OCI IAM Identity Domain_APEXアプリケーションとの認証連携/Identity Domain for APEX Apps

OCI IAM Identity Domains 2025年7月17日日本オラクル株式会社 APEXアプリケーションとの認証連携(2要素認証込み)

Copyright © 2025, Oracle and/or its affiliates 2 Safe harbor
statement The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, timing, and pricing of any features or functionality described for Oracle’s products may change and remains at the sole discretion of Oracle Corporation.

アジェンダ Copyright © 2025, Oracle and/or its affiliates 3 【基本編】：APEXアプリとIdentity
Domains認証連携(2要素認証込み) 1．APEX側でのサンプルアプリケーションの作成 2．Identity Domains側での設定（APEXアプリケーションとの認証連携設定) 3．Identity Domains側での設定（2要素認証の設定） 4．APEX側での設定 5．動作確認【拡張編】：グループによるアクセス制御 ※基本編を実施済み前提の手順 6．Identity Domains側での設定追加（グループ作成） 7．APEX側での設定変更 8．動作確認

【基本編】で実現するイメージ Copyright © 2025, Oracle and/or its affiliates 5 ユーザー
ログイン画面 ID/パスワード 2要素認証画面ワンタイムパスコードなど OCI IAM Identity Domains ユーザー情報 APEXアプリ OpenID Connectによる連携本資料は、ADBのAPEXアプリケーションにアクセスする際の認証および2要素認証(MFA)としてIdentity Domainsを利用するための設定手順になります。 ※本資料ではAPEXアプリケーションとして“販売”サンプルアプリケーションを利用します。 ※APEXアプリケーションとIdentity DomainsはOpenID Connectにより連携します。

APEX側でのサンプルアプリケーションの作成 Copyright © 2025, Oracle and/or its affiliates 7 1)
APEXの任意のワークスペースにワークスペース管理者としてログインします。

ログイン後画面にてブラウザアドレスバーのURLにてoraclecloudapps.comまでのAPEX URLをコピーし控えておきます。 ※このURLは後続の手順で利用します。例）https://g884・・・・・・c-db2・・・・・・・・・・・・・051.adb.ap-tokyo-1.oraclecloudapps.com

ログイン後画面にて「アプリケーション・ビルダー」を選択します。続けて「作成」を選択します。

アプリケーションの作成画面にて「ファイルからのアプリケーションの作成」を選択します。

表示されたデータのロード画面にて「コピー・アンド・ペースト」を選択します。サンプルの選択から「販売」を選択し、「次」を選択します。

表名に任意の値（例：SALES100）を入力し、「データのロード」を選択します。

表が作成されたメッセージを確認し、「アプリケーションの作成」を選択します。

画面中段の機能エリアにて「すべてをチェック」を選択し、「アプリケーションの作成」を選択します。

表示された作成したアプリケーション画面にて「アプリケーション定義の編集」を選択します。

表示された画面にてアプリケーション項目の数字（例：106）を控えておきます。 ※この控えたアプリケーション番号は後ほどの手順で使います。「取消」を選択します。

「共有コンポーネント」を選択します。表示された画面にて「セキュリティ属性」を選択します。

認可エリアの認可スキームに「アプリケーション認可の必要なし」を選択し、「変更の適用」を選択します。

表示された画面の「アプリケーションXXX」（例：アプリケーション106）リンクを選択します。「アプリケーションの実行」を選択します。

表示されたログイン画面にワークスペース管理者のID/パスワードを入力し、「サインイン」を選択します。 “販売”サンプルアプリ（例：Sales100）にアクセスできることを確認します。

2． Identity Domains側での設定（APEXアプリケーションとの認証連携設定) Copyright © 2025, Oracle and/or its
affiliates 21

Identity Domains側での設定（APEXアプリケーションとの認証連携設定) Copyright © 2025, Oracle and/or its affiliates 22
1）OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。テナント名(クラウド・アカウント名)を入力し「Next」を選択します。アイデンティティ・ドメインの選択画面が表示される場合には「Default」を選択し、管理者のユーザー名/パスワードを入力し OCIコンソールにログインします。 ※該当ドメインの管理者でログインしても構いません。 ※環境によりドメイン選択画面は表示されません。

2）メニューより「アイデンティティとセキュリティ」ー「アイデンティティ」を選択します。

3)ドメイン画面にて、適用済みフィルタ部分にて対象ドメインが存在するコンパートメントを指定し、対象ドメインを選択します。

4) ドメインのメニュー「詳細」を選択し、ドメインURLの「コピー」を選択しドメインURLを控えておきます。このドメインURLは後続の手順で利用します。 ※ドメインURLは「https://idcs-d92e・・・・・・・・7a34.identity.oraclecloud.com:443」になります。

5) メニュー「統合アプリケーション」を選択します。統合アプリケーション部分にて「アプリケーションの追加」を選択します。表示されたアプリケーションの追加画面にて「機密アプリケーション」を選択し、「ワークフローの起動」を選択します。

6)名前、説明に適当な値を指定し、「送信」を選択します。・名前：APEX Sales App ※任意の名前で構いません。・説明：APEX Sales App ※任意の名前で構いません。

7) 作成した機密アプリケーション画面にて「OAuth構成」を選択し、「OAuth構成の編集」を選択します。

8) 表示された画面にて、下記項目を設定します。・クライアント構成 – このアプリケーションをクライアントとして今すぐ構成します：チェックON ・認可 – 認可コード：チェックON

9) 同画面にて下記項目を入力します。・リダイレクトURL：https://＜上記1.にて控えたURL＞/ords/apex_authentication.callback 例） https://g884・・・・・・c-db2・・・・・・・・・・・・・051.adb.ap-tokyo-1.oraclecloudapps.com/ords/apex_authentication.callback ・ログアウト後のリダイレクトURL： https://＜上記1．にて控えたURL＞/ords/f?p=＜上記1.で控えた販売サンプルアプリの番号＞例） https://g884・・・・・・c-db2・・・・・・・・・・・・・051.adb.ap-tokyo-1.oraclecloudapps.com/ords/f?p=200

10) 同画面にて、「同意のバイパス」をチェックONにし、「送信」を選択します。

11) 作成した機密アプリケーションの画面にて、右上のアクションより「アクティブ化」を選択します。確認画面で「アプリケーションのアクティブ化」を選択します。

12) 作成した機密アプリケーションがアクティブ化されたことを確認します。一般情報部分にある「クライアントID」の値をコピーして控えておきます。また、クライアント・シークレット部分にあるシークレットの表示より「コピー」選択し、クライアント・シークレットも控えておきます。 ※控えたクライアントIDとクライアント・シークレットは後続の手順で利用します。

3． Identity Domains側での設定（2要素認証の設定） ※2要素認証の要素として電子メールワンタイムパスコードを利用する手順 Copyright © 2025, Oracle and/or
its affiliates 34

Identity Domains側での設定（2要素認証の設定） Copyright © 2025, Oracle and/or its affiliates 35
1）MFA要素として「電子メール」を有効化するため、ドメインメニュー「認証」を選択します。ファクタ部分の電子メールが無効になっている場合には「ファクタの有効化または無効化」を選択します。 ※電子メールが有効になっている場合には3)に進みます。

2）ファクタの有効化または無効化画面にて「電子メール」をチェックONにし、「変更の保存」を選択します。 ※2要素認証の要素を有効化したのみではAPEXアプリケーションへのアクセス時のMFA利用はまだ有効になりません。 MFA利用には後続のサインオンポリシーの設定が必要になります。

3）次に、APEXサンプルアプリアクセス時にMFAを必須にするサインオンポリシーを定義するため、ドメインメニュー「ドメイン・ポリシー」を選択します。サインオン・ポリシー部分にて「サインオン・ポリシーの作成」を選択します。

4）ポリシーの作成画面にて、名前、説明に任意の値（例：For APEX Sales App）を指定し、「サインオン・ポリシーの作成」を選択します。

5）作成されたサインオン・ポリシーの画面にてメニュー「サインオン・ルール」を選択し、「サインオン・ルールの追加」を選択します。

6）サインオン・ルールの追加画面にて、ルール名に「MFA Rule」（任意の値でOK）を入力し、アクション部分にて下記を設定し、「追加」を選択します。（条件部分は何も設定しない。）・追加ファクタの要求にチェック・指定されたファクタのみにチェック・電子メールににチェック・頻度‐セッションごと・・・・・にチェック・登録‐必須にチェック本手順では、条件部分に何も設定していないため、無条件でMFAを要求するルールを設定しています。条件付き（グループなど）でMFA要求する/しないを制御する場合には条件部分をセットします。

7）サインオン・ルールが作成されたことを確認し、メニュー「アプリケーション」を選択し、「アプリケーションの追加」を選択します。

8）アプリケーションの追加画面にて上記にて作成したAPEX用機密アプリケーション(APEX Sales App)にチェックし「アプリケーションの追加」を選択します。

9）アプリケーションが追加されたことを確認します。右上のアクションより「サインオン・ポリシーのアクティブ化」を選択します。確認画面でも「サインオン・ポリシーのアクティブ化」を選択します。

10）サインオン・ポリシーがアクティブ化したことを確認します。本サインオンポリシーは、“アプリケーション”に指定したアプリケーション(APEX Sales App)にアクセスした場合にのみ使われることになります。

APEX側での設定 Copyright © 2025, Oracle and/or its affiliates 46 1)
上記1.にてAPEXサンプルアプリケーション(販売)を作成したワークスペースにワークスペース管理者としてログインします。

Web資格証明を設定するため、ログイン後に表示された画面にて「アプリケーション・ビルダー」を選択します。遷移した画面で「ワークスペース・ユーティリティ」を選択します。

ワークスペース・ユーティリティ画面にて「Web資格証明」を選択します。 ※今回の場合、Web資格証明はOpenID ConnectによりIdentity Domainsと認証連携する際に利用するIdentity Domains側のキーなどの情報を格納しておくために利用します。

Web資格証明画面にて「作成」を選択します。 ※今回の場合、Web資格証明はOpenID ConnectによりIdentity Domainsと認証連携する際に利用するIdentity Domains側のキーなどの情報を格納しておくために利用します。

Web資格証明作成画面にて下記項目を入力し「作成」を選択します。・名前：任意の名前（例：IdentityDomain_N00）・クライアントIDまたはユーザー名：上記手順で控えたクライアントIDの値・クライアント・シークレットまたはパスワード：上記手順で控えたクライアント・シークレットの値・クライアント・シークレットまたはパスワードの確認：上記手順で控えたクライアント・シークレットの値

Identity Domain用のWeb資格証明が作成されたことを確認します。続けて、APEX「販売」アプリにOpenID Connectの設定をするため、画面上部の「アプリケーション・ビルダー」を選択します。

上記1.で作成した販売サンプルアプリケーション(例：Sales100) を選択します。

販売サンプルアプリケーション画面にて「共有コンポーネント」を選択します。遷移した共有コンポーネント画面にて「認証スキーム」を選択します。

認証スキーム画面にて「作成」を選択します。 ※デフォルトの状態では「Oracle APEXアカウント」（DB認証）スキームしか存在しません。

認証スキームの作成画面にて「ギャラリからの事前構成済スキームに基づく」をチェックONにし「次」を選択します。

認証スキームの作成画面にて下記項目を入力し「認証スキームの作成」を選択します。・名前：IdentityDomain_Auth ※任意の名前で構いません。・スキーム・タイプ：ソーシャル・サインイン・認証証明ストア：上記で作成したWeb資格証明（IdentityDomain_N00）・認証プロバイダ：OpenID Connectプロバイダ・検出URL：<上記2.で控えたIdentity Domain URL>/.well-known/openid-configuration 例) https://idcs-d92e・・・・・47a34.identity.oraclecloud.com:443/.well-known/openid-configuration ・有効範囲：profile ・ユーザー名：sub

認証スキームが作成されたことを確認し、作成された認証スキーム「IdentityDomain_Auth」を選択します。

認証スキーム画面で「ログアウト後URL」を選択します。ログアウト後URLの画面にて下記項目を入力し、「変更の適用」を選択します。・移動先：URLにチェックON ・URL： https://＜上記1．にて控えたURL＞/ords/f?p=＜上記1.で控えた販売サンプルアプリの番号＞例） https://g884・・・・・・c-db2・・・・・・・・・・・・・051.adb.ap-tokyo-1.oraclecloudapps.com/ords/f?p=106

再度、作成された認証スキーム「IdentityDomain_Auth」を選択します。表示された認証スキーム画面にて「カレント・スキームにする」を選択します。確認画面で「OK」を選択します。

作成した認証スキーム「IdentityDomain_Auth」のカレントが「はい」になっていることを確認します。 ※この手順により販売サンプルアプリケーションへの認証はIdentity Domainsを使った認証になります。

動作確認 Copyright © 2025, Oracle and/or its affiliates 62 1）テストユーザーを作成するため、
OCIコンソールにて対象ドメインのメニュー「ユーザー管理」を選択し、ユーザー部分の「作成」を選択します。

動作確認 Copyright © 2025, Oracle and/or its affiliates 64 3）指定したメールアドレスに通知「Activate
your profile in account - ＜テナンシ名＞」が届いていることを確認し、本文の「Active Your Account」を選択し、作成したテストユーザーの初期パスワードをセットします。 ※パスワードセット後に「サインインへ進む」を選択せずに、ブラウザタブを閉じます。

動作確認 Copyright © 2025, Oracle and/or its affiliates 65 4）開いているブラウザ
シークレットウィンドウをすべて閉じ、新規にブラウザシークレットウィンドウを開き、販売サンプルアプリケーションのURLにアクセスします。 URL(例)：https://g884・・・・・・c-db2・・・・・・・・・・・・・051.adb.ap-tokyo-1.oraclecloudapps.com/ords/f?p=106 ※アプリケーションの番号↑ アイデンティティ・ドメインのログイン画面が表示されたことを確認し、上記で作成したテストユーザーのID/パスワードを指定し「サインイン」を選択します。

動作確認 Copyright © 2025, Oracle and/or its affiliates 66 5）セキュアな検証の有効化画面にて「セキュアな検証の有効化」を選択します。
※テストユーザーはまだMFA要素が未登録であるため本画面が表示されます。 MFA要素の選択画面にて「電子メール」を選択します。 ※上記にて作成したサインオンポリシーにて要素として「電子メール」のみ選択したため、選択肢は「電子メール」のみになります。

動作確認 Copyright © 2025, Oracle and/or its affiliates 67 6）テストユーザーのメールアドレスに通知「One-Time
Passcode for accessing your Cloud account in ＜テナンシ名＞」が届いていることを確認し、本文中のパスワードコードをブラウザ画面のコード部分に入力し、「電子メール・アドレスの確認」を選択します。

動作確認 Copyright © 2025, Oracle Internal Only 69 8）次回の販売アプリケーションへのアクセスからは、ログイン画面⇒MFA(電子メールワンタイムパスコード指定)⇒販売アプリケーションへという流れになることを確認します。
販売アプリケーションにアクセスログイン 2要素認証販売アプリ(APEXアプリ)

【拡張編】で実現するイメージ Copyright © 2025, Oracle and/or its affiliates 71 本資料は、ユーザーが所属するIdentity
Domains側のグループによりAPEXアプリケーションにアクセスさせる/させないを制御するための設定手順になります。 ※この拡張編は基本編を実施済み前提の手順になります。 OCI IAM Identity Domains APEX_User Test-G1 所属グループ〇 × アクセス可アクセス不可 Test-G1 ユーザーA ユーザーB APEXアプリ Identity Domainsグループ「APEX_User」に所属しているユーザーのみAPEXアプリケーションにアクセス許可 (ユーザーAはアクセス可 / ユーザーBはアクセス不可）

2）グループの作成画面で名前、説明に「APEX_User」と入力し、「作成」を選択します。

3）グループ「APEX_User」が作成されたことを確認します。 ※グループへのメンバー追加は後続の手順で実施します。

「アプリケーション・ビルダー」を選択します。続けて販売アプリケーション（例：Sales100）を選択します。

「共有コンポーネント」を選択します。続けて「認証スキーム」を選択します。

上記にて作成した認証スキーム「IdentityDomain_Auth」を選択します。

「設定」タブを選択し、下記項目を変更・追加し「変更の適用」を選択します。・有効範囲：profile,groups ・追加ユーザー属性：groups

再度、「IdentityDomain_Auth」を選択します。

「ソース」タブを選択し、PL/SQLコード部分に下記コードを入力します。 procedure load_dynamic_groups as l_group_names apex_t_varchar2; l_group_count number; begin -- -- get groups count -- l_group_count := apex_json.get_count('groups'); if l_group_count is not null then -- -- add all group names to l_group_names -- for i in 1 .. apex_json.get_count('groups') loop apex_string.push ( p_table => l_group_names, p_value => apex_json.get_varchar2 ( p_path => 'groups[%d].name', p0 => i )); end loop; -- -- save group names in session -- if l_group_names.count > 0 then apex_authorization.enable_dynamic_groups ( p_group_names => l_group_names ); end if; end if; end; OpenID Connectにより連携されたログインした Identity Domainsユーザー情報から所属グループを取得するコードです。

「ログイン・プロセス」タブを選択し、認証後のプロシージャ名に「load_dynamic_groups」と入力します。「変更の適用」ボタンをクリックします。 ※この手順により、Identity DomainsのユーザーがAPEXアプリケーションにログインするタイミングでユーザーが属している Identity Domainsのグループの情報が取得されます。

画面左上の「共有コンポーネント」リンクを選択します。続けて「認可スキーム」を選択します。

認可スキーム画面で「作成」を選択します。

表示された認可スキームの作成画面で「最初から」を選択し、「次」を選択します。

表示された認可スキームの作成画面で下記項目を指定し、「認可スキームの作成」を選択します。・名前：Group AuthZ （任意の名前）・スキーム・タイプ：ロールまたはグループ内にある・タイプ：カスタム・名前：アクセス許可するIdentity Domainsグループ名 (例：APEX_User) ・スキームの違反時に・・・・：Not Authorized !!（任意の値)

認可スキームが作成されたことを確認します。

作成した認可スキームを販売サンプルアプリケーションへ適用するため、画面左上の「共有コンポーネント」リンクを選択します。続けて、「セキュリティ属性」を選択します。

「すべて表示」タブを選択し、認可セクションにて下記項目を指定し、「変更の保存」を選択します。・認可スキーム：上記で作成した認可スキーム（Group AuthZ) ・ロールまたはグループ・スキームのソース：カスタム・コード

動作確認 Copyright © 2025, Oracle and/or its affiliates 97 5）次に、グループ「APEX_User」に所属しないテストユーザーを新規作成するため、
ユーザー部分の「作成」を選択します。表示された画面にて新規テストユーザーの姓/名/メールアドレス（ユーザーIDとメールアドレスを分ける場合にはユーザーID)を入力し「作成」を選択します。 ※新規作成するテストユーザーはどのグループにも所属させないようにします。

動作確認 Copyright © 2025, Oracle and/or its affiliates 98 6）指定したメールアドレスに通知「Activate
your profile in account - ＜テナンシ名＞」が届いていることを確認し、本文の「Active Your Account」を選択し、作成したテストユーザー(test_user2)の初期パスワードをセットします。 ※パスワードセット後に「サインインへ進む」を選択せずに、ブラウザタブを閉じます。

シークレットウィンドウをすべて閉じ、新規にブラウザシークレットウィンドウを開き、販売サンプルアプリケーションのURLにアクセスします。 URL(例)：https://g884・・・・・・c-db2・・・・・・・・・・・・・051.adb.ap-tokyo-1.oraclecloudapps.com/ords/f?p=106 ※アプリケーションの番号↑ アイデンティティ・ドメインのログイン画面にて、グループ「APEX_User」に属しているテストユーザー(test_user1)のID/パスワードを指定し「サインイン」を選択します。

シークレットウィンドウをすべて閉じ、新規にブラウザシークレットウィンドウを開き、販売サンプルアプリケーションのURLに再度アクセスします。 URL(例)：https://g884・・・・・・c-db2・・・・・・・・・・・・・051.adb.ap-tokyo-1.oraclecloudapps.com/ords/f?p=106 ※アプリケーションの番号↑ アイデンティティ・ドメインのログイン画面にて、グループ「APEX_User」に属していないテストユーザー(test_user2)のID/パスワードを指定し「サインイン」を選択します。

動作確認 Copyright © 2025, Oracle and/or its affiliates 102 10）セキュアな検証の有効化画面にて「セキュアな検証の有効化」を選択します。
※テストユーザー(test_user2)はまだMFA要素が未登録であるため本画面が表示されます。 MFA要素の選択画面にて「電子メール」を選択します。 ※上記にて作成したサインオンポリシーにて要素として「電子メール」のみ選択したため、選択肢は「電子メール」のみになります。

動作確認 Copyright © 2025, Oracle and/or its affiliates 103 11）テストユーザーのメールアドレスに通知「One-Time
Passcode for accessing your Cloud account in ＜テナンシ名＞」が届いていることを確認し、本文中のパスワードコードをブラウザ画面のコード部分に入力し、「電子メール・アドレスの確認」を選択します。

OCI IAM Identity Domain_APEXアプリケーションとの認証連携/Iden...

OCI IAM Identity Domain_APEXアプリケーションとの認証連携/Identity Domain for APEX Apps

More Decks by oracle4engineer

Other Decks in Technology

Featured

Transcript