アイデンティティ・ドメインREST APIの開始
アイデンティティ・ドメインREST APIは、アイデンティティや構成データなどのリソースを安全に管理します。OpenID Connectのサポートにより、準拠したアプリケーションおよびアイデンティティ・ドメインとの統合が可能になります。OAuth2サービスによって、広範囲のトークン権限付与タイプをサポートする認証用のAPIインフラストラクチャが提供されるため、クライアントはサービスに安全に接続できます。
アイデンティティ・ドメインのREST APIでは、SCIM 2.0標準コア・スキーマおよびOracleスキーマ拡張を備えたSCIM 2.0準拠エンドポイントをサポートしており、次のことが可能です:
-
ユーザー、グループおよびアプリケーションの管理。
-
パスワード生成およびパスワード・リセットを含むアイデンティティ機能を実行します。
-
一括操作およびジョブ・スケジューリングを含む管理タスクを実行します。
-
マルチファクタ認証、ブランディングおよび通知テンプレートを含むアイデンティティ・ドメインの設定を構成します。
このガイドには次の項が含まれます。
- エンドポイントの非推奨通知: アイデンティティ・ドメインのエンドポイントの非推奨通知について学習します。
- クイック・スタート: 前提条件を完了し、curlをインストールし、ユーザー、グループ、アプリケーションなどのアイデンティティ・ドメイン・リソースを管理するための認可を設定することで、アイデンティティ・ドメインREST APIを迅速に開始します。
- APIレート制限: 様々なアイデンティティ・ドメイン・タイプのAPIのレート制限の理解。
- リソース・リクエストの構成: アイデンティティ・ドメインで送信リクエストを作成するためのガイドラインについて学習します。
- cURLの使用: cURLを使用してREST APIにアクセスする方法を学習します。
- APIを使用した認可の管理: OAuthクライアントを使用してアイデンティティ・ドメインREST APIにアクセスする方法を学習します。アイデンティティ・ドメインのREST APIには、アイデンティティ・ドメインのユーザー名とパスワードのみを使用してアクセスできません。アイデンティティ・ドメインREST APIにアクセスするには、認可に使用するOAuth2アクセス・トークンまたはAPIキーが必要です。
- APIユースケース: アイデンティティ・ドメインREST APIを使用して、一般的なユースケースをステップ・スルーします。
次のリソースは、このガイドには含まれていませんが、使用することもできます。
アイデンティティ・ドメイン・ユーザー・インタフェースを使用する場合:
- アイデンティティ・ドメインのあるテナンシでIAMを管理するには、Oracle Cloud Infrastructure Identity and Access Managementを参照してください。
- MFAの設定など、ユーザー・セルフサービスの手順は、IAMユーザー・ガイドを参照してください。
APIまたはCLIを使用する場合:
- アイデンティティ・ドメインを管理するには(ドメインの作成または削除など)、IAM APIを参照してください。
- アイデンティティ・ドメイン内のリソース(ユーザー、動的リソース・グループ、グループ、アイデンティティ・プロバイダなど)を管理するには、アイデンティティ・ドメインCLIを参照してください。
エンドポイントの非推奨通知
IAMのアイデンティティ・ドメインのエンドポイント非推奨通知を確認します。
非推奨の機能、非推奨の機能、サービス動作の変更など、Oracle Cloud Infrastructureの破壊的変更の詳細を確認するには、IAMサービスの変更のお知らせを参照してください。
クイック・スタート
前提条件を完了し、curlをインストールし、ユーザー、グループ、アプリケーションなどのアイデンティティ・ドメイン・リソースを管理するための認可を設定することで、アイデンティティ・ドメインREST APIを迅速に開始します。
前提条件
- Oracle Cloudサブスクリプションの購入: Oracle Cloudサブスクリプションの購入を参照してください。
- オーダーのアクティブ化: アカウントを設定するか、オーダーをアクティブ化します。Oracle Cloudサブスクリプションの購入のようこそ電子メールからのオーダーのアクティブ化を参照してください。
- アイデンティティ・ドメイン管理者からアイデンティティ・ドメインAPIにアクセスするための適切なアカウント資格証明および認可を取得します:
-
アイデンティティ・ドメインにサインインするには: ユーザー名、パスワードおよびアイデンティティ・ドメイン名を取得するには、アイデンティティ・ドメイン管理者に連絡してください。
-
ユーザー・アカウントなしでAPIを使用します。 管理者は、アイデンティティ・ドメインのユーザー・アカウントなしでアイデンティティ・ドメインAPIを使用できます。ユーザー・アカウントなしでアイデンティティ・ドメインAPIを使用するには、アイデンティティ・ドメイン管理者からクライアントIDおよびクライアント・シークレットをリクエストします。
-
ステップ1: アイデンティティ・ドメインへのサインイン
アカウントをアクティブ化すると、サインイン資格証明およびアイデンティティ・ドメインのホーム・ページへのリンクが送信されます。Eメール内のリンクを選択し、指定されたサインイン資格証明を入力します。アイデンティティ・ドメインのホームページが表示されます。コンソールへのサイン・インを参照してください。
ステップ2: cURLのインストール
このドキュメント内の例では、cURLコマンドライン・ツールを使用して、アイデンティティ・ドメインREST APIにアクセスする方法を示しています。
サーバーに安全に接続するには、SSLをサポートしているバージョンのcURLをインストールし、VerisignのCA証明書に対して証明するSSL認証局(CA)証明書ファイルまたはバンドルを提供する必要があります。詳細は次を参照してください。
-
cURLの使用については、cURLの使用に関する項を参照してください。
-
認可については、APIを使用した認可管理を参照してください。
-
ブラウザで、cURLのホーム・ページ(http://curl.haxx.se/download.html)に移動します。
-
「cURL Releases and Downloads」ページで、OSに対応するSSL対応バージョンを検索し、ZIPファイルをダウンロードするためのリンクを選択します。
-
ソフトウェアをインストールします。
-
「cURL CA Certs」ページ(http://curl.haxx.se/docs/caextract.html)にナビゲートし、cURLをインストールしたフォルダにCA-bundle.crt SSL認証局(CA)の証明書バンドルをダウンロードします。
-
cURL環境変数を設定します。
-
コマンド・ウィンドウを開きます。
-
cURLをインストールしたディレクトリに移動します。
-
cURL環境変数(CURL_CA_BUNDLE)をSSLCA証明書バンドルの場所に設定します。たとえば、
C:\curl> set CURL_CA_BUNDLE=ca-bundle.crtです。
-
ステップ3: リソースURLの形式の把握
アイデンティティ・ドメインのREST APIには、RESTエンドポイント、アクセスするリソース、およびリクエストに含める問合せパラメータが含まれるURLを使用してアクセスする。
アイデンティティ・ドメインREST APIの基本的なエンドポイントは次のとおりです。
https://<domainURL>/admin/v1/これらのURLの作成の詳細は、リクエストの送信を参照してください。
ステップ4: 認可の設定
アイデンティティ・ドメインREST APIに送信するリクエストを認可する際に使用できるアクセス・トークンを生成する必要があります。APIを使用した認可の管理を参照してください。
これで、cURLを使用してアイデンティティ・ドメインにリクエストを送信する準備ができました。
ステップ5: アイデンティティ・ドメイン・リソースの管理
REST APIの使用を開始して、アイデンティティ・ドメインの構成、アイデンティティおよびリソース全体を管理します。
APIレート制限
様々なアイデンティティ・ドメイン・タイプのAPIのレート制限の理解。
Oracle APIは、Oracleのすべての顧客に対してAPIサービスの使用を保護するために、レート制限の対象となります。アイデンティティ・ドメイン・タイプのAPI制限に達した場合、IAMは429エラー・コードを返します。
すべてのアイデンティティ・ドメイン・タイプに対するレートの制限
| APIグループ | 単位 | Free | Oracle Apps | Oracle Apps Premium | Premium | External User |
|---|---|---|---|---|---|---|
| AuthN | 秒 | 10 | 50 | 80 | 95 | 90 |
| AuthN | 分 | 150 | 1000 | 2100 | 4500 | 3100 |
| BasicAuthN | 秒 | 10 | 100 | 160 | 95 | 90 |
| BasicAuthN | 分 | 150 | 3000 | 4000 | 4500 | 3100 |
| トークン管理 | 秒 | 10 | 40 | 50 | 65 | 60 |
| トークン管理 | 分 | 150 | 1000 | 1700 | 3400 | 2300 |
| その他 | 秒 | 20 | 50 | 55 | 90 | 80 |
| その他 | 分 | 150 | 1500 | 1750 | 5000 | 4000 |
| 一括 | 秒 | 5 | 5 | 5 | 5 | 5 |
| 一括 | 分 | 200 | 200 | 200 | 200 | 200 |
| 輸入とエクスポート | 日 | 4 | 8 | 10 | 10 | 10 |
作成できるアイデンティティ伝播信頼オブジェクトの最大数は30に制限されています。制限を増やす必要がある場合は、サポートに連絡してください。オブジェクト制限の詳細は、IAMアイデンティティ・ドメイン・オブジェクトの制限を参照してください。
APIグループ内のAPI
API制限は、グループ内のすべてのAPIの合計に適用されます。
/sso/v1/user/login/sso/v1/user/secure/login/sso/v1/user/logout/sso/v1/sdk/authenticate/sso/v1/sdk/session/sso/v1/sdk/idp/sso/v1/sdk/secure/session/mfa/v1/requests/mfa/v1/users/{userguid}/factors/oauth2/v1/authorize/oauth2/v1/userlogout/oauth2/v1/consent/fed/v1/user/request/login/fed/v1/sp/sso/fed/v1/idp/sso/fed/v1/idp/usernametoken/fed/v1/metadata/fed/v1/mex/fed/v1/sp/slo/fed/v1/sp/initiatesso/fed/v1/sp/ssomtls/fed/v1/idp/slo/fed/v1/idp/initiatesso/fed/v1/idp/wsfed/fed/v1/idp/wsfedsignoutreturn/fed/v1/user/response/login/fed/v1/user/request/logout/fed/v1/user/response/logout/fed/v1/user/testspstart/fed/v1/user/testspresult/admin/v1/SigningCert/jwk/admin/v1/Asserter/admin/v1/MyAuthenticationFactorInitiator/admin/v1/MyAuthenticationFactorEnroller/admin/v1/MyAuthenticationFactorValidator/admin/v1/MyAuthenticationFactorsRemover/admin/v1/TermsOfUseConsent/admin/v1/MyTermsOfUseConsent/admin/v1/TrustedUserAgents/admin/v1/AuthenticationFactorInitiator/admin/v1/AuthenticationFactorEnroller/admin/v1/AuthenticationFactorValidator/admin/v1/MePasswordResetter/admin/v1/UserPasswordChanger/admin/v1/UserLockedStateChanger/admin/v1/AuthenticationFactorsRemover/admin/v1/BypassCodes/admin/v1/MyBypassCodes/admin/v1/MyTrustedUserAgents/admin/v1/Devices/admin/v1/MyDevices/admin/v1/TermsOfUses/admin/v1/TermsOfUseStatements/admin/v1/AuthenticationFactorSettings/admin/v1/SsoSettings/admin/v1/AdaptiveAccessSettings/admin/v1/RiskProviderProfiles/admin/v1/Threats/admin/v1/UserDevices/session/v1/SessionsLogoutValidator/ui/v1/signin
/admin/v1/HTTPAuthenticator/admin/v1/PasswordAuthenticator
/oauth2/v1/token/oauth2/v1/introspect/oauth2/v1/revoke/oauth2/v1/device
/job/v1/JobSchedules?jobType=UserImport/job/v1/JobSchedules?jobType=UserExport/job/v1/JobSchedules?jobType=GroupImport/job/v1/JobSchedules?jobType=GroupExport/job/v1/JobSchedules?jobType=AppRoleImport/job/v1/JobSchedules?jobType=AppRoleExport
/admin/v1/Bulk/admin/v1/BulkUserPasswordChanger/admin/v1/BulkUserPasswordResetter/admin/v1/BulkSourceEvents
他のAPIグループのいずれにもないAPIは、他のAPIグループに含まれます。
その他の制限
すべての層のバルク、インポートおよびエクスポートに対して次の制限があります:
- ペイロード・サイズ: 1MB
- バルクAPI: コール当たり50操作に制限
- 一度に実行できるのは次の1つのみ:
- インポート: ユーザー、グループおよびアプリケーション・ロール・メンバーシップの場合
- アプリケーションからの完全同期
- バルクAPI
- エクスポート: ユーザー、グループおよびアプリケーション・ロール・メンバーシップの場合
- CSVインポート: CSV当たり10万行に制限、および最大ファイル・サイズ: 10MB
- CSVエクスポート: 10万行に制限