Identity Cloud ServiceインスタンスからIAMへの既知の問題

Identity Cloud ServiceインスタンスがOCI IAMのアイデンティティ・ドメインに変換された後、デフォルト・アイデンティティ・ドメインの一部のオブジェクトの属性に予期しない結果が発生する場合があります。コンソールには何も表示されませんが、スクリプトとAPIを使用している場合は、これらの変更が結果に影響する可能性があります。

影響を受ける属性は次のとおりです。

• meta.lastModified
• meta.version (タグ)
• idcsLastModifiedBy

変更は、インスタンスが変換される約3週間以内に更新された場合、次のオブジェクトに適用されます。

• ユーザー
• グループ
• アプリケーション
• 一部の資格証明(MFA TOTP)
• ユーザー・パスワードcreatedOn

属性の変更の詳細を次に示します。

移行の一部としてリソースが最初に作成された場合:

• meta.lastModified、meta.createdは、リソースがIAMで作成された元の日時に設定されます。
• meta.version (etag)は、リソースがIAMで作成されたときに設定された元のetagです。
• idcsLastModifiedBy、idcsCreatedByは、IAMでリソースを作成した元のプリンシパルに設定されます。

移行が完了する前にリソースが更新された場合:

• meta.lastModifiedは、リソースがIdentity Cloud Serviceで更新される日時に設定されます。
• meta.version (etag)は、Identity Cloud Serviceでリソースが更新された日時に基づいて設定されます。
• idcsLastModifiedByは、Identity Cloud Serviceでリソースを更新したアイデンティティ・サービス・プリンシパルに設定されます。

何も実行する必要はありません。これらの属性は、次回オブジェクトが変更されたときに正しく設定されます。

Identity Cloud Serviceインスタンスでは、AuditEventsを参照する権限がある1つのストライプ内のユーザーは、そのストライプからのみ参照できます。OCI IAMへの移行では、対応するOCIテナンシのデフォルト・コンパートメントに各ストライプのドメイン・リソースが作成され、AuditEventsを参照する認可はコンパートメントに基づいているため、ユーザーは同じコンパートメント内のすべてのストライプからAuditEventsを参照できます。

1つのストライプ内のユーザーがそのストライプ内のAuditEventsのみを表示できる動作を保持するには、各ストライプのコンパートメントを作成し、そのストライプを表すドメイン・リソースを独自のコンパートメントに移動します。

OCIテナンシ管理者には、これを行うためのすべてのアイデンティティ・ドメイン・リソースを表示するための適切な表示および権限があります。

• ドメイン・リソースをコンパートメントに移動すると、そのドメイン内のすべてのユーザーがその新しいコンパートメントに移動され、暗黙的にそのコンパートメントのリソースへのアクセス権が付与されます。
• ドメイン・リソースをコンパートメントに移動すると、ドメインが発行するすべての監査可能なイベントが、そのコンパートメントに固有のOCI監査V2に作成されます。
• そのコンパートメントへのアクセス権を持つユーザーのみが、そのコンパートメント内のドメインによって発行された監査可能イベントを表示できます。