OCI IAM Identity Domains 複数Identity Domain間の連携手順 / SSO setup between multiple Identity Domains

OCI IAM Identity Domains 複数のOCI環境下でのシングル・サインオン環境の構成日本オラクル株式会社 2025/08/01

Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買決定を行う際の判断材料になさらないで下さい。オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊社の裁量により決定され、変更される可能性があります。 Copyright
© 2025, Oracle and/or its affiliates 2

⚫ 本資料の前提 1. 前提となるユース・ケース 2. 解決方法 ⚫ Identity Domain（IdP）とIdentity Domain（SP）が共存する複数のOCI環境下でのSSO環境の構成
1. IdP側のIdentity Domainでメタデータのダウンロード 2. SP側のIdentity DomainでIdPの追加 3. IdP側のIdentity DomainでSPの追加 4. 動作確認用のユーザー作成 5. 動作確認 ⚫ Identity Domain（IdP）からIdentity Domain（SP）へのID情報の同期 1. SP側のIdentity DomainでのSCIMインターフェース設定（機密アプリケーション登録） 2. IdP側のIdentity Domainでのプロビジョニング（Generic SCIM コネクタ）の設定 3. 動作確認アジェンダ Copyright © 2025, Oracle and/or its affiliates 3 ※本資料は2025年7月現在の仕様に基づき作成しております。

◆ 下記の理由から複数のOCI環境が存在し、それぞれの環境で、OCI IAM Identity Domains（以下、Identity Domain）が運用される場合があります。 ➢ 本社用とグループ会社用での構成 ➢ 本番環境とテスト環境の構成
➢ 契約時期やシステム構成により環境を分割 1. 前提となるユース・ケース Copyright © 2025, Oracle and/or its affiliates 5 管理者一般ユーザー管理者一般ユーザー管理者一般ユーザー OCI OCI PaaS OCI IAM Identity Domains OCI IAM Identity Domains OCI 3rd-Party Apps OCI IAM Identity Domains

◆ 想定される課題 ➢ 複数環境でそれぞれのユーザー管理による管理コストの増大 ➢ ユーザー管理の煩雑化によるセキュリティリスクの増大 ➢ ユーザーへの利便性の低下 1. 前提となるユース・ケース
6 PaaS OCI IAM Identity Domains OCI IAM Identity Domains 管理者一般ユーザー OCI 3rd-Party Apps • それぞれの環境でユーザの管理を実施 • 複数回の認証が発生 • それぞの環境でのパスワード管理 Copyright © 2025, Oracle and/or its affiliates OCI IAM Identity Domains OCI OCI

◆ 課題の解決 ➢ SAMLによるフェデレーションを構成して、OCI間でシングル・サインオン（以下、SSO）を実現 ➢ SSOにより、パスワードはマスターとなるIdPのみで管理が可能 ➢ Identity Domain間でユーザーやグループ情報を同期するコネクタを構成（手動による同期でも対応可能） 2.
解決方法 7 PaaS OCI IAM Identity Domains OCI IAM Identity Domains 管理者一般ユーザー OCI 3rd-Party Apps • IdP側でユーザの管理が可能 • 同期するためのコネクタの構成 • 1回の認証でそれぞれの環境へのアクセスが可能 • パスワードはIdP側で管理 IdP SP SP フェデレーション / ユーザーの同期 Copyright © 2025, Oracle and/or its affiliates OCI IAM Identity Domains OCI OCI

◆ 課題の解決の技術概要 ➢ Identity Domain間でSAMLフェデレーションによるSSOを構成することで、IdP にログインすれば、クラウド・サービスが認証を委託しているSPにログインしなくても、クラウド・サービスにSSOが可能 ➢ Identity Domainが存在するデータ・センターやリージョンには非依存な機能であるため、データ・センターや
リージョンをまたがった構成が可能 ➢ Identity DomainはID情報を伝播するREST APIの標準であるSystem for Cross-domain Identity Management（以下、SCIM）を利用する同期用アプリケーションを提供しており、同期用アプリケーションを構成してIdentity Domain間でユーザーやグループ情報を同期することが可能 2. 解決方法 8 Copyright © 2025, Oracle and/or its affiliates

Identity Domain（IdP）とIdentity Domain（SP）を構成し複数のOCI環境下でのSSO環境を構成 Copyright © 2025, Oracle and/or its
affiliates 9

SP 本手順書は下記構成を実現するためのIdentity Domain間の認証連携（外部IdP連携）設定手順書になります。 Identity Domain（IdP）とIdentity Domain（SP）を構成し複数のOCI 環境下でのSSO環境を構成 10 Copyright ©
2025, Oracle and/or its affiliates IdP SAML認証連携(外部IdP連携) 利用者 IdPのID/パスワードでログイン（ IdPログイン画面にリダイレクト） OCI コンソール Identity domain間は属性「ユーザー名」でユーザーマッピング OCI IAM Identity Domain OCI IAM Identity Domain テナント A テナント B ※同一テナント内のIdentity Domain間の連携でも同様の手順となります。

手順概要 1. IdP側のIdentity Domainでメタデータのダウンロード 2. SP側のIdentity DomainでIdPの追加 3. IdP側のIdentity DomainでSPの追加
4. 動作確認 Identity Domain（IdP）とIdentity Domain（SP）を構成し複数のOCI 環境下でのSSO環境を構成 11 Copyright © 2025, Oracle and/or its affiliates

1）IdPとなるIdentity DomainのOCIコンソールにアクセスします。 OCIコンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。テナント名（クラウド・アカウント名）を入力し「次に進む」を選択します。アイデンティティ・ドメインの選択画面が表示される場合には、該当のドメインを選択し、「次」を選択します。サインイン画面にて、該当ドメインのドメイン管理者の権限を持つユーザーの「ユーザー名」および「パスワード」を入力し、「サイン・イン」を選択し、OCIコンソールにサインインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にサインインすることになります。注意事項：OCIコンソールは既定で多要素認証が設定されておりますので、サインイン後に多要素認証を行う場合があります。 1.IdP側のIdentity
Domainでメタデータのダウンロード 13 Copyright © 2025, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。

2）認証なしでサービス・プロバイダ・メタデータをダウンロードできるように設定を変更します。 OCIコンソール画面にて、ハンバーガーメニューを選択し、左メニューより「アイデンティティとセキュリティ」ー「ドメイン」を選択します。 3）ドメイン画面にて、コンパートメントを指定し、ドメインを選択します。 ※自身で作成したコンパートメントおよびIdentity Domain（ドメイン）に設定する場合は、該当のコンパートメントおよびドメインを選択します。 1.IdP側の
Identity Domain でメタデータのダウンロード 14 Copyright © 2025, Oracle and/or its affiliates

4）アイデンティティ・ドメイン画面にて、ドメイン情報からドメインURLの「コピー」を選択し、ドメインURLを控えておき、上部のメニューから「設定」を選択します。 ※コピーしたドメインURLは後続の手順で利用します。 5）ドメインの設定画面にて、画面下にスクロールし、ドメイン設定-ロケールにある「ドメイン設定の編集」を選択します。 1.IdP側の Identity Domain でメタデータのダウンロード 15 Copyright
© 2025, Oracle and/or its affiliates

6）ドメイン設定の編集画面にて署名証明書へのアクセスの「クライアント・アクセスの構成」のチェックボックスを「オン」にし、「変更の保存」を選択します。 7）ブラウザにて下記のURLにアクセスし、サービス・プロバイダ・メタデータをダウンロードし、適切な場所に保存します。 1.IdP側の Identity Domain でメタデータのダウンロード 16 Copyright ©
2025, Oracle and/or its affiliates https://{Identity DomainのURL（項番1. Identity DomainのSAMLメタデータダウンロード 4）で控えたURL）}/fed/v1/metadata

2. SP側のIdentity Domainでアイデンティティ・プロバイダの登録 Copyright © 2025, Oracle and/or its affiliates
17

1）SP側Identity DomainのOCIコンソールにアクセスします。 OCIコンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。テナント名（クラウド・アカウント名）を入力し「次に進む」を選択します。アイデンティティ・ドメインの選択画面が表示される場合には、該当のドメインを選択し、「次」を選択します。サインイン画面にて、該当ドメインのドメイン管理者の権限を持つユーザーの「ユーザー名」および「パスワード」を入力し、「サイン・イン」を選択し、OCIコンソールにサインインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にサインインすることになります。注意事項：OCIコンソールは既定で多要素認証が設定されておりますので、サインイン後に多要素認証を行う場合があります。 2.
SP側のIdentity Domainでアイデンティティ・プロバイダの登録 18 Copyright © 2025, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。

2）認証なしでサービス・プロバイダ・メタデータをダウンロードできるように設定を変更します。 OCIコンソール画面にて、ハンバーガーメニューを選択し、左メニューより「アイデンティティとセキュリティ」ー「ドメイン」を選択します。 3）ドメイン画面にて、コンパートメントを指定し、ドメインを選択します。 ※自身で作成したコンパートメントおよびIdentity Domain（ドメイン）に設定する場合は、該当のコンパートメントおよびドメインを選択します。 2.
SP側のIdentity Domainでアイデンティティ・プロバイダの登録 19 Copyright © 2025, Oracle and/or its affiliates

4）アイデンティティ・ドメイン画面にて、上部のメニューより、「フェデレーション」を選択します。 5）フェデレーションの画面にて、アイデンティティ・プロバイダの「アクション」を選択し、さらに「SAML IdPの追加」を選択します。 2. SP側のIdentity Domainでアイデンティティ・プロバイダの登録 20 Copyright © 2025,
Oracle and/or its affiliates

6）SAMLアイデンティティ・プロバイダの追加画面にて、詳細の追加の「名前」と必要に応じて「説明」に適切な値を入力し「次」を選択します。 2. SP側のIdentity DomainでIdPの追加 21 Copyright © 2025, Oracle
and/or its affiliates

7）SAMLアイデンティティ・プロバイダの追加画面のメタデータの交換にて「アイデンティティ・プロバイダ・メタデータのアップロード」に、項番1. IdP側のIdentity Domainでメタデータのダウンロード 8)でダウンロードしたメタデータファイルを指定し、メタデータをアップロードし、「SAMLメタデータのエクスポート」を選択し「次」を選択します。 2. SP側のIdentity DomainでIdPの追加
22 Copyright © 2025, Oracle and/or its affiliates

8）アイデンティティ・プロバイダの追加画面のユーザー・アイデンティティのマップにてリクエストされた名前IDのフォーマットオプションが「なし」、アイデンティティ・プロバイダ・ユーザー属性が「SAMLアサーション名ID」、アイデンティティ・ドメイン・ユーザー属性が「ユーザー名」に指定されている事を確認し、「次」を選択します。 2. SP側のIdentity DomainでIdPの追加 23 Copyright © 2025,

9）アイデンティティ・プロバイダの追加画面の確認および作成にて、登録した内容を確認し、「IdPの作成」を選択します。 2. SP側のIdentity DomainでIdPの追加 24 Copyright © 2025, Oracle and/or
its affiliates

11）アイデンティティ・プロバイダのアクティブ化画面にて、「IdPのアクティブ化」を選択します。 2. SP側のIdentity DomainでIdPの追加 26 Copyright © 2025, Oracle and/or
its affiliates

12）アイデンティティ・プロバイダ画面にて、先ほど作成したアイデンティティ・プロバイダが作成され、アクティブになっている事を確認します。さらにサインイン画面に、作成したアイデンティティプロバイダをIdPとして利用できるようにIdPポリシーの定義を行う為に、アイデンティティ・プロバイダ・ポリシーにある「Default Identity Provider Policy」名を選択します。 13）Default Identity Provider Policy画面にて「アイデンティティ・プロバイダ・ルール」を選択します。
2. SP側のIdentity DomainでIdPの追加 27 Copyright © 2025, Oracle and/or its affiliates

14）Default Identity Provider Policy画面にて、「IdPルールの追加」を選択します。 15）アイデンティティ・プロバイダ・ルールの追加画面にて、ルール名に適切な値を入力し、アイデンティティ・プロバイダの割当てを選択し、今回、作成したアイデンティティプロバイダ名と「Username-Password」を選択し、「IdPルールの追加」を選択します。 2. SP側のIdentity DomainでIdPの追加 28
Copyright © 2025, Oracle and/or its affiliates ※Default Identity Provider Policy には「Default IdP Rule」というルールがあらかじめ作成されています。この「Default IdP Rule」を直接編集することも可能ですが、運用の中でデフォルトの状態に戻す場合などを想定し、「Default IdP Rule」は編集せずにデフォルトの状態のままにしておくことをお勧めします。

16）Default Identity Provider Policy画面にて、「アクション」を選択し、さらに「IdPルール優先度の編集」を選択します。 17）IdPルール優先度の編集画面にて、今回、作成したアイデンティティプロバイダの優先度を「1」に設定し、「Default IDP Rule」の優先度を「2」に設定し「変更の保存」を選択します。 2. SP側のIdentity
DomainでIdPの追加 29 Copyright © 2025, Oracle and/or its affiliates

18）今回、作成したアイデンティティプロバイダの優先度が「1」になっている事を確認します。 2. SP側のIdentity DomainでIdPの追加 30 Copyright © 2025, Oracle and/or
its affiliates

3. IdP側のIdentity DomainでSPの追加 Copyright © 2025, Oracle and/or its affiliates
31

1）「項番1. IdP側のIdentity Domainでメタデータのダウンロード」の続きとなります。アイデンティティ・ドメイン画面のメニューから「統合アプリケーション」を選択し、「アプリケーションの追加」を選択します。 2）アプリケーションの追加画面にて、「SAMLアプリケーション」を選択し、「ワークフローの起動」を選択します。 3. IdP側のIdentity DomainでSPの追加 32 Copyright

3）SAMLアプリケーションの追加画面にて「名前」および必要に応じて「説明」に適切な値を入力し、「送信」を選択します。 3. IdP側のIdentity DomainでSPの追加 33 Copyright © 2025, Oracle and/or
its affiliates

5）SSO構成の編集画面の一般にて、項番2. SP側のIdentity DomainでIdPの追加 10）で作成した、SAMLアイデンティティ・プロバイダの値をコピーして設定します。・エンティティID:SP側のIdentity DomainのプロバイダID ・アサーションコンシューマーのURL:SP側のIdentity
Domainのアサーション・コンシューマ・サービスURL ・名前IDのフォーマット:「未指定」・名前IDの値:「ユーザー名」・署名証明書:SP側のIdentity Domainのサービス・プロバイダ暗号化証明書 3. IdP側のIdentity DomainでSPの追加 35 Copyright © 2025, Oracle and/or its affiliates SP側Identity Domain SAMLアイデンティティ・プロバイダの画面

6）下段にスクロールし、SSO構成の編集画面の追加構成にて、さらに項番2.SP側のIdentity DomainでIdPの追加 10）で作成した、アイデンティティ・プロバイダの値をコピーして設定し、「変更の保存」を選択します。・シングル・ログアウトURL:SP側のIdentity Domainのログアウト・サービス戻りURL ・ログアウト・レスポンスURL:SP側のIdentity
Domainのログアウト・サービス・エンドポイントURL ・その他は既定の設定 3. IdP側のIdentity DomainでSPの追加 36 Copyright © 2025, Oracle and/or its affiliates SP側Identity Domain SAMLアイデンティティ・プロバイダの画面

1）IdP側のIdentity Domainのアプリケーションにユーザーを割り当てるためにIdP側のOCIコンソールにアクセスします。 OCIコンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。テナント名（クラウド・アカウント名）を入力し「次に進む」を選択します。アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメインを選択します。サインイン画面にて、OCI管理者のID/パスワードを入力し、「サイン・イン」を選択しOCIコンソールにログインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にサインインすることになります。注意事項：OCIコンソールは既定で多要素認証が設定されておりますので、サインイン後に多要素認証による認証を行う場合があります。 4. 動作確認
40 Copyright © 2025, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。

2）項番 3. IdP側のIdentity DomainでSPの追加 6) で作成したアプリケーションの画面にて、メニューから「ユーザー」を選択し、「ユーザーの割当て」を選択します。 ※アプリケーションの割当てはグループでも可能ですが、今回は事前に作成しておいたユーザーを選択します。 3）ユーザーの割当て画面にて、動作確認を行う対象のユーザーを選択し、「割当て」を選択します。
4. 動作確認 41 Copyright © 2025, Oracle and/or its affiliates

4）ユーザーを作成するため、SP側のIdentity DomainのOCIコンソールにアクセスします。 OCIコンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。テナント名（クラウド・アカウント名）を入力し「次に進む」を選択します。アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメインを選択します。サインイン画面にて、OCI管理者のID/パスワードを入力し、「サイン・イン」を選択しOCIコンソールにログインします。 ※ドメイン選択画面が表示されない環境はDefault ドメインのみ存在する環境になり、自動的に“Default ドメイン”にログインすることになります。注意事項：OCIコンソールは既定で多要素認証が設定されておりますので、サインイン後に多要素認証を行う場合があります。
4. 動作確認 42 Copyright © 2025, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。

5）ドメインを選択し、上段のメニューから「ユーザー管理」を選択し、「作成」を選択します。 6）ユーザー追加画面にて「名」、「姓」、「ユーザー名」および「電子メール」に適切な値を入力し、「作成」を選択します。 ※ユーザー名は項番 4. 動作確認用のユーザー作成 3）で割当てたIdP側のIdentity Domainのユーザーと同じ値になるようにします。 4. 動作確認 43
Copyright © 2025, Oracle and/or its affiliates

7）動作確認を行う為、SP側のOCIコンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。テナント名（クラウド・アカウント名）を入力し「次に進む」を選択し、必要に応じて「ドメイン名」を選択し、「次」を選択します。 8）アイデンティティ・ドメインのログイン画面の下部に今回作成した、アイデンティティ・プロバイダ（IdP_Identity_Domain）が表示され選択ができることを確認し、「アイデンティティ・プロバイダ（IdP_Identity_Domain）」を選択します。 9）IdP側のサインイン画面にリダイレクトされるので、項番 4. 動作確認用のユーザー作成 3) で割当てたユーザーのID/パスワードを
入力し、「サイン・イン」を選択し、OCIコンソールにログインします。 ※多要素認証が有効になっている場合は、サインイン後に多要素認証の初期設定が行われます。 4. 動作確認 44 Copyright © 2025, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。

10）OCIコンソールにサインしたユーザーで接続できていることを確認します。 4. 動作確認 45 Copyright © 2025, Oracle and/or its
affiliates

Identity Domain（IdP）からIdentity Domain（SP）へのID 情報の同期 Copyright © 2025, Oracle and/or its
affiliates 46

SAML認証連携(外部IdP連携)を利用する場合、IdP側およびSP側で連携させるIDが必要となります。その為、ID情報をIdPとSP間にてID同期を行う事で、ID管理の管理コスト低減させる事が可能となります。本手順書は、下記構成を実現するためのIdentity Domainで構成されたIdPとSP間でID情報の同期の設定手順書になります。 ※ID同期において「IdP」、「SP」という考え方はございませんが、同期元と同期先を区別する為に、記載させていただきます。 Identity Domain（IdP）からIdentity Domain（SP）へのID情報の同期 47
Copyright © 2025, Oracle and/or its affiliates Identity Domain IdP SCIM による ID 情報の同期 OCI コンソール Identity Domain 機能説明 ID 情報の伝播の方向双方向または、同期用アプリケーション側からの単方向の指定が可能ユーザーの作成・更新・削除、アクティブ/非アクティブの同期〇ユーザーのパスワード同期 ✖ 同期対象となるユーザー指定したユーザーおよびグループのメンバーグループの作成・更新・削除の同期 ✖(グループはマッピングのみ) ID 情報を同期するタイミングリアルタイムまたは、同期スケジュールの設定が可能テナント A ※同一テナント内のIdentity Domain間の連携でも同様の手順となります。テナント B Generic SCIM コネクタ SP SCIM インターフェース

1. SP側のIdentity DomainでのSCIMインターフェース設定（機密アプリケーション登録） 2. IdP側のIdentity Domainでのプロビジョニング（Generic SCIM コネクタ）の設定 3. 動作確認
手順概要 Copyright © 2025, Oracle and/or its affiliates 48

1. SP側のIdentity DomainでのSCIMインターフェース設定（機密アプリケーション登録） Copyright © 2025, Oracle and/or its
affiliates 49

1）SP側Identity DomainのOCIコンソールにアクセスします。 OCIコンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。テナント名（クラウド・アカウント名）を入力し「次に進む」を選択します。アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメインを選択します。サインイン画面にて、OCI管理者のID/パスワードを入力し、「サイン・イン」を選択しOCIコンソールにログインします。 ※ ドメイン選択画面が表示されない環境はDefault ドメインのみ存在する環境になり、自動的に“Default ドメイン”にログインすることになります。
注意事項：OCIコンソールは既定で多要素認証が設定されておりますので、サインイン後に多要素認証を行う場合があります。 1. SP側のIdentity DomainでのSCIMインターフェース設定（機密アプリケーション登録） 50 Copyright © 2025, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。

2）認証なしでサービス・プロバイダ・メタデータをダウンロードできるように設定を変更します。 OCIコンソール画面にて、ハンバーガーメニューを選択し、左メニューより「アイデンティティとセキュリティ」ー「ドメイン」を選択します。 3）アイデンティティ画面にて、コンパートメントを指定し、ドメインを選択します。 ※自身で作成したコンパートメントおよびIdentity Domain（ドメイン）に設定する場合は、該当のコンパートメントおよびドメインを選択します。
1. SP側のIdentity DomainでのSCIMインターフェース設定（機密アプリケーション登録） 51 Copyright © 2025, Oracle and/or its affiliates

5）アイデンティティ・ドメインのドメインの概要画面にて、上部のメニューより、「統合アプリケーション」を選択し、「アプリケーションの追加」を選択します。 6）アプリケーションの追加画面にて、「機密アプリケーション」を選択し、「ワークフローの起動」を選択します。 1. SP側のIdentity DomainでのSCIMインターフェース設定（機密アプリケーション登録） 53 Copyright ©
2025, Oracle and/or its affiliates

9）OAuth構成の編集画面にて、クライアント構成の「このアプリケーションをクライアントとして今すぐ構成します」を選択し、認可の許可される権限付与タイプで、「クライアント資格証明」を選択します。 10）OAuth構成の編集画面を下にスクロールし、「アプリケーション・ロールの追加」をスライドさせて有効化し、「「アプリケーション・ロールの追加」を選択します。 1. SP側のIdentity DomainでのSCIMインターフェース設定（機密アプリケーション登録） 56

13）作成した機密アプリケーションの画面にて、一般情報の「クライアントID」と「クライアント・シークレット」の値を控えます。「クライアント・シークレット」のコピーの取得は「…」を選択し、「コピー」を選択します。 ※「クライアント ID」と「クライアント・シークレット」は後述の作業で利用します。 14）同画面にて、「アクション」を選択し、「アクティブ化」を選択します。 1. SP側のIdentity DomainでのSCIMインターフェース設定（機密アプリケーション登録） 59

2. IdP側のIdentity Domainでのプロビジョニング（ Generic SCIM コネクタ）の設定 Copyright © 2025,
Oracle and/or its affiliates 61

1）IdPのIdentity DomainのOCIコンソールにアクセスします。 OCIコンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。テナント名（クラウド・アカウント名）を入力し「次に進む」を選択します。アイデンティティ・ドメインの選択画面が表示される場合には、該当のドメインを選択し、「次」を選択します。サインイン画面にて、該当ドメインのドメイン管理者の権限を持つユーザーの「ユーザー名」および「パスワード」を入力し、「サイン・イン」を選択し、OCIコンソールにサインインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にサインインすることになります。注意事項：OCIコンソールは既定で多要素認証が設定されておりますので、サインイン後に多要素認証を行う場合があります。 2.
IdP側のIdentity Domainでのプロビジョニング（Generic SCIM コネクタ）の設定 62 Copyright © 2025, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。

2）OCIコンソール画面にて、ハンバーガーメニューを選択し、左メニューより「アイデンティティとセキュリティ」ー「ドメイン」を選択します。 3）アイデンティティ画面にて、コンパートメントを指定し、ドメインを選択します。 ※自身で作成したコンパートメントおよびIdentity Domain（ドメイン）に設定する場合は、該当のコンパートメントおよびドメインを選択します。 2. IdP側のIdentity
Domainでのプロビジョニング（Generic SCIM コネクタ）の設定 63 Copyright © 2025, Oracle and/or its affiliates

4）アイデンティティ・ドメイン画面のメニューから「統合アプリケーション」を選択し、「アプリケーションの追加」を選択します。 5）アプリケーションの追加画面にて、「アプリケーション・カタログ」を選択し、「ワークフローの起動」を選択します。 2. IdP側のIdentity Domainでのプロビジョニング（Generic SCIM コネクタ）の設定 64 Copyright

6）アプリケーション・カタログ画面にて、検索のフィールドに「Oracle Identity」と入力し、「検索」を選択し、表示されたアプリケーションから、「Oracle Identity Domain」を選択します。 7）作成したアプリケーションの追加画面にて、「名前」および必要に応じて「説明」に適切な値を入力し、「送信」を選択します。 2. IdP側のIdentity Domainでのプロビジョニング（Generic SCIM
コネクタ）の設定 65 Copyright © 2025, Oracle and/or its affiliates

8）作成したアプリケーションの画面にて、上段のメニューより「プロビジョニング中」を選択し、さらに「…」を選択し、「プロビジョニングの編集」を選択します。 9）プロビジョニングの有効化画面にて「プロビジョニングの有効化」をスライドさせ、有効化させ、プロビジョニングの確認を有効化画面にて、「確認」を選択します。 2. IdP側のIdentity Domainでのプロビジョニング（Generic SCIM コネクタ）の設定

10）プロビジョニングの有効化画面の接続構成にて、以下の値を入力し、「接続のテスト」を選択します。・ Host Name:SP側のIdentity DomainのドメインURLのホスト名部分（例: idcs-xxxxxxxxxxxxx.identity.orclecloud.com） ※Identity DomainのテナントURLは、項番1. SP側のIdentity
DomainでのSCIMインターフェース設定機密アプリケーション登録）4) に記載しています。・ Client Id :項番1. SP側のIdentity DomainでのSCIMインターフェース設定（機密アプリケーション登録） 13) にてコピーした値を入力・ Client Secret 項番1. SP側のIdentity DomainでのSCIMインターフェース設定（機密アプリケーション登録） 13) にてコピーした値を入力・ Scope オプション： urn:opc:idm:__myscopes__（既定の設定）・ Authentication Server Url： https://< SP側のIdentity Domainのドメイン URLのホスト名部分>:443/oauth2/v1/token 2. IdP側のIdentity Domainでのプロビジョニング（Generic SCIM コネクタ）の設定 67 Copyright © 2025, Oracle and/or its affiliates

11）接続のテストにて、「接続に成功しました」が表示されたことを確認し、同画面を下にスクロールし、プロビジョニング操作の選択の「認可同期」のチェックが外れている事を確認し、「同期の有効化」をスライドさせ、有効化し、さらに下段にスクロールします。 ※「認可同期」のチェックを有効にした場合は、今回の構成の場合は、SP側のIdentity DomainからIdP側のIdentity DomainにID情報の同期が行われます。 12）同期の構成の、同期スケジュールが「なし」であるとを確認し、「送信」を選択します。 ※今回は、手動にて同期を実施するため、「なし」を選択します。 2.
IdP側のIdentity Domainでのプロビジョニング（Generic SCIM コネクタ）の設定 68 Copyright © 2025, Oracle and/or its affiliates

13）作成したアプリケーションの画面にて、「アクション」を選択し、さらに「アクティブ化」を選択します。 14）アプリケーションのアクティブ化画面にて、「アプリケーションのアクティブ化」を選択します。 2. IdP側のIdentity Domainでのプロビジョニング（Generic SCIM コネクタ）の設定 69 Copyright

15）作成したアプリケーションの画面にて、作成したアプリケーションがアクティブになっている事を確認します。 2. IdP側のIdentity Domainでのプロビジョニング（Generic SCIM コネクタ）の設定 70 Copyright ©
2025, Oracle and/or its affiliates

1）ここでは、ユーザーの同期を確認します。同期元であるIdP側のIdentity DomainのOCIコンソールにアクセスします。 OCIコンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。テナント名（クラウド・アカウント名）を入力し「次に進む」を選択します。アイデンティティ・ドメインの選択画面が表示される場合には、該当のドメインを選択し、「次」を選択します。サインイン画面にて、該当ドメインのドメイン管理者の権限を持つユーザーの「ユーザー名」および「パスワード」を入力し、「サイン・イン」を選択し、OCIコンソールにサインインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にサインインすることになります。注意事項：OCIコンソールは既定で多要素認証が設定されておりますので、サインイン後に多要素認証を行う場合があります。

2）OCIコンソール画面にて、ハンバーガーメニューを選択し、左メニューより「アイデンティティとセキュリティ」ー「ドメイン」を選択します。 3）アイデンティティ画面にて、コンパートメントを指定し、ドメインを選択します。 ※自身で作成したコンパートメントおよびIdentity Domain（ドメイン）に設定する場合は、該当のコンパートメントおよびドメインを選択します。 3. 動作確認

4）アイデンティティ・ドメイン画面にて、上部のメニューより、「統合アプリケーション」を選択し、項番2. IdP側のIdentity Domainでのプロビジョニング（Generic SCIM コネクタ）の設定 13) で作成したアプリケーションを選択します。 5）作成したアプリケーション画面の上部のメニューより、「ユーザー」を選択し、「ユーザーの割当て」を選択します。

9）同期先であるSP側のIdentity DomainのOCIコンソールにアクセスします。 OCIコンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。テナント名（クラウド・アカウント名）を入力し「次に進む」を選択します。アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメインを選択します。サインイン画面にて、OCI管理者のID/パスワードを入力し、「サイン・イン」を選択しOCIコンソールにログインします。 ※ドメイン選択画面が表示されない環境はDefault ドメインのみ存在する環境になり、自動的に“Default ドメイン”にログインすることになります。注意事項：OCIコンソールは既定で多要素認証が設定されておりますので、サインイン後に多要素認証を行う場合があります。 ※環境によりドメイン選択画面は表示されません。

10) 項番 3.動作確認 7) にてIdP側のアプリケーションに割当てたユーザーアカウントが、SP側のIdentity Domain に同期されている事を確認します。 3. 動作確認

11）ここでは、同期されていないユーザーをグループのメンバーに含むグループの同期の確認をします。 IdP側のIdentity DomainのOCIコンソールにアクセスします。 OCIコンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。テナント名（クラウド・アカウント名）を入力し「次に進む」を選択します。アイデンティティ・ドメインの選択画面が表示される場合には、該当のドメインを選択し、「次」を選択します。サインイン画面にて、該当ドメインのドメイン管理者の権限を持つユーザーの「ユーザー名」および「パスワード」を入力し、「サイン・イン」を選択し、OCIコンソールにサインインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にサインインすることになります。注意事項：OCIコンソールは既定で多要素認証が設定されておりますので、サインイン後に多要素認証を行う場合があります。

12）アイデンティティ・ドメイン画面にて、上部のメニューより、「統合アプリケーション」を選択し、項番2. IdP側のIdentity Domainでのプロビジョニング（Generic SCIM コネクタ）の設定 13) で作成したアプリケーションを選択します。 13）作成したアプリケーション画面の上部のメニューより、「グループ」
を選択し、「グループの割当て」を選択します。 3. 動作確認 80 Copyright © 2025, Oracle and/or its affiliates

16）Groupの追加画面にて、SP側のIdentity Domainで作成されているグループの一覧が表示されるので、同期対象となるグループを選択し、「追加」を選択します。注意事項：グループ自体が同期されるのではなく、グループのメンバー情報が同期される事にご注意ください。また、グループのメンバーのアカウントが同期先（SP側のIdentity Domain）にない場合は、新たにユーザーアカウントが作成されます。さらに、同期先のグループが指定されてない場合は、メンバーのユーザーアカウントのみ同期されます。 ※対象のグループが表示されていない場合は、アプリケーション画面にて、上段メニューの「プロビジョニング中」を選択し、「…」から「アプリケーション・データのリフレッシュ」を選択すると表示されます。
3. 動作確認 82 Copyright © 2025, Oracle and/or its affiliates 対象のグループが表示されていない時の対応

19）SP側のIdentity DomainのOCIコンソールにアクセスします。 OCIコンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。テナント名（クラウド・アカウント名）を入力し「次に進む」を選択します。アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメインを選択します。サインイン画面にて、OCI管理者のID/パスワードを入力し、「サイン・イン」を選択しOCIコンソールにログインします。 ※ ドメイン選択画面が表示されない環境は Default ドメインのみ存在する環境になり、自動的に“ Default ドメイン”にログインすることになります。注意事項：OCIコンソールは既定で多要素認証が設定されておりますので、サインイン後に多要素認証を行う場合があります。 ※環境によりドメイン選択画面は表示されません。

20）IdP側で同期対象として指定したグループが、SP側のIdentity Domainの指定したグループにメンバー情報が同期されている事を確認します。 21）SP側のIdentity Domainにグループのメンバーのユーザーアカウントが新たに作成されている事を確認します。 3. 動作確認 86 Copyright ©
2025, Oracle and/or its affiliates IdP側の同期対象グループ画面 SP側の同期対象グループと新規に作成されたユーザー画面 SP側の同期対象グループ画面

OCI IAM Identity Domains 複数Identity Domain間の連携手...

OCI IAM Identity Domains 複数Identity Domain間の連携手順 / SSO setup between multiple Identity Domains

More Decks by oracle4engineer

Other Decks in Technology

Featured

Transcript