Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OCI IAM Identity Domains SAML認証連携設定(基本編)/Identity Domain SAML(Basic)

OCI IAM Identity Domains SAML認証連携設定(基本編)/Identity Domain SAML(Basic)

OCI IAM Identity DomainとSAML対応アプリケーションにてSAMLによる認証連携を行うための設定手順(Basic編)になります。

oracle4engineer
PRO

June 05, 2023
Tweet

More Decks by oracle4engineer

Other Decks in Technology

Transcript

  1. OCI IAM Identity Domains
    SAMLによる認証連携設定手順(Basic編)
    2022年10月11日
    日本オラクル株式会社

    View Slide

  2. Safe harbor statement
    以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、
    情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以
    下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買
    決定を行う際の判断材料になさらないで下さい。
    オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊
    社の裁量により決定され、変更される可能性があります。
    Copyright © 2022, Oracle and/or its affiliates
    2

    View Slide

  3. はじめに
    本手順書により実現する構成イメージ
    Copyright © 2022, Oracle and/or its affiliates
    3
    本手順書は下記構成を実現するためのOCI IAM Identity DomainでのSAMLによる認証連携(SP Initiate)設定手順書になります。
    ※対象のSAMLアプリケーションアプリケーションは構築済みとの前提となります。
    ※対象アプリケーションとIdentity Domainにはユーザーが登録されている前提となります。
    OCI IAM
    Identity Domain
    IdP SAMLによる認証連携 SP
    SAML対応アプリケーション
    利用者
    SAML対応アプリケーションへアクセスすると
    Identity Domainへリダイレクト
    例)
    ・NameIDにIdentity Domainの属性「ユーザー名(UserName)」を指定
    ・追加属性としてIdentity Domainで所属するグループを指定
    認証

    View Slide

  4. 手順概要
    Copyright © 2022, Oracle and/or its affiliates
    4
    1. 対象アプリケーションのメタデータ(または各種情報)の取得
    2. OCI IAM Identity Domain側でのSAML連携用アプリケーション登録・メタデータ取得
    3. 対象アプリケーションへのOCI IAM Identity Domainのメタデータ(または各種情報)の登録
    4. 動作確認
    (補足)OCI IAM Identity Domainのメタデータ取得
    ※対象アプリケーションの都合上、最初(上記手順1の前に)にOCI IAM Identity Domainのメタデータが必要な場合に実施

    View Slide

  5. 1.対象アプリケーションのメタデータ(または各種情報)の取得
    Copyright © 2022, Oracle and/or its affiliates
    5

    View Slide

  6. 1.対象アプリケーションのメタデータ(または各種情報)の取得
    Copyright © 2022, Oracle and/or its affiliates
    6
    OCI IAM Identity DomainとSAML認証連携を設定するためには最低限下記の情報が必要になります。
    これら情報を取得するため、対象アプリケーションからメタデータを取得する、またはその他方法にて情報を取得します。
    ・Entity ID(エンティティID)
    ・Assertion Consumer Service/URL(アサーション・コンシューマ・サービス/URL)
    ・NameIDとする属性(名前IDとする属性)
    ※必要に応じてその他の情報 (ログアウトURL等) も取得します。

    View Slide

  7. 2. OCI IAM Identity Domain側でのSAML連携用アプリケーション登録・メタデータ取得
    Copyright © 2022, Oracle and/or its affiliates
    7

    View Slide

  8. 2. OCI IAM Identity Domain側でのSAML連携用アプリケーション登録・メタデータ取得
    Copyright © 2022, Oracle and/or its affiliates
    8
    1)OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。
    テナント名(クラウド・アカウント名)を入力し「Next」を選択します。
    アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメイン(今回は「PoC_IdentityDomain01」)を選択し、
    管理者のユーザー名/パスワードを入力しOCIコンソールにログインします。
    ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にログインすることになります。
    ※環境によりドメイン選択画面は表示されません。

    View Slide

  9. 2. OCI IAM Identity Domain側でのSAML連携用アプリケーション登録・メタデータ取得
    Copyright © 2022, Oracle and/or its affiliates
    9
    2) OCIコンソールにログインした後、画面右上のアバターマークより
    「アイデンティティ・ドメイン:{アイデンティティ・ドメイン名} 」を選択します。

    View Slide

  10. 2. OCI IAM Identity Domain側でのSAML連携用アプリケーション登録・メタデータ取得
    Copyright © 2022, Oracle and/or its affiliates
    10
    3) アイデンティティ・ドメイン画面の左側メニューより「アプリケーション」を選択します。
    「アプリケーションの追加」を選択し、表示されたアプリケーションの追加画面にて「SAMLアプリケーション」を選択し、「ワークフローの起動」を
    選択します。

    View Slide

  11. 2. OCI IAM Identity Domain側でのSAML連携用アプリケーション登録・メタデータ取得
    Copyright © 2022, Oracle and/or its affiliates
    11
    4) SAMLアプリケーションの追加画面にて、名前、説明に任意の値を入力します。
    画面下部の認可と許可部分にて「権限付与を認可として実施」をチェックOFFにし、「次」を選択します。
    本アプリケーションに対して入り口認可制御を
    実施する場合には本項目をチェックONにします。

    View Slide

  12. 2. OCI IAM Identity Domain側でのSAML連携用アプリケーション登録・メタデータ取得
    Copyright © 2022, Oracle and/or its affiliates
    12
    5) シングル・サインオンの構成の一般部分にて上記1章で確認した下記情報を指定します。
    ・エンティティID:上記1章で確認した値
    ・アサーション・コンシューマのURL:上記1章で確認した値
    ・名前IDフォーマット:未指定
    ・名前IDの値:ユーザー名
    左記の設定の場合、NameIDとして
    Identity Domainのユーザー名がセットされます。
    "式”を選択することで他属性をNameIDに指定するこ
    とも可能です。
    例)
    ・姓の場合「 $(user.name.familyName)」
    ・従業員番号の場合
    「 $(user.urn:ietf:params:scim:schemas:extensi
    on:enterprise:2.0:User:employeeNumber)」

    View Slide

  13. 2. OCI IAM Identity Domain側でのSAML連携用アプリケーション登録・メタデータ取得
    Copyright © 2022, Oracle and/or its affiliates
    13
    6) 続けて同画面の追加構成部分にて「シングル・ログアウトの有効化」のチェックをOFFにします。
    ※今回はチェックOFFにしますが、必要に応じてチェックONにして有効化URLを指定します。

    View Slide

  14. 2. OCI IAM Identity Domain側でのSAML連携用アプリケーション登録・メタデータ取得
    Copyright © 2022, Oracle and/or its affiliates
    14
    7) 続けて同画面の属性構成部分にて「+追加属性」を選択します。
    所属グループ情報を追加するために、表示された追加属性指定部分に下記を入力し、「終了」を選択します。
    ・名前:任意の名称
    ・形式:基本
    ・タイプ:ユーザー属性
    ・タイプ値:グループ・メンバーシップ
    ・条件:すべてのグループ
    ログインしたユーザーが所属するIdentity Domainの
    グループ名が対象アプリケーションへ渡されることになります。

    View Slide

  15. 2. OCI IAM Identity Domain側でのSAML連携用アプリケーション登録・メタデータ取得
    Copyright © 2022, Oracle and/or its affiliates
    15
    8) 作成したSAMLアプリケーション詳細ページに遷移したことを確認し、「アクティブ化」を選択します。
    アクティブ化確認画面にて「アプリケーションのアクティブ化」を選択します。

    View Slide

  16. 2. OCI IAM Identity Domain側でのSAML連携用アプリケーション登録・メタデータ取得
    Copyright © 2022, Oracle and/or its affiliates
    16
    9) 作成したSAMLアプリケーションがアクティブ化されたことを確認します。
    Identity Domainのメタデータをダウンロードするため「アイデンティティ・プロバイダ・メタデータのダウンロード」を選択し
    メタデータ(XMLファイル)を保存します。

    View Slide

  17. 3. 対象アプリケーションへのOCI IAM Identity Domainのメタデータ(または各種情報)の登録
    Copyright © 2022, Oracle and/or its affiliates
    17

    View Slide

  18. 3. 対象アプリケーションへのOCI IAM Identity Domainのメタデータ(または各種情報)の登録
    Copyright © 2022, Oracle and/or its affiliates
    18
    上記2章にて取得したOCI IAM Identity Domainのメタデータを対象アプリケーションへ投入します。
    (またはメタデータより必要な情報を抽出し対象アプリケーションに登録します。)

    View Slide

  19. 4. 動作確認
    Copyright © 2022, Oracle and/or its affiliates
    19

    View Slide

  20. 4. 動作確認
    Copyright © 2022, Oracle and/or its affiliates
    20
    1) 対象アプリケーションにアクセスします。
    2) Identity Domainログイン画面が表示されることを確認します。
    ログイン画面にてユーザー名/パスワードを入力し、「サイン・イン」を選択します。
    3) 対象アプリケーションにログインできたことを確認します。
    (可能な範囲で、Identity Domainにログインしたユーザーが所属するグループ情報が対象アプリケーションに渡されていることも確認します。)

    View Slide

  21. (補足)OCI IAM Identity Domainのメタデータ取得
    ※対象アプリケーションの都合上、最初(上記1章の前に)にOCI IAM Identity Domainのメタデータが必要な場合に実施
    Copyright © 2022, Oracle and/or its affiliates
    21

    View Slide

  22. OCI IAM Identity Domainのメタデータ取得
    Copyright © 2022, Oracle and/or its affiliates
    22
    1)OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。
    テナント名(クラウド・アカウント名)を入力し「Next」を選択します。
    アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメイン(今回は「PoC_IdentityDomain01」)を選択し、
    管理者のユーザー名/パスワードを入力しOCIコンソールにログインします。
    ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にログインすることになります。
    ※環境によりドメイン選択画面は表示されません。

    View Slide

  23. OCI IAM Identity Domainのメタデータ取得
    Copyright © 2020, Oracle and/or its affiliates
    23
    2) OCIコンソールにログインした後、画面右上のアバターマークより
    「アイデンティティ・ドメイン:{アイデンティティ・ドメイン名} 」を選択します。

    View Slide

  24. OCI IAM Identity Domainのメタデータ取得
    Copyright © 2020, Oracle and/or its affiliates
    24
    3)アイデンティティ・ドメイン画面にて、左側メニューより「概要」を選択します。
    概要画面にてドメインURLをコピーし控えておきます。
    ※このURLは後続の手順で利用します。

    View Slide

  25. OCI IAM Identity Domainのメタデータ取得
    Copyright © 2020, Oracle and/or its affiliates
    25
    4)左側メニューより「設定」ー「ドメイン設定」を選択します。

    View Slide

  26. OCI IAM Identity Domainのメタデータ取得
    Copyright © 2020, Oracle and/or its affiliates
    26
    5)ドメイン設定画面にて署名証明書へのアクセス部分の「クライアント・アクセスの構成」をチェックONにし、「変更の保存」を選択します。

    View Slide

  27. OCI IAM Identity Domainのメタデータ取得
    Copyright © 2020, Oracle and/or its affiliates
    27
    6)ブラウザにて下記URLにアクセスし、SAMLメタデータをダウンロードします。
    https://{Identity DomainのURL(上記手順4で控えたURL)}/fed/v1/metadata

    View Slide

  28. View Slide