アイデンティティ・プロバイダの登録

OCI EKMは、業界標準のプロトコルであるOAuth2を使用して、顧客に付与されたアクセス・トークンを使用して暗号操作リクエストに署名することで、ベンダーの中立性を保証します。すべての暗号化リクエストは、サードパーティのKMSネットワークへの専用の暗号化された接続を介して安全に送信されます。リクエストを受信すると、サード・パーティのKMSは、OCI Identity Cloud Serviceによって発行された既知のエンドポイントであるJSON Webキー・セット(JWKS)を使用してOAuth2 JSON Webトークン(JWT)トークンを検証することで、信頼性を検証します。

OCI EKMSがサードパーティKMSと安全に通信するには、JWKS URLおよび機密リソース・アプリケーション資格証明を登録してJWTで検証する必要があります。

Thales CipherTrust Manager (CM)ユーザーの場合、JWT発行者の登録の詳細は、ThalesドキュメントのThales CipherTrust Manager (CM)でのJWT発行者の登録を参照してください。Thalesユーザーは、次のステップを使用して登録できます。

1. OCIコンソールでドメインに移動し、「ドメインURL」を見つけます。手順は、アイデンティティ・ドメインURLの検索を参照してください。

   ドメインURLは次の例のようになります。

    https://idcs-<example_id>.identity.oraclecloud.com:443

2. .comの後に/.well-known/idcs-configurationを追加し、このURLに移動します。例

   https://idcs-<example_id>.identity.oraclecloud.com/.well-known/idcs-configuration

3. JSON Webキー・セット(JWKS)のURLおよびアイデンティティ・プロバイダを、このURLからサード・パーティのKMSまたはThales CipherTrust Manager (CM)にコピーします。CMで、「jwks protected urlを選択」を選択し、OCIアイデンティティ・ドメインで作成したリソース・アプリケーションからクライアントIDおよびシークレットを記述します。