オラクルにIDaaS(Identity as a Service)ってあるの?と思っている方が多くいると思いますが、オラクルは20年以上に渡りID・認証管理領域の製品をリリースしており、そのノウハウをフルに活用したIDaaS「OCI IAM Identity Domains」を提供しています。
今回のはこのオラクルのIDaaSである「OCI IAM Identity Domains」を簡単に紹介します。
※OCI:Oracle Cloud Infrastructure
OCI IAM Identity Domainsの役割
OCI IAM Identity DomainsはOCIサービスの1つになりますが、まず最初にOCI IAM Identity Domainsの2つの役割を紹介します。
役割1. OCI管理者・開発者・運用者のID・認証管理 ← OCIのIAM的位置づけ
OCIリソースへアクセスする管理者・開発者・運用者のID管理、OCIコンソールアクセスの認証管理を実現します。
役割2. アプリケーション利用者のID・認証管理 ← IDaaSの位置づけ
WebアプリケーションやSaaSを利用する一般ユーザーのID管理・認証管理を行いシングルサインオンや認証強化を実現します。
一般的には役割1.(OCIのIAM的役割)のイメージが強いと思いますが、OCI IAM Identity Domainsは役割2.(IDaaSの役割)を意識して開発されたサービスになります。
役割2.の場合にはIDaaSの位置づけになるため、OCI上で稼働しているWebアプリケーションに限らず、SaaSや各種クラウド基盤で稼働しているWebアプリケーション、オンプレミス上で稼働しているWebアプリケーションに対する利用者のID・認証管理がもちろん可能です。
OCI IAM Identity Domainsの機能
フェデレーション技術やGateway方式を用いた認証連携機能、MFA(2要素認証)やリスクベース認証などの認証強化関連機能、開発を行うためのREST APIなど役割2.(IDaaSの役割)を意識した機能が豊富に用意されています。
※役割1.(OCIのIAM的役割)でもこれら機能を使うことが可能です。
・認証連携
-SAML、OpenID Connect、OAuth
-Gateway方式
-ソーシャルログイン連携
-外部IdP連携
・認証強化
-2要素認証(モバイルAuthenticator、FIDO Authenticator、Email、SMS、チャレンジQA)
-リスクベース認証
-認証強化ポリシー
・ID管理
-Web Console、CSV、REST API
-SCIM連携
-Active Directory連携
・その他
-通知
-レポート
-セルフサービス などなど
機能の詳細についてはこちら参照:https://speakerdeck.com/oracle4engineer/oci-identity-domains-technical-basic
OCI IAM Identity Domainsの課金タイプ
OCI IAM Identity Domainsには4つの課金タイプが用意されており、1つのOCI IAM Identity Domainsに1つの課金タイプを適用することになります。
用途(管理したい利用者の種別、認証連携するアプリケーションなど)応じて課金タイプを選択することができます。
・Freeタイプ
・Oracle Apps Premiumタイプ
・Premiumタイプ
・External Userタイプ
課金タイプの詳細についてはこちら参照:https://docs.oracle.com/ja-jp/iaas/Content/Identity/sku/overview.htm
最後に
OCI IAM Identity Domainsは、今回紹介した機能や課金タイプを活かしてこんな使い方ができるIDaaSだと思います。
・社内の標準となる認証基盤として使う
・会員向けECサイトやモバイルアプリケーションの認証基盤として使う
・社員が使う複数あるSaaS向けの認証基盤として使う
・自社開発している企業向けパッケージの認証強化(2要素認証)として使う
IDaaSを検討する際の参考になればと思います。