Identity Cloud ServiceインスタンスからIAMへの既知の問題

Identity Cloud ServiceインスタンスがOCI IAMのアイデンティティ・ドメインに変換されると、デフォルト・アイデンティティ・ドメインの一部のオブジェクトの属性が予期しない結果になることがあります。コンソールには何も表示されませんが、スクリプトおよびAPIを使用している場合は、これらの変更が結果に影響する可能性があります。

影響を受ける属性は次のとおりです。

• meta.lastModified
• meta.version (タグ)
• idcsLastModifiedBy

変更は、インスタンスが変換される約3週間前に更新された次のオブジェクトに適用されます。

• ユーザー
• グループ
• アプリケーション
• 一部の資格証明(MFA TOTP)
• ユーザー・パスワードcreatedOn

属性の変更の詳細は次のとおりです。

リソースが最初に移行の一部として作成された場合:

• meta.lastModified、meta.createdは、IAMでリソースが作成された元の日時に設定されます。
• meta.version (etag)は、IAMでリソースが作成されたときに設定された元のetagです。
• idcsLastModifiedBy、idcsCreatedByは、IAMでリソースを作成した元のプリンシパルに設定されます。

移行が完了する前にリソースが更新された場合:

• meta.lastModifiedは、Identity Cloud Serviceでリソースが更新された日時に設定されます。
• meta.version (etag)は、Identity Cloud Serviceでリソースが更新された日時に基づいて設定されます。
• idcsLastModifiedByは、Identity Cloud Serviceでリソースを更新したアイデンティティ・サービス・プリンシパルに設定されます。

何も実行する必要はありません。これらの属性は、次回オブジェクトが変更されたときに正しく設定されます。

Identity Cloud Serviceインスタンスでは、AuditEventsを表示する権限がある1つのストライプのユーザーは、そのストライプからのみ表示できます。OCI IAMへの移行では、対応するOCIテナンシのデフォルト・コンパートメントに各ストライプのドメイン・リソースが作成され、AuditEventsを表示する認可はコンパートメントに基づいているため、ユーザーは同じコンパートメント内のすべてのストライプからAuditEventsを参照できます。

各ストライプのコンパートメントを作成し、そのストライプを表すドメイン・リソースを独自のコンパートメントに移動することで、1つのストライプのユーザーがそのストライプのAuditEventsのみを表示できる動作を保持できます。

OCIテナンシ管理者には、これを行うためのすべてのアイデンティティ・ドメイン・リソースを表示する適切な表示および権限があります。

• ドメイン・リソースをコンパートメントに移動すると、そのドメイン内のすべてのユーザーがその新しいコンパートメントに移動し、そのコンパートメント内のリソースへのアクセス権が暗黙的に付与されます。
• ドメイン・リソースをコンパートメントに移動すると、そのコンパートメントに固有のOCI監査V2にドメインが発行するすべての監査可能なイベントも作成されます。
• そのコンパートメントへのアクセス権を持つユーザーのみが、そのコンパートメント内のドメインによって発行された監査可能なイベントを表示できます。