OCI IAM Identity Domains Entra IDとの認証連携設定手順 / Identity Domain Federation settings with Entra ID

OCI IAM Identity Domains Entra IDとの認証連携（外部IdP連携）・ID同期設定手順日本オラクル株式会社 2024年03月29日

Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買決定を行う際の判断材料になさらないで下さい。オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊社の裁量により決定され、変更される可能性があります。 Copyright
© 2024, Oracle and/or its affiliates 2

Identity DomainとEntra IDとの認証連携（外部IdP連携）手順概要 1. Identity Domainのサービス・プロバイダ・メタデータのダウンロード 2. Entra ID側でサービス・プロバイダの登録
3. Identity Domain側でアイデンティティ・プロバイダの登録 4. Identity Domain側でアイデンティティ・プロバイダアクティブ化 5. Identity Domain側でIdPポリシーの定義 6. 動作確認（オプション）Entra IDからIdentity DomainへのID情報の同期手順概要 1. Identity Domain側でSCIMインターフェース設定（機密アプリケーション登録） 2. Entra ID側でプロビジョニング設定 3. 動作確認アジェンダ Copyright © 2024, Oracle and/or its affiliates 3 ※本資料は2024年3月現在の仕様に基づき作成しております。

OCI IAM Identity DomainsとEntra IDとの認証連携（外部IdP連携） Copyright © 2024, Oracle and/or
its affiliates 4 本手順書は下記構成を実現するためのMicrosoft Entra ID（以下、Entra ID、旧称：Azure Active Directory）とOCI IAM Identity Domains（以下、Identity Domain）との認証連携（外部IdP連携）設定手順書になります。 ※ 対象Entra IDは構築済みが前提となります。参考資料 https://docs.oracle.com/ja-jp/iaas/Content/Identity/tutorials/azure_ad/sso_azure/azure_sso.htm OCI IAM Identity Domains IdP SAML 認証連携（外部 IdP 連携）＜オプション＞ Entra ID → Identity Domain ID情報同期（Entra ID側からのPushによる同期） SP 利用者 Entra IDのID/パスワードでサインイン（Entra IDのサインイン画面にリダイレクト）アプリアプリアプリ IdP SP SP SP Entra IDの属性「user.mail」と Identity Domainの属性「プリンシパル電子メールアドレス」でユーザーマッピング Microsoft Entra ID

手順概要 Copyright © 2024, Oracle and/or its affiliates 5 1.
Identity Domainのサービス・プロバイダ・メタデータのダウンロード 2. Entra ID側でサービス・プロバイダの登録 3. Identity Domain側でアイデンティティ・プロバイダの登録 4. Identity Domain側でアイデンティティ・プロバイダアクティブ化 5. Identity Domain側でIdPポリシーの定義 6. 動作確認

1. Identity Domainのサービス・プロバイダ・メタデータのダウンロード Copyright © 2024, Oracle and/or its affiliates
6

7 1）OCIコンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。テナント名（クラウド・アカウント名）を入力し「次に進む」を選択します。アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメインを選択し、「次」を選択します。サインイン画面にて、OCI管理者のID/パスワードを入力し、「サイン・イン」を選択しOCIコンソールにサインインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にサインインすることになります。注意事項：OCIコンソールは既定で多要素認証が設定されておりますので、認証後に多要素認証による認証を行う場合があります。 ※環境によりドメイン選択画面は表示されません。

8 2）認証なしでサービス・プロバイダ・メタデータをダウンロードできるように設定を変更します。 OCI コンソール画面にて、左メニューより「アイデンティティとセキュリティ」を選択し、「ドメイン」を選択します。 3）アイデンティティ画面にて、コンパートメントで対象のコーパートメントを選択し、さらに対象のドメインを選択します。 ※自身で作成したコンパートメントおよびIdentity Domain（ドメイン）に設定する場合は、該当のコンパートメントおよびドメインを選択します。

9 4）アイデンティティ・ドメイン画面にて、ドメイン情報からドメインURLのコピーを選択し、ドメインURLを控えておき、左のメニューから「設定」を選択します。 ※コピーしたドメインURLは後続の手順で利用します。 5）ドメイン設定画面にて、署名証明書へのアクセスの「クライアント・アクセスの構成」をチェックし、「変更の保存」を選択します。

10 6）ブラウザにて下記のURLにアクセスし、サービス・プロバイダ・メタデータをダウンロードし、適切な場所に保存します。 https://{Identity DomainのURL（項番1. Identity DomainのSAMLメタデータダウンロード 4）で控えたURL）}/fed/v1/metadata

2. Entra ID側でサービス・プロバイダの登録 Copyright © 2024, Oracle and/or its affiliates
11

12 1）Azureポータル（ https://portal.azure.com ）にアクセスします。マイクロソフトサインイン画面にて、 Azureの管理者のID/パスワードを入力し、「サインイン」を選択し、Azure ポータルにサインインします。 ※Azureの管理者とは以下のいずれかのロールを持つアカウントを示します。グローバル管理者/クラウド・アプリケーション管理者/アプリケーション管理者注意事項：Azureポータルは既定で多要素認証が設定されておりますので、認証後に多要素認証による認証を行う場合があります。

13 2）Azure ポータル画面で「Microsoft Entra ID」を選択します。 ※画面にEntra IDが表示されていない場合はハンバーガーメニューを選択し、表示されたメニューもしくは、検索からEntra IDを指定します。 3）既定のディレクトリ概要画面にて、左メニューから「エンタープライズアプリケーション」を選択します。

14 4）エンタープライズアプリケーション画面にて、「新しいアプリケーション」を選択します。 5）アプリケーションを検索で、「Oracle Cloud Infrastructure Console」と入力、もしくはクラウドプラットフォームから「Oracle」を選択し、「Oracle Cloud Infrastructure Console」を選択します。

15 6）Oracle Cloud Infrastructure Consoleの作成画面にて、「名前」に適切な値を入力し、「作成」を選択します。

16 7）作成されたエンタープライズアプリ画面の左メニューから「シングルサインオン」を選択します。 8）シングルサインオン画面にて、「SAML」を選択します。

17 9） SAML ベースのサインオン画面にて、「メタデータファイルをアップロードする」を選択します。 10）ファイル選択部分にて項番 1. OCI IAM Identity Domainのサービス・プロバイダ・メタデータのダウンロード 6）にてダウンロードした Identity Domainサービス・プロバイダ・メタデータのファイルを指定し「追加」を選択します。

18 11）基本的な SAML 構成画面が開きます。 12）基本的な SAML 構成画面にて、サインオン URLに以下のURLを入力し、「保存」を選択し、「×」を選択し、画面を閉じます。 OCIコンソールにサインインしたい場合：https://cloud.oracle.com マイコンソールにサインインしたい場合： https://<Identity DomainのURL>/ui/v1/myconsole

19 13）属性とクレームの「編集」を選択します。 14）属性とクレーム画面にて、クレーム名「一意のユーザー識別子（名前 ID）」を選択します。

20 15）要求の管理画面にて、以下の項目を変更し、「保存」を選択し、さらに属性とクレーム画面も閉じます。 • 名前識別子の形式：電子メールアドレス • ソース：属性 • ソース属性：user.mail 16）SAML ベースのサインオン画面にて、SAML証明書の「フェデレーションメタデータ XML」の「ダウンロード」を選択し、メタデータをダウンロードし、適切な場所に保存します。 ※ このメタデータは後続の手順で利用します。

21 17）Azure ポータルの既定のディレクトリ概要画面にて、左メニューから「ユーザー」を選択し、ユーザーを作成します。

22 18）作成したユーザーを、作成したエンタープライズアプリケーションに割り当てるため、既定のディレクトリ概要画面にて、左メニューから「エンタープライズアプリケーション」を選択します。 19）すべてのアプリケーション画面にて、作成したエンタープライズアプリケーションを選択します。

23 20）作成したエンタープライズアプリケーション画面の左メニューから「ユーザーとグループ」を選択し、「ユーザーまたはグループの追加」を選択します。 21）ユーザー部分の「選択されていません」を選択し、右側ペインより、項番17）で作成したユーザーを選択し「選択」を選択します。

24 22）割り当ての追加画面にて、「割り当て」を選択します。 23）ユーザーとグループ画面に割り当てたユーザーが追加されている事を確認します。

3. Identity Domainでアイデンティティ・プロバイダの登録 Copyright © 2024, Oracle and/or its affiliates
25

3. Identity Domain側でアイデンティティ・プロバイダの登録 Copyright © 2024, Oracle and/or its affiliates
26 1）OCIコンソール（ https://www.oracle.com/jp/cloud/sign-in.html ）にアクセスします。テナント名（クラウド・アカウント名）を入力し「次に進む」を選択します。アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメインを選択し、「次」を選択します。サインイン画面にて、OCI管理者のID/パスワードを入力し、「サイン・イン」を選択しOCIコンソールにサインインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にサインインすることになります。注意事項：OCIコンソールは既定で多要素認証が設定されておりますので、認証後に多要素認証による認証を行う場合があります。 ※環境によりドメイン選択画面は表示されません。

27 2）OCI コンソール画面にて、左メニューより「アイデンティティとセキュリティ」を選択し、「ドメイン」を選択します。 3）アイデンティティ画面にて、コンパートメントで対象のコーパートメントを選択し、さらに対象のドメインを選択します。 ※自身で作成したコンパートメントおよびIdentity Domain（ドメイン）に設定する場合は、該当のコンパートメントおよびドメインを選択します。

28 4）アイデンティティ・ドメインのドメインの概要画面にて、左メニューより、「セキュリティ」を選択します。 5）セキュリティ画面にて、左メニューより、「アイデンティティ・プロバイダ」を選択し、「IdPの追加」を選択し、さらに「SAML IdPの追加」を選択します。

29 6）SAMLアイデンティティ・プロバイダの追加画面にて、「名前」、「説明」に適切な値を入力し、「次」を選択します。 7）アイデンティティ・プロバイダのシングル・サインオン（SSO）の構成にて、「IdPメタデータのインポート」を選択し、「アイデンティティ・プロバイダ・メタデータのアップロード」に項番 2.Entar ID側でサービス・プロバイダの登録 16）にてダウンロードしたメタデータをアップロードし、「次」を選択します。

30 8）ユーザー・アイデンティティのマップにて、各項目に下記内容を指定し、「次」を選択します。・リクエストされた名前IDフォーマット：電子メール・アドレス・アイデンティティ・プロバイダ・ユーザー属性：SAMLアサーション名ID ・アイデンティティ・ドメインユーザー属性：プライマリ電子メール・アドレス 9）確認および作成にて、設定した内容を確認していただき、「IdPの作成」を選択します。

31 10）次の手順にて、「閉じる」を選択します。 11）セキュリティ画面のアイデンティティ・プロバイダ（ IdP ）にて、先ほど作成したアイデンティティ・プロバイダが非アクティブ状態で追加されたことを確認します。

4. Identity Domainでアイデンティティ・プロバイダのアクティブ化 Copyright © 2024, Oracle and/or its affiliates
32

4. Identity Domain側でアイデンティティ・プロバイダのアクティブ化 Copyright © 2024, Oracle and/or its affiliates
33 1）項番 2. Enta ID側でサービス・プロバイダの登録 17）にてEntra IDで作成したユーザーと同一のユーザーを Identity Domain側に作成します。アイデンティティ・ドメイン画面にて、左メニューから「ユーザー」を選択し、「ユーザーの作成」を選択します。ユーザーの作成画面にてユーザーを作成する為の適切な値を入力し、「作成」を選択します。 ※Entra IDの属性：メールとIdentity Domainの属性：電子メール・アドレスが同じ値になるように作成します。

34 2）アイデンティティ・ドメイン画面の左メニューから「セキュリティ」を選択します。 3）セキュリティ画面にて「アイデンティティ・プロバイダ」を選択し、項番 3. Identity Domain側でアイデンティティ・プロバイダの登録 11）で作成したアイデンティティ・プロバイダ名を選択します。

35 4）アイデンティティ・プロバイダの画面にて「他のアクション」を選択し、「ログインのテスト」を選択します。 5）マイクロソフトサインイン画面にて、項番 2. Entra ID側でサービス・プロバイダの登録 17）にてEntra ID上で作成したユーザー ID/パスワードを入力し、「サインイン」を選択します。接続に成功した旨のメッセージが表示されることを確認し、画面を閉じます。 ※Entra IDの認証において多要素認証が求められる場合があります。

36 6）アイデンティティ・プロバイダ編集画面にて「IdPのアクティブ化」を選択します。 7）アイデンティティ・プロバイダのアクティブ化の画面にて「IdPのアクティブ化」を選択します。

37 8）アイデンティティ・プロバイダがアクティブ化されたことを確認します。

5. Identity Domain側でIdPポリシーの定義 Copyright © 2024, Oracle and/or its affiliates
38

39 1）OCIコンソールにサインインする際、今回、作成したアイデンティティ・プロバイダを選択して利用できるようにするためIdPポリシーの定義を行います。セキュリティ画面の左メニューから「IdPポリシー」を選択し、「Default Identity Provider Policy」を選択します。 2）Default Identity Provider Policy画面にて、アイデンティティ・プロバイダ・ルールの「IdPルールの追加」を選択します。 ※「Default Identity Provider Policy」には「Default IdP Rule」というルールが既定で作成されています。この「Default IdP Rule」を直接編集することも可能ですが、運用の中にデフォルト状態に戻す事も想定し、「Default IdP Rule」は編集せずにデフォルトの状態のままにしておくことをお勧めします。

40 3）アイデンティティ・プロバイダ・ルールの追加画面にて、「ルール名」に適切な値を入力し、アイデンティティ・プロバイダの割当て部分にて今回、作成したアイデンティティ・プロバイダと「Username-Password」を選択し、「IdPルールの追加」を選択します。 ※アイデンティティ・プロバイダに設定した「Username-Password」はIdentity Domainのローカル認証のことを指します。 4）Default Identity Provider Policy画面にて、作成したIdPルールが追加されている事を確認し、「優先度の編集」を選択します。

41 5）IdPルール優先度の編集画面にて、左側の優先度列にある上下矢印を選択し、今回、作成したアイデンティティ・プロバイダの優先度を「1」に設定し、「変更の保存」を選択します。 6） Default Identity Provider Policy画面にて、作成したアイデンティティ・プロバイダの優先度が「1」になっている事を確認します。

1）OCI コンソール（ https://www.oracle.com/jp/cloud/sign-in.html ）にアクセスします。テナント名（クラウド・アカウント名）を入力し、「次に進む」を選択します。アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメインを選択し、「次」を選択します。 ※ ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“ Default ドメイン”にサインインすることになります。 2）アイデンティティ・ドメインのサインイン画面の下部に今回作成した、アイデンティティ・プロバイダが表示され選択ができることを確認し、「アイデンティティ・プロバイダ」を選択します。 ※環境によりドメイン選択画面は表示されません。

3）マイクロソフトのサインイン画面にて、項番 2. Entra ID側でサービス・プロバイダの登録 17）にてEntra ID上で作成したユーザーID/パスワードを入力し、「サインイン」を選択します。項番 4. Identity Domain側でアイデンティティ・プロバイダのアクティブ化 1）で作成されたユーザーでOCIコンソールにサインインできていることを確認します。 ※Entra IDの認証において多要素認証が求められる場合があります。

（オプション） Entra IDからIdentity DomainへのID情報同期 Copyright © 2024, Oracle and/or its
affiliates 45

（オプション） Entra IDからIdentity DomainへのID情報同期 Copyright © 2024, Oracle and/or its
affiliates 46 Entra IDとのSAMLによる認証連携（外部IdP連携）を行う場合、Entra IDのID情報をIdentity Domainに同期することで ID管理を効率よく行うことが可能です。本手順ではEntra IDが用意しているプロビジョニング機能によりEntra IDのID情報をIdentity DomainにPushによる同期の手順をまとめています。 Entra IDおよびIdentity Domainの両サービスは、ID情報のやり取りを自動化する規格であるSystem for Cross-Domains Identity Management（以下、SCIM）に対応しており、今回は、SCIMを利用したID情報の同期となります。参考資料：https://docs.oracle.com/ja-jp/iaas/Content/Identity/tutorials/azure_ad/lifecycle_azure/azure_lifecycle.htm OCI IAM Identity Domains IdP SAML 認証連携（外部 IdP 連携） SP アプリアプリアプリ IdP SP SP SP Entra IDの属性「user.mail」と Identity Domainの属性「プリンシパル電子メールアドレス」でユーザーマッピング Microsoft Entra ID ユーザーユーザー名：User01 姓：User 名：01 メールアドレス：[email protected] ユーザーユーザー名：User01 姓：User 名：01 メールアドレス：[email protected] 属性1：フェデレーテッドユーザーとして登録属性2：作成時のメール通知を停止＜オプション＞ Entra ID → Identity Domain ID情報同期（Entra IDからのPushによる同期）

手順概要 Copyright © 2024, Oracle and/or its affiliates 47 1.
Identity Domain側でSCIMインターフェース設定（機密アプリケーション登録） 2. Entra ID側でプロビジョニング設定 3. 動作確認

1. Identity Domain側でSCIMインターフェースの設定（機密アプリケーション登録） Copyright © 2024, Oracle and/or its
affiliates 48

affiliates 49 1）OCIコンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。テナント名（クラウド・アカウント名）を入力し「次に進む」を選択します。アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメインを選択し、「次」を選択します。サインイン画面にて、OCI管理者のID/パスワードを入力し、「サイン・イン」を選択しOCIコンソールにサインインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にサインインすることになります。注意事項：OCIコンソールは既定で多要素認証が設定されておりますので、認証後に多要素認証による認証を行う場合があります。 ※環境によりドメイン選択画面は表示されません。

affiliates 50 2）OCI コンソール画面にて、左メニューより「アイデンティティとセキュリティ」を選択し、「ドメイン」を選択します。 3）アイデンティティ画面にて、コンパートメントで対象のコーパートメントを選択し、さらに対象のドメインを選択します。 ※自身で作成したコンパートメントおよびIdentity Domain（ドメイン）に設定する場合は、該当のコンパートメントおよびドメインを選択します。

affiliates 51 4）アイデンティティ・ドメイン画面にて、ドメイン情報からドメインURLのコピーを選択し、ドメインのURLを控えておき、左のメニューから「統合アプリケーション」を選択します。 ※コピーしたドメインURLは後続の手順で利用します。 5）統合アプリケーション画面にて、「アプリケーションの追加」を選択します。

affiliates 52 6）アプリケーションの追加画面にて「機密アプリケーション」を選択し、「ワークフローの起動」を選択します。 7）機密アプリケーションの追加画面にて、「名前」、「説明」に適切な値を入力し、「次」を選択します。

affiliates 53 8）機密アプリケーションの追加画面にて、クライアント構成にて「このアプリケーションをクライアントとして今すぐ構成します」をチェックします。認可の許可される権限付与タイプにて「クライアント資格証明」をチェックします。 9）画面を下にスクロールし、クライアントタイプを「機密」、さらにトークン発行ポリシーの認可されたリソースにて「特定」、そして「アプリケーション・ロールの追加」をチェックし、「ロールの追加」を選択します。

affiliates 54 10）アプリケーション・ロールの追加画面にて「User Administrator」をチェックし、「追加」を選択します。 11）機密アプリケーションの追加画面にてアプリケーション・ロールに「User Administrator」が追加されたことを確認し、「次」を選択します。

affiliates 55 12）機密アプリケーションの追加画面にて、Web層ポリシー部分にて「スキップして後で実行」をチェックし、「終了」を選択します。 13）作成した機密アプリケーションの画面にて「アクティブ化」を選択します。

affiliates 56 14）アプリケーションのアクティブ化画面にて「アプリケーションのアクティブ化」を選択します。 15）作成した機密アプリケーションがアクティブ化されたことを確認します。 OAuth構成の一般情報にある「クライアントID」と「クライアント・シークレット」をコピーし控えます。 ※控えた「クライアントID」と「クライアント・シークレット」は後続の手順で利用します。

affiliates 57 16）PC上でテキストエディタを開き、本章項番 15）で控えた「クライアントID」と「クライアント・シークレット」を以下の形式で作成し保存します。｛クライアントID｝:｛クライアント・シークレット｝ ※作成時に改行がされていない事にご注意ください。 17）PC上でコマンドプロンプトを開き、以下のコマンドを実行し、上記で作成したファイル（クライアント ID:クライアント・シークレット）を以下のコマンドを利用して、Base64でエンコードし、ファイルに保存します。 certutil -encode {上記にて作成したテキストファイル名} {Base64エンコード後のファイル名} ※エンコードされたファイルは後続の手順で利用します。 ※certutilは、Windows環境で提供されているコマンドラインプログラムです。

59 1）Azureポータル（ https://portal.azure.com ）にアクセスします。マイクロソフトサインイン画面にて、 Azureの管理者のID/パスワードを入力し、「サインイン」を選択し、Azure ポータルにサインインします。 ※Azureの管理者とは以下のいずれかのロールを持つアカウントを示します。グローバル管理者/クラウド・アプリケーション管理者/アプリケーション管理者注意事項：Azureポータルは既定で多要素認証が設定されておりますので、認証後に多要素認証による認証を行う場合があります。

60 2）Azure ポータル画面で「Microsoft Entra ID」を選択します。 ※画面にEntra IDが表示されていない場合はハンバーガーメニューを選択し、表示されたメニューもしくは、検索からEntra IDを指定します。 3）既定のディレクトリ概要画面にて、左メニューから「エンタープライズアプリケーション」を選択します。

61 4）エンタープライズアプリケーション画面にて、前章の項番 2. Entra ID側でサービス・プロバイダの登録 6）で作成したエンタープライズアプリケーションを選択します。 ※本章では、前章で作成したエンタープライズアプリケーション上で設定を行っておりますが、初めて作成する場合は、別途エンタープライズアプリケーションを作成することをお勧めします。 5）作成したエンタープライズアプリケーション概要画面の左メニューから「プロビジョニング」を選択し、さらに「作業の開始」を選択します。

62 6）プロビジョニング画面にてプロビジョニングモードを「自動」に指定します。管理者資格情報を以下の様に指定し、「テスト接続」を選択します。・テナントのURL: 項番1. Identity Domain側でSCIMインターフェースの設定（機密アプリケーション登録）4）で控えたドメインの URLに「/admin/v1」を付けた値を入力します。 <対象ドメインのURL>/admin/v1 例）https://idcs-xxxx.identity. oraclecloud.com/admin/v1 ・シークレット・トークン：項番1. Identity Domain側でSCIMインターフェースの設定（機密アプリケーション登録）17）でBase64でエンコードしたファイル」の値を入力します。 ※Base64エンコードしたファイルを開き、途中の改行は削除した値を入力します。

63 7）テスト接続が成功したメッセージが表示されていることを確認し、「保存」を選択します。

64 8）マッピングを展開する事で、グループおよびユーザーの属性マッピングの定義を編集する事ができます。グループの属性マッピングを変更したい場合は「Provisioning Entra ID Groups」を選択します。ユーザーの属性マッピングを変更したい場合は「Provisioning Entra ID Users」を選択します。 ※本章では、同期されるユーザーは、外部IdPからのみ認証されるフェデレーテッドユーザーとして構成し、さらに作成および更新時に送付される通知メールを停止する設定を実施します。「Provisioning Entra ID Users」を選択します。

９）属性マッピング画面にて下までスクロールし、「新しいマッピングの追加」を選択します。 10）ここではフェデレーテッドユーザーの構成をする為、以下の設定を行い、「OK」を選択します。マッピングの種類：「式」を選択式：「CBool(“true”)」を入力対象の属性：「urn:ietf:params:scim:schemas:oracle:idcs: extension:user:User:isFederatedUser」を選択 2. Entra ID側でプロビジョニング設定 Copyright

11）先ほど設定した属性マッピングが追加されている事を確認し、再度「新しいマッピングの追加」を選択します。 12）ここでは作成および変更時の通知メールを停止する構成にする為、以下の設定を行い、「OK」を選択します。マッピングの種類：「式」を選択式：「CBool(“true”)」を入力対象の属性：「urn:ietf:params:scim:schemas:oracle:idcs: extension:user:User:bypassNotification」を選択 2. Entra ID側でプロビジョニング設定 Copyright

13）先ほど設定した属性マッピングが追加されている事を確認し、「保存」を選択し、さらに「はい」を選択し、属性マッピング画面を閉じます。 14）プロビジョニング画面にて「設定」を展開し、範囲にて「割り当てられたユーザーとグループのみを同期する」を選択します。 ※「割り当てられたユーザーとグループのみを同期する」でエンタープライスアプリケーションに割り当てられたユーザーまたはグループが同期されます。プロビジョニング状態を「オン」にし、「保存」を選択し、プロビジョニング画面を閉じます。 2. Entra ID側でプロビジョニング設定 Copyright ©
2024, Oracle and/or its affiliates 67

1）Azureポータルの既定のディレクトリ概要画面にて、左メニューから「エンタープライズアプリケーション」を選択します。 2）エンタープライズアプリケーション画面にて、前章にてプロビジョニングの設定を行ったエンタープライズアプリケーションを選択します。

3）エンタープライズアプリケーション概要画面にて「ユーザーとグループ」を選択します。エンタープライズアプリケーションのユーザーとグループ画面にて「ユーザーまたはグループの追加」を選択します。 4）ユーザー部分の「選択されていません」を選択し、右側ペインより、同期対象のユーザーを選択し「選択」を選択します。 ※同期対象のユーザーは、Identity domainでユーザー作成時に入力必須となっている「ユーザー名」、「姓」、「メールアドレス」に値を入力し作成しておく必要があります。

5）割り当ての追加画面にて、「割り当て」を選択します。 6）選択したユーザーが追加されている事を確認し、左メニューから「プロビジョニング」を選択します。

7）エンタープライズアプリケーションの概要画面にて、同期が行われている事を確認します。 ※「プロビジョニングの停止」を選択し、「プロビジョニングの開始」を選択すると同期が再実行されます。「プロビジョニングログの表示」を選択すると、同期対象のユーザーやグループのプロビジョニングログを確認する事ができます。

8）Identity Domainにて同期されたユーザーの属性を確認します。 Entra IDで設定されていた属性が同期され設定されている事を確認します。「フェデレーテッド」属性が「はい」と設定されている事を確認します。

OCI IAM Identity Domains Entra IDとの認証連携設定手順 / I...

OCI IAM Identity Domains Entra IDとの認証連携設定手順 / Identity Domain Federation settings with Entra ID

More Decks by oracle4engineer

Other Decks in Technology

Featured

Transcript