IAM with Identity Domain

현재 신규 OCI사용자는 계정관리를 위해 new IAM (with Identity Domain) Service가 사용한다.

new IAM Service는 기존의 OCI Native로 제공하던 IAM 서비스와 Oracle에서 PaaS 형태로 제공하던 IDCS 서비스의 기능을 통합한 OCI Native한 새로운 IDaaS 서비스이다.

 

기존 OCI사용자는 현재 사용중인 OCI IAM(lagacy), IDCS(legacy)가 OCI IAM(new)으로 마이그레이션 된다.(다운타임없는 Update로 작업시 Maintenance Alarm)

new IAM Service의 가장 큰 특징은 컨테이너인 Domain단위로 계정권한관리를 수행한다는 것이다.

(처음 Tenancy를 생성하면 Default Domain이 제공된다)

> IAM Identity Domain Types

참고) https://docs.oracle.com/en-us/iaas/Content/Identity/sku/overview.htm
         https://team-okitoki.github.io/getting-started/oci-iam-identity-domain/

         

1. Free identity domains
- 각 OCI 테넌시는 OCI 리소스(네트워크, 컴퓨팅, 스토리지 등) 및 OCI PaaS에 대한 액세스를 관리하기 위한 프리 티어
  기본  OCI IAM Identity Domain 을 포함
2. Oracle Apps
- 수많은 Oracle Cloud 애플리케이션(HCM, CRM, ERP, 업계 애플리케이션 등)에는 Oracle Apps 도메인을 통한
  OCI IAM 사용이 포함될 수 있다
- 고객은 이 도메인에 모든 직원을 추가하여 Oracle Cloud 애플리케이션 서비스에 대한 SSO를 활성화하고 이 도메인을 
  사용하여 OCI 리소스의 일부 또는 전체에 대한 액세스를 관리할 수 있다.
3. Oracle Apps Premium
- Oracle Apps domain을 Oracle SaaS외에  Oracle E-Business Suite, Oracle Databases, On-Prem, OCI에 호스팅된
  Application에까지 적용할 수 있다.
- 이 서비스는 전체 기능을 갖추고 있지만 Oracle target과 함께 사용하는 것으로 제한되는 저렴한 서비스이다.
4. External identity domains
- 직원이 아닌 파트너나 고객들에 대한 OCI IAM의 모든기능을 제공한다.
- App Gateway and Provisioning Bridge같이 직원이 아닌경우에 사용되지 않을 특정 Enterprise기능은 제외된다.
- 다음의 기능이 포함되어 있음: social logon, self-registration, terms-of-use consent, and profile/password management
5. Premium identity domains
- 대상 애플리케이션에 대한 제한 없이 OCI IAM의 모든 기능을 제공한다.

 

> IAM Identity Domain에서 달라진 것들

1. Login

Account Name을 입력하고 Next를 누르면 아래처럼 Domain을 선택한 후 ID/PW를 입력하고 Login을 하게 됩니다.

 

2. Domains

Domains 메뉴가 새로 생기고 그 안으로 User, Group, Dynamic Groups, Authentication Settings메뉴가 포함되었다.

 

3. Policy

Policy작성 시 그룹명을 입력할 때 Domain명 / 그룹명 으로 작성합니다.

예시)

Allow group 'a-team-domain'/'a-team-admin' to manage instance-family in compartment a-team

 

> Domains

Default Domain은 Tenancy생성 시 자동으로 생성된다.

Domain을 생성할때 Domain Type과 Domain Administrator, Compartment를 선택해야 한다.

Domain을 생성하면 입력한 Domain Administrator 메일로 해당 도메인에 대한 Administrator account생성을 위한 welcome email이 온다.

welcome mail에 있는 Administrator account 생성Link를 통해 Password를 입력하고 계정을 생성한다.

실제 업무에 사용되는 Resource를 위해서는 Default Domain을 사용하지 않고 아래처럼 Comparment와 Domain을 별도로 생성하여 사용한다.

운영과 개발환경의 권한분리

> Legacy IAM or IDCS to New OCI IAM Migration

Identity Domain에는 4가지 Domain Type이 있습니다.(Free, Oracle Apps Premium, External, Premium)

하지만 이번 Migration에서 기존 IDCS User License는 새로운 IAM의 Domain Type에 매핑되지 않습니다.

- 기존 Local Account(Legacy IAM User)는 Default Domain으로 마이그레이션 된다.

- IDCS User의 경우 새로운 IAM으로 변환없이 이전 상태 그대로 새로운 IAM으로 마이그레이션 된다.

 

마이그레이션 후 고객은 필요에 따라 새로운 Identity Domain의 기능 및 가격을 활용하기 위해 Domain Type을 변경할 수 있다.(Oracle은 이러한 변화를 강제하거나 자동화하지 않는다)

참고)

https://mysites.oracle.com/OCI-IAM/faq-for-cloud-iam/faq---converting-to-identity-domains.html

https://otube.oracle.com/media/IDCS+to+OCI+IAM+Domain+Conversion+Briefing/1_g0v7yi0c 

 

> MFA설정

https://oracle-cloud.tistory.com/entry/MFA-IAM-with-Identity-Domain

 

 

참고)

https://docs.oracle.com/en-us/iaas/Content/Identity/home.htm

---

작성자: 손창호(primelyson@gmail.com) / Cloud Engineer, 정보시스템감리사, DAP, PIA

개인의 시간을 할애하여 작성된 글로서 글의 내용에 오류가 있을 수 있으며, 글 속의 의견은 개인적인 의견입니다.