Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OCI IAM Identity Domains Azure ADとの認証連携設定手順 / Identity Domain Federation settings with AzureAD

OCI IAM Identity Domains Azure ADとの認証連携設定手順 / Identity Domain Federation settings with AzureAD

OCI IAM Identity Domainの外部IdPとしてAzure ADを利用するための設定手順書(認証連携+ID情報連携)になります。

oracle4engineer
PRO

August 12, 2022
Tweet

More Decks by oracle4engineer

Other Decks in Technology

Transcript

  1. OCI IAM Identity Domains
    Azure AD との認証連携(外部 IdP 連携)・ID 同期
    設定手順
    日本オラクル株式会社
    2022 年 8 月 10 日

    View Slide

  2. Safe harbor statement
    以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、
    情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以
    下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買
    決定を行う際の判断材料になさらないで下さい。
    オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊
    社の裁量により決定され、変更される可能性があります。
    Copyright © 2022, Oracle and/or its affiliates
    2

    View Slide

  3. OCI IAM Identity Domains と Azure AD との認証連携(外部 IDP 連携)
    手順概要
    1. OCI IAM Identity Domains の SAML メタデータダウンロード
    2. Azure AD 側でのサービス・プロバイダの登録
    3. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダの登録
    4. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダアクティブ化
    5. 動作確認
    (オプション) Azure AD から OCI IAM Identity Domains への ID 情報同期
    手順概要
    1. OCI IAM Identity Domains 側での SCIM インターフェース設定(機密アプリケーション登録)
    2. Azure AD 側でのプロビジョニング設定
    3. 動作確認
    アジェンダ
    Copyright © 2022, Oracle and/or its affiliates
    3

    View Slide

  4. OCI IAM Identity Domains と Azure AD との認証連携
    (外部 IDP 連携)
    Copyright © 2022, Oracle and/or its affiliates
    4
    本手順書は下記構成を実現するための Azure Active Directory (以下、Azure AD)と OCI IAM Identity Domains
    (以下、OCI IAM )との認証連携(外部 IdP 連携)設定手順書になります。
    ※ 対象 Azure AD は構築済みとの前提となります。
    OCI IAM
    Identity Domains
    IdP SAML 認証連携(外部 IdP 連携)
    <オプション>
    Azure AD → OCI IAM ID 情報同期
    ( Azure AD 側機能を利用)
    SP
    利用者
    Azure AD の ID / パスワードでログイン
    (Azure AD ログイン画面にリダイレクト)
    アプリ
    アプリ
    アプリ
    IdP
    SP
    SP
    SP
    Azure AD の属性「 userPrincipalName 」と
    OCI IAM の属性「ユーザー名」でユーザーマッピング
    Azure Active Directory

    View Slide

  5. 手順概要
    Copyright © 2022, Oracle and/or its affiliates
    5
    1. OCI IAM Identity Domains の SAML メタデータダウンロード
    2. Azure AD 側でのサービス・プロバイダの登録
    3. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダの登録
    4. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダアクティブ化
    5. 動作確認

    View Slide

  6. 1. OCI IAM Identity Domains の SAML メタデータダウンロード
    Copyright © 2022, Oracle and/or its affiliates
    6

    View Slide

  7. 1. OCI IAM Identity Domains の SAML メタデータダウンロード
    Copyright © 2022, Oracle and/or its affiliates
    7
    1) OCI コンソール( https://www.oracle.com/jp/cloud/sign-in.html )にアクセスします。
    テナント名(クラウド・アカウント名)を入力し 「Next」 を選択します。
    アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメイン(今回は 「Default」 )を選択します。
    サインイン画面にて、 OCI 管理者の ID/ パスワードを入力し、 「サイン・イン」 を選択し OCI コンソールにログインします。
    ※ ドメイン選択画面が表示されない環境は Default ドメインのみ存在する環境になり、自動的に“ Default ドメイン”にログインすることになります。
    ※環境によりドメイン選択画面は表示されません。

    View Slide

  8. 1. OCI IAM Identity Domains の SAML メタデータダウンロード
    Copyright © 2022, Oracle and/or its affiliates
    8
    2) 認証なしで SMAL メタデータをダウンロードできるように設定を変更します。
    OCI コンソール画面にて、左メニューより 「アイデンティティとセキュリティ」 ー 「アイデンティティ」 を選択します。
    3) アイデンティティ画面にて、 「ドメイン」 を選択し、コンパートメントに 「ルートコンパートメント」 を指定し、ドメインを選択します。
    (今回は 「Default」 ドメインを選択します。)
    ※ 自身で作成した Identity Domain (ドメイン)に設定する場合にはその該当ドメインを選択します。

    View Slide

  9. 1. OCI IAM Identity Domains の SAML メタデータダウンロード
    Copyright © 2022, Oracle and/or its affiliates
    9
    4) アイデンティティ・ドメイン画面にて、ドメイン URL をコピーし控えておき、左のメニューから 「設定」 を選択します。
    ※ この URL は後続の手順で利用します。
    5) 設定画面にて、署名証明書へのアクセス部分の 「クライアント・アクセスの構成」 をチェックし、 「変更の保存」 を選択します。

    View Slide

  10. 1. OCI IAM Identity Domains の SAML メタデータダウンロード
    Copyright © 2022, Oracle and/or its affiliates
    10
    6) ブラウザにて下記の URL にアクセスし、 SAML メタデータをダウンロードし、適当な場所に保存します。
    https://{Identity Domain の URL (項番1. OCI IAM Identity Domain の SAML メタデータダウンロード 4) で控えた
    URL )}/fed/v1/metadata

    View Slide

  11. 2. Azure AD 側でのサービス・プロバイダの登録
    Copyright © 2022, Oracle and/or its affiliates
    11

    View Slide

  12. 2. Azure AD 側でのサービス・プロバイダの登録
    Copyright © 2022, Oracle and/or its affiliates
    12
    1) Azure ポータル( https://portal.azure.com )にアクセスします。
    マイクロソフト サインイン画面にて、 Azure AD 管理者の ID/ パスワードを入力し、 「サインイン」 を選択し、 Azure ポータルにログイン
    します。

    View Slide

  13. 2. Azure AD 側でのサービス・プロバイダの登録
    Copyright © 2022, Oracle and/or its affiliates
    13
    2) Azure ポータル画面で Azure Active Directory を選択します。
    ※ 画面に Azure Active Directory が表示されていない場合は左メニューもしくは、検索し、 Azure Active Directory を指定
    します。
    3) Azure Active Directory 概要画面にて、左メニューから 「エンタープライズアプリケーション」 を選択します。

    View Slide

  14. 2. Azure AD 側でのサービス・プロバイダの登録
    Copyright © 2022, Oracle and/or its affiliates
    14
    4) エンタープライズアプリケーション画面にて、 「新しいアプリケーション」 を選択します。
    5) Azure AD ギャラリーの参照にて、 「独自のアプリケーションの作成」 を選択します。

    View Slide

  15. 2. Azure AD 側でのサービス・プロバイダの登録
    Copyright © 2022, Oracle and/or its affiliates
    15
    6) 独自のアプリケーションの作成画面にて、「お使いのアプリの名前は何ですか?」に適当な名前を設定し、 「作成」 を選択します。

    View Slide

  16. 2. Azure AD 側でのサービス・プロバイダの登録
    Copyright © 2022, Oracle and/or its affiliates
    16
    7) 作成された エンタープライズアプリ画面の Getting Started から 「2.シングルサインオンの設定」 を選択します。
    8) シングルサインオン画面にて、 「SAML」 を選択します。

    View Slide

  17. 2. Azure AD 側でのサービス・プロバイダの登録
    Copyright © 2022, Oracle and/or its affiliates
    17
    9) SAML ベースのサインオン画面にて、 「メタデータファイルをアップロードする」 を選択します。
    10) ファイル選択部分にて項番 1. OCI IAM Identity Domain の SAML メタデータダウンロード 6) にてダウンロードした OCI IAM の
    SAML メタデータファイルを指定し 「追加」 を選択します。

    View Slide

  18. 2. Azure AD 側でのサービス・プロバイダの登録
    Copyright © 2022, Oracle and/or its affiliates
    18
    11) 基本的な SAML 構成 画面が開きます。
    12) 基本的な SAML 構成 画面にて、「保存」 を選択し、「×」を選択し、画面を閉じます。

    View Slide

  19. 2. Azure AD 側でのサービス・プロバイダの登録
    Copyright © 2022, Oracle and/or its affiliates
    19
    13) 属性とクレームの 「編集」 を選択します。
    14) 属性とクレーム画面にて、クレーム名 「一意のユーザー識別子(名前 ID)」 を選択します。

    View Slide

  20. 2. Azure AD 側でのサービス・プロバイダの登録
    Copyright © 2022, Oracle and/or its affiliates
    20
    15) 要求の管理画面にて、名前識別子の形式を 「永続的」 に変更します。
    ソース属性が 「user.userprincipalname」 になっていることを確認し 「保存」 を選択し、この画面を閉じます。
    16) SAML ベースのサインオン画面にて、フェデレーションメタデータ XML の「ダウンロード」を選択し、メタデータをダウンロードし、適当な場所
    に保存します。 ※ このメタデータは後続の手順で利用します。

    View Slide

  21. 2. Azure AD 側でのサービス・プロバイダの登録
    Copyright © 2022, Oracle and/or its affiliates
    21
    17) Azure ポータルの Azure Active Directory 概要画面にて 「ユーザー」 を選択し、ユーザーを作成します。

    View Slide

  22. 2. Azure AD 側でのサービス・プロバイダの登録
    Copyright © 2022, Oracle and/or its affiliates
    22
    18) 作成したユーザーを、作成したOracle Cloud Infrastructure Console用アプリに割り当てをするため、 Azure Active
    Directory 概要画面にて、左メニューから 「エンタープライズアプリケーション」 を選択します。
    19) すべてのアプリケーション画面にて、作成した Oracle Cloud Infrastructure Console 用アプリを選択します。

    View Slide

  23. 2. Azure AD 側でのサービス・プロバイダの登録
    Copyright © 2022, Oracle and/or its affiliates
    23
    20) 作成した Oracle Cloud Infrastructure Console アプリの画面の左メニューから 「ユーザーとグループ」 を選択し、 「ユーザーまた
    はグループの追加」 を選択します。
    21) ユーザー部分の 「選択されていません」 を選択し、右側ペインよりユーザーを選択し 「選択」 を選択します。

    View Slide

  24. 2. Azure AD 側でのサービス・プロバイダの登録
    Copyright © 2022, Oracle and/or its affiliates
    24
    22) 割り当ての追加画面にて、 「割り当て」 を選択します。
    23) ユーザーとグループ画面に割り当てを指定したユーザーが追加されている事を確認します。

    View Slide

  25. 3. OCI IAM Identity Domain側でのアイデンティティ・プロバイダの登録
    Copyright © 2022, Oracle and/or its affiliates
    25

    View Slide

  26. 3. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダの登録
    Copyright © 2022, Oracle and/or its affiliates
    26
    1) OCI コンソール( https://www.oracle.com/jp/cloud/sign-in.html )にアクセスします。
    テナント名(クラウド・アカウント名)を入力し 「Next」 を選択します。
    アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメイン(今回は 「Default」 )を選択します。
    サインイン画面にて、 OCI 管理者の ID/ パスワードを入力し、 「サイン・イン」 を選択し OCI コンソールにログインします。
    ※ ドメイン選択画面が表示されない環境は Default ドメインのみ存在する環境になり、自動的に“ Default ドメイン”にログインすることになります。
    ※ 環境によりドメイン選択画面は表示されません。

    View Slide

  27. 3. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダの登録
    Copyright © 2022, Oracle and/or its affiliates
    27
    2) OCI コンソール画面にて、左メニューより 「アイデンティティとセキュリティ」 ー 「アイデンティティ」 を選択します。
    3) アイデンティティ画面にて 「ドメイン」 を選択し、コンパートメントに 「ルートコンパートメント」 を指定し、ドメインを選択します。(今回は
    「Default」 ドメインを選択します。)
    ※ 自身で作成した Identity Domain (ドメイン)に設定する場合にはその該当ドメインを選択します。

    View Slide

  28. 3. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダの登録
    Copyright © 2022, Oracle and/or its affiliates
    28
    4) アイデンティティ・ドメイン画面にて、左メニューより、 「セキュリティ」 を選択します。
    5) セキュリティ画面にて、左メニューより、 「アイデンティティ・プロバイダ」 を選択し、 IdP の追加より 「SAML IdP の追加」 を選択します。

    View Slide

  29. 3. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダの登録
    Copyright © 2022, Oracle and/or its affiliates
    29
    6) SAML アイデンティティ・プロバイダの追加画面にて、名前、説明に適当な値を入力し、 「次」 を選択します。
    7) IdP の構成にて、項番 2. Azure AD 側でのサービス・プロバイダの登録 16) にてダウンロードしたメタデータをアップロードし、 「次」 を
    選択します。

    View Slide

  30. 3. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダの登録
    Copyright © 2022, Oracle and/or its affiliates
    30
    8) マップ属性にて、各項目に下記内容を指定し 「IdP の作成」 を選択します。
    ・アイデンティティ・プロバイダ・ユーザー属性:名前 ID
    ・アイデンティティ・ドメインユーザー属性:ユーザー名
    ・リクエストされた NameID 形式:永続
    9) エクスポートにて、 「次」 を選択します。

    View Slide

  31. 3. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダの登録
    Copyright © 2022, Oracle and/or its affiliates
    31
    10) IdP のテストにて、 「次」 を選択します。
    11) IdP のアクティブ化にて、 「終了」 を選択します。
    12) セキュリティ画面のアイデンティティ・プロバイダ( IdP )にて、先ほど作成したアイデンティティ・プロバイダ(名称:Azure AD )が
    非アクティブ状態で追加されたことを確認します。

    View Slide

  32. 4. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダのアクティブ化
    Copyright © 2022, Oracle and/or its affiliates
    32

    View Slide

  33. 4. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダのアクティブ化
    Copyright © 2022, Oracle and/or its affiliates
    33
    1) 項番 2. Azure AD 側でのサービス・プロバイダの登録 17) にて Azure AD 上で作成したユーザーと同一のユーザーを OCI IAM
    Identity Domains 側で作成します。
    ※ Azure AD 属性:ユーザープリンシパル名と OCI IAM 属性:ユーザー名が同じ値になるようにします。
    アイデンティティ・ドメイン画面にて、左メニューから 「ユーザー」 を選択し、 「ユーザーの作成」 を選択します。
    ユーザー名が Azure AD 属性のユーザープリンシパル名と同一になるように値を入力し、 「作成」 を選択します。

    View Slide

  34. 4. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダのアクティブ化
    Copyright © 2022, Oracle and/or its affiliates
    34
    2) アイデンティティ・ドメイン画面の左メニューから 「セキュリティ」 を選択します。
    3) セキュリティ画面にてアイデンティティ・プロバイダを選択し、項番 3. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダの
    登録 12) で作成したアイデンティティプロバイダの右のマークを選択し、 「IdP の編集」 を選択します。

    View Slide

  35. 4. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダのアクティブ化
    Copyright © 2022, Oracle and/or its affiliates
    35
    4) アイデンティティ・プロバイダ編集画面にて 「ログインのテスト」 を選択します。
    5) マイクロソフト サインイン画面にて、項番 2. Azure AD 側でのサービス・プロバイダの登録 17) にて Azure AD 上で作成したユーザー
    ID/ パスワードを入力し、 「サインイン」 を選択します。
    接続に成功した旨のメッセージが表示されることを確認します。

    View Slide

  36. 4. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダのアクティブ化
    Copyright © 2022, Oracle and/or its affiliates
    36
    6) アイデンティティ・プロバイダ編集画面にて 「取消」 を選択します。
    7) 項番 3. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダの登録 12) で作成したアイデンティティプロバイダの右の
    マークを選択し、 「IdP のアクティブ化」 を選択します。

    View Slide

  37. 4. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダのアクティブ化
    Copyright © 2022, Oracle and/or its affiliates
    37
    8) アイデンティティ・プロバイダのアクティブ化の確認にて 「IdP のアクティブ化」 を選択します。
    9) 項番 3. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダの登録 12) で作成したアイデンティティプロバイダが
    アクティブ化済みになったことを確認します。

    View Slide

  38. 4. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダのアクティブ化
    Copyright © 2022, Oracle and/or its affiliates
    38
    10) OCI コンソールにログインする際、今回、作成したアイデンティティプロバイダ( Azure AD )を IdP として利用できるようにする
    ため IdP ポリシーの定義を行います。
    セキュリティ画面 の左メニューから 「IdP ポリシー」 を選択し、 「Default Identity Provider Policy」 を選択します。
    11) Default Identity Provider Policy 画面にて、 「IdP ルールの追加」 を選択します。
    ※Default Identity Provider Policy には「 Default IdP Rule 」というルールがあらかじめ作成されています。
    この「 Default IdP Rule 」を直接編集することも可能ですが、運用の中でデフォルトの状態に戻す場合など
    を想定し、「 Default IdP Rule 」は編集せずにデフォルトの状態のままにしておくことをお勧めします。

    View Slide

  39. 4. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダのアクティブ化
    Copyright © 2022, Oracle and/or its affiliates
    39
    12) アイデンティティ・プロバイダ・ルールの追加画面にて、ルール名に適当な値を指定し、アイデンティティ・プロバイダの割当て部分にて
    今回、作成したアイデンティティプロバイダ( Azure AD )と 「Username-Password」 を選択し、 「IdP ルールの追加」 を選択
    します。
    13) Default Identity Provider Policy 画面にて、作成した IdP ルールが追加されている事を確認し、 「優先度の編集」 を選択しま
    す。
    ※アイデンティティ・プロバイダに設定した 「Username-Password」 は
    アイデンティティ・ドメインのローカル認証のことを指します。

    View Slide

  40. 4. OCI IAM Identity Domains 側でのアイデンティティ・プロバイダのアクティブ化
    Copyright © 2022, Oracle and/or its affiliates
    40
    14) IdP ルール優先度の編集画面にて、左側の優先度列にある上下矢印を選択し、今回、作成したアイデンティティプロバイダ
    ( Azure AD )の優先度を 「1」 に設定し、 「変更の保存」 を選択します。
    15) 作成したアイデンティティプロバイダ( Azure AD )の優先度が 「1」 になっている事を確認します。

    View Slide

  41. 5. 動作確認
    Copyright © 2022, Oracle and/or its affiliates
    41

    View Slide

  42. 5. 動作確認
    Copyright © 2022, Oracle and/or its affiliates
    42
    1) OCI コンソール( https://www.oracle.com/jp/cloud/sign-in.html )にアクセスします。
    テナント名(クラウド・アカウント名)を入力し、 「Next」 を選択します。
    アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメイン(今回は 「Default」 )を選択します。
    ※ ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“ Default ドメイン”にログインすることになります。
    2) アイデンティティ・ドメインのログイン画面の下部に今回作成した、 アイデンティティ・プロバイダ( Azure AD )が表示され選択ができる
    ことを確認し、 「アイデンティティ・プロバイダ( Azure AD )」 を選択します。
    ※ 環境によりドメイン選択画面は表示されません。

    View Slide

  43. 5. 動作確認
    Copyright © 2022, Oracle and/or its affiliates
    43
    3) マイクロソフトのサインイン画面にて、項番 2. Azure AD 側でのサービス・プロバイダの登録 17) にて Azure AD 上で作成した
    ユーザー ID/ パスワードを入力し、 「サインイン」 を選択します。
    OCI コンソールにサインしたユーザーで接続できていることを確認します。

    View Slide

  44. (オプション)
    Azure AD から OCI IAM Identity Domains への ID 情報同期
    Copyright © 2022, Oracle and/or its affiliates
    44

    View Slide

  45. (オプション) Azure AD から OCI IAM Identity Domains への ID 情報同期
    Copyright © 2022, Oracle and/or its affiliates
    45
    Azure AD との SAML 認証連携(外部 IdP 連携)を利用する場合、Azure AD の ID 情報を OCI IAM Identity Domains
    へ同期することで ID 管理を効率よく行うことが可能です。
    本手順では Azure AD が用意しているプロビジョニング機能により Azure AD の ID 情報を OCI IAM Identity Domains へ同期
    するための手順をまとめています。
    参考資料: https://docs.microsoft.com/ja-jp/azure/active-directory/saas-apps/oracle-cloud-infrastructure-console-provisioning-tutorial
    OCI IAM
    Identity Domains
    IdP SAML 認証連携(外部 IdP 連携)
    <オプション>
    Azure AD → OCI IAM ID 情報同期
    (Azure AD 側機能を利用)
    SP
    アプリ
    アプリ
    アプリ
    IdP
    SP
    SP
    SP
    Azure AD の属性「userPrincipalName」と
    OCI IAM の属性「ユーザー名」でユーザーマッピング
    Azure Active Directory

    View Slide

  46. 手順概要
    Copyright © 2022, Oracle and/or its affiliates
    46
    1. OCI IAM Identity Domains 側での SCIM インターフェース設定(機密アプリケーション登録)
    2. Azure AD 側でのプロビジョニング設定
    3. 動作確認

    View Slide

  47. 1. OCI IAM Identity Domains 側での SCIM インターフェース設定
    (機密アプリケーション登録)
    Copyright © 2022, Oracle and/or its affiliates
    47

    View Slide

  48. 1. OCI IAM Identity Domains 側での SCIM インターフェース設定
    (機密アプリケーション登録)
    Copyright © 2022, Oracle and/or its affiliates
    48
    1) OCI コンソール( https://www.oracle.com/jp/cloud/sign-in.html )にアクセスします。
    テナント名(クラウド・アカウント名)を入力し 「Next」 を選択します。
    アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメイン(今回は 「Default」 )を選択します。
    サインイン画面にて、OCI 管理者の ID/ パスワードを入力し、 「サイン・イン」 を選択し OCI コンソールにログインします。
    ※ドメイン選択画面が表示されない環境は Default ドメインのみ存在する環境になり、自動的に“ Default ドメイン”にログインすることになります。
    ※環境によりドメイン選択画面は表示されません。

    View Slide

  49. 1. OCI IAM Identity Domains 側での SCIM インターフェース設定
    (機密アプリケーション登録)
    Copyright © 2022, Oracle and/or its affiliates
    49
    2) OCI コンソール画面にて、左メニューより 「アイデンティティとセキュリティ」 ー 「アイデンティティ」 を選択します。
    3) アイデンティティ画面にて、 「ドメイン」 を選択し、コンパートメントに 「ルートコンパートメント」 を指定し、ドメインを選択します。(今回は
    「Default」 ドメインを選択します。)
    ※自身で作成した Identity Domain (ドメイン)に設定する場合にはその該当ドメインを選択します。

    View Slide

  50. 1. OCI IAM Identity Domains 側での SCIM インターフェース設定
    (機密アプリケーション登録)
    Copyright © 2022, Oracle and/or its affiliates
    50
    4) アイデンティティ・ドメイン画面にて、ドメイン URL をコピーし控えておき、左のメニューから 「アプリケーション」 を選択します。
    ※この URL は後続の手順で利用します。
    5) アイデンティティ・ドメイン画面にて、 「アプリケーションの追加」 を選択します。

    View Slide

  51. 1. OCI IAM Identity Domains 側での SCIM インターフェース設定
    (機密アプリケーション登録)
    Copyright © 2022, Oracle and/or its affiliates
    51
    6) アプリケーションの追加画面にて 「機密アプリケーション」 を選択し、 「ワークフローの起動」 を選択します。
    7) 機密アプリケーションの追加画面にて 「名前」 と 「説明」 に適当な値を指定し、 「次」 を選択します。

    View Slide

  52. 1. OCI IAM Identity Domains 側での SCIM インターフェース設定
    (機密アプリケーション登録)
    Copyright © 2022, Oracle and/or its affiliates
    52
    8) 機密アプリケーションの追加画面にて、クライアント構成部分にて 「このアプリケーションをクライアントとして今すぐ構成します」 をチェックしま
    す。
    認可部分の権限付与タイプにて 「クライアント資格証明」 、 「 JWT アサーション」 、 「リフレッシュ・トークン」 、 「認可コード」 をチェックし
    ます。
    リダイレクト URL に 「https://localhost/callback」 と指定します。
    画面を下にスクロールし、トークン発行ポリシー部分にて 「特定」 をチェックします。
    「アプリケーション・ロールの追加」 をチェックし、 「ロールの追加」 を選択します。

    View Slide

  53. 1. OCI IAM Identity Domains 側での SCIM インターフェース設定
    (機密アプリケーション登録)
    Copyright © 2022, Oracle and/or its affiliates
    53
    9) アプリケーション・ロールの追加画面にて 「Identity Domain Administrator」 をチェックし、 「追加」 を選択します。
    10) アプリケーション・ロールに 「Identity Domain Administrator」 が追加されたことを確認し、 「次」 を選択します。

    View Slide

  54. 1. OCI IAM Identity Domains 側での SCIM インターフェース設定
    (機密アプリケーション登録)
    Copyright © 2022, Oracle and/or its affiliates
    54
    11) Web層ポリシー部分にて 「スキップして後で実行」 をチェックし、 「終了」 を選択します。
    12) 作成した機密アプリケーションの画面にて 「アクティブ化」 を選択します。

    View Slide

  55. 1. OCI IAM Identity Domains 側での SCIM インターフェース設定
    (機密アプリケーション登録)
    Copyright © 2022, Oracle and/or its affiliates
    55
    13) アプリケーションのアクティブ化画面にて 「アプリケーションのアクティブ化」 を選択します。
    14) 作成した機密アプリケーションがアクティブ化されたことを確認します。
    OAuth 構成の一般情報にある 「クライアント ID」 と 「クライアント・シークレット」 をコピーし控えます。

    View Slide

  56. 1. OCI IAM Identity Domains 側での SCIM インターフェース設定
    (機密アプリケーション登録)
    Copyright © 2022, Oracle and/or its affiliates
    56
    15) PC 上でテキストエディタを開き、控えた 「クライアント ID」 と 「クライアント・シークレット」 を以下の形式で作成し保存します。
    クライアントID:クライアント・シークレット
    ※作成時に改行がされていない事にご注意ください。
    16) PC 上でコマンドプロンプトを開き、以下のコマンドを実行し、上記で作成したファイル(クライアント ID:クライアント・シークレット)を
    Base64 でエンコードします。
    certutil -encode {上記にて作成したテキストファイル名} {Base64エンコード後のファイル名}
    ※エンコードされたデータは後続の手順で利用します。

    View Slide

  57. 2. Azure AD 側でのプロビジョニング設定
    Copyright © 2022, Oracle and/or its affiliates
    57

    View Slide

  58. 2. Azure AD 側でのプロビジョニング設定
    Copyright © 2022, Oracle and/or its affiliates
    58
    1) Azure ポータル(https://portal.azure.com)にアクセスします。
    マイクロソフト サインイン画面にて、 Azure AD 管理者の ID/ パスワードを入力し、 「サインイン」 を選択し、 Azure ポータルにログイン
    します。

    View Slide

  59. 2. Azure AD 側でのプロビジョニング設定
    Copyright © 2022, Oracle and/or its affiliates
    59
    2) Azure ポータル画面で Azure Active Directory を選択します。
    ※画面に Azure Active Directory が表示されていない場合は左メニューもしくは、検索し、 Azure Active Directory を指定
    します。
    3) Azure Active Directory 概要画面にて、左メニューから 「エンタープライズアプリケーション」 を選択します。

    View Slide

  60. 2. Azure AD 側でのプロビジョニング設定
    Copyright © 2022, Oracle and/or its affiliates
    60
    4) エンタープライズアプリケーション画面にて、 前章の項番 2. Azure AD 側でのサービス・プロバイダの登録 6) で作成したエンタープライズ
    アプリケーションを選択します。
    ※ 本章では、前章で作成したエンタープライズアプリケーション上で設定を行っておりますが、初めてテストする場合は、別のエンタープライ
    ズアプリケーションを作成することをお勧めします。
    5) Oracle Cloud Infrastructure Console アプリ画面の左メニューから 「プロビジョニング」 を選択し、 「作業の開始」 を選択します。

    View Slide

  61. 2. Azure AD 側でのプロビジョニング設定
    Copyright © 2022, Oracle and/or its affiliates
    61
    6) プロビジョニング画面にてプロビジョニングモードを 「自動」 に指
    定します。
    管理者資格情報を以下の様に指定し、「テスト接続」を選択
    します。
    ・テナントのURL:
    項番1.Oracle Identity Cloud Service 側での SCIM
    インターフェース設定(機密アプリケーション登録)4) で控え
    たテナントの OCI IAM Default ドメインの URL
    < OCI IAM Default ドメインの URL >/admin/v1
    例) https://idcs-xxxx.identity.
    oraclecloud.com/admin/v1
    ・シークレット・トークン:
    項番1. Oracle Identity Cloud Service 側での SCIM
    インターフェース設定(機密アプリケーション登録)16) で
    Base64 エンコードした「クライアントID:クライアント・シーク
    レット」の値から生成された値
    ※Base64 エンコードしたファイルを開き、途中の改行は削除
    した値をコピーします。

    View Slide

  62. 2. Azure AD 側でのプロビジョニング設定
    Copyright © 2022, Oracle and/or its affiliates
    62
    7) テスト接続が成功したメッセージが表示されることを確認します。
    プロビジョニング画面にて、「保存」 を選択します。

    View Slide

  63. 2. Azure AD 側でのプロビジョニング設定
    Copyright © 2022, Oracle and/or its affiliates
    63
    8) プロビジョニング画面にて、マッピングの 「Provisioning Azure Active Directory Groups」 と 「Provisioning
    Azure Active Directory Users」 を選択し、必要に応じて属性マッピング定義を編集します。
    ※ OCI IAM Identity Domains でユーザー作成時に入力必須となっている 「ユーザー名」 、 「姓」 、 「メールアドレス」 には値が入
    るように属性のマッピング設定を行います。

    View Slide

  64. 2. Azure AD 側でのプロビジョニング設定
    Copyright © 2022, Oracle and/or its affiliates
    64
    9) プロビジョニング画面にて、設定の範囲に 「割り当てられたユーザーとグループのみを同期する」 を選択します。
    ※ 「割り当てられたユーザーとグループのみを同期する」 でエンタープライスアプリケーションに割り当てられたユーザーまたはグループが
    同期されます。
    プロビジョニング状態を 「オン」 にし、 「保存」 を選択します。

    View Slide

  65. 3. 動作確認
    Copyright © 2022, Oracle and/or its affiliates
    65

    View Slide

  66. 3. 動作確認
    Copyright © 2022, Oracle and/or its affiliates
    66
    1) Azure ポータル の Azure AD のメニューから 「エンタープライズアプリケーション」 を選択します。
    2) エンタープライズアプリケーション画面にて、前章で作成した Oracle Cloud Infrastructure Console アプリケーションを選択します。

    View Slide

  67. 3. 動作確認
    Copyright © 2022, Oracle and/or its affiliates
    67
    3) エンタープライズアプリケーションの概要画面にて 「ユーザーとグループ」 を選択します。
    エンタープライズアプリケーションのユーザーとグループ画面にて 「ユーザーまたはグループの追加」 を選択し同期したいユーザーまたはグルー
    プを追加します。

    View Slide

  68. 3. 動作確認
    Copyright © 2022, Oracle and/or its affiliates
    68
    4) 左側のメニューより 「プロビジョニング」 を選択し、同期が行われている事を確認します。
    ※「プロビジョニングの停止」 を選択し、 「プロビジョニングの開始」 を選択すると同期が実行されます。
    「プロビジョニングログの表示」 を選択すると、追加したユーザーやグループがプロビジョニングのログを確認する事ができます。

    View Slide

  69. View Slide