- Oracle Database
【Oracle Database】FAQで安定運用に貢献!サポートセンターのナレッジ公開の取り組み
アシストオラクルサポートセンターが公開しているFAQは、仕様に関するQAやエラー発生時の対処方法などはもちろん、不具合情報や障害発生時の情報取得方法といった安定運用に役立つ内容も扱っています。そのFAQをどのように作成しているのか、サポートセンターの取り組みをご紹介します。
|
|
Index
OCI IAM Identity Domainsは、OCI IAMとIdentity Cloud Service(IDCS)を統合したサービスです。
OCI IAMは、個々のOCIリソースへのアクセス制御を行うものであり、OCIのユーザー認証やアクセス権限を設定できます。OCIのIAMサービスで作成されたユーザーは、IAMユーザーと呼ばれ、IAMユーザーがアクセスできるのはOCIで提供されているサービスのみとなります。
IDCSは、OCI以外のクラウドサービスやオンプレミスのアプリケーションへアクセスするユーザーの管理やシングル・サインオンによる認証、Microsoft Active Directoryなどとの外部認証・ユーザー同期を行うことができ、Identify Provider(IdP)としての色合いが強い機能です。
つまりOCI IAM Identity Domainsは、両者の守備範囲を包含したものと言えます。OCI IAM Identity Domains全体像を分かりやすく図にすると以下のようになります。OCI IAMでできるOCIリソースに対するアクセス制御と、IDCSでできるOCI以外のリソースへのアクセス制御の両方が、OCI IAM Identity Domainsで実現できていることを理解いただけるかと思います。
|
|
それでは、これからOCI IAM Identity Domainsの代表的な基本機能を3つ紹介します。ITシステムをクラウド環境にリフトするにあたり、アクセスできるエンティティの認証は非常に重要です。
OCI IAM Identity Domainsは、他の認証基盤との認証情報の連携・同期、パスワードポリシー認証や多要素認証に代表される認証の強化、ID自体の管理を行えます。これら認証の連携・強化・ID管理の機能を有していることからも、OCI IAM Identity Domainsは、クラウド環境の認証基盤(IDaaS)として利用する価値が非常に高いと言えます。
まず最初に、認証の連携について説明します。
OCI IAM Identity Domainsは、標準のフェデレーション技術であるSAML、OAuth、OpenID Connectを利用して、Oracle Cloudの各種サービスやその他のクラウドサービスプロバイダーが提供するSaaSサービス、オンプレミス環境で稼働するアプリケーションへのシングル・サインオンを実現します。SNSを認証のマスターとしてOCI IAM Identity Domainsにログインし、アプリケーションへのシングル・サインオンを行うことも可能です。
また、OCI IAM Identity Domainsは、IdP(Identity Provider)として機能する他のIDaaSサービスのSP(Service Provider)として、認証の連携も可能です。
OCI IAM Identity Domainsでは、複数のドメイン間でユーザーID・パスワードなどの情報をやり取りするための規格であるSCIM(System for Cross-Domain Identity Management)が利用できます。SCIMを利用することで、OCI IAM Identity Domainsとその他のIDaaSサービス、クラウドサービスで稼働しているアプリケーションやオンプレミスで稼働しているアプリケーションにおけるID全ての作成・更新・削除に関する情報の同期が行なえます。これにより運用者、利用者双方のID管理の利便性が飛躍的に向上します。
次に認証の強化について説明します。
IDと、それを認証する要素としてパスワードを強化する際、パスワードの複雑性の観点を考慮すべきです。パスワードの複雑性とは、パスワードの長さ、文字種(英字(大文字・小文字)・数字・特殊文字)が、そのパスワード内に含まれているかどうか。加えて、パスワードの1文字目の文字種を限定すること、利用できない文字(ユーザーの姓名など)の指定、パスワード有効期限の設定、アカウントロックの閾値設定などの制限を設けることも併せて重要です。
OCI IAM Identity Domainsは、これらの要素をポリシーとして定義可能かつ多要素認証を組み合わせることが可能であり、より強固な認証を実現しています。また、認証時のログインの失敗回数、使用している端末・IPアドレスの疑わしさなどから、ユーザーの行動分析に応じてより強固な認証をユーザーに要求することもできます。
最後に認証のIDの管理について説明します。
OCI IAM Identity Domainsは、標準でWeb管理画面を用いてユーザーやグループの管理を行うことができます。それ以外にも、CSVのファイルをアップロード、REST APIを用いた管理アプリケーションの開発、他の認証基盤に格納されているユーザー情報の同期による管理も可能です。
また、OCI IAM Identity Domainsのユーザー管理者の他に、特定のグループ(グループ会社や部門)に属するユーザーを管理するためのユーザーを設定することも可能です。
OCI IAM Identity Domainsは、アクセス証跡を保持していますので、ユーザーのログインの成功・失敗、ユーザーがどのアプリケーションにアクセスしたかという操作履歴、管理者がユーザーにどのようなロールを割り当てたかなどをレポートとして出力できます。
※レポートはWeb管理画面での確認、CSV、JSONでの出力が可能です。
本記事では、OCI IAM Identity Domainsの概要と基本機能をご理解いただけたかと思います。ITシステムをクラウドにリフトする際は、クラウドリフト後のシステムにアクセスできるユーザーの識別・認証・認可の仕組みの構築も当然必要となってきます。
OCI IAM Identity Domainsは、クラウド環境の認証基盤(IDaaS)として十分に活用できる機能を有しており、オンプレミスの認証基盤との連携も可能であることから、これからオンプレミスのITシステムをクラウドにリフトする際にはぜひとも利用を検討すべきサービスと言えます。
次回は、実際にOCI IAM Identity Domainsの機能を使用して、代表的なユースケースを紹介しながら、どのようにアイデンティティとアクセスの管理を行うのか。その設定方法について解説します。お楽しみに。
|
|
企業の最重要な資産のひとつであるデータベースをクラウドに移行する際、セキュリティで押さえるべき基本とは?
|
|---|
2017年入社。Oracle Databaseのプリセールス業務を担当。
あわせて、長年のOracle Databaseセキュリティ製品のフィールドエンジニア経験を活かして、データベースセキュリティ全般の提案/啓蒙活動も担当し、二足の草鞋で活躍中。...show more
■本記事の内容について
本記事に示した定義及び条件は変更される場合があります。あらかじめご了承ください。
■商標に関して
・Oracle®、Java、MySQL及びNetSuiteは、Oracle、その子会社及び関連会社の米国及びその他の国における登録商標です。
・Amazon Web Services、AWS、Powered by AWS ロゴ、[およびかかる資料で使用されるその他の AWS 商標] は、Amazon.com, Inc. またはその関連会社の商標です。
文中の社名、商品名等は各社の商標または登録商標である場合があります。
アシストオラクルサポートセンターが公開しているFAQは、仕様に関するQAやエラー発生時の対処方法などはもちろん、不具合情報や障害発生時の情報取得方法といった安定運用に役立つ内容も扱っています。そのFAQをどのように作成しているのか、サポートセンターの取り組みをご紹介します。
Oracle Databaseのバージョン11g R2、12g.R1、12g.R2は既にすべてのメーカーサポートが終了しています。OCIのBase Database Serviceでも2024年1月中旬ころから11g R2、12g R1、12g R2での新規プロビジョニングができなくなりました。
Oracle Cloudでクラウドアカウントごとに設定されているサービスの利用上限値「サービス制限(サービスリミット)」の引上げ方法とその注意点をご紹介します。
