アイデンティティ・ドメインの管理
アイデンティティ・ドメインとは、ユーザーとロールの管理、ユーザーのフェデレートとプロビジョニング、Oracle Single Sign-On (SSO)構成を使用したセキュアなアプリケーション統合、およびSAML/OAuthベースのアイデンティティ・プロバイダ管理を行うためのコンテナです。これは、Oracle Cloud Infrastructureのユーザー人口と、それに関連付けられた構成およびセキュリティ設定(MFAなど)を表します。
概要
アイデンティティ・ドメインは、他のOCIリソースと似ています。管理者は、アイデンティティ・ドメインを作成、移動、タグ付けおよび削除できます。OCIアクセス・ポリシーを記述すると、特定のドメインのユーザーが他のドメインのリソースにアクセスできるようになります。ドメイン内の管理責任を委任するために、ユーザー・アカウントを事前定義済の管理者ロールに割り当てることもできます。管理者ロールおよび各ロールに関連付けられた権限の詳細は、管理者ロールの理解を参照してください。
アイデンティティ・ドメインの管理(ドメインの作成または削除など)は、ユーザー・インタフェースまたはIAM APIを使用して行います。ユーザー・インタフェースまたはSCIMベースのIAMアイデンティティ・ドメインAPIを使用して、アイデンティティ・ドメイン内のリソース(ユーザーやグループなど)を管理します。
各テナンシには、初期テナント管理者ユーザーおよびグループを含むルート・コンパートメントで作成されたデフォルト・アイデンティティ・ドメインと、管理者がテナンシ内のリソースを管理できるデフォルト・ポリシーが含まれます。デフォルト・アイデンティティ・ドメインはテナンシのライフサイクルとともに存在するため、削除できません。
テナンシ内に追加のアイデンティティ・ドメインを作成できます。複数のアイデンティティ・ドメインは、単一のクラウド・サービスまたはアプリケーションに別々の環境が必要な場合に役立ちます(たとえば、開発用の環境と本番用の環境)。セキュリティを強化するために、各アイデンティティ・ドメインが独自の資格証明(パスワードやサインオン・ポリシーなど)を持つように構成できます。コンシューマ向けアプリケーションのアイデンティティ・ドメインを構成し、コンシューマ・ユーザーが自己登録およびソーシャル・ログインを実行できるようにすることもできます。
ドメイン・タイプを変更することで、ドメインをアップグレードできます。各アイデンティティ・ドメイン・タイプは、機能とオブジェクト制限の様々なセットに関連付けられています。実行する操作に適したドメイン・タイプを決定する方法の詳細は、IAMアイデンティティ・ドメインのタイプを参照してください。
アイデンティティ・ドメインのユーザーは、グループおよびアプリケーションへのアクセスをリクエストできます。ユーザーは、プロファイル情報の更新、パスワードの変更、2ステップ検証の設定の構成などのセルフサービス・タスクも実行できます。
既存のIAMおよびIDCS管理者の情報
アイデンティティ・ドメインの管理には次のトピックが含まれます。
- 概要
- アイデンティティ・ドメインの作成
- アイデンティティ・ドメインのリスト
- ライセンス・タイプのリスト
- アイデンティティ・ドメインの詳細の取得
- アイデンティティ・ドメインの詳細の編集
- コンパートメント間でのアイデンティティ・ドメインの移動
- アイデンティティ・ドメインのアクティブ化
- アイデンティティ・ドメインの非アクティブ化
- アイデンティティ・ドメインのタイプの変更
- アイデンティティ・ドメインのOCIDのコピー
- 複数のリージョンへのアイデンティティ・ドメインのレプリケート
- アイデンティティ・ドメインのすべてのパスワードのリセット
- アイデンティティ・ドメインの削除
必要なポリシーまたはロール
- 管理者グループのメンバーにします
- アイデンティティ・ドメイン管理者ロールを付与します
manageドメインが付与されているグループのメンバーにします
ポリシーおよびロールについてさらに理解するには、管理者グループ、ポリシーおよび管理者ロール、管理者ロールの理解およびIAMポリシーの概要を参照してください。