Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OCI IAM Identity Domains Azure ADとの認証連携設定手順 / Identity Domain Federation settings with AzureAD
Search
oracle4engineer
PRO
August 12, 2022
Technology
0
710
OCI IAM Identity Domains Azure ADとの認証連携設定手順 / Identity Domain Federation settings with AzureAD
OCI IAM Identity Domainの外部IdPとしてAzure ADを利用するための設定手順書(認証連携+ID情報連携)になります。
oracle4engineer
PRO
August 12, 2022
Tweet
Share
More Decks by oracle4engineer
See All by oracle4engineer
Oracle Database 性能分析入門
oracle4engineer
PRO
1
30
[自動バックアップのコスト比較]リカバリ・サービス (RCV/ZRCV) とオブジェクト・ストレージ
oracle4engineer
PRO
1
190
Oracle Cloud Infrastructure:2024年4月度サービス・アップデート
oracle4engineer
PRO
1
180
シン・Kafka / shin-kafka
oracle4engineer
PRO
8
2.8k
Autonomous Database Cloud 技術詳細 / adb-s_technical_detail_jp
oracle4engineer
PRO
14
35k
Oracleデータベースって何だ!?
oracle4engineer
PRO
4
270
Oracle Exadata Database Service on Cloud@Customer (ExaDB-C@C) - UI スクリーン・キャプチャ集
oracle4engineer
PRO
2
1.1k
Exadata Database Service on Dedicated Infrastructure(ExaDB-D) UI スクリーン・キャプチャ集
oracle4engineer
PRO
2
1.5k
Oracle Cloud Infrastructure:2024年3月度サービス・アップデート
oracle4engineer
PRO
2
290
Other Decks in Technology
See All in Technology
[PlatformCon 24] Platform Orchestrators: The Missing Middle of Internal Developer Platforms?
danielbryantuk
1
820
Google Cloud の AI を支える裏側のインフラを垣間見る!
maroon1st
0
320
Algyan イベント振り返り
linyixian
0
200
HEXA OSINT CTF V3 作戦会議
meow_noisy
0
130
MapLibreとAmazon Location Service
dayjournal
1
140
Terraformあれやこれ/terraform-this-and-that
emiki
8
1.3k
よく聞くけど使ったことないソフトウェアNo.1 KafkaとSnowflake
foursue
4
320
チームでロジカルシンキングに改めて向き合っている話 〜学習環境と実践⽅法〜
sansantech
PRO
0
360
Reducing Cross-Zone Egress at Spotify with Custom gRPC Load Balancing Recap
koh_naga
0
190
KubeCon EU 2024 Recap “Kubernetes Policy Time Machine: Where to Next?”
ryysud
0
190
検証を通して見えてきたTiDBの性能特性
lycorptech_jp
PRO
6
3.7k
エンジニアのキャリアをちょっと楽しくする3本の軸/Three Pillars to Make an Engineer's Career More Enjoyable
kwappa
0
2.5k
Featured
See All Featured
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
220
21k
Designing on Purpose - Digital PM Summit 2013
jponch
110
6.4k
Building Effective Engineering Teams - LeadDev
addyosmani
28
1.8k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
6
990
The Invisible Customer
myddelton
114
12k
Adopting Sorbet at Scale
ufuk
67
8.6k
Docker and Python
trallard
33
2.7k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
20
1.6k
Fantastic passwords and where to find them - at NoRuKo
philnash
36
2.5k
Build your cross-platform service in a week with App Engine
jlugia
225
17k
GitHub's CSS Performance
jonrohan
1024
450k
Rails Girls Zürich Keynote
gr2m
91
13k
Transcript
OCI IAM Identity Domains Azure AD との認証連携(外部 IdP 連携)・ID 同期
設定手順 日本オラクル株式会社 2022 年 8 月 10 日
Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、 情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以 下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買 決定を行う際の判断材料になさらないで下さい。 オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊 社の裁量により決定され、変更される可能性があります。 Copyright
© 2022, Oracle and/or its affiliates 2
OCI IAM Identity Domains と Azure AD との認証連携(外部 IDP 連携)
手順概要 1. OCI IAM Identity Domains の SAML メタデータダウンロード 2. Azure AD 側でのサービス・プロバイダの登録 3. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダの登録 4. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダアクティブ化 5. 動作確認 (オプション) Azure AD から OCI IAM Identity Domains への ID 情報同期 手順概要 1. OCI IAM Identity Domains 側での SCIM インターフェース設定(機密アプリケーション登録) 2. Azure AD 側でのプロビジョニング設定 3. 動作確認 アジェンダ Copyright © 2022, Oracle and/or its affiliates 3
OCI IAM Identity Domains と Azure AD との認証連携 (外部 IDP
連携) Copyright © 2022, Oracle and/or its affiliates 4 本手順書は下記構成を実現するための Azure Active Directory (以下、Azure AD)と OCI IAM Identity Domains (以下、OCI IAM )との認証連携(外部 IdP 連携)設定手順書になります。 ※ 対象 Azure AD は構築済みとの前提となります。 OCI IAM Identity Domains IdP SAML 認証連携(外部 IdP 連携) <オプション> Azure AD → OCI IAM ID 情報同期 ( Azure AD 側機能を利用) SP 利用者 Azure AD の ID / パスワードでログイン (Azure AD ログイン画面にリダイレクト) アプリ アプリ アプリ IdP SP SP SP Azure AD の属性「 userPrincipalName 」と OCI IAM の属性「ユーザー名」でユーザーマッピング Azure Active Directory
手順概要 Copyright © 2022, Oracle and/or its affiliates 5 1.
OCI IAM Identity Domains の SAML メタデータダウンロード 2. Azure AD 側でのサービス・プロバイダの登録 3. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダの登録 4. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダアクティブ化 5. 動作確認
1. OCI IAM Identity Domains の SAML メタデータダウンロード Copyright ©
2022, Oracle and/or its affiliates 6
1. OCI IAM Identity Domains の SAML メタデータダウンロード Copyright ©
2022, Oracle and/or its affiliates 7 1) OCI コンソール( https://www.oracle.com/jp/cloud/sign-in.html )にアクセスします。 テナント名(クラウド・アカウント名)を入力し 「Next」 を選択します。 アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメイン(今回は 「Default」 )を選択します。 サインイン画面にて、 OCI 管理者の ID/ パスワードを入力し、 「サイン・イン」 を選択し OCI コンソールにログインします。 ※ ドメイン選択画面が表示されない環境は Default ドメインのみ存在する環境になり、自動的に“ Default ドメイン”にログインすることになります。 ※環境によりドメイン選択画面は表示されません。
1. OCI IAM Identity Domains の SAML メタデータダウンロード Copyright ©
2022, Oracle and/or its affiliates 8 2) 認証なしで SMAL メタデータをダウンロードできるように設定を変更します。 OCI コンソール画面にて、左メニューより 「アイデンティティとセキュリティ」 ー 「アイデンティティ」 を選択します。 3) アイデンティティ画面にて、 「ドメイン」 を選択し、コンパートメントに 「ルートコンパートメント」 を指定し、ドメインを選択します。 (今回は 「Default」 ドメインを選択します。) ※ 自身で作成した Identity Domain (ドメイン)に設定する場合にはその該当ドメインを選択します。
1. OCI IAM Identity Domains の SAML メタデータダウンロード Copyright ©
2022, Oracle and/or its affiliates 9 4) アイデンティティ・ドメイン画面にて、ドメイン URL をコピーし控えておき、左のメニューから 「設定」 を選択します。 ※ この URL は後続の手順で利用します。 5) 設定画面にて、署名証明書へのアクセス部分の 「クライアント・アクセスの構成」 をチェックし、 「変更の保存」 を選択します。
1. OCI IAM Identity Domains の SAML メタデータダウンロード Copyright ©
2022, Oracle and/or its affiliates 10 6) ブラウザにて下記の URL にアクセスし、 SAML メタデータをダウンロードし、適当な場所に保存します。 https://{Identity Domain の URL (項番1. OCI IAM Identity Domain の SAML メタデータダウンロード 4) で控えた URL )}/fed/v1/metadata
2. Azure AD 側でのサービス・プロバイダの登録 Copyright © 2022, Oracle and/or its
affiliates 11
2. Azure AD 側でのサービス・プロバイダの登録 Copyright © 2022, Oracle and/or its
affiliates 12 1) Azure ポータル( https://portal.azure.com )にアクセスします。 マイクロソフト サインイン画面にて、 Azure AD 管理者の ID/ パスワードを入力し、 「サインイン」 を選択し、 Azure ポータルにログイン します。
2. Azure AD 側でのサービス・プロバイダの登録 Copyright © 2022, Oracle and/or its
affiliates 13 2) Azure ポータル画面で Azure Active Directory を選択します。 ※ 画面に Azure Active Directory が表示されていない場合は左メニューもしくは、検索し、 Azure Active Directory を指定 します。 3) Azure Active Directory 概要画面にて、左メニューから 「エンタープライズアプリケーション」 を選択します。
2. Azure AD 側でのサービス・プロバイダの登録 Copyright © 2022, Oracle and/or its
affiliates 14 4) エンタープライズアプリケーション画面にて、 「新しいアプリケーション」 を選択します。 5) Azure AD ギャラリーの参照にて、 「独自のアプリケーションの作成」 を選択します。
2. Azure AD 側でのサービス・プロバイダの登録 Copyright © 2022, Oracle and/or its
affiliates 15 6) 独自のアプリケーションの作成画面にて、「お使いのアプリの名前は何ですか?」に適当な名前を設定し、 「作成」 を選択します。
2. Azure AD 側でのサービス・プロバイダの登録 Copyright © 2022, Oracle and/or its
affiliates 16 7) 作成された エンタープライズアプリ画面の Getting Started から 「2.シングルサインオンの設定」 を選択します。 8) シングルサインオン画面にて、 「SAML」 を選択します。
2. Azure AD 側でのサービス・プロバイダの登録 Copyright © 2022, Oracle and/or its
affiliates 17 9) SAML ベースのサインオン画面にて、 「メタデータファイルをアップロードする」 を選択します。 10) ファイル選択部分にて項番 1. OCI IAM Identity Domain の SAML メタデータダウンロード 6) にてダウンロードした OCI IAM の SAML メタデータファイルを指定し 「追加」 を選択します。
2. Azure AD 側でのサービス・プロバイダの登録 Copyright © 2022, Oracle and/or its
affiliates 18 11) 基本的な SAML 構成 画面が開きます。 12) 基本的な SAML 構成 画面にて、「保存」 を選択し、「×」を選択し、画面を閉じます。
2. Azure AD 側でのサービス・プロバイダの登録 Copyright © 2022, Oracle and/or its
affiliates 19 13) 属性とクレームの 「編集」 を選択します。 14) 属性とクレーム画面にて、クレーム名 「一意のユーザー識別子(名前 ID)」 を選択します。
2. Azure AD 側でのサービス・プロバイダの登録 Copyright © 2022, Oracle and/or its
affiliates 20 15) 要求の管理画面にて、名前識別子の形式を 「永続的」 に変更します。 ソース属性が 「user.userprincipalname」 になっていることを確認し 「保存」 を選択し、この画面を閉じます。 16) SAML ベースのサインオン画面にて、フェデレーションメタデータ XML の「ダウンロード」を選択し、メタデータをダウンロードし、適当な場所 に保存します。 ※ このメタデータは後続の手順で利用します。
2. Azure AD 側でのサービス・プロバイダの登録 Copyright © 2022, Oracle and/or its
affiliates 21 17) Azure ポータルの Azure Active Directory 概要画面にて 「ユーザー」 を選択し、ユーザーを作成します。
2. Azure AD 側でのサービス・プロバイダの登録 Copyright © 2022, Oracle and/or its
affiliates 22 18) 作成したユーザーを、作成したOracle Cloud Infrastructure Console用アプリに割り当てをするため、 Azure Active Directory 概要画面にて、左メニューから 「エンタープライズアプリケーション」 を選択します。 19) すべてのアプリケーション画面にて、作成した Oracle Cloud Infrastructure Console 用アプリを選択します。
2. Azure AD 側でのサービス・プロバイダの登録 Copyright © 2022, Oracle and/or its
affiliates 23 20) 作成した Oracle Cloud Infrastructure Console アプリの画面の左メニューから 「ユーザーとグループ」 を選択し、 「ユーザーまた はグループの追加」 を選択します。 21) ユーザー部分の 「選択されていません」 を選択し、右側ペインよりユーザーを選択し 「選択」 を選択します。
2. Azure AD 側でのサービス・プロバイダの登録 Copyright © 2022, Oracle and/or its
affiliates 24 22) 割り当ての追加画面にて、 「割り当て」 を選択します。 23) ユーザーとグループ画面に割り当てを指定したユーザーが追加されている事を確認します。
3. OCI IAM Identity Domain側でのアイデンティティ・プロバイダの登録 Copyright © 2022, Oracle and/or
its affiliates 25
3. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダの登録 Copyright © 2022, Oracle
and/or its affiliates 26 1) OCI コンソール( https://www.oracle.com/jp/cloud/sign-in.html )にアクセスします。 テナント名(クラウド・アカウント名)を入力し 「Next」 を選択します。 アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメイン(今回は 「Default」 )を選択します。 サインイン画面にて、 OCI 管理者の ID/ パスワードを入力し、 「サイン・イン」 を選択し OCI コンソールにログインします。 ※ ドメイン選択画面が表示されない環境は Default ドメインのみ存在する環境になり、自動的に“ Default ドメイン”にログインすることになります。 ※ 環境によりドメイン選択画面は表示されません。
3. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダの登録 Copyright © 2022, Oracle
and/or its affiliates 27 2) OCI コンソール画面にて、左メニューより 「アイデンティティとセキュリティ」 ー 「アイデンティティ」 を選択します。 3) アイデンティティ画面にて 「ドメイン」 を選択し、コンパートメントに 「ルートコンパートメント」 を指定し、ドメインを選択します。(今回は 「Default」 ドメインを選択します。) ※ 自身で作成した Identity Domain (ドメイン)に設定する場合にはその該当ドメインを選択します。
3. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダの登録 Copyright © 2022, Oracle
and/or its affiliates 28 4) アイデンティティ・ドメイン画面にて、左メニューより、 「セキュリティ」 を選択します。 5) セキュリティ画面にて、左メニューより、 「アイデンティティ・プロバイダ」 を選択し、 IdP の追加より 「SAML IdP の追加」 を選択します。
3. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダの登録 Copyright © 2022, Oracle
and/or its affiliates 29 6) SAML アイデンティティ・プロバイダの追加画面にて、名前、説明に適当な値を入力し、 「次」 を選択します。 7) IdP の構成にて、項番 2. Azure AD 側でのサービス・プロバイダの登録 16) にてダウンロードしたメタデータをアップロードし、 「次」 を 選択します。
3. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダの登録 Copyright © 2022, Oracle
and/or its affiliates 30 8) マップ属性にて、各項目に下記内容を指定し 「IdP の作成」 を選択します。 ・アイデンティティ・プロバイダ・ユーザー属性:名前 ID ・アイデンティティ・ドメインユーザー属性:ユーザー名 ・リクエストされた NameID 形式:永続 9) エクスポートにて、 「次」 を選択します。
3. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダの登録 Copyright © 2022, Oracle
and/or its affiliates 31 10) IdP のテストにて、 「次」 を選択します。 11) IdP のアクティブ化にて、 「終了」 を選択します。 12) セキュリティ画面のアイデンティティ・プロバイダ( IdP )にて、先ほど作成したアイデンティティ・プロバイダ(名称:Azure AD )が 非アクティブ状態で追加されたことを確認します。
4. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダのアクティブ化 Copyright © 2022, Oracle
and/or its affiliates 32
4. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダのアクティブ化 Copyright © 2022, Oracle
and/or its affiliates 33 1) 項番 2. Azure AD 側でのサービス・プロバイダの登録 17) にて Azure AD 上で作成したユーザーと同一のユーザーを OCI IAM Identity Domains 側で作成します。 ※ Azure AD 属性:ユーザープリンシパル名と OCI IAM 属性:ユーザー名が同じ値になるようにします。 アイデンティティ・ドメイン画面にて、左メニューから 「ユーザー」 を選択し、 「ユーザーの作成」 を選択します。 ユーザー名が Azure AD 属性のユーザープリンシパル名と同一になるように値を入力し、 「作成」 を選択します。
4. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダのアクティブ化 Copyright © 2022, Oracle
and/or its affiliates 34 2) アイデンティティ・ドメイン画面の左メニューから 「セキュリティ」 を選択します。 3) セキュリティ画面にてアイデンティティ・プロバイダを選択し、項番 3. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダの 登録 12) で作成したアイデンティティプロバイダの右のマークを選択し、 「IdP の編集」 を選択します。
4. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダのアクティブ化 Copyright © 2022, Oracle
and/or its affiliates 35 4) アイデンティティ・プロバイダ編集画面にて 「ログインのテスト」 を選択します。 5) マイクロソフト サインイン画面にて、項番 2. Azure AD 側でのサービス・プロバイダの登録 17) にて Azure AD 上で作成したユーザー ID/ パスワードを入力し、 「サインイン」 を選択します。 接続に成功した旨のメッセージが表示されることを確認します。
4. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダのアクティブ化 Copyright © 2022, Oracle
and/or its affiliates 36 6) アイデンティティ・プロバイダ編集画面にて 「取消」 を選択します。 7) 項番 3. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダの登録 12) で作成したアイデンティティプロバイダの右の マークを選択し、 「IdP のアクティブ化」 を選択します。
4. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダのアクティブ化 Copyright © 2022, Oracle
and/or its affiliates 37 8) アイデンティティ・プロバイダのアクティブ化の確認にて 「IdP のアクティブ化」 を選択します。 9) 項番 3. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダの登録 12) で作成したアイデンティティプロバイダが アクティブ化済みになったことを確認します。
4. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダのアクティブ化 Copyright © 2022, Oracle
and/or its affiliates 38 10) OCI コンソールにログインする際、今回、作成したアイデンティティプロバイダ( Azure AD )を IdP として利用できるようにする ため IdP ポリシーの定義を行います。 セキュリティ画面 の左メニューから 「IdP ポリシー」 を選択し、 「Default Identity Provider Policy」 を選択します。 11) Default Identity Provider Policy 画面にて、 「IdP ルールの追加」 を選択します。 ※Default Identity Provider Policy には「 Default IdP Rule 」というルールがあらかじめ作成されています。 この「 Default IdP Rule 」を直接編集することも可能ですが、運用の中でデフォルトの状態に戻す場合など を想定し、「 Default IdP Rule 」は編集せずにデフォルトの状態のままにしておくことをお勧めします。
4. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダのアクティブ化 Copyright © 2022, Oracle
and/or its affiliates 39 12) アイデンティティ・プロバイダ・ルールの追加画面にて、ルール名に適当な値を指定し、アイデンティティ・プロバイダの割当て部分にて 今回、作成したアイデンティティプロバイダ( Azure AD )と 「Username-Password」 を選択し、 「IdP ルールの追加」 を選択 します。 13) Default Identity Provider Policy 画面にて、作成した IdP ルールが追加されている事を確認し、 「優先度の編集」 を選択しま す。 ※アイデンティティ・プロバイダに設定した 「Username-Password」 は アイデンティティ・ドメインのローカル認証のことを指します。
4. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダのアクティブ化 Copyright © 2022, Oracle
and/or its affiliates 40 14) IdP ルール優先度の編集画面にて、左側の優先度列にある上下矢印を選択し、今回、作成したアイデンティティプロバイダ ( Azure AD )の優先度を 「1」 に設定し、 「変更の保存」 を選択します。 15) 作成したアイデンティティプロバイダ( Azure AD )の優先度が 「1」 になっている事を確認します。
5. 動作確認 Copyright © 2022, Oracle and/or its affiliates 41
5. 動作確認 Copyright © 2022, Oracle and/or its affiliates 42
1) OCI コンソール( https://www.oracle.com/jp/cloud/sign-in.html )にアクセスします。 テナント名(クラウド・アカウント名)を入力し、 「Next」 を選択します。 アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメイン(今回は 「Default」 )を選択します。 ※ ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“ Default ドメイン”にログインすることになります。 2) アイデンティティ・ドメインのログイン画面の下部に今回作成した、 アイデンティティ・プロバイダ( Azure AD )が表示され選択ができる ことを確認し、 「アイデンティティ・プロバイダ( Azure AD )」 を選択します。 ※ 環境によりドメイン選択画面は表示されません。
5. 動作確認 Copyright © 2022, Oracle and/or its affiliates 43
3) マイクロソフトのサインイン画面にて、項番 2. Azure AD 側でのサービス・プロバイダの登録 17) にて Azure AD 上で作成した ユーザー ID/ パスワードを入力し、 「サインイン」 を選択します。 OCI コンソールにサインしたユーザーで接続できていることを確認します。
(オプション) Azure AD から OCI IAM Identity Domains への ID
情報同期 Copyright © 2022, Oracle and/or its affiliates 44
(オプション) Azure AD から OCI IAM Identity Domains への ID
情報同期 Copyright © 2022, Oracle and/or its affiliates 45 Azure AD との SAML 認証連携(外部 IdP 連携)を利用する場合、Azure AD の ID 情報を OCI IAM Identity Domains へ同期することで ID 管理を効率よく行うことが可能です。 本手順では Azure AD が用意しているプロビジョニング機能により Azure AD の ID 情報を OCI IAM Identity Domains へ同期 するための手順をまとめています。 参考資料: https://docs.microsoft.com/ja-jp/azure/active-directory/saas-apps/oracle-cloud-infrastructure-console-provisioning-tutorial OCI IAM Identity Domains IdP SAML 認証連携(外部 IdP 連携) <オプション> Azure AD → OCI IAM ID 情報同期 (Azure AD 側機能を利用) SP アプリ アプリ アプリ IdP SP SP SP Azure AD の属性「userPrincipalName」と OCI IAM の属性「ユーザー名」でユーザーマッピング Azure Active Directory
手順概要 Copyright © 2022, Oracle and/or its affiliates 46 1.
OCI IAM Identity Domains 側での SCIM インターフェース設定(機密アプリケーション登録) 2. Azure AD 側でのプロビジョニング設定 3. 動作確認
1. OCI IAM Identity Domains 側での SCIM インターフェース設定 (機密アプリケーション登録) Copyright
© 2022, Oracle and/or its affiliates 47
1. OCI IAM Identity Domains 側での SCIM インターフェース設定 (機密アプリケーション登録) Copyright
© 2022, Oracle and/or its affiliates 48 1) OCI コンソール( https://www.oracle.com/jp/cloud/sign-in.html )にアクセスします。 テナント名(クラウド・アカウント名)を入力し 「Next」 を選択します。 アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメイン(今回は 「Default」 )を選択します。 サインイン画面にて、OCI 管理者の ID/ パスワードを入力し、 「サイン・イン」 を選択し OCI コンソールにログインします。 ※ドメイン選択画面が表示されない環境は Default ドメインのみ存在する環境になり、自動的に“ Default ドメイン”にログインすることになります。 ※環境によりドメイン選択画面は表示されません。
1. OCI IAM Identity Domains 側での SCIM インターフェース設定 (機密アプリケーション登録) Copyright
© 2022, Oracle and/or its affiliates 49 2) OCI コンソール画面にて、左メニューより 「アイデンティティとセキュリティ」 ー 「アイデンティティ」 を選択します。 3) アイデンティティ画面にて、 「ドメイン」 を選択し、コンパートメントに 「ルートコンパートメント」 を指定し、ドメインを選択します。(今回は 「Default」 ドメインを選択します。) ※自身で作成した Identity Domain (ドメイン)に設定する場合にはその該当ドメインを選択します。
1. OCI IAM Identity Domains 側での SCIM インターフェース設定 (機密アプリケーション登録) Copyright
© 2022, Oracle and/or its affiliates 50 4) アイデンティティ・ドメイン画面にて、ドメイン URL をコピーし控えておき、左のメニューから 「アプリケーション」 を選択します。 ※この URL は後続の手順で利用します。 5) アイデンティティ・ドメイン画面にて、 「アプリケーションの追加」 を選択します。
1. OCI IAM Identity Domains 側での SCIM インターフェース設定 (機密アプリケーション登録) Copyright
© 2022, Oracle and/or its affiliates 51 6) アプリケーションの追加画面にて 「機密アプリケーション」 を選択し、 「ワークフローの起動」 を選択します。 7) 機密アプリケーションの追加画面にて 「名前」 と 「説明」 に適当な値を指定し、 「次」 を選択します。
1. OCI IAM Identity Domains 側での SCIM インターフェース設定 (機密アプリケーション登録) Copyright
© 2022, Oracle and/or its affiliates 52 8) 機密アプリケーションの追加画面にて、クライアント構成部分にて 「このアプリケーションをクライアントとして今すぐ構成します」 をチェックしま す。 認可部分の権限付与タイプにて 「クライアント資格証明」 、 「 JWT アサーション」 、 「リフレッシュ・トークン」 、 「認可コード」 をチェックし ます。 リダイレクト URL に 「https://localhost/callback」 と指定します。 画面を下にスクロールし、トークン発行ポリシー部分にて 「特定」 をチェックします。 「アプリケーション・ロールの追加」 をチェックし、 「ロールの追加」 を選択します。
1. OCI IAM Identity Domains 側での SCIM インターフェース設定 (機密アプリケーション登録) Copyright
© 2022, Oracle and/or its affiliates 53 9) アプリケーション・ロールの追加画面にて 「Identity Domain Administrator」 をチェックし、 「追加」 を選択します。 10) アプリケーション・ロールに 「Identity Domain Administrator」 が追加されたことを確認し、 「次」 を選択します。
1. OCI IAM Identity Domains 側での SCIM インターフェース設定 (機密アプリケーション登録) Copyright
© 2022, Oracle and/or its affiliates 54 11) Web層ポリシー部分にて 「スキップして後で実行」 をチェックし、 「終了」 を選択します。 12) 作成した機密アプリケーションの画面にて 「アクティブ化」 を選択します。
1. OCI IAM Identity Domains 側での SCIM インターフェース設定 (機密アプリケーション登録) Copyright
© 2022, Oracle and/or its affiliates 55 13) アプリケーションのアクティブ化画面にて 「アプリケーションのアクティブ化」 を選択します。 14) 作成した機密アプリケーションがアクティブ化されたことを確認します。 OAuth 構成の一般情報にある 「クライアント ID」 と 「クライアント・シークレット」 をコピーし控えます。
1. OCI IAM Identity Domains 側での SCIM インターフェース設定 (機密アプリケーション登録) Copyright
© 2022, Oracle and/or its affiliates 56 15) PC 上でテキストエディタを開き、控えた 「クライアント ID」 と 「クライアント・シークレット」 を以下の形式で作成し保存します。 クライアントID:クライアント・シークレット ※作成時に改行がされていない事にご注意ください。 16) PC 上でコマンドプロンプトを開き、以下のコマンドを実行し、上記で作成したファイル(クライアント ID:クライアント・シークレット)を Base64 でエンコードします。 certutil -encode {上記にて作成したテキストファイル名} {Base64エンコード後のファイル名} ※エンコードされたデータは後続の手順で利用します。
2. Azure AD 側でのプロビジョニング設定 Copyright © 2022, Oracle and/or its
affiliates 57
2. Azure AD 側でのプロビジョニング設定 Copyright © 2022, Oracle and/or its
affiliates 58 1) Azure ポータル(https://portal.azure.com)にアクセスします。 マイクロソフト サインイン画面にて、 Azure AD 管理者の ID/ パスワードを入力し、 「サインイン」 を選択し、 Azure ポータルにログイン します。
2. Azure AD 側でのプロビジョニング設定 Copyright © 2022, Oracle and/or its
affiliates 59 2) Azure ポータル画面で Azure Active Directory を選択します。 ※画面に Azure Active Directory が表示されていない場合は左メニューもしくは、検索し、 Azure Active Directory を指定 します。 3) Azure Active Directory 概要画面にて、左メニューから 「エンタープライズアプリケーション」 を選択します。
2. Azure AD 側でのプロビジョニング設定 Copyright © 2022, Oracle and/or its
affiliates 60 4) エンタープライズアプリケーション画面にて、 前章の項番 2. Azure AD 側でのサービス・プロバイダの登録 6) で作成したエンタープライズ アプリケーションを選択します。 ※ 本章では、前章で作成したエンタープライズアプリケーション上で設定を行っておりますが、初めてテストする場合は、別のエンタープライ ズアプリケーションを作成することをお勧めします。 5) Oracle Cloud Infrastructure Console アプリ画面の左メニューから 「プロビジョニング」 を選択し、 「作業の開始」 を選択します。
2. Azure AD 側でのプロビジョニング設定 Copyright © 2022, Oracle and/or its
affiliates 61 6) プロビジョニング画面にてプロビジョニングモードを 「自動」 に指 定します。 管理者資格情報を以下の様に指定し、「テスト接続」を選択 します。 ・テナントのURL: 項番1.Oracle Identity Cloud Service 側での SCIM インターフェース設定(機密アプリケーション登録)4) で控え たテナントの OCI IAM Default ドメインの URL < OCI IAM Default ドメインの URL >/admin/v1 例) https://idcs-xxxx.identity. oraclecloud.com/admin/v1 ・シークレット・トークン: 項番1. Oracle Identity Cloud Service 側での SCIM インターフェース設定(機密アプリケーション登録)16) で Base64 エンコードした「クライアントID:クライアント・シーク レット」の値から生成された値 ※Base64 エンコードしたファイルを開き、途中の改行は削除 した値をコピーします。
2. Azure AD 側でのプロビジョニング設定 Copyright © 2022, Oracle and/or its
affiliates 62 7) テスト接続が成功したメッセージが表示されることを確認します。 プロビジョニング画面にて、「保存」 を選択します。
2. Azure AD 側でのプロビジョニング設定 Copyright © 2022, Oracle and/or its
affiliates 63 8) プロビジョニング画面にて、マッピングの 「Provisioning Azure Active Directory Groups」 と 「Provisioning Azure Active Directory Users」 を選択し、必要に応じて属性マッピング定義を編集します。 ※ OCI IAM Identity Domains でユーザー作成時に入力必須となっている 「ユーザー名」 、 「姓」 、 「メールアドレス」 には値が入 るように属性のマッピング設定を行います。
2. Azure AD 側でのプロビジョニング設定 Copyright © 2022, Oracle and/or its
affiliates 64 9) プロビジョニング画面にて、設定の範囲に 「割り当てられたユーザーとグループのみを同期する」 を選択します。 ※ 「割り当てられたユーザーとグループのみを同期する」 でエンタープライスアプリケーションに割り当てられたユーザーまたはグループが 同期されます。 プロビジョニング状態を 「オン」 にし、 「保存」 を選択します。
3. 動作確認 Copyright © 2022, Oracle and/or its affiliates 65
3. 動作確認 Copyright © 2022, Oracle and/or its affiliates 66
1) Azure ポータル の Azure AD のメニューから 「エンタープライズアプリケーション」 を選択します。 2) エンタープライズアプリケーション画面にて、前章で作成した Oracle Cloud Infrastructure Console アプリケーションを選択します。
3. 動作確認 Copyright © 2022, Oracle and/or its affiliates 67
3) エンタープライズアプリケーションの概要画面にて 「ユーザーとグループ」 を選択します。 エンタープライズアプリケーションのユーザーとグループ画面にて 「ユーザーまたはグループの追加」 を選択し同期したいユーザーまたはグルー プを追加します。
3. 動作確認 Copyright © 2022, Oracle and/or its affiliates 68
4) 左側のメニューより 「プロビジョニング」 を選択し、同期が行われている事を確認します。 ※「プロビジョニングの停止」 を選択し、 「プロビジョニングの開始」 を選択すると同期が実行されます。 「プロビジョニングログの表示」 を選択すると、追加したユーザーやグループがプロビジョニングのログを確認する事ができます。
None