OCI IAM Identity Domains SAML認証連携設定(基本編)/Identity Domain SAML(Basic)

Transcript

1. OCI IAM Identity Domains SAMLによる認証連携設定手順(Basic編) 2022年10月11日 日本オラクル株式会社

2. Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、 情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以 下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買 決定を行う際の判断材料になさらないで下さい。 オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊 社の裁量により決定され、変更される可能性があります。 Copyright

   © 2022, Oracle and/or its affiliates 2

3. はじめに 本手順書により実現する構成イメージ Copyright © 2022, Oracle and/or its affiliates 3

   本手順書は下記構成を実現するためのOCI IAM Identity DomainでのSAMLによる認証連携(SP Initiate)設定手順書になります。 ※対象のSAMLアプリケーションアプリケーションは構築済みとの前提となります。 ※対象アプリケーションとIdentity Domainにはユーザーが登録されている前提となります。 OCI IAM Identity Domain IdP SAMLによる認証連携 SP SAML対応アプリケーション 利用者 SAML対応アプリケーションへアクセスすると Identity Domainへリダイレクト 例) ・NameIDにIdentity Domainの属性「ユーザー名(UserName)」を指定 ・追加属性としてIdentity Domainで所属するグループを指定 認証

4. 手順概要 Copyright © 2022, Oracle and/or its affiliates 4 1.

   対象アプリケーションのメタデータ(または各種情報)の取得 2. OCI IAM Identity Domain側でのSAML連携用アプリケーション登録・メタデータ取得 3. 対象アプリケーションへのOCI IAM Identity Domainのメタデータ(または各種情報)の登録 4. 動作確認 (補足）OCI IAM Identity Domainのメタデータ取得 ※対象アプリケーションの都合上、最初(上記手順1の前に)にOCI IAM Identity Domainのメタデータが必要な場合に実施

5. 1.対象アプリケーションのメタデータ(または各種情報)の取得 Copyright © 2022, Oracle and/or its affiliates 5

6. 1.対象アプリケーションのメタデータ(または各種情報)の取得 Copyright © 2022, Oracle and/or its affiliates 6 OCI

   IAM Identity DomainとSAML認証連携を設定するためには最低限下記の情報が必要になります。 これら情報を取得するため、対象アプリケーションからメタデータを取得する、またはその他方法にて情報を取得します。 ・Entity ID（エンティティID） ・Assertion Consumer Service/URL（アサーション・コンシューマ・サービス/URL) ・NameIDとする属性（名前IDとする属性） ※必要に応じてその他の情報 (ログアウトURL等) も取得します。

7. 2. OCI IAM Identity Domain側でのSAML連携用アプリケーション登録・メタデータ取得 Copyright © 2022, Oracle and/or

   its affiliates 7

8. 2. OCI IAM Identity Domain側でのSAML連携用アプリケーション登録・メタデータ取得 Copyright © 2022, Oracle and/or

   its affiliates 8 1）OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。 テナント名(クラウド・アカウント名)を入力し「Next」を選択します。 アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメイン(今回は「PoC_IdentityDomain01」)を選択し、 管理者のユーザー名/パスワードを入力しOCIコンソールにログインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にログインすることになります。 ※環境によりドメイン選択画面は表示されません。

9. 2. OCI IAM Identity Domain側でのSAML連携用アプリケーション登録・メタデータ取得 Copyright © 2022, Oracle and/or

   its affiliates 9 2) OCIコンソールにログインした後、画面右上のアバターマークより 「アイデンティティ・ドメイン：{アイデンティティ・ドメイン名} 」を選択します。

10. 2. OCI IAM Identity Domain側でのSAML連携用アプリケーション登録・メタデータ取得 Copyright © 2022, Oracle and/or

    its affiliates 10 3) アイデンティティ・ドメイン画面の左側メニューより「アプリケーション」を選択します。 「アプリケーションの追加」を選択し、表示されたアプリケーションの追加画面にて「SAMLアプリケーション」を選択し、「ワークフローの起動」を 選択します。

11. 2. OCI IAM Identity Domain側でのSAML連携用アプリケーション登録・メタデータ取得 Copyright © 2022, Oracle and/or

    its affiliates 11 4) SAMLアプリケーションの追加画面にて、名前、説明に任意の値を入力します。 画面下部の認可と許可部分にて「権限付与を認可として実施」をチェックOFFにし、「次」を選択します。 本アプリケーションに対して入り口認可制御を 実施する場合には本項目をチェックONにします。

12. 2. OCI IAM Identity Domain側でのSAML連携用アプリケーション登録・メタデータ取得 Copyright © 2022, Oracle and/or

    its affiliates 12 5) シングル・サインオンの構成の一般部分にて上記1章で確認した下記情報を指定します。 ・エンティティID：上記1章で確認した値 ・アサーション・コンシューマのURL：上記1章で確認した値 ・名前IDフォーマット：未指定 ・名前IDの値：ユーザー名 左記の設定の場合、NameIDとして Identity Domainのユーザー名がセットされます。 "式”を選択することで他属性をNameIDに指定するこ とも可能です。 例) ・姓の場合「 $(user.name.familyName)」 ・従業員番号の場合 「 $(user.urn:ietf:params:scim:schemas:extensi on:enterprise:2.0:User:employeeNumber)」

13. 2. OCI IAM Identity Domain側でのSAML連携用アプリケーション登録・メタデータ取得 Copyright © 2022, Oracle and/or

    its affiliates 13 6) 続けて同画面の追加構成部分にて「シングル・ログアウトの有効化」のチェックをOFFにします。 ※今回はチェックOFFにしますが、必要に応じてチェックONにして有効化URLを指定します。

14. 2. OCI IAM Identity Domain側でのSAML連携用アプリケーション登録・メタデータ取得 Copyright © 2022, Oracle and/or

    its affiliates 14 7) 続けて同画面の属性構成部分にて「＋追加属性」を選択します。 所属グループ情報を追加するために、表示された追加属性指定部分に下記を入力し、「終了」を選択します。 ・名前：任意の名称 ・形式：基本 ・タイプ：ユーザー属性 ・タイプ値：グループ・メンバーシップ ・条件：すべてのグループ ログインしたユーザーが所属するIdentity Domainの グループ名が対象アプリケーションへ渡されることになります。

15. 2. OCI IAM Identity Domain側でのSAML連携用アプリケーション登録・メタデータ取得 Copyright © 2022, Oracle and/or

    its affiliates 15 8) 作成したSAMLアプリケーション詳細ページに遷移したことを確認し、「アクティブ化」を選択します。 アクティブ化確認画面にて「アプリケーションのアクティブ化」を選択します。

16. 2. OCI IAM Identity Domain側でのSAML連携用アプリケーション登録・メタデータ取得 Copyright © 2022, Oracle and/or

    its affiliates 16 9) 作成したSAMLアプリケーションがアクティブ化されたことを確認します。 Identity Domainのメタデータをダウンロードするため「アイデンティティ・プロバイダ・メタデータのダウンロード」を選択し メタデータ(XMLファイル)を保存します。

17. 3. 対象アプリケーションへのOCI IAM Identity Domainのメタデータ(または各種情報)の登録 Copyright © 2022, Oracle and/or

    its affiliates 17

18. 3. 対象アプリケーションへのOCI IAM Identity Domainのメタデータ(または各種情報)の登録 Copyright © 2022, Oracle and/or

    its affiliates 18 上記2章にて取得したOCI IAM Identity Domainのメタデータを対象アプリケーションへ投入します。 (またはメタデータより必要な情報を抽出し対象アプリケーションに登録します。）

19. 4. 動作確認 Copyright © 2022, Oracle and/or its affiliates 19

20. 4. 動作確認 Copyright © 2022, Oracle and/or its affiliates 20

    1) 対象アプリケーションにアクセスします。 2) Identity Domainログイン画面が表示されることを確認します。 ログイン画面にてユーザー名/パスワードを入力し、「サイン・イン」を選択します。 3) 対象アプリケーションにログインできたことを確認します。 (可能な範囲で、Identity Domainにログインしたユーザーが所属するグループ情報が対象アプリケーションに渡されていることも確認します。)

21. (補足）OCI IAM Identity Domainのメタデータ取得 ※対象アプリケーションの都合上、最初(上記1章の前に)にOCI IAM Identity Domainのメタデータが必要な場合に実施 Copyright ©

    2022, Oracle and/or its affiliates 21

22. OCI IAM Identity Domainのメタデータ取得 Copyright © 2022, Oracle and/or its

    affiliates 22 1）OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。 テナント名(クラウド・アカウント名)を入力し「Next」を選択します。 アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメイン(今回は「PoC_IdentityDomain01」)を選択し、 管理者のユーザー名/パスワードを入力しOCIコンソールにログインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にログインすることになります。 ※環境によりドメイン選択画面は表示されません。

23. OCI IAM Identity Domainのメタデータ取得 Copyright © 2020, Oracle and/or its

    affiliates 23 2) OCIコンソールにログインした後、画面右上のアバターマークより 「アイデンティティ・ドメイン：{アイデンティティ・ドメイン名} 」を選択します。

24. OCI IAM Identity Domainのメタデータ取得 Copyright © 2020, Oracle and/or its

    affiliates 24 3）アイデンティティ・ドメイン画面にて、左側メニューより「概要」を選択します。 概要画面にてドメインURLをコピーし控えておきます。 ※このURLは後続の手順で利用します。

25. OCI IAM Identity Domainのメタデータ取得 Copyright © 2020, Oracle and/or its

    affiliates 25 4）左側メニューより「設定」ー「ドメイン設定」を選択します。

26. OCI IAM Identity Domainのメタデータ取得 Copyright © 2020, Oracle and/or its

    affiliates 26 5）ドメイン設定画面にて署名証明書へのアクセス部分の「クライアント・アクセスの構成」をチェックONにし、「変更の保存」を選択します。

27. OCI IAM Identity Domainのメタデータ取得 Copyright © 2020, Oracle and/or its

    affiliates 27 6）ブラウザにて下記URLにアクセスし、SAMLメタデータをダウンロードします。 https://{Identity DomainのURL(上記手順4で控えたURL)}/fed/v1/metadata
28. None