OCI IAM Identity Domain_APEXアプリケーションとの認証連携・認可

Transcript

1. Identity DomainによるAPEXアプリケーションへ の認証認可 Subhead goes here on one line Name

   2022年12月07日 日本オラクル株式会社 クラウド事業統括 クラウド・エンジニアリング統括 COE本部 セキュリティ&マネージメント・ソリューション部

2. 手順概要 1. APEXアプリケーションの作成（任意） 2. OCI IAM Identity Domainで機密アプリケーションの登録 3. OCI

   IAM Identity Domainでグループの作成 4. APEXでWeb資格証明の作成 5. APEXで認証スキームの作成 6. APEXで認可の設定

3. 構成イメージ 本資料は、APEXアプリケーションとIdentity Domainの認証連携、およびアプリケーション内の認可設定手順を紹介し ます。 認可の設定では、Identity Domainで2つのグループを作成し、それぞれのグループに属するユーザーがアプリケーション 内でアクセスできるページを制御します。 3 Copyright ©

   2022, Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date] OCI IAM Identity Domain 認証 • Autonomous DatabaseのAPEXインスタンスを利用 • アプリケーション内のページごとのアクセス制限（認可） をIdentity Domainのグループ情報に基づいて実装 グループA グループB 認証 認証連携 (OpenID Connect)

4. 1. APEXアプリケーションの作成（任意） 4 Copyright © 2022, Oracle and/or its affiliates

   | Confidential: Internal/Restricted/Highly Restricted [Date]

5. 本手順について 本手順では、アプリケーション内のアクセス制限を実装するため、APEXのサンプルアプリケーションをインストールします。 既存のアプリケーションがある場合は、本手順は実施しなくても問題ありません。 5 Copyright © 2022, Oracle and/or its

   affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

6. 1. APEXアプリケーションの作成 任意のワークスペースにログインし、アプリケーション・ビルダーを選択します。 6 Copyright © 2022, Oracle and/or its

   affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

7. 1. APEXアプリケーションの作成 「作成」ボタンをクリックします。 7 Copyright © 2022, Oracle and/or its

   affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

8. 1. APEXアプリケーションの作成 「ファイルから」を選択します。 8 Copyright © 2022, Oracle and/or its

   affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

9. 1. APEXアプリケーションの作成 「コピー・アンド・ペースト」のタブを開き、「販売」のサンプル・データ・セットを選択します。 「次」ボタンをクリックします。 9 Copyright © 2022, Oracle and/or

   its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

10. 1. APEXアプリケーションの作成 データのロード画面にて、任意の表明を入力し、「データのロード」ボタンをクリックします。 10 Copyright © 2022, Oracle and/or its

    affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

11. 1. APEXアプリケーションの作成 データをロードしたら、画面右下の「アプリケーションの作成」ボタンをクリックします。 11 Copyright © 2022, Oracle and/or its

    affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

12. 1. APEXアプリケーションの作成 アプリケーションの作成画面にて、任意の名前を入力しま す。 機能のセクションで「すべてをチェック」を選択し、「アプリ ケーションの作成」ボタンをクリックします。 12 Copyright © 2022,

    Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

13. 1. APEXアプリケーションの作成 アプリケーションの実行を選択します。 13 Copyright © 2022, Oracle and/or its

    affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

14. 1. APEXアプリケーションの作成 ワークスペースにログインしたユーザーの情報で、アプリケーションにアクセスできることを確認します。 14 Copyright © 2022, Oracle and/or its

    affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

15. 2. 機密アプリケーションの登録 15 Copyright © 2022, Oracle and/or its affiliates

    | Confidential: Internal/Restricted/Highly Restricted [Date]

16. 2. 機密アプリケーションの登録 OCIコンソールメニュー→ アイデンティティとセキュリティ → アイデンティティ → ドメインを選択します 16 Copyright

    © 2022, Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

17. 2. 機密アプリケーションの登録 任意のドメインを選択します。 17 Copyright © 2022, Oracle and/or its

    affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

18. 2. 機密アプリケーションの登録 アイデンティティ・ドメイン詳細画面のドメイン情報から「ドメインURL」をコピーし、メモ帳などにメモします。 ※後ほどの手順でドメインURLが必要になります 18 Copyright © 2022, Oracle and/or

    its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

19. 2. 機密アプリケーションの登録 アイデンティティ・ドメイン詳細画面左下のメニューから「アプリケーション」を選択し、「アプリケーションの追加」ボタンをクリック します。 19 Copyright © 2022, Oracle and/or

    its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

20. 2. 機密アプリケーションの登録 表示されたアプリケーションの追加ボタンで、「機密アプリケーション」を選択し、「ワークフローの起動」ボタンをクリックします。 20 Copyright © 2022, Oracle and/or its

    affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

21. 2. 機密アプリケーションの登録 機密アプリケーションの追加画面にて、以下情報を入力 します。 • 名前：任意 例）APEX • アプリケーションURL：APEXアプリケーションのURL（アプリ ケーション番号まで）

    例）https://g884b・・・1051.adb.ap-tokyo- 1.oraclecloudapps.com/ords/f?p=100 認証と許可のセクションにて、「権限付与を認可として実 施」にチェックを入れ、「次」ボタンをクリックします。 21 Copyright © 2022, Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

22. 2. 機密アプリケーションの登録 OAuthの構成画面のクライアント構成にて、「このアプリケー ションをクライアントとして今すぐ構成します」にチェックを入れ ます。 許可される権限付与タイプにて「認可コード」を選択します。 その他以下情報を入力し、「次」ボタンをクリックします • リダイレクトURL：対象APEXアプリURLの"fp・・”を 「apex_authentication.callback」に変更したURL

    例) https://g884b・・・・1051.adb.ap-tokyo- 1.oraclecloudapps.com/ords/apex_authentication.callba ck • ログアウト後のリダイレクトURL：対象APEXアプリURL 例) https://g884b・・・・1051.adb.ap-tokyo- 1.oraclecloudapps.com/ords/f?p=100 • ログアウトURL：p.18で控えたアイデンティティ・ドメイン URL/oauth2/v1/userlogout 例) https://idcs-d0e4・・・・ 8d9.identity.oraclecloud.com:443/oauth2/v1/userlogout 22 Copyright © 2022, Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

23. 2. 機密アプリケーションの登録 ポリシーの構成は「スキップして後で実行」を選択し、「終了」ボタンをクリックします。 23 Copyright © 2022, Oracle and/or its

    affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

24. 2. 機密アプリケーションの登録 アプリケーションが作成されたら、アプリケーション詳細画面上の「アクティブ化」をクリックし、アプリケーションをアクティブ化し ます。 24 Copyright © 2022, Oracle and/or

    its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

25. 2. 機密アプリケーションの登録 アプリケーション詳細画面左下のリソースメニューの「OAuth構成」から、クライアントIDとクライアント・シークレットをコピーし てメモ帳などにメモします。 ※この後の手順で使用します。 25 Copyright © 2022, Oracle

    and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

26. 3. グループ作成 26 Copyright © 2022, Oracle and/or its affiliates

    | Confidential: Internal/Restricted/Highly Restricted [Date]

27. 本手順について 本手順では、APEX_ADMINとAPEX_USERの2つのグループを作成します。 APEX_ADMINグループのユーザーはAPEXアプリケーション内の全てのページにアクセスでき、一方でAPEX_USERグ ループのユーザーはAPEXアプリケーション内の一部ページにはアクセスができないように制限がかけられることを想定します。 27 Copyright © 2022, Oracle and/or

    its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

28. 3. グループの作成 a. APEX_ADMINグループの作成 アイデンティティ・ドメイン詳細画面左下のメニューから「グループ」を選択し、「グループの作成」ボタンをクリックします。 28 Copyright © 2022, Oracle

    and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

29. 3. グループの作成 a. APEX_ADMINグループの作成 「グループの作成」画面にて、グループ名を入力し、グルー プに追加するユーザーを選択します。 • グループ名：例）APEX_ADMIN 「作成」ボタンをクリックします。 29

    Copyright © 2022, Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

30. 3. グループの作成 b. APEX_USERグループの作成 同じ手順で、もう一つグループを作成します。 グループには手順3-aで作成したグループに追加したユー ザーとは違うユーザーを追加します。 • グループ名：例）APEX_USER 「作成」ボタンをクリックします。

    30 Copyright © 2022, Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

31. 3. グループの作成 b. APEX_USERグループの作成 アイデンティティ・ドメイン詳細画面のメニューから「アプリケーション」を選択し、手順2で登録したAPEXの機密アプリケーショ ンを選択します。 31 Copyright © 2022,

    Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

32. 3. グループの作成 c. APEXアプリケーションへのグループの割当て アプリケーション詳細画面左下のリソースメニューから「グループ」を選択し、「グループの割当て」ボタンをクリックします。 32 Copyright © 2022, Oracle

    and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

33. 3. グループの作成 c. APEXアプリケーションへのグループの割当て グループの割当て画面にて、手順3-a, 3-bで作成したグループを選択し、「割当て」ボタンをクリックします。 APEXアプリケーションには、この手順で選択されたIdentity Domainのグループに属しているユーザーしかアクセスができ なくなります。 33

    Copyright © 2022, Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

34. 4. Web資格証明の作成 34 Copyright © 2022, Oracle and/or its affiliates

    | Confidential: Internal/Restricted/Highly Restricted [Date]

35. 4. Web資格証明の作成 APEXのワークスペースにアクセスし、「アプリケーション・ビルダー」を選択します。 35 Copyright © 2022, Oracle and/or its

    affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

36. 4. Web資格証明の作成 「ワークスペース・ユーティリティ」を選択します。 36 Copyright © 2022, Oracle and/or its

    affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

37. 4. Web資格証明の作成 「Web資格証明」を選択します。 37 Copyright © 2022, Oracle and/or its

    affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

38. 4. Web資格証明の作成 Web資格証明の画面にて、「作成」ボタンをクリックします。 38 Copyright © 2022, Oracle and/or its

    affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

39. 4. Web資格証明の作成 Web資格証明の作成画面にて以下情報を入力し、「作 成」ボタンをクリックします。 • 名前：任意 例）Identity Domain Web Credentials

    • 静的識別子：例） 同上 • 認証タイプ：「基本認証」を選択 • クライアントIDまたはユーザー名：p.25で控えたクライアント IDを入力 • クライアント・シークレットまたはパスワード：p.25で控えたク ライアント・シークレットを入力 39 Copyright © 2022, Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

40. 5. 認証スキームの作成 40 Copyright © 2022, Oracle and/or its affiliates

    | Confidential: Internal/Restricted/Highly Restricted [Date]

41. 5. 認証スキームの作成 APEXのネームスペースで、アプリケーションを選択します。 41 Copyright © 2022, Oracle and/or its

    affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

42. 5. 認証スキームの作成 アプリケーションの「共有コンポーネント」を選択します。 42 Copyright © 2022, Oracle and/or its

    affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

43. 5. 認証スキームの作成 セキュリティのセクションから「認証スキーム」を選択します。 43 Copyright © 2022, Oracle and/or its

    affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

44. 5. 認証スキームの作成 認証スキームの画面にて、「作成」ボタンをクリックします。 44 Copyright © 2022, Oracle and/or its

    affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

45. 5. 認証スキームの作成 「ギャラリからの事前構成済スキームに基づく」が選択されていることを確認し、「次」ボタンをクリックします。 45 Copyright © 2022, Oracle and/or its

    affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

46. 5. 認証スキームの作成 認証スキームの作成画面にて、以下情報を入力し、「認証 スキームの作成」ボタンをクリックします。 • 名前：任意 例）Identity Domain Authentication Schema

    • スキーム・タイプ：「ソーシャル・サインイン」を選択 • 資格認証ストア：手順4で作成したWeb資格認証を選択 • 認証プロバイダ：「OpenID Connectプロバイダ」を選択 • 検出URL：<p.18で控えたアイデンティティ・ドメインのURL> /.well-known/openid-configuration 例） https://idcs-d0e・・・・ 8d9.identity.oraclecloud.com:443/.well-known/openid- configuration • 有効範囲：profile,groups • ユーザー名：sub • 追加ユーザー属性：groups 46 Copyright © 2022, Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

47. 5. 認証スキームの作成 認証スキームが作成されました。 もう一度、作成した認証スキームをクリックします。 47 Copyright © 2022, Oracle and/or

    its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

48. 5. 認証スキームの作成 「ソース」のタブを開き、以下PL/SQL文を入力します。 48 Copyright © 2022, Oracle and/or its

    affiliates | Confidential: Internal/Restricted/Highly Restricted [Date] procedure load_dynamic_groups as l_group_names apex_t_varchar2; Begin -- -- add all group name to l_group_names -- For I in 1..apex_json.get_count(‘groups’) loop apex_string.push( p_table=> l_group_names, p_value => apex_json.get_varchar2( p_path=> 'groups[%d].name’, p0 => i)); end loop; -- -- save group name in session -- apex_authorization.enable_dynamic_groups( p_group_names => l_group_names); end;

49. 5. 認証スキームの作成 「ログイン・プロセス」のタブを開き、認証後のプロシージャ名に「load_dynamic_groups」と入力します。 「変更の適用」ボタンをクリックします。 以上の手順で、Identity DomainのユーザーがAPEXアプリケーションにログインすると、同時にユーザーが属している Identity Domainのグループの情報が取得されます。 49 Copyright

    © 2022, Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

50. 6. 認可の設定 50 Copyright © 2022, Oracle and/or its affiliates

    | Confidential: Internal/Restricted/Highly Restricted [Date]

51. 6. 認可の設定 a. セキュリティ属性の変更 APEXのワークスペースに戻り、アプリケーションの「共有コンポーネント」を選択します。 51 Copyright © 2022, Oracle

    and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

52. 6. 認可の設定 a. セキュリティ属性の変更 セキュリティのセクションから「セキュリティ属性」を選択します。 52 Copyright © 2022, Oracle

    and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

53. 6. 認可の設定 a. セキュリティ属性の変更 セキュリティのタブの「認可」のセクションで以下のように設 定し、「変更の適用」ボタンをクリックします。 • 認可スキーム：「アプリケーション認可の必要なし」を選択 • ロールまたはグループ・スキームのソース：「カスタム・コード」

    を選択 53 Copyright © 2022, Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

54. 6. 認可の設定 a. セキュリティ属性の変更 セキュリティ属性が変更されます。 画面右上のアプリケーション実行ボタンをクリックします。 54 Copyright © 2022,

    Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

55. 6. 認可の設定 a. セキュリティ属性の変更 Identity Domainのログイン画面が表示されたら、 Identity Domainへのアクセス情報を入力します。 初回ログイン時は、アクセス許可の確認画面が表示され るので、「許可」を選択します。

    55 Copyright © 2022, Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

56. 6. 認可の設定 a. セキュリティ属性の変更 APEXアプリケーションに、Identity Domainのユーザー名/パスワードを使用してログインできました。 56 Copyright © 2022,

    Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

57. 6. 認可の設定 APEXワークスペースのトップメニューから「SQLワークショップ」→「SQLコマンド」を選択します。 57 Copyright © 2022, Oracle and/or its

    affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

58. 6. 認可の設定 以下SQL文を実行し、APEXアプリケーションにログインし ているユーザーの情報を取得します。 SELECT * FROM APEX_WORKSPACE_SESSION_GROUPS; APEXにログインしたユーザーのIdentity Domain上の

    グループ情報が取得できていることを確認します。 58 Copyright © 2022, Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

59. 6. 認可の設定 b. 認可スキームの作成 APEXアプリケーションの「共有コンポーネント」を選択します。 59 Copyright © 2022, Oracle

    and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

60. 6. 認可の設定 b. 認可スキームの作成 セキュリティのセクションから、「認可スキーム」を選択します。 60 Copyright © 2022, Oracle

    and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

61. 6. 認可の設定 b. 認可スキームの作成 「作成」ボタンをクリックします。 61 Copyright © 2022, Oracle

    and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

62. 6. 認可の設定 b. 認可スキームの作成 「認可スキームの作成」画面にて、作成メソッドはデフォルトのまま「次」ボタンをクリックします。 62 Copyright © 2022, Oracle

    and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

63. 6. 認可の設定 b. 認可スキームの作成 詳細入力画面にて、以下情報を入力し、「認可スキーム の作成」ボタンをクリックします。 • 名前：Identity Domainのグループ名を入力 •

    スキーム・タイプ：「ロールまたはグループ内にある」を選択 • タイプ：「カスタム」を選択 • 名前：Identity Domainのグループ名を入力 例）APEX_USER • スキームの違反時に表示されるエラー・メッセージの指定： 任意 63 Copyright © 2022, Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

64. 6. 認可の設定 c. ページの設定 アプリケーションの任意のページを選択します。 64 Copyright © 2022, Oracle

    and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

65. 6. 認可の設定 c. ページの設定 画面右に表示される検索ボックスにて「認可」と検索します。 認可スキームで手順6-bで作成した認可スキームを選択します。 以上の手順で、該当ページは認可スキームで設定したグループに所属しているユーザーしかアクセスが出来なくなります。 65 Copyright ©

    2022, Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

66. 6. 認可の設定 d. 動作確認 APEXアプリケーションに、APEX_USERグループに属していないIdentity Domainのユーザーでログインし、Sales検索 のページを表示するとエラーになります。 66 Copyright ©

    2022, Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

67. 6. 認可の設定 d. 動作確認 一方で、APEX_USERグループに属しているIdentity DomainのユーザーはAPEXアプリケーションのSales検索ページ を表示することができます。 67 Copyright ©

    2022, Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]

68. 6. 認可の設定 補足 ページのセキュリティ設定で、認証スキームを{非APEX_USER}にすることで、APEX_USERグループ以外のグループに 属しているユーザーにアクセス権限を付与することも可能です。 68 Copyright © 2022, Oracle

    and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]
69. None