目次
はじめに
こんにちは、株式会社エーピーコミュニケーションズの松尾です。
今回はOracle Cloud Infrastructure(以下、OCI)の”アイデンティティ・ドメイン”を紹介していきます。
これからOCIを始める方向けに概要をお伝えしていきます。
本記事の対象者
- OCIの学習をこれから始める方
- アイデンティティ・ドメインを知りたい方
アイデンティティ・ドメインとは
OCIの認証関連機能である、ユーザやグループ、ポリシーなどの管理単位と思って頂ければ良いです。
認証関連機能を1つにまとめたコンテナ的なイメージが良いかもしれません。1アカウントで1つではなく、用途に合わせて複数作成することが出来るものです。
アカウント開設直後はこのような構成となっています。(ホームリージョンを東京リージョンにした場合)
ルートコンパートメント内に”Default”ドメインが作成されます。
例えば、”Devドメイン”や、”Prodドメイン”のように、Defaultドメインとは別のアイデンティティ・ドメインを各コンポーネントに作成することができます。
メリット
ユーザ管理の独立化
アイデンティティ・ドメインはそれぞれユーザやグループ、ポリシーの設定が独立しています。つまり、各アイデンティティ・ドメインごとにユーザ管理を分けることが出来る、という点がメリットとなります。
例えば、Defaultドメインで作成したユーザAは、DevドメインやProdドメインには存在しないユーザとなるため、ユーザAはDevコンパートメントやProdコンパートメントへはログインすることが出来ない仕組みとなります。
デメリット
ユーザ管理が複雑化する
ドメインごとにユーザ管理が別になるため、管理上は複雑化することがデメリットとなります。
ユースケース
ユーザの管理者や管理単位を分けたい
開発用コンパートメントと本番用コンパートメントで別々のユーザ管理を行いたい場合など、ユーザ管理主体を分けたい場合には有効な方法となります。
認証方式ごとに分けたい
シングルサインオン認証のユーザと通常認証のユーザ、など認証方式ごとにドメインを分けるのも1つのケースとなります。正確には1つのドメイン内でサインインポリシーなどは柔軟に設定できるため、ドメインを分けずとも認証方式をある程度細かく設定することは可能ではあります。
参考情報
まとめ
アイデンティティ・ドメインを簡単に紹介しました。あまり目立たない機能だと思うのですが、認証の設定単位であるため、後からは変更がしにくい機能の1つです。
小規模なアカウントであればDefaultドメイン1つで問題無いと思いますが、ユーザ管理を意図的に分離したい要件がある場合には、アイデンティティ・ドメインを分けることを検討いただければと思います。
本記事が良いOCIライフの助けになれば幸いです!
おわりに
私達クラウド事業部はOCIやAWSなどのクラウド技術を活用したSI/SESのご支援をしております。
また、一緒に働いていただける仲間も募集中です! ご興味持っていただけましたらぜひお声がけください。
