OCI IAM Identity DomainとSAML対応アプリケーションにてSAMLによる認証連携を行うための設定手順(Basic編)になります。
OCI IAM Identity DomainsSAMLによる認証連携設定手順(Basic編)2022年10月11日日本オラクル株式会社
View Slide
Safe harbor statement以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買決定を行う際の判断材料になさらないで下さい。オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊社の裁量により決定され、変更される可能性があります。Copyright © 2022, Oracle and/or its affiliates2
はじめに本手順書により実現する構成イメージCopyright © 2022, Oracle and/or its affiliates3本手順書は下記構成を実現するためのOCI IAM Identity DomainでのSAMLによる認証連携(SP Initiate)設定手順書になります。※対象のSAMLアプリケーションアプリケーションは構築済みとの前提となります。※対象アプリケーションとIdentity Domainにはユーザーが登録されている前提となります。OCI IAMIdentity DomainIdP SAMLによる認証連携 SPSAML対応アプリケーション利用者SAML対応アプリケーションへアクセスするとIdentity Domainへリダイレクト例)・NameIDにIdentity Domainの属性「ユーザー名(UserName)」を指定・追加属性としてIdentity Domainで所属するグループを指定認証
手順概要Copyright © 2022, Oracle and/or its affiliates41. 対象アプリケーションのメタデータ(または各種情報)の取得2. OCI IAM Identity Domain側でのSAML連携用アプリケーション登録・メタデータ取得3. 対象アプリケーションへのOCI IAM Identity Domainのメタデータ(または各種情報)の登録4. 動作確認(補足)OCI IAM Identity Domainのメタデータ取得※対象アプリケーションの都合上、最初(上記手順1の前に)にOCI IAM Identity Domainのメタデータが必要な場合に実施
1.対象アプリケーションのメタデータ(または各種情報)の取得Copyright © 2022, Oracle and/or its affiliates5
1.対象アプリケーションのメタデータ(または各種情報)の取得Copyright © 2022, Oracle and/or its affiliates6OCI IAM Identity DomainとSAML認証連携を設定するためには最低限下記の情報が必要になります。これら情報を取得するため、対象アプリケーションからメタデータを取得する、またはその他方法にて情報を取得します。・Entity ID(エンティティID)・Assertion Consumer Service/URL(アサーション・コンシューマ・サービス/URL)・NameIDとする属性(名前IDとする属性)※必要に応じてその他の情報 (ログアウトURL等) も取得します。
2. OCI IAM Identity Domain側でのSAML連携用アプリケーション登録・メタデータ取得Copyright © 2022, Oracle and/or its affiliates7
2. OCI IAM Identity Domain側でのSAML連携用アプリケーション登録・メタデータ取得Copyright © 2022, Oracle and/or its affiliates81)OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。テナント名(クラウド・アカウント名)を入力し「Next」を選択します。アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメイン(今回は「PoC_IdentityDomain01」)を選択し、管理者のユーザー名/パスワードを入力しOCIコンソールにログインします。※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にログインすることになります。※環境によりドメイン選択画面は表示されません。
2. OCI IAM Identity Domain側でのSAML連携用アプリケーション登録・メタデータ取得Copyright © 2022, Oracle and/or its affiliates92) OCIコンソールにログインした後、画面右上のアバターマークより「アイデンティティ・ドメイン:{アイデンティティ・ドメイン名} 」を選択します。
2. OCI IAM Identity Domain側でのSAML連携用アプリケーション登録・メタデータ取得Copyright © 2022, Oracle and/or its affiliates103) アイデンティティ・ドメイン画面の左側メニューより「アプリケーション」を選択します。「アプリケーションの追加」を選択し、表示されたアプリケーションの追加画面にて「SAMLアプリケーション」を選択し、「ワークフローの起動」を選択します。
2. OCI IAM Identity Domain側でのSAML連携用アプリケーション登録・メタデータ取得Copyright © 2022, Oracle and/or its affiliates114) SAMLアプリケーションの追加画面にて、名前、説明に任意の値を入力します。画面下部の認可と許可部分にて「権限付与を認可として実施」をチェックOFFにし、「次」を選択します。本アプリケーションに対して入り口認可制御を実施する場合には本項目をチェックONにします。
2. OCI IAM Identity Domain側でのSAML連携用アプリケーション登録・メタデータ取得Copyright © 2022, Oracle and/or its affiliates125) シングル・サインオンの構成の一般部分にて上記1章で確認した下記情報を指定します。・エンティティID:上記1章で確認した値・アサーション・コンシューマのURL:上記1章で確認した値・名前IDフォーマット:未指定・名前IDの値:ユーザー名左記の設定の場合、NameIDとしてIdentity Domainのユーザー名がセットされます。"式”を選択することで他属性をNameIDに指定することも可能です。例)・姓の場合「 $(user.name.familyName)」・従業員番号の場合「 $(user.urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber)」
2. OCI IAM Identity Domain側でのSAML連携用アプリケーション登録・メタデータ取得Copyright © 2022, Oracle and/or its affiliates136) 続けて同画面の追加構成部分にて「シングル・ログアウトの有効化」のチェックをOFFにします。※今回はチェックOFFにしますが、必要に応じてチェックONにして有効化URLを指定します。
2. OCI IAM Identity Domain側でのSAML連携用アプリケーション登録・メタデータ取得Copyright © 2022, Oracle and/or its affiliates147) 続けて同画面の属性構成部分にて「+追加属性」を選択します。所属グループ情報を追加するために、表示された追加属性指定部分に下記を入力し、「終了」を選択します。・名前:任意の名称・形式:基本・タイプ:ユーザー属性・タイプ値:グループ・メンバーシップ・条件:すべてのグループログインしたユーザーが所属するIdentity Domainのグループ名が対象アプリケーションへ渡されることになります。
2. OCI IAM Identity Domain側でのSAML連携用アプリケーション登録・メタデータ取得Copyright © 2022, Oracle and/or its affiliates158) 作成したSAMLアプリケーション詳細ページに遷移したことを確認し、「アクティブ化」を選択します。アクティブ化確認画面にて「アプリケーションのアクティブ化」を選択します。
2. OCI IAM Identity Domain側でのSAML連携用アプリケーション登録・メタデータ取得Copyright © 2022, Oracle and/or its affiliates169) 作成したSAMLアプリケーションがアクティブ化されたことを確認します。Identity Domainのメタデータをダウンロードするため「アイデンティティ・プロバイダ・メタデータのダウンロード」を選択しメタデータ(XMLファイル)を保存します。
3. 対象アプリケーションへのOCI IAM Identity Domainのメタデータ(または各種情報)の登録Copyright © 2022, Oracle and/or its affiliates17
3. 対象アプリケーションへのOCI IAM Identity Domainのメタデータ(または各種情報)の登録Copyright © 2022, Oracle and/or its affiliates18上記2章にて取得したOCI IAM Identity Domainのメタデータを対象アプリケーションへ投入します。(またはメタデータより必要な情報を抽出し対象アプリケーションに登録します。)
4. 動作確認Copyright © 2022, Oracle and/or its affiliates19
4. 動作確認Copyright © 2022, Oracle and/or its affiliates201) 対象アプリケーションにアクセスします。2) Identity Domainログイン画面が表示されることを確認します。ログイン画面にてユーザー名/パスワードを入力し、「サイン・イン」を選択します。3) 対象アプリケーションにログインできたことを確認します。(可能な範囲で、Identity Domainにログインしたユーザーが所属するグループ情報が対象アプリケーションに渡されていることも確認します。)
(補足)OCI IAM Identity Domainのメタデータ取得※対象アプリケーションの都合上、最初(上記1章の前に)にOCI IAM Identity Domainのメタデータが必要な場合に実施Copyright © 2022, Oracle and/or its affiliates21
OCI IAM Identity Domainのメタデータ取得Copyright © 2022, Oracle and/or its affiliates221)OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。テナント名(クラウド・アカウント名)を入力し「Next」を選択します。アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメイン(今回は「PoC_IdentityDomain01」)を選択し、管理者のユーザー名/パスワードを入力しOCIコンソールにログインします。※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にログインすることになります。※環境によりドメイン選択画面は表示されません。
OCI IAM Identity Domainのメタデータ取得Copyright © 2020, Oracle and/or its affiliates232) OCIコンソールにログインした後、画面右上のアバターマークより「アイデンティティ・ドメイン:{アイデンティティ・ドメイン名} 」を選択します。
OCI IAM Identity Domainのメタデータ取得Copyright © 2020, Oracle and/or its affiliates243)アイデンティティ・ドメイン画面にて、左側メニューより「概要」を選択します。概要画面にてドメインURLをコピーし控えておきます。※このURLは後続の手順で利用します。
OCI IAM Identity Domainのメタデータ取得Copyright © 2020, Oracle and/or its affiliates254)左側メニューより「設定」ー「ドメイン設定」を選択します。
OCI IAM Identity Domainのメタデータ取得Copyright © 2020, Oracle and/or its affiliates265)ドメイン設定画面にて署名証明書へのアクセス部分の「クライアント・アクセスの構成」をチェックONにし、「変更の保存」を選択します。
OCI IAM Identity Domainのメタデータ取得Copyright © 2020, Oracle and/or its affiliates276)ブラウザにて下記URLにアクセスし、SAMLメタデータをダウンロードします。https://{Identity DomainのURL(上記手順4で控えたURL)}/fed/v1/metadata