Oracle Cloud Infrastructureドキュメント

IAMテクノロジ

アイデンティティ・ドメインでIAMを操作する場合に関連するいくつかの概念について説明します。

Oracle Cloudサービス

Oracle Cloudで使用されるSoftware as a Service (SaaS)、Data as a Service (DaaS)、Platform as a Service (PaaS)およびInfrastructure as a Service (IaaS)の各サービスについて学習します。

Oracle Cloudでは、クラウド・サービスのホストが提供されます。

アプリケーション・サービスは、2つのカテゴリに分類されます:

  • Software as a Service (SaaS): ソフトウェア・ライセンスおよび配信モデルを提供します。このモデルでは、ソフトウェアはサブスクリプション・ベースでライセンスされ、一元的にホストされます。

  • Data as a Service (DaaS): プロバイダとコンシューマの地理的または組織的な区分に関係なく、ユーザーにオンデマンドでデータを提供します。

プラットフォーム・サービスも、2つのカテゴリに分類されます:

  • Platform as a Service (PaaS): アプリケーションの開発およびデプロイに通常関連するインフラストラクチャの構築と維持の複雑さを排除して、顧客がアプリケーションを開発、実行および管理できるプラットフォームを提供します。

  • Infrastructure as a Service (IaaS): パブリック接続を介して、Oracle Cloudのコンピューティング・リソース(つまり、仮想化ハードウェアおよびコンピューティング・インフラストラクチャ)にアクセスできます。

使用可能なOracle Cloud SaaS、DaaS、PaaSおよびIaaSサービスの包括的なリストは、https://www.oracle.com/cloudに移動し、Oracle Cloudメニューから興味のあるサービスのカテゴリを選択してください。表示されるページには、各サービスの詳細情報へのリンクがあります。

Oracle Cloudは、様々なクラウド・サービス、顧客アプリケーションおよび他のベンダーのクラウド・サービスを安全に統合します。たとえば、この統合によって、

  • Oracle Sales CloudをOracle Java Cloud Service - SaaS Extensionで実行される独自のアプリケーション内に組み込みます。

  • カスタム・アプリケーションでOracle Fusion Customer Relationship Management Cloud Serviceを拡張します。

  • Oracle Cloudサービスと、Salesforceなどの他のサイトの機能を結合します。

  • Oracle Cloudサービスを、独自のアプリケーションを構築するためのインフラストラクチャとして使用します。

SAML、OAuthおよびOpenID Connect

IAMで使用されるSAML、OAuthおよびOpenID Connect標準の背後にある基本概念について学習します。

Security Assertion Markup Language (SAML)は、認証と認可の両方をサポートしており、XMLドキュメントを使用してインターネット上でセキュリティ情報を共有するためのオープン・フレームワークです。SAMLには3つの部分があります:

  • SAMLアサーション: 認証および認可情報を定義する方法。

  • SAMLプロトコル: 必要なアサーションを要求(SAMLリクエスト)し、取得(SAMLレスポンス)する方法。

  • SAMLバインディングおよびプロファイル: SAMLアサーションを業界標準のトランスポートおよびメッセージング・フレームワーク(バインディング)およびフレームワーク(プロファイル)で転送する方法。

Oracle Cloudアイデンティティ・インフラストラクチャで提供されるOAuth 2.0トークン・サービスにより、他のクラウド・サービスやユーザー・アプリケーションによるクラウド・サービスのRepresentational State Transfer (REST)エンドポイントへのセキュアなアクセスが提供されます。

OAuth 2.0には次の利点があります:

  • サービス間のREST対話でパスワードの使用を排除することで、セキュリティが強化されます。

  • クライアントとサーバーの間の信頼管理を一元化することで、ライフサイクル・コストが減少します。OAuthは、サービス間通信を保護するための構成ステップの数を減らします。

IAMでは、OpenID ConnectおよびOAuthの機能を利用して、カスタム・アプリケーションへの他のカスタム・アプリケーションによるプログラム的なアクセスを保護し、フェデレーテッドSSOおよび認可とこれらのアプリケーションを統合するために、高度にスケーラブルなマルチテナント・トークン・サービスを提供します:

  • OAuth 2.0を使用して、カスタム・アプリケーションのIAMでの認可を定義します。OAuth 2.0には、承諾のあるサードパーティの認可リクエストで一般的に使用される認可フレームワークがあります。カスタム・アプリケーションでは、2-leggedと3-leggedの両方のOAuthフローを実装できます。

  • OpenID Connectを使用して、カスタム・アプリケーションのIAMに対する認証を外部化します。OpenID Connectには、フェデレーテッドSSOを提供する認証プロトコルがあり、クラウド内のアイデンティティをフェデレートする方法としてOAuth 2.0認可フレームワークを利用します。カスタム・アプリケーションは、OpenID Connectフローに参加します。

OAuth 2.0およびOpenID Connect標準を使用すると、次の利点があります:

  • カスタム・アプリケーションとIAM間のフェデレーテッドSSO。IAMに加え、統合されているすべてのアプリケーションにアクセスするには、リソース所有者(カスタム・アプリケーションにアクセスするユーザー)にシングル・ログインが必要です。IAMは、認証および資格証明それ自体を処理し、カスタム・アプリケーションを隔離します。この機能は、OAuth 2.0でのOpenID Connectによって提供されます。

  • 承諾のあるサードパーティ・サーバー上での操作を実行するための認可。リソース所有者は、カスタム・アプリケーションでデータにアクセスしたりタスクを実行したりするために認可が必要であるかどうかを実行時に判断できます。この機能は、OAuth 2.0によって提供されます。

SCIM

IAMで使用されるSCIM標準の背後にある基本概念について学習します。

REST APIでは、System for Cross-Domain Identity Management (SCIM)を使用して、IAMリソース(アイデンティティや構成データなど)を安全に管理できます。これらのAPIは、独自のUIまたはクライアントに対してアイデンティティ・ドメインを使用する場合に、Webベースのユーザー・インタフェースのかわりになります。

ユーザー、グループおよびアプリケーションを管理し、アイデンティティ機能および管理タスクを実行して、アイデンティティ・ドメイン設定を管理できます。

IAMには、プロビジョニングおよび同期のためにアプリケーションを統合できるSCIMテンプレートが用意されています。