OCI IAM Identity Domains AD連携手順 / ID sync settings with AD

Transcript

1. OCI IAM Identity Domains Active Directory との ID 情報連携手順 (Microsoft

   Active Directory Bridge 導入手順) 日本オラクル株式会社 2022/8/10

2. Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、 情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以 下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買 決定を行う際の判断材料になさらないで下さい。 オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊 社の裁量により決定され、変更される可能性があります。 Copyright

   © 2022, Oracle and/or its affiliates 2

3. ✓ AD Bridge の機能概要 ✓ AD ドメインとの ID 情報連携（AD Bridge）導入手順

   アジェンダ Copyright © 2022, Oracle and/or its affiliates 3

4. • AD Bridge の機能概要 Copyright © 2022, Oracle and/or its

   affiliates 4

5. Active Directory（AD）ドメインをマスターとして ID 情報を管理している環境で、 Microsoft Active Directory Bridge（AD Bridge）を用いることにより、 AD

   ドメインから OCI IAM Identity Domain（Identity Domain） への ID 情報伝搬が可能 ※ Identity Domain で更新された ID 情報を AD ドメイン に反映させることも可 （有償オプション） Active Directory ID 情報連携機能（AD Bridge）とは Copyright © 2022, Oracle and/or its affiliates 5 インターネット Identity Domain アクセス 管理 ユーザ 管理 社内ネットワーク 他社クラウド ・・・・・ AD Bridge クラウド オンプレミス AD ドメイン ID 情報（ユーザ、グループ）同期 社内ネットワーク マスタ スレーブ

6. ◆ ID 情報同期エージェント 「AD Bridge」 を AD ドメインに参加している Windows クライアントに配置することで

   AD ドメインからの ID およびグループ情報を同期できます ◆ AD Bridge から Identity Domain への片方向の通信のみ発生 ◆ ID 情報 / グループの情報を同期頻度に従い定期的に Identity Domain に伝播 ※エージェントと Identity Domain 間で HTTPS 通信ができる必要があります ※パスワードは同期の対象外になります Active Directory ID 情報連携機能（AD Bridge）の仕組み Copyright © 2022, Oracle and/or its affiliates 6 AD Bridge ①設定情報の取得 社内ネットワーク ②ID 情報・グループ情報の取得 ③ID 情報・グループ情報の伝播 プ ロ キ シ ・ サ ー バ LDAPS HTTPS(REST) Oracle IDCS AD ドメイン コントローラー 前回同期から変更のある ID情報のみを伝播 該当 AD ドメイン内の Windows 端末に配置 同期対象のユーザーやグループ、属性の マッピング、同期頻度などの設定 利用者 ID/PwD認証 Identity Domain のパスワードを指定 Identity Domain

7. 【AD Bridge の稼働環境】 • AD ドメインに参加している Windows マシン • OS

   のバージョン： Windows 10 v1607 以降または、Windows Server 2016 以降 ※ 64 Bit OS が前提となります。 • .NET のバージョン： 4.6 以降 • ネットワーク: 直接、もしくは Proxy サーバ経由でインターネットの Identity Domain に接続可能な環境 • 最小のハードウェア要件： 1GB の RAM、 1GB のディスク容量、クワッドコア CPU 【対象となる AD ドメインのバージョン】 • Microsoft Windows Server 2008 • Microsoft Windows Server 2008 R2 • Microsoft Windows Server 2012 Active Directory ID 情報連携機能（AD Bridge）前提条件 ～ システム要件 ～ Copyright © 2022, Oracle and/or its affiliates 7 • Microsoft Windows Server 2012 R2 • Microsoft Windows Server 2016 • Microsoft Windows Server 2019 ※2022年8月時点

8. 【同期対象のデータ】 • ユーザー • グループ ✓セキュリティ・グループ ✓配布グループ • 作成、更新、削除されたデータが対象 【構成】

   • AD ドメインごとに AD Bridge をインストール • インストール後に同期の対象となる OU を選択 Active Directory ID 情報連携機能（AD Bridge） 前提条件 ～ 同期対象と構成 ～ Copyright © 2022, Oracle and/or its affiliates 8 ※2022年8月時点

9. • AD ドメインとの ID 情報連携（AD Bridge）導入手順 Copyright © 2022, Oracle

   and/or its affiliates 9

10. 本手順書は下記構成を実現するための AD Bridge 導入手順書になります。 ※対象 AD ドメインは構築済みおよびアクセス許可が設定されている事が前提となります。 本手順書により実現する構成イメージ Copyright ©

    2022, Oracle and/or its affiliates 10 利用者 Identity Domain HTTPS Identity Domain の ID / パスワード (オプション：2 要素認証) AD ドメイン (ドメインコントローラ) AD ドメイン → Identity Domain ID 情報（ユーザー・グループ）同期 ドメイン：test.local AD Bridge 注）AD Bridge はドメイン・コントローラー上にインストールする必要はありません。

11. 【AD から Identity Domain への ID 情報同期手順】 1. AD Bridge

    のインストール 2. Identity Domain での AD Bridge 設定 3. 動作確認 手順概要 Copyright © 2022, Oracle and/or its affiliates 11 手順等の詳細はマニュアル参照： https://docs.oracle.com/ja-jp/iaas/Content/Identity/msadbridge/microsoft-active-directory- ad-bridge1.htm

12. 1. AD Bridge のインストール Copyright © 2022, Oracle and/or its

    affiliates 12

13. 1) 同期対象となる AD ドメイ上の OU、ユーザーおよびグループオブジェクトの構成を確認します。 1. AD Bridge のインストール Copyright

    © 2022, Oracle and/or its affiliates 13 OU：employee 配下の 3 つ OU(marketing , sales , tech) が同期対象 3つOU(marketing , sales , tech)にユーザーとグループ（セキュリティグループ）が登録済み ユーザーオブジェクトの姓と電子メールアドレス 属性には値を入れておくようにします。 ※Identity Domains では、姓と電子メールアドレス 属性が必須属性であるため

14. 2) AD Bridge をインストールするサーバー上で OCI コンソール（https://www.oracle.com/jp/cloud/sign- in.html）にアクセスします。 テナント名（クラウド・アカウント名）を入力し 「Next」 を選択します。

    アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメイン（今回は 「Default」 ）を選択します。 サインイン画面にて、 OCI 管理者の ID/ パスワードを入力し、 「サイン・イン」 を選択し OCI コンソールにログインし ます。 ※ ドメイン選択画面が表示されない環境は Default ドメインのみ存在する環境になり、自動的に“ Default ドメイン”にログインす ることになります。 1. AD Bridge のインストール Copyright © 2022, Oracle and/or its affiliates 14 ※環境によりドメイン選択画面は表示されません。

15. 3) OCI コンソール画面にて、左メニューより 「アイデンティティとセキュリティ」 ー 「アイデンティティ」 ー 「ドメイン」を選択しま す。 4)

    アイデンティティ画面にて、 「ドメイン」 を選択し、コンパートメントに 「ルートコンパートメント」 を指定し、ドメインを選択 します。 （今回は 「Default」 ドメインを選択します。） ※ 自身で作成した Identity Domain （ドメイン）に設定する場合にはその該当ドメインを選択します。 1. AD Bridge のインストール Copyright © 2022, Oracle and/or its affiliates 15

16. 5) アイデンティティ・ドメイン画面にて 「設定」 を選択します。 6) 設定画面にて 「ディレクトリ統合」 を選択し、 「追加」 を選択します。

    1. AD Bridge のインストール Copyright © 2022, Oracle and/or its affiliates 16

17. 7) AD Bridge のインストール画面で 「ダウンロード」 を選択し、インストールモジュールをダウンロードします。 「アイデンティティ・ドメイン URL 」 と

    「クライアント ID 」 、 「クライアント・シークレット」 をコピーし控えておきます。 ※後続の AD Bridge インストールにて利用します。 1. AD Bridge のインストール Copyright © 2022, Oracle and/or its affiliates 17

18. 8) サーバー上にダウンロードした AD Bridge のインストールモジュールを実行します。 9) インストールが開始され、 Language Selection 画面にて、

    「日本語」 を選択し、 「 OK 」 を選択します。 1. AD Bridge のインストール Copyright © 2022, Oracle and/or its affiliates 18

19. 10) ようこそ画面にて 「次」 を選択します。 11) 宛先フォルダ画面にて 「宛先フォルダ」 にインストール先を指定し 「次」 を選択します。

    1. AD Bridge のインストール Copyright © 2022, Oracle and/or its affiliates 19

20. 12) プロキシサーバの指定画面にてプロキシサーバを利用している場合には情報を指定し、 「次」 を選択します。 （プロキシサーバを利用していない場合には、そのまま 「次」 を選択します。） 13) Identity Cloud

    Service の資格証明指定画面にて、項番 1．AD Bridge のインストール 7) で控えた 「アイ デンティティ・ドメイン URL 」 と 「クライアント ID 」 、 「クライアント・シークレット」 を指定し、 「テスト」 を選択します。 1. AD Bridge のインストール Copyright © 2022, Oracle and/or its affiliates 20

21. 14) テストの結果、 「接続に成功しました。」 と表示されたことを確認し、 「次」 を選択します。 15) AD 資格証明の指定画面にて AD

    ドメインに接続するための AD ドメインユーザー名とパスワードを指定し、 「テスト」 を選択します。 ※SSL を利用する場合には 「SSL の使用」 にチェックします。 1. AD Bridge のインストール Copyright © 2022, Oracle and/or its affiliates 21

22. 16) テストの結果「接続に成功しました」と表示されたことを確認し、 「次」 を選択します。 17) インストールが終了したことを確認し、サマリー画面にて 「閉じる」 を選択します。 1. AD

    Bridge のインストール Copyright © 2022, Oracle and/or its affiliates 22

23. 18) AD Bridge をインストールしたサーバのスタートメニューより 「Identity Cloud Service Microsoft Active Directory

    Bridge Configuration」 を選択します。 このアプリケーションにて AD Bridge の起動 / 停止や接続情報等を変更することが可能です。 1. AD Bridge のインストール Copyright © 2022, Oracle and/or its affiliates 23

24. 2. Identity Domain での AD Bridge 設定 Copyright © 2022,

    Oracle and/or its affiliates 24

25. 1) 項番 1. AD Bridge のインストール 2）～ 5) の手順にて ディレクトリ統合画面を表示します。

    項番 1 . AD Bridge のインストールにて AD Bridge をインストールした AD ドメインが表示されている事を確認し、 その AD ドメインを選択します。 2) 選択した AD ドメインの画面にて、 「構成」 を選択します。 2. Identity Domain での AD Bridge 設定 Copyright © 2022, Oracle and/or its affiliates 25

26. 3) 構成を編集画面にて、ユーザー用の組織単位（OU）の選択の「階層を含む」を選択し、ユーザー同期の対象とな る OU を選択します。 今回は OU：Employee とその配下の 3 つの

    OU（Marketing、Sales、Tech）を選択します。 4) グループ用の組織単位（OU）の選択にて、グループ同期の対象となる OU を選択します。 ユーザーと同様に OU：Employee とその配下の 3 つの OU（Marketing、Sales、Tech）を選択します。 ※OU は同期されません。 OU 配下のユーザーおよびグループオブジェクトが同期対象となります。 2. Identity Domain での AD Bridge 設定 Copyright © 2022, Oracle and/or its affiliates 26

27. 5) 構成を編集画面にて、インポート頻度の設定部分にて同期の間隔を設定し、認証設定部分にて 「ローカル認証の 有効化」 を選択し、 「変更の保存」 を選択します。 2. Identity Domain

    での AD Bridge 設定 Copyright © 2022, Oracle and/or its affiliates 27

28. 3. 動作確認 Copyright © 2022, Oracle and/or its affiliates 28

29. 1) 今回の動作確認では、自動同期の間隔を待たず、手動で同期を実行します。 項番 1. AD Bridge のインストール 2）～ 5) の手順にて

    ディレクトリ統合画面を表示します。 項番 1 . AD Bridge のインストールにて AD Bridge をインストールした AD ドメインを選択します。 選択したドメインの画面にて、 「インポート」 を選択します。 2) インポート画面にて、まだインポート処理が実施されていないことを確認し、 「ユーザーのインポート」 を選択します。 3. 動作確認 Copyright © 2022, Oracle and/or its affiliates 29

30. 3) インポートタイプ画面にて 「全体インポート」 を選択し 「 OK 」 を選択します。 4) インポート実行後、

    「リフレッシュ」 を選択すると、インポートのステータスが 「実行中」 から 「成功」 となり処理が完了 したこ とが確認できます。 3. 動作確認 Copyright © 2022, Oracle and/or its affiliates 30

31. 5) メニューから 「ユーザー」 を選択し、 AD ドメインに存在するユーザーが Identity Domains に同期されていることを 確認します。

    6) メニューから 「グループ」 を選択し、ユーザーと同様にグループが同期されていることを確認します。 また、同期されたグループを選択し、グループのメンバーも同期されていることも確認します。 3. 動作確認 Copyright © 2022, Oracle and/or its affiliates 31
32. None