Identity Cloud ServiceインスタンスからIAMへの既知の問題

Identity Cloud ServiceインスタンスがOCI IAMのアイデンティティ・ドメインに変換された後、デフォルト・アイデンティティ・ドメインの一部のオブジェクトの一部の属性に予期しない結果が発生する場合があります。コンソールに別のものが表示されませんが、スクリプトおよびAPIを使用している場合、これらの変更は結果に影響する可能性があります。

影響を受ける属性は次のとおりです。

• meta.lastModified
• meta.version (タグ)
• idcsLastModifiedBy

変更は、インスタンスが変換される約3週間以内に更新された場合、次のオブジェクトに適用されます。

• ユーザー
• グループ
• アプリケーション
• 一部の資格証明(MFA TOTP)
• ユーザー・パスワードcreatedOn

属性変更の詳細を次に示します。

移行の一部としてリソースが最初に作成されるとき:

• meta.lastModified、meta.createdは、リソースがIAMで作成される元の日時に設定されます。
• meta.version (etag)は、IAMでリソースが作成されたときに設定された元のetagです。
• idcsLastModifiedBy、idcsCreatedByは、IAMでリソースを作成した元のプリンシパルに設定されます。

移行が完了する前にリソースが更新された場合:

• meta.lastModifiedは、Identity Cloud Serviceでリソースが更新された日時に設定されます。
• meta.version (タグ)は、Identity Cloud Serviceでリソースが更新された日時に基づいて設定されます。
• idcsLastModifiedByは、Identity Cloud Serviceでリソースを更新したアイデンティティ・サービス・プリンシパルに設定されます。

何も実行する必要はありません。これらの属性は、次回オブジェクトが変更されたときに正しく設定されます。

Identity Cloud Serviceインスタンスでは、AuditEventsを参照する権限がある1つのストライプのユーザーは、そのストライプからのみそれらを表示できます。OCI IAMへの移行により、対応するOCIテナンシのデフォルト・コンパートメントの各ストライプのドメイン・リソースが作成されます。また、AuditEventsを表示する認可はコンパートメントに基づいているため、ユーザーは同じコンパートメント内のすべてのストライプのAuditEventsを表示できます。

ストライプごとにコンパートメントを作成し、そのストライプを表すドメイン・リソースを独自のコンパートメントに移動することで、1つのストライプのユーザーがそのストライプのAuditEventsのみを表示できる動作を保持できます。

OCIテナンシ管理者には、これを行うためにすべてのアイデンティティ・ドメイン・リソースを表示するための適切な可視性と権限があります。

• ドメイン・リソースをコンパートメントに移動すると、そのドメイン内のすべてのユーザーがその新しいコンパートメントに移動し、そのコンパートメント内のリソースへのアクセス権が暗黙的に付与されます。
• ドメイン・リソースをコンパートメントに移動すると、そのコンパートメントに固有のOCI監査V2にドメインが発行するすべての監査可能なイベントも作成されます。
• そのコンパートメントへのアクセス権を持つユーザーのみが、そのコンパートメント内のドメインによって発行された監査可能なイベントを表示できます。