IDCSとOCI IAMの違いを掘り下げる

2021/11にOCI IAM Identity Domainsがリリースされました。新しく払い出されたテナントでは、こちらを使ってください。

• Oracle Blog: OCI IAM Identity Domains のご紹介
• マニュアル：アイデンティティ・ドメインのあるIAM
• SpeakerDeck: OCI IAM Identity Domains機能概要

1. はじめに

Oracle Cloud Infrastructureのアカウント管理に、IDCS（Identity Cloud Service）と、IAMのどちらを使用するかは悩ましい問題だ。概要は以下の記事を読んでもらうとして、ここではもう少し掘り下げたい。

• IDCSとOCI IAMの比較

1-1. TL;DR

• OCIにはIDCSとIAMの２つのアカウント管理方法があり、初心者には違いがわかりづらい
• 一般にはIDCSが推奨されているように思うが、注意点やデメリットもある

1-2. 対象環境

• Oracle Cloud Infrastructure

1-3. 参考情報

• OCIマニュアル：「IAM（日本語）」 「英語」
• IDおよびアクセス管理 (IAM) 概要 L100（speakerdeck.com）
• Identity and Access Management L200（PDF）
• OCIの認証・認可機能の総まとめ（speakerdeck.com）

2. IDCS or IAM

Oracle Cloud Infrastructureを使い始めて、最初に悩むのはログイン方法ではないだろうか。管理コンソールのログイン画面では、以下のように２つの選択肢がある。

アカウントをアクティベーションした段階では、IDCSとIAMの両方のユーザーが作成されているため、どちらも同じユーザー名／パスワードでログインできる。しかし、まったく別のものなので、片方のパスワードを変更しても、それがもう一方には伝搬しない。

管理コンソールで作成済みユーザーを確認すると、初期段階ではIDCSユーザーとIAMユーザーが作成されている。これ以降、ユーザーを追加作成するときは、どちらにするのか決める必要がある。

注意：
IDCSユーザーは正確に言うとIDCS連携済みユーザー（Federated User）だ。IDCS上のユーザー情報と、IAM上のユーザー情報を連携させることで、認証・認可を実現している。

次の図は、Advanced Training (Level 200)のIdentity and Access Management L200（PDF）に載っていた図をカスタマイズしたものだ。IDCSとIAMの関係を描いている。

3. どちらを使用するか考える

2019年まではIDCS利用が推奨されているように感じたが、現在は必ずしもIDCS推奨では無い。純粋に「何をやりたいか」が判断基準になる。

2020/3追記
「 サインイン・オプションの理解」というページがマニュアルに追加されていた。みんな戸惑うのだろう。これを読む限りは、必ずしもIDCSが推奨されているわけではなさそうだ。

3-1. IDCS、IAM比較表

次の表はIDCSとIAM比較表だ。それぞれ順番に説明する。

機能	IDCS	IAM
管理コンソールのアクセス元IP制限	可	可（※1）
MFA	有償版IDCSが必要※	無償で利用可能
MFAの種類	SMS, モバイルアプリのパスコード、モバイルアプリ通知、セキュリティ質問、Eメール	モバイルアプリのパスコード
パスワードポリシー	変更可能。有効期限なしも可	変更可能
対象サービス	OCI以外のPaaS	Oracle Cloud Infrastructureのみ
他クラウドサービスとの連携	Oracle Cloud, SAML, OAuthなど	Azure Directory, Okta, SAMLなど
API	IDCS固有（SCIM準拠）	OCI標準

※1. IAMでも、2020/9/1からコンソールアクセス元IPの制限ができるようになった。参考:Network source restrictions for signing in to the Console
※2. IDCS Enterprise User（有償版）の価格は、1ユーザー/月あたり、Monthly Flex：3.2ドル（2020年9月現在）。
https://www.oracle.com/cloud/security/pricing.html

3-2. 管理コンソールのアクセス元IP制限と多要素認証（MFA）

最初の判断基準が「アクセス元IP制限」と「MFA」の２つだろう。いろいろな記事で取り上げられている。

以前、管理コンソールのアクセス元IPをホワイトリストで制限できるのはIDCSだけだったが、現在はIAMでも利用できる。MFAはどちらでも利用できるが機能に違いがある。

IDCS

• Oracle CloudにおけるMulti-Factor Authentication (多要素認証)の実装
• OracleCloud MFA(多要素認証)を使用してセキュリティを高める
• IDCSによる2段階認証をしてみた
• IDCSによる認証を接続元IPで制限してみる

IAM

• [Oracle Cloud] IAMアカウントでのログインにMFA（多要素認証）を設定する
• OCIへのコンソール・ログインをセキュアにする
• IAMによる2段階認証をしてみた

3-2-1. 管理コンソールのアクセス元IP制限について

管理コンソールのアクセス元IPを制限するには、次のいずれかの機能を使用する。

• IAMのNetwork Source Restrictions
• IDCSのネットワーク・ペリメータ

マニュアルリンク：

• IAM:認証設定の管理
• Oracle Identity Cloud Serviceネットワーク・ペリメータの管理

インターネットにはNAT経由で接続することがほとんどなので、NATで使用するパブリックIPをホワイトリストとして指定する。すると、それ以外のIPアドレスからは管理コンソールにアクセスできなくなる。間違って設定するとリカバリーが大変なので気をつけること。

企業の場合、ネットワーク部門に確認するのがいいだろう。ある程度歴史のある企業では、複数持っていることが普通なので注意したい。また以下のサイトでも簡単に現在のパブリックIPを確認できる。

3-3. ほかのPaaSを利用するか

IAMはOracle Cloud Infrastructureのサービスだけを管理できるのに対し、IDCSではBlockchainやJava CloudなどのPaaSも利用できる。

以下のスクリーンショットはIDCSとIAMでログインしたときの管理コンソールの違いだ。IDCSでは、「その他のOracle Cloudサービス」メニューに「プラットフォーム・サービス」「クラシック・データ管理サービス」「クラシック・インフラストラクチャ・サービス」が表示されている。

下記のスクリーンショットは2020年2月時点もの。「その他のOracle Cloudサービス」のサービスには、OCIネイティブにアクセスできるように変更されたものもある。

IDCSでログインしたとき

IAMでログインしたとき

3-4. ほかのクラウドサービスやID連携が必要か

ID管理サービスのIDCSと、OCIの認証・認可システムのIAMを比較するのはミスマッチだが、IDCSではOracleだけでなく他社のクラウドサービスと連携して、シングルサインオンを実現できる。IDCSの詳細は以下のマニュアルを参照してほしい。

• Oracle Identity Cloud Serviceの概念について
• アプリケーション統合の理解
• Oracle Identity Cloud Service - アプリケーション・カタログ

ヒント：
IDCSやOkta、Active Directoryなどの認証機能を提供するサービスをIdP（Identity Provider）と呼ぶ。

IAMだけで利用できるサービスはOCIに限られる。しかし、下記マニュアルにあるようにIDCSやActive Directory、OktaなどのID管理サービスと連携させることで、ほかのサービスを利用できる。つまり「IDCS+IAM」ではなく「ほかのID管理サービス＋IAM」という運用も可能だ。

Oracle Cloud Infrastructure supports federation with Oracle Identity Cloud Service,and Microsoft Active Directory (via Active Directory Federation Services (AD FS)), Microsoft Azure Active Directory, Okta, and other identity providers that supports the Security Assertion Markup Language (SAML) 2.0 protocol.

ただし、下記マニュアルには**「フェデレーテッド・ユーザーがサポートされているのはIDCSとOktaだけ」**という記述がある。

Prerequisites
Management of user capabilities for federated users is supported for Oracle Identity Cloud Service and Okta federations only.

これを解釈すると次のようになるのだろうか。実際にやったことが無いので推測だが．．．。

• **IDCSとOkta：**OCIのフェデレーテッド・ユーザー機能を利用でき、OCIコンソールからシングル・サインオンが可能
• **それ以外のID管理サービス：**ID管理サービス側からシングル・サインオンしてOCIを利用可能

3-5. IDCS無償版と有償版の違い

IAMの認証機能はシンプルなのに対し、IDCSにはさまざまな機能がある。たとえばバスワードの複雑性は、ともに変更できるが、パスワードの有効期限を変更できるのはIDCSに限られる。

またIDCSには、追加費用なしで使えるFoundationと、追加費用が必要なStandardの２種類がある。それぞれの機能の詳細は以下のマニュアルを参照のこと。

• Oracle Identity Cloud Service価格設定モデルについて
• About Oracle Identity Cloud Service Pricing Models

追加費用がかかるStandardは、1ユーザー/月あたり、Monthly Flexで3.2ドルだ（2020/10現在）。PAYGは、登録するユーザー数や機能の必要性によって考えたほうがいいだろう。

3-6. APIの違い

IDCSとIAMでは、REST APIがまったく異なる。このことは自動化するとき、生産性に大きく影響するので注意したい。IAMはOCI標準のREST APIが使用できる。そのためOCI CLIやTerraform、Resource Manager、OCI SDKが利用でき、ほかのOCIサービスと同様に管理できる。

それに対してIDCSは独自のAPIなので、OCI CLIやTerraformは使用できない。SDKは提供されているが、まったく異なるAPI体系なので、別途学習コストが必要だ。OCI REST APIでも一部操作できる機能もあるが、極めて限定されている。

過去実績では、管理コンソールでは操作できても、IDCSのREST APIが公開されていない機能もあった。

IDCSを利用してユーザー管理を自動化するときには、事前の調査を推奨する。

IAM

• OCI SDKs and CLI
• REST APIs

IDCS

• REST API for Oracle Identity Cloud Service
• Download Oracle Identity Cloud Service SDKs and Applications

3-7. パスワード・リカバリー

IDCSとIAMでは、パスワード・ポリシーのカスタマイズ可能レベルや、パスワード・リカバリーの操作方法が異なる。よく使用する機能なので、実際に操作して確認すること推奨する。とくにIDCSは操作が複雑なので注意したい。

• IAM - Managing Users
• Using Oracle Identity Cloud Service - Configure User Settings

3-8. 課金情報の表示

現在はIAMのusage-reportsポリシーがあれば課金情報にアクセスできる。そのためIAMログインだからといって課金情報表示のデメリットはない。

IDCSとIAMでは課金情報を表示する権限に違いがある。結論を先に言うと以下のとおり。

• IAMでは、Administratorsグループに属していないと課金情報を表示できない
• IDCSでは、Business Admin RoleがあればOCI Classicコンソールを使用して課金情報を表示できる

いきなりでは理解できないと思うので順に説明する。

※NICAREGIさんから、Administratorsに属していなくてもusage-reportsポリシーがあれば「コスト分析（Cost Analysis）」を表示できるとのコメントがありました。

あらためて検証したところ、そのとおりでした。ありがとうございます。私が2019年夏に検証したときは、Administratorsグループ以外のユーザーでは表示できなかったし、マニュアルにも記述があったと記憶している。2019年秋にコンソールが統合されたので、そのあたりでusage-reportsポリシーが導入されたのかも。以前のPDFマニュアルを残しておけばよかった。

ということで、ここから下は参考情報として残しておきます。次は「4.おわりに」へ進んでください。

• Checking Your Balance and Usage

3-8-1. OCIコンソールとOCI Classicコンソール

Oracle Cloudの管理コンソールには次の２つのコンソールがある。呼び名は出典によって異なるが、前者がOracle Cloud Infrastructure用の新しいコンソールで、後者は以前からあるコンソールである。

• OCIコンソール（インフラストラクチャー・コンソール）
• OCI Classicコンソール（マイ・サービス・コンソール）

現在は２つのコンソールが統合されたため、Classicに属するサービスもOCIコンソールから直接アクセスできる。しかし、課金情報など一部のサービスはClassicコンソールからもアクセスできる。

3-8-2. OCIコンソールの課金表示機能

OCIコンソールで課金情報に関する機能には次のページがある。いずれも「アカウント管理（Account Management）」メニューから表示できる。

• **コスト分析（Cost Analysis）：**使用金額合計とサービスごとの詳細表示
• **予算（Budget）：**事前に予算金額を設定することで、現在の使用金額と使用率の表示
• **使用状況レポート（Usage Report）：**使用状況のCSVファイル。オブジェクト・ストレージに配置

これらのなかで中心となるのが、次の**コスト分析（Cost Analysis）**だ。このページを表示するにはAdministratorsグループに属している必要がある。

**予算（Budget）**はusage-budgetポリシーがあればアクセスできる。しかし、事前の設定が必要で、使用サービスごとの詳細な金額は分析できない。

つまりIAMのときには、Administratorsグループに属していないユーザーは課金情報を管理コンソールでは表示できない。

3-8-3. OCI Classicコンソールの課金表示機能

OCI Classicコンソールでは、Business Admin Roleがあれば課金情報を表示できる。IDCSでは、OCI Classicコンソールにアクセスできるので、Administratorsロールが無くても課金情報を表示できる。ロールについては、以下のマニュアルを参照のこと。

• クラウド・アカウントのロールの理解
• Learn About Cloud Account Roles

1. ホームリージョンに移動する。
2. 管理コンソール右上の「ヒト」アイコンをクリックして、**[サービス・ユーザー・コンソール]**を選択する。
   
3. OCI Classicコンソールに移動するので、**[Infrastructure Classic Dashboard]**をクリックする。
   
4. ここで金額を表示できる。さらに金額部分をクリックすれば詳細をドリルダウンできる。
   

**参考：次のページはOCI Classicコンソールの[アカウント管理]-[ユーザー]を選択し、個別のユーザーのロールを表示したものだ。このように「Business Admin Role」**があれば、Classicコンソールで課金情報を表示できる。

4. おわりに

わかりやすさのために「IDCSユーザー」と「IAMユーザー」の比較と書いたが、正しくは次のような比較だろう

• IAM単体
• IDCS+IAM
• IDCS以外のID管理サービス+IAM

それぞれ特色があるので、一概にどれがよいとは言えない。利用するプロジェクト次第だ。重要なことは、それぞれの違いを理解し、適切な選択をすることだ。

微妙に自信が無いので、間違っているよ、こんなことがあるよってことがあれば、気軽にコメントお願いします。

5. まとめ

• OCIには、デフォルトでIDCSユーザーとIAMユーザーの２種類のユーザーがある
• IDCSユーザーとIAMユーザーでは、パスワード管理は別になっている
• どちらを使用するかは必要な機能できめる
• IDCSにはFoundationとStandardがあり、後者は追加料金が必要
• IDCSのREST APIは学習コストが高いので、自動化を検討しているときには事前調査が必要