Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OCI IAM Identity DomainsとAWSとの認証連携設定手順

oracle4engineer
PRO
July 12, 2024
2
290

OCI IAM Identity DomainsとAWSとの認証連携設定手順

OCI IAM Identity DomainsとAWSとの認証連携設定手順書です。

oracle4engineer
PRO

July 12, 2024
Tweet

More Decks by oracle4engineer

See All by oracle4engineer
OCI Success Journey OCIの何が評価されてる?疑問に答える事例セミナー(2025年2月実施)
oracle4engineer
PRO
2
130
ExaDB-XSで利用されている Exadata Exascaleについて
oracle4engineer
PRO
3
240
Oracle Database Technology Night #87-1 : Exadata Database Service on Exascale Infrastructure(ExaDB-XS)サービス詳細
oracle4engineer
PRO
1
170
Exadata Database Service on Cloud@Customer セキュリティ、ネットワーク、および管理について
oracle4engineer
PRO
2
1.5k
Autonomous Database Serverless 技術詳細 / adb-s_technical_detail_jp
oracle4engineer
PRO
17
45k
Exadata Database Service on Dedicated Infrastructure セキュリティ、ネットワーク、および管理について
oracle4engineer
PRO
0
68
Oracle Cloud Infrastructure:2025年2月度サービス・アップデート
oracle4engineer
PRO
1
440
Oracle Base Database Service 技術詳細
oracle4engineer
PRO
6
58k
実践!OpenTelemetry
oracle4engineer
PRO
4
640

Featured

See All Featured
GraphQLとの向き合い方2022年版
quramy
44
14k
What's in a price? How to price your products and services
michaelherold
244
12k
How to Ace a Technical Interview
jacobian
276
23k
Optimizing for Happiness
mojombo
376
70k
A better future with KSS
kneath
238
17k
Product Roadmaps are Hard
iamctodd
PRO
50
11k
Faster Mobile Websites
deanohume
306
31k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
233
17k
Fantastic passwords and where to find them - at NoRuKo
philnash
51
3k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
12
990
ReactJS: Keep Simple. Everything can be a component!
pedronauck
666
120k
No one is an island. Learnings from fostering a developers community.
thoeni
21
3.1k

Transcript

  1. OCI IAM Identity Domains AWSとのSAMLによる認証連携設定⼿順 2024年1⽉16⽇ ⽇本オラクル株式会社 テクノロジークラウドエンジニアリング本部 セキュリティ&マネジメントソリューション部

  2. Copyright © 2024, Oracle and/or its affiliates 2 本⼿順書はAWSとOCI IAM

    Identity DomainsでのSAMLによる認証連携(SP Initiate)設定⼿順書です。 ※対象のAWS環境は構築済み、 Identity Domainsにはユーザーが登録されている前提とします。 OCI IAM Identity Domain IdP SAMLによる認証連携 SP 利⽤者 Identity Domainsの情報で認証し AWSにログイン 認証 環境構成

  3. Copyright © 2024, Oracle and/or its affiliates 3 1. OCI

    IAM Identity DomainsでSAMLアプリケーションの作成 2. OCI IAM Identity Domainsでメタデータの取得 3. AWSでIDプロバイダの作成 4. AWSでロールの作成 5. OCI IAM Identity Domainsで属性構成を登録 6. 動作確認 ⼿順

  4. Copyright © 2024, Oracle and/or its affiliates 4 1.Identity DomainsでSAMLアプリケーションの作成

  5. 1.Identity DomainsでSAMLアプリケーションの作成 Copyright © 2024, Oracle and/or its affiliates 5

    AWSとのSAML認証を構成するためにSAMLアプリケーションを作成します。 OCIコンソールのメニューから「アイデンティティとセキュリティ」→「アイデンティティ」→「ドメイン」を選択します。

  6. 1.Identity DomainsでSAMLアプリケーションの作成 Copyright © 2024, Oracle and/or its affiliates 6

    AWSと認証連携対象のドメインを選択します。

  7. 1.Identity DomainsでSAMLアプリケーションの作成 Copyright © 2024, Oracle and/or its affiliates 7

    「アプリケーション」を選択し、「アプリケーションの追加」を選択します。

  8. 1.Identity DomainsでSAMLアプリケーションの作成 Copyright © 2024, Oracle and/or its affiliates 8

    SAMLアプリケーション」を選択して、「ワークフローの起動」を選択します。

  9. 1.Identity DomainsでSAMLアプリケーションの作成 Copyright © 2024, Oracle and/or its affiliates 9

    名前に「任意の名前」を⼊⼒します。

  10. 1.Identity DomainsでSAMLアプリケーションの作成 Copyright © 2024, Oracle and/or its affiliates 10

    表⽰設定の「⾃分のアプリケーション」に表⽰、「ユーザーにアクセス権のリクエストを許可」、 認証と認可の「権限付与を認可として実施」を選択し、「次」を選択します。

  11. 1.Identity DomainsでSAMLアプリケーションの作成 Copyright © 2024, Oracle and/or its affiliates 11

    ⼀般のエンティティIDとアサーション・コンシューマのURLに「https://signin.aws.amazon.com/saml」を⼊⼒します。 名前IDフォーマットは「永続」、名前IDの値は「プライマリ電⼦メール」を選択し「終了」を選択します。

  12. Copyright © 2024, Oracle and/or its affiliates 12 2. Identity

    Domainsでメタデータの取得

  13. 2. Identity Domainsでメタデータの取得 Copyright © 2024, Oracle and/or its affiliates

    13 統合アプリケーションから作成したSAMLアプリケーションを選択します。

  14. 2. Identity Domainsでメタデータの取得 Copyright © 2024, Oracle and/or its affiliates

    14 作成したSAMLアプリケーションを有効化するために、「アクティブ化」を選択します。

  15. 2. Identity Domainsでメタデータの取得 Copyright © 2024, Oracle and/or its affiliates

    15 SSO構成の「アイデンティティ・プロバイダ・メタデータのダウンロード」選択します。

  16. Copyright © 2024, Oracle and/or its affiliates 16 3.AWSでIDプロバイダを作成

  17. 3.AWSでIDプロバイダを作成 Copyright © 2024, Oracle and/or its affiliates 17 AWSでIDプロバイダを作成します。

    サービスからセキュリティ、ID、およびコンプライアンスの「IAM」を選択します。

  18. 3.AWSでIDプロバイダを作成 Copyright © 2024, Oracle and/or its affiliates 18 アクセス管理の「IDプロバイダ」を選択します。

    「プロバイダを追加」を選択します。

  19. 3.AWSでIDプロバイダを作成 Copyright © 2024, Oracle and/or its affiliates 19 プロバイダ名に「任意の名前」を⼊⼒し、メタデータドキュメントに前⼿順でダウンロードしたメタデータを選択します。

  20. 3.AWSでIDプロバイダを作成 Copyright © 2024, Oracle and/or its affiliates 20 作成したプロバイダを選択し、後⼿順で使⽤するARNをメモします。

  21. Copyright © 2024, Oracle and/or its affiliates 21 4.AWSでロールを作成

  22. 4.AWSでロールを作成 Copyright © 2024, Oracle and/or its affiliates 22 ロールを作成します。

    アクセス管理のロールを選択し、「ロールの作成」を選択します。

  23. 4.AWSでロールを作成 Copyright © 2024, Oracle and/or its affiliates 23 以下の設定をし、「次へ」を選択します。

    信頼されたエンティティタイプ︓SAML2.0フェデレーション SAML2.0のプロバイダー︓全⼿順で作成したIDプロバイダ 許可されるアクセス︓プログラムとAWSマネジメントコンソールへのアクセスを許可する

  24. 4.AWSでロールを作成 Copyright © 2024, Oracle and/or its affiliates 24 ロール名に「任意のロール名」を⼊⼒し、「ロールの作成」を選択します。

  25. 4.AWSでロールを作成 Copyright © 2024, Oracle and/or its affiliates 25 作成したロールを選択し、ARNをメモします。

  26. Copyright © 2024, Oracle and/or its affiliates 26 5. OCI

    IAM Identity Domainsで属性構成を登録

  27. 5. OCI IAM Identity Domainsで属性構成を登録 Copyright © 2024, Oracle and/or

    its affiliates 27 Identity Domainsに前⼿順でメモしたARNを登録します。 「SSO構成の編集」を選択します。

  28. 5. OCI IAM Identity Domainsで属性構成を登録 Copyright © 2024, Oracle and/or

    its affiliates 28 属性構成を以下のように設定し、「変更の保存」を選択します。 • 1つ⽬ 名前︓https://aws.amazon.com/SAML/Attributes/RoleSessionName 形式︓基本 タイプ︓ユーザー属性 タイプ値︓プライマリ電⼦メール • 2つ⽬ 名前︓https://aws.amazon.com/SAML/Attributes/Role 形式︓基本 タイプ︓式/リテラル タイプ値︓ロールARN,プロバイダARN

  29. Copyright © 2024, Oracle and/or its affiliates 29 6.動作確認

  30. 6.動作確認 Copyright © 2024, Oracle and/or its affiliates 30 Identity

    Domainsを利⽤したAWSへのログインの動作確認をします。 アプリケーションを作成した連携対象のドメインにログインし、コンソール右上のユーザーアイコンを選択し 「⾃分のプロファイル」を選択します。

  31. 6.動作確認 Copyright © 2024, Oracle and/or its affiliates 31 他のアクションの「⾃分のアプリケーション」コンソールの表⽰を選択します。

  32. 6.動作確認 Copyright © 2024, Oracle and/or its affiliates 32 作成したアプリケーションを選択します。

  33. 6.動作確認 Copyright © 2024, Oracle and/or its affiliates 33 認証連携対象のドメインに登録されているユーザーの「Username」と「Password」を⼊⼒して「Sign

    In」を選択します。

  34. 6.動作確認 Copyright © 2024, Oracle and/or its affiliates 34 AWSのコンソール画⾯が表⽰されれば設定完了です。

  35. None
  36. None