OCI IAM Identity Domainの外部IdPとしてAzure ADを利用するための設定手順書(認証連携+ID情報連携)になります。
OCI IAM Identity DomainsAzure AD との認証連携(外部 IdP 連携)・ID 同期設定手順日本オラクル株式会社2022 年 8 月 10 日
View Slide
Safe harbor statement以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買決定を行う際の判断材料になさらないで下さい。オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊社の裁量により決定され、変更される可能性があります。Copyright © 2022, Oracle and/or its affiliates2
OCI IAM Identity Domains と Azure AD との認証連携(外部 IDP 連携)手順概要1. OCI IAM Identity Domains の SAML メタデータダウンロード2. Azure AD 側でのサービス・プロバイダの登録3. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダの登録4. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダアクティブ化5. 動作確認(オプション) Azure AD から OCI IAM Identity Domains への ID 情報同期手順概要1. OCI IAM Identity Domains 側での SCIM インターフェース設定(機密アプリケーション登録)2. Azure AD 側でのプロビジョニング設定3. 動作確認アジェンダCopyright © 2022, Oracle and/or its affiliates3
OCI IAM Identity Domains と Azure AD との認証連携(外部 IDP 連携)Copyright © 2022, Oracle and/or its affiliates4本手順書は下記構成を実現するための Azure Active Directory (以下、Azure AD)と OCI IAM Identity Domains(以下、OCI IAM )との認証連携(外部 IdP 連携)設定手順書になります。※ 対象 Azure AD は構築済みとの前提となります。OCI IAMIdentity DomainsIdP SAML 認証連携(外部 IdP 連携)<オプション>Azure AD → OCI IAM ID 情報同期( Azure AD 側機能を利用)SP利用者Azure AD の ID / パスワードでログイン(Azure AD ログイン画面にリダイレクト)アプリアプリアプリIdPSPSPSPAzure AD の属性「 userPrincipalName 」とOCI IAM の属性「ユーザー名」でユーザーマッピングAzure Active Directory
手順概要Copyright © 2022, Oracle and/or its affiliates51. OCI IAM Identity Domains の SAML メタデータダウンロード2. Azure AD 側でのサービス・プロバイダの登録3. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダの登録4. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダアクティブ化5. 動作確認
1. OCI IAM Identity Domains の SAML メタデータダウンロードCopyright © 2022, Oracle and/or its affiliates6
1. OCI IAM Identity Domains の SAML メタデータダウンロードCopyright © 2022, Oracle and/or its affiliates71) OCI コンソール( https://www.oracle.com/jp/cloud/sign-in.html )にアクセスします。テナント名(クラウド・アカウント名)を入力し 「Next」 を選択します。アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメイン(今回は 「Default」 )を選択します。サインイン画面にて、 OCI 管理者の ID/ パスワードを入力し、 「サイン・イン」 を選択し OCI コンソールにログインします。※ ドメイン選択画面が表示されない環境は Default ドメインのみ存在する環境になり、自動的に“ Default ドメイン”にログインすることになります。※環境によりドメイン選択画面は表示されません。
1. OCI IAM Identity Domains の SAML メタデータダウンロードCopyright © 2022, Oracle and/or its affiliates82) 認証なしで SMAL メタデータをダウンロードできるように設定を変更します。OCI コンソール画面にて、左メニューより 「アイデンティティとセキュリティ」 ー 「アイデンティティ」 を選択します。3) アイデンティティ画面にて、 「ドメイン」 を選択し、コンパートメントに 「ルートコンパートメント」 を指定し、ドメインを選択します。(今回は 「Default」 ドメインを選択します。)※ 自身で作成した Identity Domain (ドメイン)に設定する場合にはその該当ドメインを選択します。
1. OCI IAM Identity Domains の SAML メタデータダウンロードCopyright © 2022, Oracle and/or its affiliates94) アイデンティティ・ドメイン画面にて、ドメイン URL をコピーし控えておき、左のメニューから 「設定」 を選択します。※ この URL は後続の手順で利用します。5) 設定画面にて、署名証明書へのアクセス部分の 「クライアント・アクセスの構成」 をチェックし、 「変更の保存」 を選択します。
1. OCI IAM Identity Domains の SAML メタデータダウンロードCopyright © 2022, Oracle and/or its affiliates106) ブラウザにて下記の URL にアクセスし、 SAML メタデータをダウンロードし、適当な場所に保存します。https://{Identity Domain の URL (項番1. OCI IAM Identity Domain の SAML メタデータダウンロード 4) で控えたURL )}/fed/v1/metadata
2. Azure AD 側でのサービス・プロバイダの登録Copyright © 2022, Oracle and/or its affiliates11
2. Azure AD 側でのサービス・プロバイダの登録Copyright © 2022, Oracle and/or its affiliates121) Azure ポータル( https://portal.azure.com )にアクセスします。マイクロソフト サインイン画面にて、 Azure AD 管理者の ID/ パスワードを入力し、 「サインイン」 を選択し、 Azure ポータルにログインします。
2. Azure AD 側でのサービス・プロバイダの登録Copyright © 2022, Oracle and/or its affiliates132) Azure ポータル画面で Azure Active Directory を選択します。※ 画面に Azure Active Directory が表示されていない場合は左メニューもしくは、検索し、 Azure Active Directory を指定します。3) Azure Active Directory 概要画面にて、左メニューから 「エンタープライズアプリケーション」 を選択します。
2. Azure AD 側でのサービス・プロバイダの登録Copyright © 2022, Oracle and/or its affiliates144) エンタープライズアプリケーション画面にて、 「新しいアプリケーション」 を選択します。5) Azure AD ギャラリーの参照にて、 「独自のアプリケーションの作成」 を選択します。
2. Azure AD 側でのサービス・プロバイダの登録Copyright © 2022, Oracle and/or its affiliates156) 独自のアプリケーションの作成画面にて、「お使いのアプリの名前は何ですか?」に適当な名前を設定し、 「作成」 を選択します。
2. Azure AD 側でのサービス・プロバイダの登録Copyright © 2022, Oracle and/or its affiliates167) 作成された エンタープライズアプリ画面の Getting Started から 「2.シングルサインオンの設定」 を選択します。8) シングルサインオン画面にて、 「SAML」 を選択します。
2. Azure AD 側でのサービス・プロバイダの登録Copyright © 2022, Oracle and/or its affiliates179) SAML ベースのサインオン画面にて、 「メタデータファイルをアップロードする」 を選択します。10) ファイル選択部分にて項番 1. OCI IAM Identity Domain の SAML メタデータダウンロード 6) にてダウンロードした OCI IAM のSAML メタデータファイルを指定し 「追加」 を選択します。
2. Azure AD 側でのサービス・プロバイダの登録Copyright © 2022, Oracle and/or its affiliates1811) 基本的な SAML 構成 画面が開きます。12) 基本的な SAML 構成 画面にて、「保存」 を選択し、「×」を選択し、画面を閉じます。
2. Azure AD 側でのサービス・プロバイダの登録Copyright © 2022, Oracle and/or its affiliates1913) 属性とクレームの 「編集」 を選択します。14) 属性とクレーム画面にて、クレーム名 「一意のユーザー識別子(名前 ID)」 を選択します。
2. Azure AD 側でのサービス・プロバイダの登録Copyright © 2022, Oracle and/or its affiliates2015) 要求の管理画面にて、名前識別子の形式を 「永続的」 に変更します。ソース属性が 「user.userprincipalname」 になっていることを確認し 「保存」 を選択し、この画面を閉じます。16) SAML ベースのサインオン画面にて、フェデレーションメタデータ XML の「ダウンロード」を選択し、メタデータをダウンロードし、適当な場所に保存します。 ※ このメタデータは後続の手順で利用します。
2. Azure AD 側でのサービス・プロバイダの登録Copyright © 2022, Oracle and/or its affiliates2117) Azure ポータルの Azure Active Directory 概要画面にて 「ユーザー」 を選択し、ユーザーを作成します。
2. Azure AD 側でのサービス・プロバイダの登録Copyright © 2022, Oracle and/or its affiliates2218) 作成したユーザーを、作成したOracle Cloud Infrastructure Console用アプリに割り当てをするため、 Azure ActiveDirectory 概要画面にて、左メニューから 「エンタープライズアプリケーション」 を選択します。19) すべてのアプリケーション画面にて、作成した Oracle Cloud Infrastructure Console 用アプリを選択します。
2. Azure AD 側でのサービス・プロバイダの登録Copyright © 2022, Oracle and/or its affiliates2320) 作成した Oracle Cloud Infrastructure Console アプリの画面の左メニューから 「ユーザーとグループ」 を選択し、 「ユーザーまたはグループの追加」 を選択します。21) ユーザー部分の 「選択されていません」 を選択し、右側ペインよりユーザーを選択し 「選択」 を選択します。
2. Azure AD 側でのサービス・プロバイダの登録Copyright © 2022, Oracle and/or its affiliates2422) 割り当ての追加画面にて、 「割り当て」 を選択します。23) ユーザーとグループ画面に割り当てを指定したユーザーが追加されている事を確認します。
3. OCI IAM Identity Domain側でのアイデンティティ・プロバイダの登録Copyright © 2022, Oracle and/or its affiliates25
3. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダの登録Copyright © 2022, Oracle and/or its affiliates261) OCI コンソール( https://www.oracle.com/jp/cloud/sign-in.html )にアクセスします。テナント名(クラウド・アカウント名)を入力し 「Next」 を選択します。アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメイン(今回は 「Default」 )を選択します。サインイン画面にて、 OCI 管理者の ID/ パスワードを入力し、 「サイン・イン」 を選択し OCI コンソールにログインします。※ ドメイン選択画面が表示されない環境は Default ドメインのみ存在する環境になり、自動的に“ Default ドメイン”にログインすることになります。※ 環境によりドメイン選択画面は表示されません。
3. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダの登録Copyright © 2022, Oracle and/or its affiliates272) OCI コンソール画面にて、左メニューより 「アイデンティティとセキュリティ」 ー 「アイデンティティ」 を選択します。3) アイデンティティ画面にて 「ドメイン」 を選択し、コンパートメントに 「ルートコンパートメント」 を指定し、ドメインを選択します。(今回は「Default」 ドメインを選択します。)※ 自身で作成した Identity Domain (ドメイン)に設定する場合にはその該当ドメインを選択します。
3. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダの登録Copyright © 2022, Oracle and/or its affiliates284) アイデンティティ・ドメイン画面にて、左メニューより、 「セキュリティ」 を選択します。5) セキュリティ画面にて、左メニューより、 「アイデンティティ・プロバイダ」 を選択し、 IdP の追加より 「SAML IdP の追加」 を選択します。
3. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダの登録Copyright © 2022, Oracle and/or its affiliates296) SAML アイデンティティ・プロバイダの追加画面にて、名前、説明に適当な値を入力し、 「次」 を選択します。7) IdP の構成にて、項番 2. Azure AD 側でのサービス・プロバイダの登録 16) にてダウンロードしたメタデータをアップロードし、 「次」 を選択します。
3. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダの登録Copyright © 2022, Oracle and/or its affiliates308) マップ属性にて、各項目に下記内容を指定し 「IdP の作成」 を選択します。・アイデンティティ・プロバイダ・ユーザー属性:名前 ID・アイデンティティ・ドメインユーザー属性:ユーザー名・リクエストされた NameID 形式:永続9) エクスポートにて、 「次」 を選択します。
3. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダの登録Copyright © 2022, Oracle and/or its affiliates3110) IdP のテストにて、 「次」 を選択します。11) IdP のアクティブ化にて、 「終了」 を選択します。12) セキュリティ画面のアイデンティティ・プロバイダ( IdP )にて、先ほど作成したアイデンティティ・プロバイダ(名称:Azure AD )が非アクティブ状態で追加されたことを確認します。
4. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダのアクティブ化Copyright © 2022, Oracle and/or its affiliates32
4. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダのアクティブ化Copyright © 2022, Oracle and/or its affiliates331) 項番 2. Azure AD 側でのサービス・プロバイダの登録 17) にて Azure AD 上で作成したユーザーと同一のユーザーを OCI IAMIdentity Domains 側で作成します。※ Azure AD 属性:ユーザープリンシパル名と OCI IAM 属性:ユーザー名が同じ値になるようにします。アイデンティティ・ドメイン画面にて、左メニューから 「ユーザー」 を選択し、 「ユーザーの作成」 を選択します。ユーザー名が Azure AD 属性のユーザープリンシパル名と同一になるように値を入力し、 「作成」 を選択します。
4. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダのアクティブ化Copyright © 2022, Oracle and/or its affiliates342) アイデンティティ・ドメイン画面の左メニューから 「セキュリティ」 を選択します。3) セキュリティ画面にてアイデンティティ・プロバイダを選択し、項番 3. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダの登録 12) で作成したアイデンティティプロバイダの右のマークを選択し、 「IdP の編集」 を選択します。
4. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダのアクティブ化Copyright © 2022, Oracle and/or its affiliates354) アイデンティティ・プロバイダ編集画面にて 「ログインのテスト」 を選択します。5) マイクロソフト サインイン画面にて、項番 2. Azure AD 側でのサービス・プロバイダの登録 17) にて Azure AD 上で作成したユーザーID/ パスワードを入力し、 「サインイン」 を選択します。接続に成功した旨のメッセージが表示されることを確認します。
4. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダのアクティブ化Copyright © 2022, Oracle and/or its affiliates366) アイデンティティ・プロバイダ編集画面にて 「取消」 を選択します。7) 項番 3. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダの登録 12) で作成したアイデンティティプロバイダの右のマークを選択し、 「IdP のアクティブ化」 を選択します。
4. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダのアクティブ化Copyright © 2022, Oracle and/or its affiliates378) アイデンティティ・プロバイダのアクティブ化の確認にて 「IdP のアクティブ化」 を選択します。9) 項番 3. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダの登録 12) で作成したアイデンティティプロバイダがアクティブ化済みになったことを確認します。
4. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダのアクティブ化Copyright © 2022, Oracle and/or its affiliates3810) OCI コンソールにログインする際、今回、作成したアイデンティティプロバイダ( Azure AD )を IdP として利用できるようにするため IdP ポリシーの定義を行います。セキュリティ画面 の左メニューから 「IdP ポリシー」 を選択し、 「Default Identity Provider Policy」 を選択します。11) Default Identity Provider Policy 画面にて、 「IdP ルールの追加」 を選択します。※Default Identity Provider Policy には「 Default IdP Rule 」というルールがあらかじめ作成されています。この「 Default IdP Rule 」を直接編集することも可能ですが、運用の中でデフォルトの状態に戻す場合などを想定し、「 Default IdP Rule 」は編集せずにデフォルトの状態のままにしておくことをお勧めします。
4. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダのアクティブ化Copyright © 2022, Oracle and/or its affiliates3912) アイデンティティ・プロバイダ・ルールの追加画面にて、ルール名に適当な値を指定し、アイデンティティ・プロバイダの割当て部分にて今回、作成したアイデンティティプロバイダ( Azure AD )と 「Username-Password」 を選択し、 「IdP ルールの追加」 を選択します。13) Default Identity Provider Policy 画面にて、作成した IdP ルールが追加されている事を確認し、 「優先度の編集」 を選択します。※アイデンティティ・プロバイダに設定した 「Username-Password」 はアイデンティティ・ドメインのローカル認証のことを指します。
4. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダのアクティブ化Copyright © 2022, Oracle and/or its affiliates4014) IdP ルール優先度の編集画面にて、左側の優先度列にある上下矢印を選択し、今回、作成したアイデンティティプロバイダ( Azure AD )の優先度を 「1」 に設定し、 「変更の保存」 を選択します。15) 作成したアイデンティティプロバイダ( Azure AD )の優先度が 「1」 になっている事を確認します。
5. 動作確認Copyright © 2022, Oracle and/or its affiliates41
5. 動作確認Copyright © 2022, Oracle and/or its affiliates421) OCI コンソール( https://www.oracle.com/jp/cloud/sign-in.html )にアクセスします。テナント名(クラウド・アカウント名)を入力し、 「Next」 を選択します。アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメイン(今回は 「Default」 )を選択します。※ ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“ Default ドメイン”にログインすることになります。2) アイデンティティ・ドメインのログイン画面の下部に今回作成した、 アイデンティティ・プロバイダ( Azure AD )が表示され選択ができることを確認し、 「アイデンティティ・プロバイダ( Azure AD )」 を選択します。※ 環境によりドメイン選択画面は表示されません。
5. 動作確認Copyright © 2022, Oracle and/or its affiliates433) マイクロソフトのサインイン画面にて、項番 2. Azure AD 側でのサービス・プロバイダの登録 17) にて Azure AD 上で作成したユーザー ID/ パスワードを入力し、 「サインイン」 を選択します。OCI コンソールにサインしたユーザーで接続できていることを確認します。
(オプション)Azure AD から OCI IAM Identity Domains への ID 情報同期Copyright © 2022, Oracle and/or its affiliates44
(オプション) Azure AD から OCI IAM Identity Domains への ID 情報同期Copyright © 2022, Oracle and/or its affiliates45Azure AD との SAML 認証連携(外部 IdP 連携)を利用する場合、Azure AD の ID 情報を OCI IAM Identity Domainsへ同期することで ID 管理を効率よく行うことが可能です。本手順では Azure AD が用意しているプロビジョニング機能により Azure AD の ID 情報を OCI IAM Identity Domains へ同期するための手順をまとめています。参考資料: https://docs.microsoft.com/ja-jp/azure/active-directory/saas-apps/oracle-cloud-infrastructure-console-provisioning-tutorialOCI IAMIdentity DomainsIdP SAML 認証連携(外部 IdP 連携)<オプション>Azure AD → OCI IAM ID 情報同期(Azure AD 側機能を利用)SPアプリアプリアプリIdPSPSPSPAzure AD の属性「userPrincipalName」とOCI IAM の属性「ユーザー名」でユーザーマッピングAzure Active Directory
手順概要Copyright © 2022, Oracle and/or its affiliates461. OCI IAM Identity Domains 側での SCIM インターフェース設定(機密アプリケーション登録)2. Azure AD 側でのプロビジョニング設定3. 動作確認
1. OCI IAM Identity Domains 側での SCIM インターフェース設定(機密アプリケーション登録)Copyright © 2022, Oracle and/or its affiliates47
1. OCI IAM Identity Domains 側での SCIM インターフェース設定(機密アプリケーション登録)Copyright © 2022, Oracle and/or its affiliates481) OCI コンソール( https://www.oracle.com/jp/cloud/sign-in.html )にアクセスします。テナント名(クラウド・アカウント名)を入力し 「Next」 を選択します。アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメイン(今回は 「Default」 )を選択します。サインイン画面にて、OCI 管理者の ID/ パスワードを入力し、 「サイン・イン」 を選択し OCI コンソールにログインします。※ドメイン選択画面が表示されない環境は Default ドメインのみ存在する環境になり、自動的に“ Default ドメイン”にログインすることになります。※環境によりドメイン選択画面は表示されません。
1. OCI IAM Identity Domains 側での SCIM インターフェース設定(機密アプリケーション登録)Copyright © 2022, Oracle and/or its affiliates492) OCI コンソール画面にて、左メニューより 「アイデンティティとセキュリティ」 ー 「アイデンティティ」 を選択します。3) アイデンティティ画面にて、 「ドメイン」 を選択し、コンパートメントに 「ルートコンパートメント」 を指定し、ドメインを選択します。(今回は「Default」 ドメインを選択します。)※自身で作成した Identity Domain (ドメイン)に設定する場合にはその該当ドメインを選択します。
1. OCI IAM Identity Domains 側での SCIM インターフェース設定(機密アプリケーション登録)Copyright © 2022, Oracle and/or its affiliates504) アイデンティティ・ドメイン画面にて、ドメイン URL をコピーし控えておき、左のメニューから 「アプリケーション」 を選択します。※この URL は後続の手順で利用します。5) アイデンティティ・ドメイン画面にて、 「アプリケーションの追加」 を選択します。
1. OCI IAM Identity Domains 側での SCIM インターフェース設定(機密アプリケーション登録)Copyright © 2022, Oracle and/or its affiliates516) アプリケーションの追加画面にて 「機密アプリケーション」 を選択し、 「ワークフローの起動」 を選択します。7) 機密アプリケーションの追加画面にて 「名前」 と 「説明」 に適当な値を指定し、 「次」 を選択します。
1. OCI IAM Identity Domains 側での SCIM インターフェース設定(機密アプリケーション登録)Copyright © 2022, Oracle and/or its affiliates528) 機密アプリケーションの追加画面にて、クライアント構成部分にて 「このアプリケーションをクライアントとして今すぐ構成します」 をチェックします。認可部分の権限付与タイプにて 「クライアント資格証明」 、 「 JWT アサーション」 、 「リフレッシュ・トークン」 、 「認可コード」 をチェックします。リダイレクト URL に 「https://localhost/callback」 と指定します。画面を下にスクロールし、トークン発行ポリシー部分にて 「特定」 をチェックします。「アプリケーション・ロールの追加」 をチェックし、 「ロールの追加」 を選択します。
1. OCI IAM Identity Domains 側での SCIM インターフェース設定(機密アプリケーション登録)Copyright © 2022, Oracle and/or its affiliates539) アプリケーション・ロールの追加画面にて 「Identity Domain Administrator」 をチェックし、 「追加」 を選択します。10) アプリケーション・ロールに 「Identity Domain Administrator」 が追加されたことを確認し、 「次」 を選択します。
1. OCI IAM Identity Domains 側での SCIM インターフェース設定(機密アプリケーション登録)Copyright © 2022, Oracle and/or its affiliates5411) Web層ポリシー部分にて 「スキップして後で実行」 をチェックし、 「終了」 を選択します。12) 作成した機密アプリケーションの画面にて 「アクティブ化」 を選択します。
1. OCI IAM Identity Domains 側での SCIM インターフェース設定(機密アプリケーション登録)Copyright © 2022, Oracle and/or its affiliates5513) アプリケーションのアクティブ化画面にて 「アプリケーションのアクティブ化」 を選択します。14) 作成した機密アプリケーションがアクティブ化されたことを確認します。OAuth 構成の一般情報にある 「クライアント ID」 と 「クライアント・シークレット」 をコピーし控えます。
1. OCI IAM Identity Domains 側での SCIM インターフェース設定(機密アプリケーション登録)Copyright © 2022, Oracle and/or its affiliates5615) PC 上でテキストエディタを開き、控えた 「クライアント ID」 と 「クライアント・シークレット」 を以下の形式で作成し保存します。クライアントID:クライアント・シークレット※作成時に改行がされていない事にご注意ください。16) PC 上でコマンドプロンプトを開き、以下のコマンドを実行し、上記で作成したファイル(クライアント ID:クライアント・シークレット)をBase64 でエンコードします。certutil -encode {上記にて作成したテキストファイル名} {Base64エンコード後のファイル名}※エンコードされたデータは後続の手順で利用します。
2. Azure AD 側でのプロビジョニング設定Copyright © 2022, Oracle and/or its affiliates57
2. Azure AD 側でのプロビジョニング設定Copyright © 2022, Oracle and/or its affiliates581) Azure ポータル(https://portal.azure.com)にアクセスします。マイクロソフト サインイン画面にて、 Azure AD 管理者の ID/ パスワードを入力し、 「サインイン」 を選択し、 Azure ポータルにログインします。
2. Azure AD 側でのプロビジョニング設定Copyright © 2022, Oracle and/or its affiliates592) Azure ポータル画面で Azure Active Directory を選択します。※画面に Azure Active Directory が表示されていない場合は左メニューもしくは、検索し、 Azure Active Directory を指定します。3) Azure Active Directory 概要画面にて、左メニューから 「エンタープライズアプリケーション」 を選択します。
2. Azure AD 側でのプロビジョニング設定Copyright © 2022, Oracle and/or its affiliates604) エンタープライズアプリケーション画面にて、 前章の項番 2. Azure AD 側でのサービス・プロバイダの登録 6) で作成したエンタープライズアプリケーションを選択します。※ 本章では、前章で作成したエンタープライズアプリケーション上で設定を行っておりますが、初めてテストする場合は、別のエンタープライズアプリケーションを作成することをお勧めします。5) Oracle Cloud Infrastructure Console アプリ画面の左メニューから 「プロビジョニング」 を選択し、 「作業の開始」 を選択します。
2. Azure AD 側でのプロビジョニング設定Copyright © 2022, Oracle and/or its affiliates616) プロビジョニング画面にてプロビジョニングモードを 「自動」 に指定します。管理者資格情報を以下の様に指定し、「テスト接続」を選択します。・テナントのURL:項番1.Oracle Identity Cloud Service 側での SCIMインターフェース設定(機密アプリケーション登録)4) で控えたテナントの OCI IAM Default ドメインの URL< OCI IAM Default ドメインの URL >/admin/v1例) https://idcs-xxxx.identity.oraclecloud.com/admin/v1・シークレット・トークン:項番1. Oracle Identity Cloud Service 側での SCIMインターフェース設定(機密アプリケーション登録)16) でBase64 エンコードした「クライアントID:クライアント・シークレット」の値から生成された値※Base64 エンコードしたファイルを開き、途中の改行は削除した値をコピーします。
2. Azure AD 側でのプロビジョニング設定Copyright © 2022, Oracle and/or its affiliates627) テスト接続が成功したメッセージが表示されることを確認します。プロビジョニング画面にて、「保存」 を選択します。
2. Azure AD 側でのプロビジョニング設定Copyright © 2022, Oracle and/or its affiliates638) プロビジョニング画面にて、マッピングの 「Provisioning Azure Active Directory Groups」 と 「ProvisioningAzure Active Directory Users」 を選択し、必要に応じて属性マッピング定義を編集します。※ OCI IAM Identity Domains でユーザー作成時に入力必須となっている 「ユーザー名」 、 「姓」 、 「メールアドレス」 には値が入るように属性のマッピング設定を行います。
2. Azure AD 側でのプロビジョニング設定Copyright © 2022, Oracle and/or its affiliates649) プロビジョニング画面にて、設定の範囲に 「割り当てられたユーザーとグループのみを同期する」 を選択します。※ 「割り当てられたユーザーとグループのみを同期する」 でエンタープライスアプリケーションに割り当てられたユーザーまたはグループが同期されます。プロビジョニング状態を 「オン」 にし、 「保存」 を選択します。
3. 動作確認Copyright © 2022, Oracle and/or its affiliates65
3. 動作確認Copyright © 2022, Oracle and/or its affiliates661) Azure ポータル の Azure AD のメニューから 「エンタープライズアプリケーション」 を選択します。2) エンタープライズアプリケーション画面にて、前章で作成した Oracle Cloud Infrastructure Console アプリケーションを選択します。
3. 動作確認Copyright © 2022, Oracle and/or its affiliates673) エンタープライズアプリケーションの概要画面にて 「ユーザーとグループ」 を選択します。エンタープライズアプリケーションのユーザーとグループ画面にて 「ユーザーまたはグループの追加」 を選択し同期したいユーザーまたはグループを追加します。
3. 動作確認Copyright © 2022, Oracle and/or its affiliates684) 左側のメニューより 「プロビジョニング」 を選択し、同期が行われている事を確認します。※「プロビジョニングの停止」 を選択し、 「プロビジョニングの開始」 を選択すると同期が実行されます。「プロビジョニングログの表示」 を選択すると、追加したユーザーやグループがプロビジョニングのログを確認する事ができます。