原文はこちら(著者 : Matthew Flynn)
https://blogs.oracle.com/cloudsecurity/post/introducing-oci-iam-identity-domains
Oracle Identity Cloud Service(IDCS)は、過去5年間で数千の顧客をサポートするまでに成長し、現在は数億のIDを管理しています。現在のIDCSの顧客は、認証(フェデレーション、ソーシャル、デリゲート、アダプティブ、多要素認証(MFA))、アクセス管理、手動または自動のIDライフサイクル管理とエンタイトルメント管理、シングル・サインオン(SSO)(フェデレーション、ゲートウェイ、プロキシ、パスワード・ボールト)などの幅広いアイデンティティ・アクセス管理(IAM)機能を利用しています。
IDCSは、従業員や消費者のアクセスシナリオのためのIAMユースケースを提供するだけでなく、Oracle Cloud Infrastructure(OCI)ワークロードのIAM機能を強化するためにも頻繁に活用されています。OCI Identity and Access Management(OCI IAM)サービスは、Oracle Cloud のリソース(ネットワーキング、コンピュート、ストレージ、アナリティクスなど)のアクセス・コントロール・プレーンを提供するOCIのネイティブ・サービスであり、認証、アクセス・ポリシー、およびコンパートメントやタグ付けなどのOCIセキュリティ・アプローチとの統合により、OCIのIAMフレームワークを提供してきました。OCIの顧客は、IDCSの幅広い認証オプション、アイデンティティ・ライフサイクル管理機能、およびエンドユーザーにOracle Cloudを超えたシームレスなサインオン体験を提供するためにIDCSを採用しています。
オラクルの顧客のIAM要件によりよく対応し、Oracle Cloud、マルチクラウド、オラクル・エンタープライズ・アプリケーション、およびサードパーティ・アプリケーション間のアクセス管理を簡素化するために、オラクルはIDCSとOCI IAMを単一の統一されたクラウド・サービスに統合し、IDCSの高度なアイデンティティおよびアクセス管理機能のすべてをOCI IAMサービスにネイティブに導入しました。Oracle Cloudのブランディングに合わせて、統一されたIAMサービスはOCIブランドを活用し、OCI IAMとして提供されます。OCI IAMサービスの各インスタンスは、OCIコンソールの identity domains として管理されます。
Identity Domains
OCI IAM identity domainは、自己完結型のIDおよびアクセス管理サービスであり、さまざまなIAMのユースケースに対応するために使用することができます。例えば、OCI IAM identity domainを使用して、多数のクラウドおよびオンプレミス・アプリケーションにわたる従業員のアクセスを管理し、安全な認証、エンタイトルメントの容易な管理、およびエンド・ユーザーのためのシームレスなSSOを可能にすることができます。また、ビジネス・パートナーのためのサプライ・チェーンや発注システムへのアクセスを可能にするために、identity domain を立ち上げたいと思うかもしれません。また、identity domain を使用して、消費者向けアプリケーションのIDおよびアクセス管理を可能にし、消費者ユーザが自身での登録、ソーシャル・ログオン、および使用条件の同意を実行できるようにすることもできます。identity domain は、数多くの IDおよびアクセス管理のユースケースやシナリオに対応する、包括的な IDaaS(Identity-as-a-Service)ソリューションです。
OCI IAM のアイデンティティ・ドメインは、以下の主要な機能を提供します。
- 柔軟な認証オプションによるサインオン:フェデレーション、ソーシャル型、委任型サインオンに加え、パスワードレス認証、リスクを考慮した強固なアダプティブセキュリティ、多要素認証(MFA)の多数のオプションをサポートする柔軟なサインオンを提供します。
- シームレスなユーザーエクスペリエンスとセルフサービス:直感的なセルフサービスによる登録とプロファイルの管理ができます。ダッシュボードビューでは、アプリケーションに素早くアクセスでき、ブックマークのようにお気に入りを選択できるため、ビジーな環境でも素早く移動することができます。ユーザーはコンソールから直接アクセスを要求することができ、迅速かつ容易に生産性を高めることができます。
- 容易なユーザー、グループ、アクセス管理:ユーザー、グループ、アプリの作成と管理は、管理コンソールでステップバイステップのウィザードを使って手動で行うか、アプリ・コネクタを使ってライフサイクル管理を自動化することができます。オラクルやサードパーティのアプリケーションへのアクセスは、グループ・メンバーシップを介してユーザーに割り当てられ、さらにアプリケーションへのアクセスが割り当てられます。これにより、管理作業が容易になり、オンボーディングや認証プロセスを繰り返し行うことができます。
- 開発者が利用しやすいAPIとサンプルコード:すべての機能は、APIを介してプログラムで公開されます。サンプルコードやSDK/CLIにより、開発者はカスタムアプリケーションや商用アプリケーションにIAM機能を簡単に組み込むことができます。アプリ利用者には、プロファイルのセルフサービス、シームレスなソーシャルログオンとパスワードレスログオン、利用規約の同意管理などが提供されます。
- 広範で柔軟なアプリケーション対応:OCI IAMは、事前に統合されたアプリケーションのカタログやオープンスタンダード(SAML、OIDC、OAuth、SCIM)のサポートに加えて、プロキシ、ブリッジ、ゲートウェイを介してさまざまなアプリケーションと統合し、オンプレミスやクラウドホスティングのアプリケーションやプラットフォームにSSOやIDライフサイクル管理を提供します。
- アクティビティとリスクに関する組み込みのレポートと監査:組み込みのレポート機能により、アクセスアクティビティを幅広く可視化します。システムログは、ログオンの試みやユーザーまたはグループの変更などのアクティビティを記録します。アプリケーションアクセスレポートは、どのユーザーがどのアプリケーションにアクセスしているかを示します。この可視性の向上により、不必要な権限を減らすことで、最小権限の原則を実施することができます。
- 特定の要件を満たすためのカスタマイズと設定:数多くの構成オプションにより、カスタマイズされた体験が可能になります。会社のブランディングから許可されたMFAファクターまで、管理者は組織のニーズに基づいてエンドユーザーの体験を完全にコントロールできます。また、アプリごとに独自のサインオンポリシーや利用規約を設定することも可能です。
すべてのOCIテナンシーには、追加費用なしで高度なIAM機能を提供する identity domain が含まれており、ユーザーを安全に認証し、ネットワーク、コンピュート、ストレージなどのOCIリソースへのアクセスを管理する機能を提供します。お客様はオプションでドメインタイプをアップグレードすることで、SaaS、クラウドホスティング、オンプレミスを問わず、オラクル以外のアプリケーションへのアクセスを管理することができます。
Oracle Cloud Infrastructure(OCI)に組み込まれたOCI IAM
OCIのネイティブサービスとして、identity domain を含むOCI IAMは、すべてのOracle Cloudグローバル・リージョン、新規リージョンの立ち上げ、およびOracle Dedicated Region Cloud@Customerデプロイメントで利用できるようになります。このサービスは、特定地域へデータを保持する要件のサポート、各リージョンで構成済みの高可用性、リージョン間のディザスタリカバリを提供し、高いスケールとパフォーマンスの要件を満たします。このサービスは、米国政府および国家安全保障関連のクラウド地域への展開において、最高レベルのセキュリティ要件に対応するように設計されています。
OCI IAMは現在、クラウドのスケールとパフォーマンス、包括的なエンタープライズIAM機能セットを備えたSaaS型のアイデンティティおよびアクセス管理サービスを提供しており、他のオラクルのサービスを契約しているかどうかにかかわらず、非常に大きな価値を提案しています。
その他の情報について
OCI IAMサービスの最新のアップデートについて、Oracle の Vice President Jeppe Larsenからご紹介します:Introducing OCI IAM identity domains
OCI IAMの詳細については、お問い合わせいただくか、OCI IAMのWebページで詳細をご覧ください。