OCI IAM Identity Domains AD連携手順 / ID sync settings with AD

Transcript

1. OCI IAM Identity Domains Active Directory Domain ServiceとのID情報 連携手順 (Microsoft

   Active Directory Bridge導入手順) 日本オラクル株式会社 2025年8月7日

2. Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、 情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以 下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買 決定を行う際の判断材料になさらないで下さい。 オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊 社の裁量により決定され、変更される可能性があります。 Copyright

   © 2025, Oracle and/or its affiliates 2

3. ✓ AD Bridgeの機能概要 ✓ ADドメインとのID情報連携（AD Bridge）導入手順 アジェンダ Copyright © 2025,

   Oracle and/or its affiliates 3 ※本資料は2025年7月現在の仕様に基づき作成しております。

4. AD Bridgeの機能概要 Copyright © 2025, Oracle and/or its affiliates 4

5. Active Directory（AD）ドメインをマスターとしてID情報を管理している環境下にて、Microsoft Active Directory Bridge（AD Bridge）を用いることで、ADドメインからOCI IAM Identity Domain（Identity Domain）へのID情報の伝搬が可能となります。

   ※ Identity Domainで更新されたID 情報をAD ドメインに反映させることも可能 （有償オプション） Microsoft Active Directoryブリッジとは Copyright © 2025, Oracle and/or its affiliates 5 インターネット Identity Domain アクセス 管理 ユーザ 管理 社内ネットワーク 他社クラウド ・・・・・ AD Bridge クラウド オンプレミス AD ドメイン ID 情報（ユーザ、グループ）同期 社内ネットワーク マスタ スレーブ

6. ◆ ID情報同期エージェント「AD Bridge」をAD ドメインに参加しているWindows クライアントに配置することでAD ドメインからのIDおよびグループの情報を同期 ◆ AD BridgeからIdentity Domainへの通信のみ発生

   ◆ ID情報/グループの情報を同期頻度に従い定期的にIdentity Domainに 伝播 ※エージェントとIdentity Domain間でHTTPS通信を推奨 ※パスワードは同期の対象外になります Microsoft Active Directoryブリッジの仕組み Copyright © 2025, Oracle and/or its affiliates 6 AD Bridge ①設定情報の取得 社内ネットワーク ②ID 情報・グループ情報の取得 ③ID 情報・グループ情報の伝播 プ ロ キ シ ・ サ ー バ LDAPS HTTPS(REST) Oracle IDCS AD ドメイン コントローラー 前回同期から変更のある ID情報のみを伝播 該当 AD ドメイン内の Windows 端末に配置 同期対象のユーザーやグループ、属性の マッピング、同期頻度などの設定 利用者 ID/PwD認証 Identity Domain のパスワードを指定 Identity Domain

7. 【AD Bridge の稼働環境】 • AD ドメインに参加している Windows マシン • OS

   のバージョン： Windows 10 v1607 以降または、Windows Server 2016 以降 ※ 64 Bit OS が前提となります。 • .NET のバージョン： 4.6 以降 • ネットワーク: 直接、もしくは Proxy サーバ経由でインターネットの Identity Domain に接続可能な環境 • 最小のハードウェア要件： 1GB の RAM、 1GB のディスク容量、クワッドコア CPU 【対象となる AD ドメインのバージョン】 • Microsoft Windows Server 2008 • Microsoft Windows Server 2008 R2 • Microsoft Windows Server 2012 Microsoft Active Directoryブリッジの前提条件 ～ システム要件 ～ Copyright © 2025, Oracle and/or its affiliates 7 • Microsoft Windows Server 2012 R2 • Microsoft Windows Server 2016 • Microsoft Windows Server 2019 ※2025年8月時点

8. 【同期対象のデータ】 • ユーザー • グループ ✓セキュリティ・グループ ✓配布グループ • 作成、更新、削除されたデータが対象 【構成】

   • ADドメインごとにAD Bridgeをインストール • インストール後に同期の対象となるOUを選択 Microsoft Active Directoryブリッジの前提条件 ～ 同期対象と構成 ～ Copyright © 2025, Oracle and/or its affiliates 8 ※2025年8月時点

9. Microsoft Active Directoryブリッジ導入手順 Copyright © 2025, Oracle and/or its affiliates

   9

10. 本手順書は下記構成を実現するためのAD Bridge導入手順書になります。 ※対象ADドメインは構築済みおよびアクセス許可が設定されている事が前提となります。 本手順書により実現する構成イメージ Copyright © 2025, Oracle and/or its

    affiliates 10 利用者 Identity Domain HTTPS Identity Domain の ID / パスワード (オプション：2 要素認証) ADドメイン (ドメインコントローラ) ADドメイン → Identity Domain ID情報（ユーザー/グループ）同期 ADドメイン名：test.local AD Bridge 注）AD Bridge はドメイン・コントローラー上にインストールする必要はありません。

11. 【Microsoft Active Directoryブリッジ導入手順】 1. AD Bridgeのインストール 2. Identity DomainでAD Bridgeの構成

    3. 動作確認 手順概要 Copyright © 2025, Oracle and/or its affiliates 11 手順等の詳細はマニュアル参照： https://docs.oracle.com/ja-jp/iaas/Content/Identity/msadbridge/microsoft-active-directory- ad-bridge1.htm

12. 1. AD Bridgeのインストール Copyright © 2025, Oracle and/or its affiliates

    12

13. 1）同期対象となるADドメイ上のOU、ユーザーおよびグループオブジェクトの構成を確認します。 1. AD Bridgeのインストール Copyright © 2025, Oracle and/or its

    affiliates 13 OU：Sync＿OU 配下の2つOU(test01、 test02) が同期対象 • 2つOU(test01、test02)にユーザーとグループ（セキュリティ グループ）が登録済み。

14. 2) AD Bridgeをインストールするサーバー上でOCIコンソール（https://www.oracle.com/jp/cloud/sign-in.html）に アクセスします。 テナント名（クラウド・アカウント名）を入力し「次に進む」を選択します。 アイデンティティ・ドメインの選択画面が表示される場合には、該当のドメインを選択し、「次」を選択します。 サインイン画面にて、該当ドメインのドメイン管理者の権限を持つユーザーの「ユーザー名」および「パスワード」を入力し、「サイン・ イン」を選択し、OCIコンソールにサインインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にサインインすることになります。 注意事項：OCIコンソールは既定で多要素認証が設定されておりますので、認証後に多要素認証による認証を行う場合があります。

    1. AD Bridgeのインストール Copyright © 2025, Oracle and/or its affiliates 14 ※環境によりドメイン選択画面は表示されません。

15. 3) OCI コンソール画面にて、左メニューより「アイデンティティとセキュリティ」を選択し、「ドメイン」を選択します。 4）アイデンティティ画面にて、コンパートメントで対象のコーパートメントを選択し、さらに対象のドメインを選択します。 ※自身で作成したコンパートメントおよびIdentity Domain（ドメイン）に設定する場合は、該当のコンパートメントおよびドメインを 選択します。 1. AD Bridgeのインストール

    Copyright © 2025, Oracle and/or its affiliates 15

16. 5）アイデンティティ・ドメイン画面にて 、上部のメニューから「ディレクトリ統合」 を選択します。 6）ディレクトリ統合の画面にて、Active Directoryブリッジの「追加」 を選択します。 1. AD Bridgeのインストール Copyright

    © 2025, Oracle and/or its affiliates 16

17. 7）Microsoft Active Directory用のブリッジのインストール画面にて、「アイデンティティ・ドメインURL」、「クライアントID 」、 「クライアント・シークレット」、それぞれ「コピー」を選択し、コピーを控えておき、「ダウンロード」を選択し、適切な場所に保存し、ダウン ロード完了後に「閉じる」を選択します。 ※コピーした「アイデンティティ・ドメインURL」、「クライアントID 」、「クライアント・シークレット」は後続のAD Bridgeインストールで 利用します。

    1. AD Bridgeのインストール Copyright © 2025, Oracle and/or its affiliates 17

18. 8）サーバー上のダウンロードしたAD Bridgeのインストールモジュールを実行します。 9）インストールが開始され、Language Selection画面にて、「日本語」を選択し、「OK」を選択します。 1. AD Bridgeのインストール Copyright © 2025,

    Oracle and/or its affiliates 18

19. 10）Identity Cloud Service Microsoft Active Directory Bridgeの設定ウィザードへようこそ画面にて、 「次」 を選択します。 11）宛先フォルダ画面にて、「宛先フォルダ」にインストール先を指定し、「次」を選択します。

    1. AD Bridgeのインストール Copyright © 2025, Oracle and/or its affiliates 19

20. 12）プロキシサーバの指定画面にてプロキシサーバを利用している場合には情報を指定し、 「次」 を選択します。 （プロキシサーバを利用していない場合には、そのまま 「次」 を選択します。） 13）Identity Cloud Serviceの資格証明指定画面にて、項番 1．AD

    Bridgeのインストール 7）で控えた「アイデンティティ・ ドメインURL」と「クライアントID」、「クライアント・シークレット」を指定し、「テスト」を選択します。 1. AD Bridgeのインストール Copyright © 2025, Oracle and/or its affiliates 20

21. 14）テストの結果が、 「接続に成功しました。」 と表示されたことを確認し、 「次」 を選択します。 15）AD資格証明の指定画面にてADドメインに接続するためのADドメインユーザー名とパスワードを指定し、「テスト」 を選択します。 ※SSLを利用する場合には「SSLの使用」にチェックします。 1. AD

    Bridgeのインストール Copyright © 2025, Oracle and/or its affiliates 21

22. 16）テストの結果が、「接続に成功しました」と表示されたことを確認し、「次」を選択します。 17）インストールが終了したことを確認し、サマリー画面にて、「閉じる」を選択します。 1. AD Bridgeのインストール Copyright © 2025, Oracle and/or

    its affiliates 22

23. 18）AD Bridgeをインストールしたサーバーのスタートメニューより「Identity Cloud Service Microsoft Active Directory Bridge Configuration」を選択し、アプリケーションを起動します。 このアプリケーションにてAD

    Bridgeの起動/停止や接続情報等を変更することが可能です。 1. AD Bridgeのインストール Copyright © 2025, Oracle and/or its affiliates 23

24. 2. Identity DomainでAD Bridgeの構成 Copyright © 2025, Oracle and/or its

    affiliates 24

25. 1）ディレクトリ統合画面にて、項番 1. AD Bridgeのインストールにて、AD BridgeをインストールしたADドメインが表示されている 事を確認し、表示されている「ADドメイン名」を選択します。 2）作成したADブリッジの画面にて、「構成の編集」を選択します。 2. Identity DomainでAD

    Bridgeを構成 Copyright © 2025, Oracle and/or its affiliates 25

26. 3）構成を編集画面にて、ユーザー用の組織単位（OU）の選択の「階層を含む」を選択し、ユーザー同期の対象となるOUを 選択します。 今回は、OU：Sync_OUとその配下の2つのOU（test01、test02）を選択します。 4）構成を編集画面で下にスクロールし、グループ用の組織単位（OU）の選択の「階層を含む」を選択し、グループ同期の対象となる OUを選択します。 ユーザーと同様に OU： Sync_OUとその配下の2つのOU（test01、test02）を選択します。 ※OUは同期されません。 OU配下のユーザーおよびグループオブジェクトが同期対象となります。

    2. Identity DomainでAD Bridgeを構成 Copyright © 2025, Oracle and/or its affiliates 26

27. 5）構成を編集画面をさらに下にスクロールし、インポート頻度の設定にて、同期間隔を設定し、必要に応じて、属性マッピングの構成を 行い、さらに認証設定にて、「ローカル認証の有効化」を選択し、「保存」を選択します。 2. Identity DomainでAD Bridgeを構成 Copyright © 2025, Oracle

    and/or its affiliates 27

28. 3. 動作確認 Copyright © 2025, Oracle and/or its affiliates 28

29. 1）今回の動作確認では、自動同期の間隔を待たず、手動で同期を実行します。 作成したADブリッジの画面にて、上部メニューの 「インポート」 を選択し、最終インポートステータスの「…」から 「ユーザーの インポート」 を選択します。 2）インポート・タイプ画面にて、「全体インポート」を選択し、「インポート」を選択します。 3. 動作確認

    Copyright © 2025, Oracle and/or its affiliates 29

30. 3）インポート実行後、最終インポート・ステータスが 「実行中」 から 「成功」 となり処理が完了したこ とが確認でき、Active Directoryからインポートされたユーザー、グループの数を確認する事ができます。 ※ディレクトリ統合画面に戻り、「アクション」を選択し、「リフレッシュ」を選択し、インポートの画面に戻ると最新の状況が表示されます。 3. 動作確認

    Copyright © 2025, Oracle and/or its affiliates 30

31. 4）ディレクトリ統合画面にて、上部メニューから 「ユーザー管理」を選択し、ユーザーにAD ドメインからIdentity Domainにユーザーが 同期されていることを確認します。 5）表示されているユーザー管理画面を下にスクロールし、グループにメニューからAD ドメインからIdentity Domainにグループが同期 されていることを確認し、さらにグループにメンバーが登録されていることを確認します。 3.

    動作確認 Copyright © 2025, Oracle and/or its affiliates 31
32. None