Go to Qiita Advent Calendar 2024 Top
LoginSignup
4
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

@West_Tail

[Oracle Cloud] Identity Domainsを触ってみる

Last updated at Posted at 2022-02-18

はじめに

少し前に、IAMのIdentity Domains機能のサポートがアナウンスされました。
最近、Identity Domainが有効になったAlways Freeアカウントを触れる機会があったので、試してみました。

OCIスキルアップセミナー#15で、Identity Domainsの概要の紹介があったので、資料を読んで以下のようにざっくりと理解

  • 今までIDCSとOCI IAMの2つの認証基盤があったが、Identity Domainに統合される
  • ドメインという概念が新しく増える
  • 今まで有償版のIDCSを利用する必要があった機能も、一部無償で使えるようになっているらしい。

確かに、IDCSとOCIの使い分けはかなりわかりづらかったので、統一された方がわかりやすいと思います。

さわってみる

初期状態でのログイン

AlwaysFreeの環境ですが、新規作成時にIdentity Domainsが有効になっていました。

ログインしてみます。

Domainが1つしかない初期状態だと、↓のようなログイン画面が表示されます。ドメインがDefaultに設定されてます。
従来は、IDCS用のログインとOCIローカルユーザのログインに分離されていました。

image.png

ログイン後のメニュー項目に、「ドメイン」が追加されています。従来は「ユーザ」「グループ」のリンクがありましたが、上位階層のリンクからはいなくなっています

image.png

「ドメイン」リンクを押すと、ドメイン設定画面に遷移します。初期状態では、「Default」ドメインが1つだけありました。

image.png

「Default」ドメインのリンクを押して画面を遷移すると、「ユーザ」「グループ」「動的グループ」などのリンクが表示されており、「ドメイン」の中にこれらのリソースが存在する構造になっていることがわかります。

image.png

追加ドメイン作成

ドメインの画面から、ドメインを追加で作成してみます。

image.png

「MY_DOMAIN」という名前でドメインを作成してみました。ドメイン・タイプとして、Free、Oracle Apps Premium、Premium、外部ユーザが選択できますが、今回はFreeを選択します。

それぞれの違いは、こちらのマニュアルを参照ください。(Freeが空き、Premiumが保険料と訳されていたり、日本語訳がとっても微妙ですが。。)

image.png

ドメインの管理者の名前とメールアドレスを入力して、「ドメインの作成」ボタンを押します。

image.png

ドメインの作成が始まります。作成時間はそんなにかかりません。

image.png

管理者者のメールアドレスとして登録した宛先にメールが届いているので、パスワードリセットして、アクティベートします。

アクティベートしたユーザを使ってログインします。

ドメインを追加すると、OCIのログイン画面にドメインの選択画面が現れます。作成した「MY_DOMAIN」を選択し、管理者ユーザに指定したユーザのID/パスワードを入力してOCIにログインします。

image.png

ドメイン作成時に指定した管理者ユーザは、アイデンティティ・ドメイン管理者ロールが付与されています。そのため、ドメイン内のユーザ・グループの作成・削除やセキュリティ設定などを行うことができます。

image.png

OCIのリソースにアクセスするためのグループとしては、ドメイン作成時に「Domain Administrators」グループに所属するようです。

image.png

ここで少しはまったのですが、この「Domain Administrator」グループに対して、初期状態で権限が何も与えられていないようです。 ポリシーを追加して権限を与えてあげる必要があったので、新規にコンパートメントを作成してコンパートメントに対する管理者権限を、ドメイン管理者に付与します。

ドメイン名と同じ名称のコンパートメント「MY_DOMAIN」を作成して、
image.png

ルートコンパートメントに、以下のようなポリシーを設定します。

追加したドメイン内のグループを指定する場合は、以下のようにドメイン名で修飾してあげる必要があることに注意です。
(ドメイン名を省略した場合は、デフォルトドメイン(Default)のグループとして解釈されるそうです。)

allow group ドメイン名/グループ名 to xxx

image.png

ここまでで、以下のことができるようになりました。

  • デフォルト・ドメインとは分離されたユーザ・グループの名前空間を持つ「MY_DOMAIN」を作成
  • 「MY_DOMAIN」の管理ユーザは、ドメイン内のユーザ・グループに対して作成・削除権限を持つ
  • 「MY_DOMAIN」コンパートメント内に任意のリソースを作成することができる

従来のIDCS/IAMでは、ユーザ・グループの名前空間が一つだったので、ユーザ・グループ管理の権限分掌が面倒でしたが、Identity Domainsを利用することで、すっきりと管理できそうです。

また、今まで有償版IDCSでしか使えなかった機能も一部使えるようになっているらしいので、少しづつ試していこうと思います。

4
2
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
4
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?