・ドメイン・ユーザーの1つを介してOCIコンソールにログインします。ログインするには、https://cloud.oracle.comを参照し、テナンシ名を入力します。

OCI Tenancy Name

テナンシ名を入力したら、ログインするドメインを選択する必要があります。

Domain Chooser

アイデンティティ・ドメイン・ログイン・エクスペリエンスのアップグレード

既存のOCIテナンシ設定では、4つの方法を使用してテナンシにログインできます。次に、各4つの方法によるログイン・エクスペリエンスの影響および変更点について説明します。

ネイティブOCI IAMローカル・ユーザー

ネイティブOCI IAMユーザーとしてOCIコンソールにログインした場合、デフォルト・アイデンティティ・ドメインで同じユーザーとしてログインできます。

OCI IAM local user

基本的なIDCSストライプ・ローカル・ユーザー

基本的なIDCSインスタンスのローカル・ユーザーを介してOCIコンソールにログインし、アップグレードしたテナンシで、ローカル・ユーザーとしてOracleIdentityCloudServiceアイデンティティ・ドメインにログインします。

IDCS Local User login

ネイティブOCI IAMフェデレーションを介したフェデレーテッド・ユーザー

ネイティブOCI IAMでのSAMLフェデレーション設定がある場合、それらのフェデレーションとそのグループ・マッピングは、アップグレードされたテナンシに保持されます。ログイン・エクスペリエンスは、次のスクリーンショットに示すように変更されます。アイデンティティ・ドメインを選択する必要はありません。サード・パーティSSOプロバイダを選択し、それを使用してログインします。

Local Federated User Login

 

基本的なIDCSストライプ・フェデレーションを介したフェデレーテッド・ユーザー

基本的なIDCSインスタンスを使用するSAMLフェデレーション設定がある場合、それらのフェデレーション統合はそのまま保持されます。アップグレードしたテナンシのOracleIDentityCloudServiceアイデンティティ・ドメインにログインし、必要なSAMLフェデレーション経由でログインすることを選択します。

IDCS Federated User login

まとめ

ログイン・エクスペリエンスに微妙な変更がありますが、既存のすべての認証および認可が成功します。ただし、アイデンティティ・ドメイン構造を使用して、新しいグループ、動的グループおよびIAMポリシーを作成します。アップグレードの影響について質問がある場合、またはアイデンティティ・ドメイン・マッピングを理解したい場合は、次のコメントにご連絡ください。

リソース