Identity Cloud ServiceインスタンスからIAMの既知の問題
Identity Cloud ServiceインスタンスをOCI IAMに移行する際の既知の問題。
変換後の予期しない属性値
Identity Cloud ServiceインスタンスがOCI IAMのアイデンティティ・ドメインに変換された後、デフォルト・アイデンティティ・ドメインの一部のオブジェクトの属性に予期しない結果がある場合があります。コンソールに表示される内容は異なりますが、スクリプトおよびAPIを使用している場合、これらの変更は結果に影響する可能性があります。
対象の属性は次のとおりです。
meta.lastModified
meta.version
(etag)idcsLastModifiedBy
変更は、インスタンスが変換される約3週間前に更新された次のオブジェクトに適用されます:
- ユーザー
- グループ
- アプリケーション
- 一部の資格証明(MFA TOTP)
- ユーザー・パスワード
createdOn
属性変更の詳細を次に示します。
リソースが移行の一部として最初に作成された場合:
meta.lastModified
、meta.created
は、リソースがIAMで作成された元の日時に設定されます。meta.version
(etag)は、リソースがIAMで作成されたときの元のetagセットです。idcsLastModifiedBy
、idcsCreatedBy
は、IAMでリソースを作成した元のプリンシパルに設定されます。
移行が完了する前にリソースが更新された場合:
meta.lastModified
は、Identity Cloud Serviceでリソースが更新された日時に設定されます。meta.version
(etag)は、Identity Cloud Serviceでリソースが更新された日時に基づいて設定されます。idcsLastModifiedBy
は、Identity Cloud Serviceでリソースを更新したアイデンティティ・サービス・プリンシパルに設定されます。
何も実行する必要はありません。これらの属性は、次にオブジェクトが変更されたときに正しく設定されます。
1つのストライプのユーザーが他のストライプの監査データを参照可能
Identity Cloud Serviceインスタンスでは、AuditEventsを表示する権限がある1つのストライプ内のユーザーは、そのストライプからのみ表示できます。OCI IAMへの移行では、対応するOCIテナンシのデフォルト・コンパートメントに各ストライプのドメイン・リソースが作成され、AuditEventsを表示する認可はコンパートメントに基づいているため、ユーザーは同じコンパートメント内のすべてのストライプからAuditEventsを表示できます。
ストライプごとにコンパートメントを作成し、ストライプを表すドメイン・リソースを独自のコンパートメントに移動することで、1つのストライプのユーザーがそのストライプでAuditEventsのみを表示できる動作を保持できます。
OCIテナンシ管理者には、これを行うためにすべてのアイデンティティ・ドメイン・リソースを表示する適切な可視性と権限があります。
- ドメイン・リソースをコンパートメントに移動すると、そのドメイン内のすべてのユーザーがその新しいコンパートメントに移動し、そのコンパートメント内のリソースへのアクセス権が暗黙的に付与されます。
- また、ドメイン・リソースをコンパートメントに移動すると、ドメインが発行するすべての監査可能なイベントが、そのコンパートメントに固有のOCI監査V2になります。
- そのコンパートメントへのアクセス権を持つユーザーのみが、そのコンパートメント内のドメインによって生成された監査可能なイベントを表示できます。