Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OCI IAM Identity DomainsとAWSとの認証連携設定手順

oracle4engineer
July 12, 2024
250

OCI IAM Identity DomainsとAWSとの認証連携設定手順

OCI IAM Identity DomainsとAWSとの認証連携設定手順書です。

oracle4engineer

July 12, 2024
Tweet

More Decks by oracle4engineer

Transcript

  1. Copyright © 2024, Oracle and/or its affiliates 2 本⼿順書はAWSとOCI IAM

    Identity DomainsでのSAMLによる認証連携(SP Initiate)設定⼿順書です。 ※対象のAWS環境は構築済み、 Identity Domainsにはユーザーが登録されている前提とします。 OCI IAM Identity Domain IdP SAMLによる認証連携 SP 利⽤者 Identity Domainsの情報で認証し AWSにログイン 認証 環境構成
  2. Copyright © 2024, Oracle and/or its affiliates 3 1. OCI

    IAM Identity DomainsでSAMLアプリケーションの作成 2. OCI IAM Identity Domainsでメタデータの取得 3. AWSでIDプロバイダの作成 4. AWSでロールの作成 5. OCI IAM Identity Domainsで属性構成を登録 6. 動作確認 ⼿順
  3. 1.Identity DomainsでSAMLアプリケーションの作成 Copyright © 2024, Oracle and/or its affiliates 5

    AWSとのSAML認証を構成するためにSAMLアプリケーションを作成します。 OCIコンソールのメニューから「アイデンティティとセキュリティ」→「アイデンティティ」→「ドメイン」を選択します。
  4. 1.Identity DomainsでSAMLアプリケーションの作成 Copyright © 2024, Oracle and/or its affiliates 7

    「アプリケーション」を選択し、「アプリケーションの追加」を選択します。
  5. 1.Identity DomainsでSAMLアプリケーションの作成 Copyright © 2024, Oracle and/or its affiliates 8

    SAMLアプリケーション」を選択して、「ワークフローの起動」を選択します。
  6. 1.Identity DomainsでSAMLアプリケーションの作成 Copyright © 2024, Oracle and/or its affiliates 10

    表⽰設定の「⾃分のアプリケーション」に表⽰、「ユーザーにアクセス権のリクエストを許可」、 認証と認可の「権限付与を認可として実施」を選択し、「次」を選択します。
  7. 1.Identity DomainsでSAMLアプリケーションの作成 Copyright © 2024, Oracle and/or its affiliates 11

    ⼀般のエンティティIDとアサーション・コンシューマのURLに「https://signin.aws.amazon.com/saml」を⼊⼒します。 名前IDフォーマットは「永続」、名前IDの値は「プライマリ電⼦メール」を選択し「終了」を選択します。
  8. 2. Identity Domainsでメタデータの取得 Copyright © 2024, Oracle and/or its affiliates

    13 統合アプリケーションから作成したSAMLアプリケーションを選択します。
  9. 2. Identity Domainsでメタデータの取得 Copyright © 2024, Oracle and/or its affiliates

    14 作成したSAMLアプリケーションを有効化するために、「アクティブ化」を選択します。
  10. 2. Identity Domainsでメタデータの取得 Copyright © 2024, Oracle and/or its affiliates

    15 SSO構成の「アイデンティティ・プロバイダ・メタデータのダウンロード」選択します。
  11. 3.AWSでIDプロバイダを作成 Copyright © 2024, Oracle and/or its affiliates 17 AWSでIDプロバイダを作成します。

    サービスからセキュリティ、ID、およびコンプライアンスの「IAM」を選択します。
  12. 4.AWSでロールを作成 Copyright © 2024, Oracle and/or its affiliates 22 ロールを作成します。

    アクセス管理のロールを選択し、「ロールの作成」を選択します。
  13. 4.AWSでロールを作成 Copyright © 2024, Oracle and/or its affiliates 23 以下の設定をし、「次へ」を選択します。

    信頼されたエンティティタイプ︓SAML2.0フェデレーション SAML2.0のプロバイダー︓全⼿順で作成したIDプロバイダ 許可されるアクセス︓プログラムとAWSマネジメントコンソールへのアクセスを許可する
  14. Copyright © 2024, Oracle and/or its affiliates 26 5. OCI

    IAM Identity Domainsで属性構成を登録
  15. 5. OCI IAM Identity Domainsで属性構成を登録 Copyright © 2024, Oracle and/or

    its affiliates 27 Identity Domainsに前⼿順でメモしたARNを登録します。 「SSO構成の編集」を選択します。
  16. 5. OCI IAM Identity Domainsで属性構成を登録 Copyright © 2024, Oracle and/or

    its affiliates 28 属性構成を以下のように設定し、「変更の保存」を選択します。 • 1つ⽬ 名前︓https://aws.amazon.com/SAML/Attributes/RoleSessionName 形式︓基本 タイプ︓ユーザー属性 タイプ値︓プライマリ電⼦メール • 2つ⽬ 名前︓https://aws.amazon.com/SAML/Attributes/Role 形式︓基本 タイプ︓式/リテラル タイプ値︓ロールARN,プロバイダARN
  17. 6.動作確認 Copyright © 2024, Oracle and/or its affiliates 30 Identity

    Domainsを利⽤したAWSへのログインの動作確認をします。 アプリケーションを作成した連携対象のドメインにログインし、コンソール右上のユーザーアイコンを選択し 「⾃分のプロファイル」を選択します。