Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OCI IAM Identity Domains IdPポリシー設定手順/Identity Domain IdP Policy
Search
oracle4engineer
PRO
October 03, 2022
Technology
0
810
OCI IAM Identity Domains IdPポリシー設定手順/Identity Domain IdP Policy
OCI IAM Identity Domains環境にてIdPポリシーを設定するための手順をまとめた資料です。
oracle4engineer
PRO
October 03, 2022
Tweet
Share
More Decks by oracle4engineer
See All by oracle4engineer
【Oracle Cloud ウェビナー】知的ワーカーを支援する! AIエンジンの搭載で活用の裾野の拡がる最新データベース事情と構築アプローチ入門
oracle4engineer
PRO
0
22
Oracle Database 23ai 新機能 #2 Oracle True Cache
oracle4engineer
PRO
0
79
Oracle Database 23ai 新機能 #2 Oracle Data Guard per Pluggable Database (DGPDB)
oracle4engineer
PRO
0
25
Oracle Cloud Infrastructure:2024年7月度サービス・アップデート
oracle4engineer
PRO
0
97
【Oracle Cloud ウェビナー】【入門編】はじめてのOracle Analytics Cloud[+最新情報]
oracle4engineer
PRO
1
53
OCI IAM Identity DomainsとAWSとの認証連携設定手順
oracle4engineer
PRO
1
98
Oracle Base Database Service 技術詳細
oracle4engineer
PRO
5
42k
LLMのエコシステム / Ecosystem of LLM
oracle4engineer
PRO
5
450
[自動バックアップのコスト比較]リカバリ・サービス (RCV/ZRCV) とオブジェクト・ストレージ
oracle4engineer
PRO
2
970
Other Decks in Technology
See All in Technology
データ分析を支える技術 生成AI再入門
ishikawa_satoru
0
380
AWSサービスメニュー開発をしていてAWSを好きだ!と感じた瞬間
toru_kubota
0
130
フルリモートワークはエンジニアの夢を叶えたか? #cm_odyssey
mamohacy
2
600
AWS IAMのアンチパターン/AWSが考える最低権限実現へのアプローチ概略(JAWS-UG朝会#59資料改修20分版)
htan
0
330
たくさん本を読んだけど 1年後には綺麗サッパリ!を乗り越えて 学習の鬼になるぞ👹
yum3
0
160
Azure AI ことはじめ
tsubakimoto_s
0
130
「我々はどこに向かっているのか」を問い続けるための仕組みづくり / Establishing a System for Continuous Inquiry about where we are
daitasu
0
170
初中級者用如何使用backlog -VALE TUDOEDITION-
in0u
0
140
Git 研修 Advanced【MIXI 24新卒技術研修】
mixi_engineers
PRO
0
200
スタートアップにおける組織設計とスクラムの長期戦略 / Scrum Fest Kanazawa 2024
yoshikiiida
13
3.6k
年間一億円削減した時系列データベースのアーキテクチャ改善~不確実性の高いプロジェクトへの挑戦~
lycorptech_jp
PRO
3
2.9k
成長期に歩みを止めないための創業期の開発文化形成
mayah
6
420
Featured
See All Featured
Become a Pro
speakerdeck
PRO
15
4.8k
In The Pink: A Labor of Love
frogandcode
139
22k
Building a Modern Day E-commerce SEO Strategy
aleyda
25
6.7k
How GitHub (no longer) Works
holman
305
140k
Ruby is Unlike a Banana
tanoku
96
10k
Typedesign – Prime Four
hannesfritz
37
2.2k
The MySQL Ecosystem @ GitHub 2015
samlambert
248
12k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
228
16k
It's Worth the Effort
3n
181
27k
Automating Front-end Workflow
addyosmani
1362
200k
Practical Orchestrator
shlominoach
185
10k
Scaling GitHub
holman
458
140k
Transcript
OCI IAM Identity Domains IdPポリシー設定手順 日本オラクル株式会社 2022/10/3
Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、 情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以 下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買 決定を行う際の判断材料になさらないで下さい。 オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊 社の裁量により決定され、変更される可能性があります。 Copyright
© 2021, Oracle and/or its affiliates 2
3 Copyright © 2021, Oracle and/or its affiliates 目次 IdPポリシーの概要
利用者にIdPを選択してもらう設定 利用者全員に強制的に外部IdPを利用させる設定 利用者の所属グループによりIdPを制御する設定 個別アプリケーションに対してのみ外部IdPを利用させる設定 1 2 3 4 5
1. IdPポリシーの概要 Copyright © 2021, Oracle and/or its affiliates 4
IdPポリシー IdP(アイデンティティ・プロバイダ)の利用ルールを定義するIdPポリシー機能 IdPポリシー Copyright © 2021, Oracle and/or its affiliates
5 利用者 IdPポリシー1 IdPポリシー2 Web業務アプリケーション “従業員”グループ所属 IdPルールの例 • IdPポリシーにより、認証時に利用するIdPとしてローカル認証(アイデンティティ・ドメインの認証)を使うか、または外部IdP(AzureAD等の 他社認証基盤)を使うかを制御することが可能 • 利用IdPを利用者自身が都度選択することが可能 • 所属グループ等の利用者属性を利用し強制的に1つのIdPを利用させることも可能 • アプリケーション全体(OCIコンソール含む)または個別アプリケーションのみにIdPポリシーを適用 条件 IdP 他社クラウドサービス Oracle PaaS/SaaS Azure AD 社外NWからのアクセス ローカル 無条件(全員・強制的) 既存社内認証基盤 Azure AD OCI IAM Identity Domain 社内認証基盤 IdPによる認証処理 ※IdPポリシーにて外部IdPを利用するルールを定義する場合には、事前に外部IdPの登録設定が必要になります。
全体/個別アプリケーションへのIdPポリシー適用 Copyright © 2021, Oracle and/or its affiliates 6 •
デフォルトの状態で全体(すべてのアプリケーション)に適用するためのIdPポリシー「Default Identity Provider Policy」を用意 「 Default Identity Provider Policy」の中で細かなIdPルール(条件、利用IdP)を複数定義可能 • 個別アプリケーションにのみ適用したい場合には別途カスタムIdPポリシーを作成 作成したカスタムポリシーの中で細かなIdPルール(条件、利用IdP)を複数定義可能 • IdPポリシーの中のIdPルールには評価順序の設定が可能(順序順に評価) OCIコンソールを含め 全てのアプリケーションに適用したい場合 Default Identity Provider Policy OCIコンソール Oracle PaaS/SaaS 他社クラウドサービス On-P Webアプリケーション IdPルール1 IdPルール2 IdPルール3 …. Default IdP Policyに ルールを自由に定義 ※Default IdP Policyは削除できません 個別アプリケーションにのみ適用したい場合 カスタム IdPポリシー クラウドサービスA IdPルール1 IdPルール2 IdPルール3 …. カスタム・IdPポリシーを作成し ルールを自由に定義 ※カスタム・IdPポリシーは削除可能 アプリケーションA カスタム・IdPポリシーに 適用対象アプリケーションを登録 適用対象アプリケーションの 登録不要 評価順 評価順
IdPポリシーで使うネットワークペリメータ Copyright © 2021, Oracle and/or its affiliates 7 •
IdPポリシー内のIdPルールで接続元IPアドレスを条件で利用したい場合、利用するIPアドレスを「ネットワーク・ペリメータ」として事前に定義 • 条件に利用するIPアドレスが変更となっても、IdPルールに影響与えずネットワーク・ペリメータのみの変更で対応可能 • ネットワーク・ペリメータではいくつかの方法でIPアドレスを登録可能 1つのIPアドレスを登録(例:10.0.0.1) カンマ区切りで複数のIPアドレスを登録(例:10.0.0.1,10.0.0.1,10.1.0.100) ハイフンを利用しIPアドレス範囲を登録(例:10.0.0.1-10.0.0.100) CIDR表記によるIPアドレス範囲を登録(例:10.0.0.1/16) Default Identity Provider Policy 【IDPルール1】 ネットワーク・ペリメータ「社内」の場合 Azure AD
2.利用者にIdPを選択してもらう設定 Copyright © 2021, Oracle and/or its affiliates 8 ※本手順は、外部IdPとして利用する“ADFS”はOCI
IAM アイデンティティ・ドメインに登録済みの前提での手順となります。
Copyright © 2021, Oracle and/or its affiliates 本手順による実現イメージ/IdPポリシーの構成 9 •
IdPポリシー「Default Identity Provider Policy」に、無条件でIdPとしてローカルまたは外部IdP(今回はADFS)を選択させる ルールを定義し、1つのアイデンティティ・ドメイン全体(OCIコンソールを含むすべてのアプリケーション)へそのポリシーを適用させます。 無条件 ローカル , ADFS 条件 IdP す べ て の NW ローカル認証 (OCI IAMアイデンティティ・ドメイン) アプリケーション全体 OCIコンソール Oracle PaaS/SaaS 他社クラウドサービス On-P Webアプリケーション 【OCI IAM アイデンティティ・ドメイン ログイン画面】 IdP選択 ローカル or ADFS ルール1 Default Identity Provider Policy 【 実 現 イ メ ー ジ 】 【 IdP ポ リ シ ー 構 成 】 全員 ADFS認証 リダイレクト リダイレクト
利用者にIdPを選択してもらう設定 Copyright © 2021, Oracle and/or its affiliates 10 1)OCI管理者でOCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。
テナント名(クラウド・アカウント名)を入力し「Next」を選択します。 アイデンティティ・ドメインの選択にて対象ドメイン(今回は「Prod_IAM_Domain」)を選択し、ID/パスワードを入力し OCIコンソールにログインします。
利用者にIdPを選択してもらう設定 Copyright © 2021, Oracle and/or its affiliates 11 2)メニューより「アイデンティティとセキュリティ」ー「アイデンティティ」を選択します。
利用者にIdPを選択してもらう設定 Copyright © 2021, Oracle and/or its affiliates 12 3)「ドメイン」を選択、対象ドメインが存在するコンパートメントを指定し、対象ドメインを選択します。
利用者にIdPを選択してもらう設定 Copyright © 2021, Oracle and/or its affiliates 13 4)IdPポリシーの定義のため、左側メニューより「セキュリティ」ー「IdPポリシー」を選択します。
「Default Identity Provider Policy」を選択します。
利用者にIdPを選択してもらう設定 Copyright © 2021, Oracle and/or its affiliates 14 5)Default
Identity Provider Policy詳細画面にて、「IdPルールの追加」を選択します。 ※Default Identity Provider Policyには「Default IDP Rule」というルールがあらかじめ作成されています。 この「Default IDP Rule」を直接編集することも可能ですが、運用の中でデフォルトの状態に戻す場合などを想定し、 「Default IDP Rule」は編集せずにデフォルトの状態のままにしておくことをお勧めします。
利用者にIdPを選択してもらう設定 Copyright © 2021, Oracle and/or its affiliates 15 6)IdPルールの追加画面にて、ルール名に適当な値を指定し、
アイデンティティ・プロバイダの割当て部分にて「ADFS_Test」と「Username-Password」を選択します。 その他条件は、何も設定せずに「IdPルールの追加」を選択します。 ※アイデンティティ・プロバイダに設定した「Username-Password」は アイデンティティ・ドメインのローカル認証のことを指します。
利用者にIdPを選択してもらう設定 Copyright © 2021, Oracle and/or its affiliates 16 7)Default
Identity Provider画面に戻り、IdPルールが1つ追加されていることを確認し、「優先度の編集」を選択します。
利用者にIdPを選択してもらう設定 Copyright © 2021, Oracle and/or its affiliates 17 8)IDPルールの左側にある上下矢印を押下し、上記にて作成したIdPルールを優先度1に設定し、「変更の保存」を選択します。
利用者にIdPを選択してもらう設定 Copyright © 2021, Oracle and/or its affiliates 18 9)作成したIDPルールの優先度が1になっていることを確認します。
動作確認 Copyright © 2021, Oracle and/or its affiliates 19 1)OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。
テナント名(クラウド・アカウント名)を入力し「Next」を選択します。 アイデンティティ・ドメインの選択にて対象ドメイン(今回は「Prod_IAM_Domain」)を選択します。
動作確認 Copyright © 2021, Oracle and/or its affiliates 20 2)アイデンティティ・ドメインのログイン画面の下部に外部IdP(今回は「ADFS_Test」)が表示され選択可能な状態になっていることを
確認します。
動作確認 Copyright © 2021, Oracle and/or its affiliates 21 3)「ADFS_Test」を選択するとADFSログイン画面に遷移し、ADFSログイン後にOCIコンソールにリダイレクトされることを確認します。
一方、アイデンティティ・ドメインのログイン画面にてそのままID/パスワードを入力してもOCIコンソールにサインインできることを確認します。
3.利用者全員に強制的に外部IdPを利用させる設定 Copyright © 2021, Oracle and/or its affiliates 22 ※本手順は、外部IdPとして利用する“ADFS”はOCI
IAM アイデンティティ・ドメインに登録済みの前提での手順となります。 また、上記2.の設定は未実施の前提での手順となります。
OCI IAMアイデンティティ・ドメイン ログイン画面 非表示 Copyright © 2021, Oracle and/or its
affiliates 本手順による実現イメージ/IdPポリシーの構成 23 • IdPポリシー「Default Identity Provider Policy」に、無条件でIdPとして外部IdP(今回はADFS)のみを利用するルールを定義し、 1つのアイデンティティ・ドメイン全体(OCIコンソールを含むすべてのアプリケーション)へそのポリシーを適用させます。 無条件 ADFS 条件 IdP す べ て の NW アプリケーション全体 OCIコンソール Oracle PaaS/SaaS 他社クラウドサービス On-P Webアプリケーション 【ADFSログイン画面】 ADFS認証 ルール1 Default Identity Provider Policy 【 実 現 イ メ ー ジ 】 【 IdP ポ リ シ ー 構 成 】 全員 リダイレクト リダイレクト
利用者全員に強制的に外部IdPを利用させる設定 Copyright © 2021, Oracle and/or its affiliates 24 1)OCI管理者でOCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。
テナント名(クラウド・アカウント名)を入力し「Next」を選択します。 アイデンティティ・ドメインの選択にて対象ドメイン(今回は「Prod_IAM_Domain」)を選択し、ID/パスワードを入力し OCIコンソールにログインします。
利用者全員に強制的に外部IdPを利用させる設定 Copyright © 2021, Oracle and/or its affiliates 25 2)メニューより「アイデンティティとセキュリティ」ー「アイデンティティ」を選択します。
利用者全員に強制的に外部IdPを利用させる設定 Copyright © 2021, Oracle and/or its affiliates 26 3)「ドメイン」を選択、対象ドメインが存在するコンパートメントを指定し、対象ドメインを選択します。
利用者全員に強制的に外部IdPを利用させる設定 Copyright © 2021, Oracle and/or its affiliates 27 4)IdPポリシーの定義のため、左側メニューより「セキュリティ」ー「IdPポリシー」を選択します。
「Default Identity Provider Policy」を選択します。
利用者全員に強制的に外部IdPを利用させる設定 Copyright © 2021, Oracle and/or its affiliates 28 5)Default
Identity Provider Policy詳細画面にて、「IdPルールの追加」を選択します。 ※Default Identity Provider Policyには「Default IDP Rule」というルールがあらかじめ作成されています。 この「Default IDP Rule」を直接編集することも可能ですが、運用の中でデフォルトの状態に戻す場合などを想定し、 「Default IDP Rule」は編集せずにデフォルトの状態のままにしておくことをお勧めします。
利用者全員に強制的に外部IdPを利用させる設定 Copyright © 2021, Oracle and/or its affiliates 29 6)IdPルールの追加画面にて、ルール名に適当な値を指定し、
アイデンティティ・プロバイダの割当て部分にて「ADFS_Test」のみを選択します。 その他条件は何も設定せずに「IdPルールの追加」を選択します。
利用者全員に強制的に外部IdPを利用させる設定 Copyright © 2021, Oracle and/or its affiliates 30 7)Default
Identity Provider画面に戻り、IdPルールが1つ追加されていることを確認し、「優先度の編集」を選択します。
利用者全員に強制的に外部IdPを利用させる設定 Copyright © 2021, Oracle and/or its affiliates 31 8)IDPルールの左側にある上下矢印を押下し、上記にて作成したIdPルールを優先度1に設定し、「変更の保存」を選択します。
利用者全員に強制的に外部IdPを利用させる設定 Copyright © 2021, Oracle and/or its affiliates 32 9)作成したIDPルールの優先度が1になっていることを確認します。
動作確認 Copyright © 2021, Oracle and/or its affiliates 33 1)OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。
テナント名(クラウド・アカウント名)を入力し「Next」を選択します。 アイデンティティ・ドメインの選択にて対象ドメイン(今回は「Prod_IAM_Domain」)を選択します。
動作確認 Copyright © 2021, Oracle and/or its affiliates 34 2)ADFSのログイン画面にが表示されることを確認します。
ADFS側のID/パスワードを入力し「サインイン」を選択することで、OCIコンソールにアクセスできることを確認します。
4.利用者の所属グループによりIdPを制御する設定 Copyright © 2021, Oracle and/or its affiliates 35 ※本手順は、外部IdPとして利用する“ADFS”はOCI
IAM アイデンティティ・ドメインに登録済みの前提での手順となります。 また、上記2.、3.の設定は未実施の前提での手順となります。
Copyright © 2021, Oracle and/or its affiliates 本手順による実現イメージ/IdPポリシーの構成 36 •
IdPポリシー「Default Identity Provider Policy」に、所属グループを利用した条件によりIdPを外部IdP(今回はADFS)またはローカル を利用するルールを定義し、1つのアイデンティティ・ドメイン全体(OCIコンソールを含むすべてのアプリケーション)へそのポリシーを適用させます。 所属グループ=“Employee” ADFS 条件 IdP す べ て の NW アプリケーション全体 OCIコンソール Oracle PaaS/SaaS 他社クラウドサービス On-P Webアプリケーション 【ADFSログイン画面】 ADFS認証 ルール1 Default Identity Provider Policy 【 実 現 イ メ ー ジ 】 【 IdP ポ リ シ ー 構 成 】 グループ:Employee所属ユーザー リダイレクト グループ:Contractor所属ユーザー 【OCI IAMログイン画面】 ローカル認証 OCI IAM アイデンティティドメイン ユーザーID指定画面 リダイレクト 所属グループ=“Contractor” ローカル ルール2
利用者の所属グループによりIdPを制御する設定 Copyright © 2021, Oracle and/or its affiliates 37 1)OCI管理者でOCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。
テナント名(クラウド・アカウント名)を入力し「Next」を選択します。 アイデンティティ・ドメインの選択にて対象ドメイン(今回は「Prod_IAM_Domain」)を選択し、ID/パスワードを入力し OCIコンソールにログインします。
利用者の所属グループによりIdPを制御する設定 Copyright © 2021, Oracle and/or its affiliates 38 2)メニューより「アイデンティティとセキュリティ」ー「アイデンティティ」を選択します。
利用者の所属グループによりIdPを制御する設定 Copyright © 2021, Oracle and/or its affiliates 39 3)「ドメイン」を選択、対象ドメインが存在するコンパートメントを指定し、対象ドメインを選択します。
利用者の所属グループによりIdPを制御する設定 Copyright © 2021, Oracle and/or its affiliates 40 4)条件で利用するグループの確認のため、左側メニューより「グループ」を選択します。
条件で利用するグループ(今回は“Employee”と“Contractor”)を選択し、ユーザーが所属していることを確認します。
利用者の所属グループによりIdPを制御する設定 Copyright © 2021, Oracle and/or its affiliates 41 5)IdPポリシーの定義のため、左側メニューより「セキュリティ」ー「IdPポリシー」を選択します。
「Default Identity Provider Policy」を選択します。
利用者の所属グループによりIdPを制御する設定 Copyright © 2021, Oracle and/or its affiliates 42 6)Default
Identity Provider Policy詳細画面にて、「IdPルールの追加」を選択します。 ※Default Identity Provider Policyには「Default IDP Rule」というルールがあらかじめ作成されています。 この「Default IDP Rule」を直接編集することも可能ですが、運用の中でデフォルトの状態に戻す場合などを想定し、 「Default IDP Rule」は編集せずにデフォルトの状態のままにしておくことをお勧めします。
利用者の所属グループによりIdPを制御する設定 Copyright © 2021, Oracle and/or its affiliates 43 7)IdPルールの追加画面にて、ルール名に適当な値を指定し、
アイデンティティ・プロバイダの割当て部分にて「ADFS_Test」のみを選択します。 条件のグループメンバーシップにグループ「Employee」を指定し、「IdPルールの追加」を選択します。
利用者の所属グループによりIdPを制御する設定 Copyright © 2021, Oracle and/or its affiliates 44 8)Default
Identity Provider画面に戻り、IdPルールが1つ追加されていることを確認し、再度「IdPルールの追加」を選択します。
利用者の所属グループによりIdPを制御する設定 Copyright © 2021, Oracle and/or its affiliates 45 9)IdPルールの追加画面にて、ルール名に適当な値を指定し、
アイデンティティ・プロバイダの割当て部分にて「Username-Password」のみを選択します。 条件のグループメンバーシップにグループ「Contractor」を指定し、「IdPルールの追加」を選択します。 ※アイデンティティ・プロバイダに設定した「Username-Password」は アイデンティティ・ドメインのローカル認証のことを指します。
利用者の所属グループによりIdPを制御する設定 Copyright © 2021, Oracle and/or its affiliates 46 10)Default
Identity Provider画面に戻り、IdPルールが2つ追加されていることを確認し、「優先度の編集」を選択します。
利用者の所属グループによりIdPを制御する設定 Copyright © 2021, Oracle and/or its affiliates 47 11)IDPルールの左側にある上下矢印を押下し、下記の順序に設定します。
優先度1:Employess_Rule(グループ「Employeee」所属の場合には外部IDP「ADFS_Test」を利用) 優先度2:Contractor_Rule(グループ「Contractor」所属の場合にはローカル認証を利用) 優先度3:Default IDP Rule 優先度の変更後に「変更の保存」を選択します。
利用者の所属グループによりIdPを制御する設定 Copyright © 2021, Oracle and/or its affiliates 48 12)優先度が反映されていることを確認します。
※グループ「Employee」や「Contractor」に属さないユーザーは、優先度3のルール(Default IDP Rule)が適用されることになります。
利用者の所属グループによりIdPを制御する設定 Copyright © 2021, Oracle and/or its affiliates 49 13)今回のようにIDPポリシーにて所属しているグループによる条件判定を行う場合、認証処理前にアクセスするユーザーIDを先に
入力する(伝えてあげる)必要があります。 ユーザーID指定画面を先に表示させる設定に変更するために、左側メニューの「設定」-「セッション設定」を選択します。
利用者の所属グループによりIdPを制御する設定 Copyright © 2021, Oracle and/or its affiliates 50 14)セッション設定画面にて「ユーザー名を先に有効化するフロー」をチェックONにします。
「変更の保存」を選択します。 変更の確認にて「変更の保存」を選択します。
動作確認 – グループ“Employee”に所属しているユーザーによるアクセス Copyright © 2021, Oracle and/or its affiliates
51 1)OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。 テナント名(クラウド・アカウント名)を入力し「Next」を選択します。 アイデンティティ・ドメインの選択にて対象ドメイン(今回は「Prod_IAM_Domain」)を選択します。
動作確認 – グループ“Employee”に所属しているユーザーによるアクセス Copyright © 2021, Oracle and/or its affiliates
52 2)ユーザー名を指定する画面が先に表示されることを確認します。 グループ「Employee」に所属するユーザー名を指定し、「サインイン」を選択します。
動作確認 – グループ“Employee”に所属しているユーザーによるアクセス Copyright © 2021, Oracle and/or its affiliates
53 3)ADFSのログイン画面にが表示されることを確認します。 ADFS側のID/パスワードを入力し「サインイン」を選択することで、OCIコンソールにアクセスできることを確認します。
動作確認 – グループ“Contractor”に所属しているユーザーによるアクセス Copyright © 2021, Oracle and/or its affiliates
54 1)OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。 テナント名(クラウド・アカウント名)を入力し「Next」を選択します。 アイデンティティ・ドメインの選択にて対象ドメイン(今回は「Prod_IAM_Domain」)を選択します。
動作確認 – グループ“Contractor”に所属しているユーザーによるアクセス Copyright © 2021, Oracle and/or its affiliates
55 2)ユーザー名を指定する画面が先に表示されることを確認します。 グループ「Contractor」に所属するユーザー名を指定し、「サインイン」を選択します。
動作確認 – グループ“Contractor”に所属しているユーザーによるアクセス Copyright © 2021, Oracle and/or its affiliates
56 3)アイデンティティ・ドメインのパスワード指定画面が表示されることを確認します。 アイデンティティ・ドメインのパスワードを入力し「検証」を選択することで、OCIコンソールにアクセスできることを確認します。
5.個別アプリケーションに対してのみ外部IdPを利用させる設定 Copyright © 2021, Oracle and/or its affiliates 57 ※本手順は、外部IdPとして利用する“ADFS”はOCI
IAM アイデンティティ・ドメインに登録済みの前提での手順となります。 また、上記2.、3.、4.の設定は未実施の前提での手順となります。
Copyright © 2021, Oracle and/or its affiliates 本手順による実現イメージ/IdPポリシーの構成 58 •
IdPポリシーを新たに作成し、無条件で外部IdP(今回はADFS) を利用するルールを定義し、ある1つの個別アプリケーションへ そのポリシーを適用させます。 OCI IAMアイデンティティ・ドメイン ログイン画面 非表示 無条件 ADFS 条件 IdP す べ て の NW アプリケーションA 【ADFSログイン画面】 ADFS認証 ルール1 カスタムIDPポリシー 【 実 現 イ メ ー ジ 】 【 IdP ポ リ シ ー 構 成 】 全員 リダイレクト リダイレクト アプリケーションA 適用
個別アプリケーションに対してのみ外部IdPを利用させる設定 Copyright © 2021, Oracle and/or its affiliates 59 1)OCI管理者でOCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。
テナント名(クラウド・アカウント名)を入力し「Next」を選択します。 アイデンティティ・ドメインの選択にて対象ドメイン(今回は「Prod_IAM_Domain」)を選択し、ID/パスワードを入力し OCIコンソールにログインします。
個別アプリケーションに対してのみ外部IdPを利用させる設定 Copyright © 2021, Oracle and/or its affiliates 60 2)メニューより「アイデンティティとセキュリティ」ー「アイデンティティ」を選択します。
個別アプリケーションに対してのみ外部IdPを利用させる設定 Copyright © 2021, Oracle and/or its affiliates 61 3)「ドメイン」を選択、対象ドメインが存在するコンパートメントを指定し、対象ドメインを選択します。
個別アプリケーションに対してのみ外部IdPを利用させる設定 Copyright © 2021, Oracle and/or its affiliates 62 4)IdPポリシーを新規作成するために、左側メニューより「セキュリティ」ー「IdPポリシー」を選択します。
「IdPポリシーの作成」を選択します。
個別アプリケーションに対してのみ外部IdPを利用させる設定 Copyright © 2021, Oracle and/or its affiliates 63 5)IdPポリシーの作成画面にて、ポリシー名に適当な値を指定し「次」を選択します。
個別アプリケーションに対してのみ外部IdPを利用させる設定 Copyright © 2021, Oracle and/or its affiliates 64 6)IdPルールの追加画面にて、「IdPルールの追加」を選択します。
個別アプリケーションに対してのみ外部IdPを利用させる設定 Copyright © 2021, Oracle and/or its affiliates 65 7)IdPルールの追加画面にて、ルール名に適当な値を指定します。
アイデンティティ・プロバイダ部分にて外部IdPとして「ADFS_Test」を指定しします。 条件部分には何もせず(無条件)、「IdPルールの追加」を選択します。
個別アプリケーションに対してのみ外部IdPを利用させる設定 Copyright © 2021, Oracle and/or its affiliates 66 8)IdPルールが追加されたことを確認し、「次」を選択します。
個別アプリケーションに対してのみ外部IdPを利用させる設定 Copyright © 2021, Oracle and/or its affiliates 67 9)アプリケーションの追加画面にて「アプリケーションの追加」を選択します。
表示されたアプリケーション選択画面にて該当アプリケーションをチェックONにし「アプリケーションの追加」を選択します。
個別アプリケーションに対してのみ外部IdPを利用させる設定 Copyright © 2021, Oracle and/or its affiliates 68 10)アプリケーションが追加されたことを確認し、「閉じる」を選択します。
個別アプリケーションに対してのみ外部IdPを利用させる設定 Copyright © 2021, Oracle and/or its affiliates 69 11)IdPポリシー詳細画面にて、上記にて追加したIdPルールが登録されており、アプリケーションとして上記にて追加したアプリケーションが
登録されていることを確認します。
動作確認 – 個別アプリケーションアクセス(IdPポリシー適用済みのアプリケーション) Copyright © 2021, Oracle and/or its affiliates
70 1)ブラウザにて該当個別アプリケーションへアクセスします。 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
動作確認 – 個別アプリケーションアクセス(IdPポリシー適用済みのアプリケーション) Copyright © 2021, Oracle and/or its affiliates
71 2)ADFSのログイン画面にが表示されることを確認します。 ADFS側のID/パスワードを入力し「サインイン」を選択することで、該当個別アプリケーションにアクセスできることを確認します。
動作確認 – OCIコンソールアクセス(IdPポリシー未適用のアプリケーション) Copyright © 2021, Oracle and/or its affiliates
72 1)OCI管理者でOCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。 テナント名(クラウド・アカウント名)を入力し「Next」を選択します。 アイデンティティ・ドメインの選択にて対象ドメイン(今回は「Prod_IAM_Domain」)を選択します。 アイデンティティ・ドメインのログイン画面が表示されることを確認します。
None