OCI IAM Identity DomainのAD Bridgeを利用しADよりユーザー・グループ情報を同期するための設定手順書になります。
OCI IAM Identity DomainsActive Directory との ID 情報連携手順(Microsoft Active Directory Bridge 導入手順)日本オラクル株式会社2022/8/10
View Slide
Safe harbor statement以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買決定を行う際の判断材料になさらないで下さい。オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊社の裁量により決定され、変更される可能性があります。Copyright © 2022, Oracle and/or its affiliates2
✓ AD Bridge の機能概要✓ AD ドメインとの ID 情報連携(AD Bridge)導入手順アジェンダCopyright © 2022, Oracle and/or its affiliates3
• AD Bridge の機能概要Copyright © 2022, Oracle and/or its affiliates4
Active Directory(AD)ドメインをマスターとして ID 情報を管理している環境で、 Microsoft Active DirectoryBridge(AD Bridge)を用いることにより、 AD ドメインから OCI IAM Identity Domain(Identity Domain)への ID 情報伝搬が可能※ Identity Domain で更新された ID 情報を AD ドメイン に反映させることも可(有償オプション)Active Directory ID 情報連携機能(AD Bridge)とはCopyright © 2022, Oracle and/or its affiliates5インターネットIdentityDomainアクセス管理ユーザ管理社内ネットワーク他社クラウド ・・・・・ADBridgeクラウドオンプレミスADドメインID 情報(ユーザ、グループ)同期社内ネットワークマスタスレーブ
◆ ID 情報同期エージェント 「AD Bridge」 を AD ドメインに参加している Windows クライアントに配置することでAD ドメインからの ID およびグループ情報を同期できます◆ AD Bridge から Identity Domain への片方向の通信のみ発生◆ ID 情報 / グループの情報を同期頻度に従い定期的に Identity Domainに伝播※エージェントと Identity Domain 間で HTTPS 通信ができる必要があります※パスワードは同期の対象外になりますActive Directory ID 情報連携機能(AD Bridge)の仕組みCopyright © 2022, Oracle and/or its affiliates6AD Bridge①設定情報の取得社内ネットワーク②ID 情報・グループ情報の取得③ID 情報・グループ情報の伝播プロキシ・サーバLDAPS HTTPS(REST)OracleIDCSAD ドメインコントローラー前回同期から変更のあるID情報のみを伝播該当 AD ドメイン内のWindows 端末に配置同期対象のユーザーやグループ、属性のマッピング、同期頻度などの設定利用者ID/PwD認証Identity Domain のパスワードを指定IdentityDomain
【AD Bridge の稼働環境】• AD ドメインに参加している Windows マシン• OS のバージョン: Windows 10 v1607 以降または、Windows Server 2016 以降※ 64 Bit OS が前提となります。• .NET のバージョン: 4.6 以降• ネットワーク: 直接、もしくは Proxy サーバ経由でインターネットの Identity Domain に接続可能な環境• 最小のハードウェア要件: 1GB の RAM、 1GB のディスク容量、クワッドコア CPU【対象となる AD ドメインのバージョン】• Microsoft Windows Server 2008• Microsoft Windows Server 2008 R2• Microsoft Windows Server 2012Active Directory ID 情報連携機能(AD Bridge)前提条件~ システム要件 ~Copyright © 2022, Oracle and/or its affiliates7• Microsoft Windows Server 2012 R2• Microsoft Windows Server 2016• Microsoft Windows Server 2019※2022年8月時点
【同期対象のデータ】• ユーザー• グループ✓セキュリティ・グループ✓配布グループ• 作成、更新、削除されたデータが対象【構成】• AD ドメインごとに AD Bridge をインストール• インストール後に同期の対象となる OU を選択Active Directory ID 情報連携機能(AD Bridge) 前提条件~ 同期対象と構成 ~Copyright © 2022, Oracle and/or its affiliates8※2022年8月時点
• AD ドメインとの ID 情報連携(AD Bridge)導入手順Copyright © 2022, Oracle and/or its affiliates9
本手順書は下記構成を実現するための AD Bridge 導入手順書になります。※対象 AD ドメインは構築済みおよびアクセス許可が設定されている事が前提となります。本手順書により実現する構成イメージCopyright © 2022, Oracle and/or its affiliates10利用者IdentityDomainHTTPSIdentity Domain の ID / パスワード(オプション:2 要素認証)AD ドメイン(ドメインコントローラ)AD ドメイン → Identity DomainID 情報(ユーザー・グループ)同期ドメイン:test.localAD Bridge注)AD Bridge はドメイン・コントローラー上にインストールする必要はありません。
【AD から Identity Domain への ID 情報同期手順】1. AD Bridge のインストール2. Identity Domain での AD Bridge 設定3. 動作確認手順概要Copyright © 2022, Oracle and/or its affiliates11手順等の詳細はマニュアル参照:https://docs.oracle.com/ja-jp/iaas/Content/Identity/msadbridge/microsoft-active-directory-ad-bridge1.htm
1. AD Bridge のインストールCopyright © 2022, Oracle and/or its affiliates12
1) 同期対象となる AD ドメイ上の OU、ユーザーおよびグループオブジェクトの構成を確認します。1. AD Bridge のインストールCopyright © 2022, Oracle and/or its affiliates13OU:employee 配下の 3 つ OU(marketing , sales , tech) が同期対象3つOU(marketing , sales , tech)にユーザーとグループ(セキュリティグループ)が登録済みユーザーオブジェクトの姓と電子メールアドレス 属性には値を入れておくようにします。※Identity Domains では、姓と電子メールアドレス 属性が必須属性であるため
2) AD Bridge をインストールするサーバー上で OCI コンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。テナント名(クラウド・アカウント名)を入力し 「Next」 を選択します。アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメイン(今回は 「Default」 )を選択します。サインイン画面にて、 OCI 管理者の ID/ パスワードを入力し、 「サイン・イン」 を選択し OCI コンソールにログインします。※ ドメイン選択画面が表示されない環境は Default ドメインのみ存在する環境になり、自動的に“ Default ドメイン”にログインすることになります。1. AD Bridge のインストールCopyright © 2022, Oracle and/or its affiliates14※環境によりドメイン選択画面は表示されません。
3) OCI コンソール画面にて、左メニューより 「アイデンティティとセキュリティ」 ー 「アイデンティティ」 ー 「ドメイン」を選択します。4) アイデンティティ画面にて、 「ドメイン」 を選択し、コンパートメントに 「ルートコンパートメント」 を指定し、ドメインを選択します。(今回は 「Default」 ドメインを選択します。)※ 自身で作成した Identity Domain (ドメイン)に設定する場合にはその該当ドメインを選択します。1. AD Bridge のインストールCopyright © 2022, Oracle and/or its affiliates15
5) アイデンティティ・ドメイン画面にて 「設定」 を選択します。6) 設定画面にて 「ディレクトリ統合」 を選択し、 「追加」 を選択します。1. AD Bridge のインストールCopyright © 2022, Oracle and/or its affiliates16
7) AD Bridge のインストール画面で 「ダウンロード」 を選択し、インストールモジュールをダウンロードします。「アイデンティティ・ドメイン URL 」 と 「クライアント ID 」 、 「クライアント・シークレット」 をコピーし控えておきます。※後続の AD Bridge インストールにて利用します。1. AD Bridge のインストールCopyright © 2022, Oracle and/or its affiliates17
8) サーバー上にダウンロードした AD Bridge のインストールモジュールを実行します。9) インストールが開始され、 Language Selection 画面にて、 「日本語」 を選択し、 「 OK 」 を選択します。1. AD Bridge のインストールCopyright © 2022, Oracle and/or its affiliates18
10) ようこそ画面にて 「次」 を選択します。11) 宛先フォルダ画面にて 「宛先フォルダ」 にインストール先を指定し 「次」 を選択します。1. AD Bridge のインストールCopyright © 2022, Oracle and/or its affiliates19
12) プロキシサーバの指定画面にてプロキシサーバを利用している場合には情報を指定し、 「次」 を選択します。(プロキシサーバを利用していない場合には、そのまま 「次」 を選択します。)13) Identity Cloud Service の資格証明指定画面にて、項番 1.AD Bridge のインストール 7) で控えた 「アイデンティティ・ドメイン URL 」 と 「クライアント ID 」 、 「クライアント・シークレット」 を指定し、 「テスト」 を選択します。1. AD Bridge のインストールCopyright © 2022, Oracle and/or its affiliates20
14) テストの結果、 「接続に成功しました。」 と表示されたことを確認し、 「次」 を選択します。15) AD 資格証明の指定画面にて AD ドメインに接続するための AD ドメインユーザー名とパスワードを指定し、「テスト」 を選択します。※SSL を利用する場合には 「SSL の使用」 にチェックします。1. AD Bridge のインストールCopyright © 2022, Oracle and/or its affiliates21
16) テストの結果「接続に成功しました」と表示されたことを確認し、 「次」 を選択します。17) インストールが終了したことを確認し、サマリー画面にて 「閉じる」 を選択します。1. AD Bridge のインストールCopyright © 2022, Oracle and/or its affiliates22
18) AD Bridge をインストールしたサーバのスタートメニューより 「Identity Cloud Service Microsoft ActiveDirectory Bridge Configuration」 を選択します。このアプリケーションにて AD Bridge の起動 / 停止や接続情報等を変更することが可能です。1. AD Bridge のインストールCopyright © 2022, Oracle and/or its affiliates23
2. Identity Domain での AD Bridge 設定Copyright © 2022, Oracle and/or its affiliates24
1) 項番 1. AD Bridge のインストール 2)~ 5) の手順にて ディレクトリ統合画面を表示します。項番 1 . AD Bridge のインストールにて AD Bridge をインストールした AD ドメインが表示されている事を確認し、その AD ドメインを選択します。2) 選択した AD ドメインの画面にて、 「構成」 を選択します。2. Identity Domain での AD Bridge 設定Copyright © 2022, Oracle and/or its affiliates25
3) 構成を編集画面にて、ユーザー用の組織単位(OU)の選択の「階層を含む」を選択し、ユーザー同期の対象となる OU を選択します。今回は OU:Employee とその配下の 3 つの OU(Marketing、Sales、Tech)を選択します。4) グループ用の組織単位(OU)の選択にて、グループ同期の対象となる OU を選択します。ユーザーと同様に OU:Employee とその配下の 3 つの OU(Marketing、Sales、Tech)を選択します。※OU は同期されません。 OU 配下のユーザーおよびグループオブジェクトが同期対象となります。2. Identity Domain での AD Bridge 設定Copyright © 2022, Oracle and/or its affiliates26
5) 構成を編集画面にて、インポート頻度の設定部分にて同期の間隔を設定し、認証設定部分にて 「ローカル認証の有効化」 を選択し、 「変更の保存」 を選択します。2. Identity Domain での AD Bridge 設定Copyright © 2022, Oracle and/or its affiliates27
3. 動作確認Copyright © 2022, Oracle and/or its affiliates28
1) 今回の動作確認では、自動同期の間隔を待たず、手動で同期を実行します。項番 1. AD Bridge のインストール 2)~ 5) の手順にて ディレクトリ統合画面を表示します。項番 1 . AD Bridge のインストールにて AD Bridge をインストールした AD ドメインを選択します。選択したドメインの画面にて、 「インポート」 を選択します。2) インポート画面にて、まだインポート処理が実施されていないことを確認し、 「ユーザーのインポート」 を選択します。3. 動作確認Copyright © 2022, Oracle and/or its affiliates29
3) インポートタイプ画面にて 「全体インポート」 を選択し 「 OK 」 を選択します。4) インポート実行後、 「リフレッシュ」 を選択すると、インポートのステータスが 「実行中」 から 「成功」 となり処理が完了したこ とが確認できます。3. 動作確認Copyright © 2022, Oracle and/or its affiliates30
5) メニューから 「ユーザー」 を選択し、 AD ドメインに存在するユーザーが Identity Domains に同期されていることを確認します。6) メニューから 「グループ」 を選択し、ユーザーと同様にグループが同期されていることを確認します。また、同期されたグループを選択し、グループのメンバーも同期されていることも確認します。3. 動作確認Copyright © 2022, Oracle and/or its affiliates31