Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OCI IAM Identity DomainsとAWSとの認証連携設定手順
Search
oracle4engineer
PRO
July 12, 2024
600
2
Share
OCI IAM Identity DomainsとAWSとの認証連携設定手順
OCI IAM Identity DomainsとAWSとの認証連携設定手順書です。
oracle4engineer
PRO
July 12, 2024
More Decks by oracle4engineer
See All by oracle4engineer
Oracle Database Gold Image
oracle4engineer
PRO
1
95
Oracle Cloud Infrastructure:2026年5月度サービス・アップデート
oracle4engineer
PRO
1
200
Oracle Database セキュリティ【暗号化・マスキング編】
oracle4engineer
PRO
0
59
Oracle Databaseセキュリティ【アクセス制御編】
oracle4engineer
PRO
0
51
Oracle Databaseセキュリティ【監査・評価編】
oracle4engineer
PRO
0
63
Oracle Databaseセキュリティ【認証編】
oracle4engineer
PRO
0
52
MySQLコミュニティとの連携の新方針
oracle4engineer
PRO
0
120
OCI DMS (Database Migration)アセスメント機能について
oracle4engineer
PRO
0
43
[T1-4] イベント発生の瞬間、AIが判断する世界を体験する
oracle4engineer
PRO
0
150
Featured
See All Featured
Claude Code どこまでも/ Claude Code Everywhere
nwiizo
65
55k
Groundhog Day: Seeking Process in Gaming for Health
codingconduct
0
190
How to Build an AI Search Optimization Roadmap - Criteria and Steps to Take #SEOIRL
aleyda
1
2.1k
Google's AI Overviews - The New Search
badams
0
1k
Being A Developer After 40
akosma
91
590k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
47
8.1k
Into the Great Unknown - MozCon
thekraken
41
2.5k
4 Signs Your Business is Dying
shpigford
187
22k
A better future with KSS
kneath
240
18k
Taking LLMs out of the black box: A practical guide to human-in-the-loop distillation
inesmontani
PRO
3
2.2k
職位にかかわらず全員がリーダーシップを発揮するチーム作り / Building a team where everyone can demonstrate leadership regardless of position
madoxten
62
54k
What's in a price? How to price your products and services
michaelherold
247
13k
Transcript
OCI IAM Identity Domains AWSとのSAMLによる認証連携設定⼿順 2024年1⽉16⽇ ⽇本オラクル株式会社 テクノロジークラウドエンジニアリング本部 セキュリティ&マネジメントソリューション部
Copyright © 2024, Oracle and/or its affiliates 2 本⼿順書はAWSとOCI IAM
Identity DomainsでのSAMLによる認証連携(SP Initiate)設定⼿順書です。 ※対象のAWS環境は構築済み、 Identity Domainsにはユーザーが登録されている前提とします。 OCI IAM Identity Domain IdP SAMLによる認証連携 SP 利⽤者 Identity Domainsの情報で認証し AWSにログイン 認証 環境構成
Copyright © 2024, Oracle and/or its affiliates 3 1. OCI
IAM Identity DomainsでSAMLアプリケーションの作成 2. OCI IAM Identity Domainsでメタデータの取得 3. AWSでIDプロバイダの作成 4. AWSでロールの作成 5. OCI IAM Identity Domainsで属性構成を登録 6. 動作確認 ⼿順
Copyright © 2024, Oracle and/or its affiliates 4 1.Identity DomainsでSAMLアプリケーションの作成
1.Identity DomainsでSAMLアプリケーションの作成 Copyright © 2024, Oracle and/or its affiliates 5
AWSとのSAML認証を構成するためにSAMLアプリケーションを作成します。 OCIコンソールのメニューから「アイデンティティとセキュリティ」→「アイデンティティ」→「ドメイン」を選択します。
1.Identity DomainsでSAMLアプリケーションの作成 Copyright © 2024, Oracle and/or its affiliates 6
AWSと認証連携対象のドメインを選択します。
1.Identity DomainsでSAMLアプリケーションの作成 Copyright © 2024, Oracle and/or its affiliates 7
「アプリケーション」を選択し、「アプリケーションの追加」を選択します。
1.Identity DomainsでSAMLアプリケーションの作成 Copyright © 2024, Oracle and/or its affiliates 8
SAMLアプリケーション」を選択して、「ワークフローの起動」を選択します。
1.Identity DomainsでSAMLアプリケーションの作成 Copyright © 2024, Oracle and/or its affiliates 9
名前に「任意の名前」を⼊⼒します。
1.Identity DomainsでSAMLアプリケーションの作成 Copyright © 2024, Oracle and/or its affiliates 10
表⽰設定の「⾃分のアプリケーション」に表⽰、「ユーザーにアクセス権のリクエストを許可」、 認証と認可の「権限付与を認可として実施」を選択し、「次」を選択します。
1.Identity DomainsでSAMLアプリケーションの作成 Copyright © 2024, Oracle and/or its affiliates 11
⼀般のエンティティIDとアサーション・コンシューマのURLに「https://signin.aws.amazon.com/saml」を⼊⼒します。 名前IDフォーマットは「永続」、名前IDの値は「プライマリ電⼦メール」を選択し「終了」を選択します。
Copyright © 2024, Oracle and/or its affiliates 12 2. Identity
Domainsでメタデータの取得
2. Identity Domainsでメタデータの取得 Copyright © 2024, Oracle and/or its affiliates
13 統合アプリケーションから作成したSAMLアプリケーションを選択します。
2. Identity Domainsでメタデータの取得 Copyright © 2024, Oracle and/or its affiliates
14 作成したSAMLアプリケーションを有効化するために、「アクティブ化」を選択します。
2. Identity Domainsでメタデータの取得 Copyright © 2024, Oracle and/or its affiliates
15 SSO構成の「アイデンティティ・プロバイダ・メタデータのダウンロード」選択します。
Copyright © 2024, Oracle and/or its affiliates 16 3.AWSでIDプロバイダを作成
3.AWSでIDプロバイダを作成 Copyright © 2024, Oracle and/or its affiliates 17 AWSでIDプロバイダを作成します。
サービスからセキュリティ、ID、およびコンプライアンスの「IAM」を選択します。
3.AWSでIDプロバイダを作成 Copyright © 2024, Oracle and/or its affiliates 18 アクセス管理の「IDプロバイダ」を選択します。
「プロバイダを追加」を選択します。
3.AWSでIDプロバイダを作成 Copyright © 2024, Oracle and/or its affiliates 19 プロバイダ名に「任意の名前」を⼊⼒し、メタデータドキュメントに前⼿順でダウンロードしたメタデータを選択します。
3.AWSでIDプロバイダを作成 Copyright © 2024, Oracle and/or its affiliates 20 作成したプロバイダを選択し、後⼿順で使⽤するARNをメモします。
Copyright © 2024, Oracle and/or its affiliates 21 4.AWSでロールを作成
4.AWSでロールを作成 Copyright © 2024, Oracle and/or its affiliates 22 ロールを作成します。
アクセス管理のロールを選択し、「ロールの作成」を選択します。
4.AWSでロールを作成 Copyright © 2024, Oracle and/or its affiliates 23 以下の設定をし、「次へ」を選択します。
信頼されたエンティティタイプ︓SAML2.0フェデレーション SAML2.0のプロバイダー︓全⼿順で作成したIDプロバイダ 許可されるアクセス︓プログラムとAWSマネジメントコンソールへのアクセスを許可する
4.AWSでロールを作成 Copyright © 2024, Oracle and/or its affiliates 24 ロール名に「任意のロール名」を⼊⼒し、「ロールの作成」を選択します。
4.AWSでロールを作成 Copyright © 2024, Oracle and/or its affiliates 25 作成したロールを選択し、ARNをメモします。
Copyright © 2024, Oracle and/or its affiliates 26 5. OCI
IAM Identity Domainsで属性構成を登録
5. OCI IAM Identity Domainsで属性構成を登録 Copyright © 2024, Oracle and/or
its affiliates 27 Identity Domainsに前⼿順でメモしたARNを登録します。 「SSO構成の編集」を選択します。
5. OCI IAM Identity Domainsで属性構成を登録 Copyright © 2024, Oracle and/or
its affiliates 28 属性構成を以下のように設定し、「変更の保存」を選択します。 • 1つ⽬ 名前︓https://aws.amazon.com/SAML/Attributes/RoleSessionName 形式︓基本 タイプ︓ユーザー属性 タイプ値︓プライマリ電⼦メール • 2つ⽬ 名前︓https://aws.amazon.com/SAML/Attributes/Role 形式︓基本 タイプ︓式/リテラル タイプ値︓ロールARN,プロバイダARN
Copyright © 2024, Oracle and/or its affiliates 29 6.動作確認
6.動作確認 Copyright © 2024, Oracle and/or its affiliates 30 Identity
Domainsを利⽤したAWSへのログインの動作確認をします。 アプリケーションを作成した連携対象のドメインにログインし、コンソール右上のユーザーアイコンを選択し 「⾃分のプロファイル」を選択します。
6.動作確認 Copyright © 2024, Oracle and/or its affiliates 31 他のアクションの「⾃分のアプリケーション」コンソールの表⽰を選択します。
6.動作確認 Copyright © 2024, Oracle and/or its affiliates 32 作成したアプリケーションを選択します。
6.動作確認 Copyright © 2024, Oracle and/or its affiliates 33 認証連携対象のドメインに登録されているユーザーの「Username」と「Password」を⼊⼒して「Sign
In」を選択します。
6.動作確認 Copyright © 2024, Oracle and/or its affiliates 34 AWSのコンソール画⾯が表⽰されれば設定完了です。
None
None
oracle4engineer
nwiizo
codingconduct
aleyda
badams
akosma
eileencodes
thekraken
shpigford
kneath
inesmontani
madoxten
michaelherold
