Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OCI IAM Identity Domains 複数Identity Domain間の連携手...
Search
oracle4engineer
PRO
August 15, 2022
Technology
2.2k
2
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
OCI IAM Identity Domains 複数Identity Domain間の連携手順 / SSO setup between multiple Identity Domains
oracle4engineer
PRO
August 15, 2022
More Decks by oracle4engineer
See All by oracle4engineer
Oracle Exadata Database Service on Cloud@Customer X11M (ExaDB-C@C) サービス概要
oracle4engineer
PRO
2
8.3k
Deep Data Security 機能解説
oracle4engineer
PRO
2
270
Oracle Cloud Infrastructure:2026年6月度サービス・アップデート
oracle4engineer
PRO
1
520
Oracle AI Databaseデータベース・サービスのメンテナンス(BaseDB/ExaDB-D/ExaDB-XS)
oracle4engineer
PRO
4
1.8k
Oracle AI Database@Google Cloud:サービス概要のご紹介
oracle4engineer
PRO
6
1.6k
Oracle AI Database@Azure:サービス概要のご紹介
oracle4engineer
PRO
6
2.1k
Oracle AI Database@AWS:サービス概要のご紹介
oracle4engineer
PRO
4
3.1k
CrossplaneによるCloud Native Control Plane
oracle4engineer
PRO
0
120
OCI Oracle AI Database Services新機能アップデート(2026/03-2026/05)
oracle4engineer
PRO
1
650
Other Decks in Technology
See All in Technology
AI時代のエンジニアキャリアについて今一度考える
sakamoto_582
1
1.2k
完全自律ロボットを作りたくて、先に開発を自律させた話(ROS Japan UG #63 LT)
rryz09
0
320
クラウド上のデータ復旧で見落としがちな制約: 医療系 SaaS の BCP 設計から得た教訓
kakehashi
PRO
0
580
SRE依存からの脱却 運用を開 発チームへ移す、 フルサイ クル開 発体制の実践
joooee0000
0
590
型は壁、Rustでもバグを直すな、表現できなくせよ
nwiizo
12
1.5k
AWS Summit の片隅で、体育座りしながらコミュニティがにぎわう理由を考えた
k_adachi_01
2
350
Baseline対応のDOMの型定義を作った
uhyo
3
700
Kotlin 開発のツラミを爆破した話! / Explode the difficulty of Kotlin dev!
eller86
0
150
Amazon EVS で VCF 9.0 / 9.1 のサポート開始まとめ
mtoyoda
0
260
Keeping applications secure by evolving OAuth 2.0 and OpenID Connect
ahus1
PRO
1
150
組織における AI-DLC 実践
askul
0
310
Zoom2Youtube.Claude
kawaguti
PRO
2
430
Featured
See All Featured
Build The Right Thing And Hit Your Dates
maggiecrowley
39
3.2k
Speed Design
sergeychernyshev
33
1.9k
Building Applications with DynamoDB
mza
96
7.1k
Heart Work Chapter 1 - Part 1
lfama
PRO
8
36k
The B2B funnel & how to create a winning content strategy
katarinadahlin
PRO
1
410
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
162
16k
For a Future-Friendly Web
brad_frost
183
10k
Exploring anti-patterns in Rails
aemeredith
3
440
The #1 spot is gone: here's how to win anyway
tamaranovitovic
3
1.1k
Imperfection Machines: The Place of Print at Facebook
scottboms
270
14k
Jamie Indigo - Trashchat’s Guide to Black Boxes: Technical SEO Tactics for LLMs
techseoconnect
PRO
0
250
Conquering PDFs: document understanding beyond plain text
inesmontani
PRO
4
2.9k
Transcript
OCI IAM Identity Domains 複数のOCI環境下でのシングル・サインオン環境の構成 日本オラクル株式会社 2025/08/01
Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、 情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以 下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買 決定を行う際の判断材料になさらないで下さい。 オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊 社の裁量により決定され、変更される可能性があります。 Copyright
© 2025, Oracle and/or its affiliates 2
⚫ 本資料の前提 1. 前提となるユース・ケース 2. 解決方法 ⚫ Identity Domain(IdP)とIdentity Domain(SP)が共存する複数のOCI環境下でのSSO環境の構成
1. IdP側のIdentity Domainでメタデータのダウンロード 2. SP側のIdentity DomainでIdPの追加 3. IdP側のIdentity DomainでSPの追加 4. 動作確認用のユーザー作成 5. 動作確認 ⚫ Identity Domain(IdP)からIdentity Domain(SP)へのID情報の同期 1. SP側のIdentity DomainでのSCIMインターフェース設定(機密アプリケーション登録) 2. IdP側のIdentity Domainでのプロビジョニング(Generic SCIM コネクタ)の設定 3. 動作確認 アジェンダ Copyright © 2025, Oracle and/or its affiliates 3 ※本資料は2025年7月現在の仕様に基づき作成しております。
本資料の前提 Copyright © 2025, Oracle and/or its affiliates 4
◆ 下記の理由から複数のOCI環境が存在し、それぞれの環境で、OCI IAM Identity Domains(以下、Identity Domain)が運用される場合があります。 ➢ 本社用とグループ会社用での構成 ➢ 本番環境とテスト環境の構成
➢ 契約時期やシステム構成により環境を分割 1. 前提となるユース・ケース Copyright © 2025, Oracle and/or its affiliates 5 管理者 一般ユーザー 管理者 一般ユーザー 管理者 一般ユーザー OCI OCI PaaS OCI IAM Identity Domains OCI IAM Identity Domains OCI 3rd-Party Apps OCI IAM Identity Domains
◆ 想定される課題 ➢ 複数環境でそれぞれのユーザー管理による管理コストの増大 ➢ ユーザー管理の煩雑化によるセキュリティリスクの増大 ➢ ユーザーへの利便性の低下 1. 前提となるユース・ケース
6 PaaS OCI IAM Identity Domains OCI IAM Identity Domains 管理者 一般ユーザー OCI 3rd-Party Apps • それぞれの環境でユーザの 管理を実施 • 複数回の認証が発生 • それぞの環境でのパスワード管理 Copyright © 2025, Oracle and/or its affiliates OCI IAM Identity Domains OCI OCI
◆ 課題の解決 ➢ SAMLによるフェデレーションを構成して、OCI間でシングル・サインオン(以下、SSO)を実現 ➢ SSOにより、パスワードはマスターとなるIdPのみで管理が可能 ➢ Identity Domain間でユーザーやグループ情報を同期するコネクタを構成(手動による同期でも対応可能) 2.
解決方法 7 PaaS OCI IAM Identity Domains OCI IAM Identity Domains 管理者 一般ユーザー OCI 3rd-Party Apps • IdP側でユーザの管理が可能 • 同期するためのコネクタの構成 • 1回の認証でそれぞれの環境への アクセスが可能 • パスワードはIdP側で管理 IdP SP SP フェデレーション / ユーザーの同期 Copyright © 2025, Oracle and/or its affiliates OCI IAM Identity Domains OCI OCI
◆ 課題の解決の技術概要 ➢ Identity Domain間でSAMLフェデレーションによるSSOを構成することで、IdP にログインすれば、クラウド・ サービスが認証を委託しているSPにログインしなくても、クラウド・サービスにSSOが可能 ➢ Identity Domainが存在するデータ・センターやリージョンには非依存な機能であるため、データ・センターや
リージョンをまたがった構成が可能 ➢ Identity DomainはID情報を伝播するREST APIの標準であるSystem for Cross-domain Identity Management(以下、SCIM)を利用する同期用アプリケーションを提供しており、同期用アプリケーションを 構成してIdentity Domain間でユーザーやグループ情報を同期することが可能 2. 解決方法 8 Copyright © 2025, Oracle and/or its affiliates
Identity Domain(IdP)とIdentity Domain(SP)を構成し 複数のOCI環境下でのSSO環境を構成 Copyright © 2025, Oracle and/or its
affiliates 9
SP 本手順書は下記構成を実現するためのIdentity Domain間の認証連携(外部IdP連携)設定手順書になります。 Identity Domain(IdP)とIdentity Domain(SP)を構成し複数のOCI 環境下でのSSO環境を構成 10 Copyright ©
2025, Oracle and/or its affiliates IdP SAML認証連携(外部IdP連携) 利用者 IdPのID/パスワードでログイン ( IdPログイン画面にリダイレクト) OCI コンソール Identity domain間は属性 「ユーザー名」 で ユーザーマッピング OCI IAM Identity Domain OCI IAM Identity Domain テナント A テナント B ※同一テナント内のIdentity Domain間の連携でも同様の手順となります。
手順概要 1. IdP側のIdentity Domainでメタデータのダウンロード 2. SP側のIdentity DomainでIdPの追加 3. IdP側のIdentity DomainでSPの追加
4. 動作確認 Identity Domain(IdP)とIdentity Domain(SP)を構成し複数のOCI 環境下でのSSO環境を構成 11 Copyright © 2025, Oracle and/or its affiliates
1.IdP側のIdentity Domainでメタデータのダウンロード Copyright © 2025, Oracle and/or its affiliates 12
1)IdPとなるIdentity DomainのOCIコンソールにアクセスします。 OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。 テナント名(クラウド・アカウント名)を入力し「次に進む」を選択します。 アイデンティティ・ドメインの選択画面が表示される場合には、該当のドメインを選択し、「次」を選択します。 サインイン画面にて、該当ドメインのドメイン管理者の権限を持つユーザーの「ユーザー名」および「パスワード」を 入力し、「サイン・イン」を選択し、OCIコンソールにサインインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にサインインすることになります。 注意事項:OCIコンソールは既定で多要素認証が設定されておりますので、サインイン後に多要素認証を行う場合があります。 1.IdP側のIdentity
Domainでメタデータのダウンロード 13 Copyright © 2025, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。
2)認証なしでサービス・プロバイダ・メタデータをダウンロードできるように設定を変更します。 OCIコンソール画面にて、ハンバーガーメニューを選択し、左メニューより 「アイデンティティとセキュリティ」 ー 「ドメイン」を選択します。 3)ドメイン画面にて、 コンパートメントを指定し、ドメインを選択します。 ※自身で作成したコンパートメントおよびIdentity Domain(ドメイン)に設定する場合は、該当のコンパートメントおよびドメインを選択します。 1.IdP側の
Identity Domain でメタデータのダウンロード 14 Copyright © 2025, Oracle and/or its affiliates
4)アイデンティティ・ドメイン画面にて、ドメイン情報からドメインURLの「コピー」を選択し、ドメインURLを控えておき、上部のメニューから 「設定」を選択します。 ※コピーしたドメインURLは後続の手順で利用します。 5)ドメインの設定画面にて、画面下にスクロールし、ドメイン設定-ロケールにある「ドメイン設定の編集」を選択します。 1.IdP側の Identity Domain でメタデータのダウンロード 15 Copyright
© 2025, Oracle and/or its affiliates
6)ドメイン設定の編集画面にて署名証明書へのアクセスの「クライアント・アクセスの構成」のチェックボックスを「オン」にし、「変更の 保存」を選択します。 7)ブラウザにて下記のURLにアクセスし、サービス・プロバイダ・メタデータをダウンロードし、適切な場所に保存します。 1.IdP側の Identity Domain でメタデータのダウンロード 16 Copyright ©
2025, Oracle and/or its affiliates https://{Identity DomainのURL(項番1. Identity DomainのSAMLメタデータダウンロード 4)で控えたURL)}/fed/v1/metadata
2. SP側のIdentity Domainでアイデンティティ・プロバイダの登録 Copyright © 2025, Oracle and/or its affiliates
17
1)SP側Identity DomainのOCIコンソールにアクセスします。 OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。 テナント名(クラウド・アカウント名)を入力し「次に進む」を選択します。 アイデンティティ・ドメインの選択画面が表示される場合には、該当のドメインを選択し、「次」を選択します。 サインイン画面にて、該当ドメインのドメイン管理者の権限を持つユーザーの「ユーザー名」および「パスワード」を 入力し、「サイン・イン」を選択し、OCIコンソールにサインインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にサインインすることになります。 注意事項:OCIコンソールは既定で多要素認証が設定されておりますので、サインイン後に多要素認証を行う場合があります。 2.
SP側のIdentity Domainでアイデンティティ・プロバイダの登録 18 Copyright © 2025, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。
2)認証なしでサービス・プロバイダ・メタデータをダウンロードできるように設定を変更します。 OCIコンソール画面にて、ハンバーガーメニューを選択し、左メニューより 「アイデンティティとセキュリティ」 ー 「ドメイン」を選択します。 3)ドメイン画面にて、 コンパートメントを指定し、ドメインを選択します。 ※自身で作成したコンパートメントおよびIdentity Domain(ドメイン)に設定する場合は、該当のコンパートメントおよびドメインを選択します。 2.
SP側のIdentity Domainでアイデンティティ・プロバイダの登録 19 Copyright © 2025, Oracle and/or its affiliates
4)アイデンティティ・ドメイン画面にて、上部のメニューより、「フェデレーション」を選択します。 5)フェデレーションの画面にて、アイデンティティ・プロバイダの「アクション」を選択し、さらに「SAML IdPの追加」を選択します。 2. SP側のIdentity Domainでアイデンティティ・プロバイダの登録 20 Copyright © 2025,
Oracle and/or its affiliates
6)SAMLアイデンティティ・プロバイダの追加画面にて、詳細の追加の「名前」と必要に応じて「説明」に適切な値を入力し「次」を 選択します。 2. SP側のIdentity DomainでIdPの追加 21 Copyright © 2025, Oracle
and/or its affiliates
7)SAMLアイデンティティ・プロバイダの追加画面のメタデータの交換にて 「アイデンティティ・プロバイダ・メタデータのアップロード」に、 項番1. IdP側のIdentity Domainでメタデータのダウンロード 8)でダウンロードしたメタデータファイルを指定し、メタデータを アップロードし、「SAMLメタデータのエクスポート」を選択し「次」を選択します。 2. SP側のIdentity DomainでIdPの追加
22 Copyright © 2025, Oracle and/or its affiliates
8)アイデンティティ・プロバイダの追加画面のユーザー・アイデンティティのマップにてリクエストされた名前IDのフォーマットオプションが 「なし」、アイデンティティ・プロバイダ・ユーザー属性が「SAMLアサーション名ID」、アイデンティティ・ドメイン・ユーザー属性が 「ユーザー名」に指定されている事を確認し、「次」を選択します。 2. SP側のIdentity DomainでIdPの追加 23 Copyright © 2025,
Oracle and/or its affiliates
9)アイデンティティ・プロバイダの追加画面の確認および作成にて、登録した内容を確認し、「IdPの作成」を選択します。 2. SP側のIdentity DomainでIdPの追加 24 Copyright © 2025, Oracle and/or
its affiliates
10)アイデンティティ・プロバイダ画面にて、先ほど作成したアイデンティティ・プロバイダ名から「…」を選択し、さらに「IdPのアクティブ化」を 選択します。 2. SP側のIdentity DomainでIdPの追加 25 Copyright © 2025, Oracle
and/or its affiliates
11)アイデンティティ・プロバイダのアクティブ化画面にて、「IdPのアクティブ化」を選択します。 2. SP側のIdentity DomainでIdPの追加 26 Copyright © 2025, Oracle and/or
its affiliates
12)アイデンティティ・プロバイダ画面にて、先ほど作成したアイデンティティ・プロバイダが作成され、アクティブになっている事を確認します。 さらにサインイン画面に、作成したアイデンティティプロバイダをIdPとして利用できるようにIdPポリシーの定義を行う為に、 アイデンティティ・プロバイダ・ポリシーにある「Default Identity Provider Policy」名を選択します。 13)Default Identity Provider Policy画面にて「アイデンティティ・プロバイダ・ルール」を選択します。
2. SP側のIdentity DomainでIdPの追加 27 Copyright © 2025, Oracle and/or its affiliates
14)Default Identity Provider Policy画面にて、「IdPルールの追加」を選択します。 15)アイデンティティ・プロバイダ・ルールの追加画面にて、ルール名に適切な値を入力し、アイデンティティ・プロバイダの割当てを選択し、 今回、作成したアイデンティティプロバイダ名と「Username-Password」を選択し、「IdPルールの追加」を選択します。 2. SP側のIdentity DomainでIdPの追加 28
Copyright © 2025, Oracle and/or its affiliates ※Default Identity Provider Policy には「Default IdP Rule」と いうルールがあらかじめ作成されています。 この「Default IdP Rule」を直接編集することも可能ですが、運用の 中でデフォルトの状態に戻す場合などを想定し、「Default IdP Rule」 は編集せずにデフォルトの状態のままにしておくことをお勧めします。
16)Default Identity Provider Policy画面にて、「アクション」を選択し、さらに「IdPルール優先度の編集」を選択します。 17)IdPルール優先度の編集画面にて、今回、作成したアイデンティティプロバイダの優先度を「1」に設定し、「Default IDP Rule」の 優先度を「2」に設定し「変更の保存」を選択します。 2. SP側のIdentity
DomainでIdPの追加 29 Copyright © 2025, Oracle and/or its affiliates
18)今回、作成したアイデンティティプロバイダの優先度が「1」になっている事を確認します。 2. SP側のIdentity DomainでIdPの追加 30 Copyright © 2025, Oracle and/or
its affiliates
3. IdP側のIdentity DomainでSPの追加 Copyright © 2025, Oracle and/or its affiliates
31
1)「項番1. IdP側のIdentity Domainでメタデータのダウンロード」の続きとなります。 アイデンティティ・ドメイン画面のメニューから「統合アプリケーション」を選択し、「アプリケーションの追加」を選択します。 2)アプリケーションの追加画面にて、「SAMLアプリケーション」を選択し、「ワークフローの起動」を選択します。 3. IdP側のIdentity DomainでSPの追加 32 Copyright
© 2025, Oracle and/or its affiliates
3)SAMLアプリケーションの追加画面にて「名前」および必要に応じて「説明」に適切な値を入力し、「送信」を選択します。 3. IdP側のIdentity DomainでSPの追加 33 Copyright © 2025, Oracle and/or
its affiliates
4)作成したSAMLアプリケーションの画面にて、上段のメニューから「SAML SSO構成」を選択し、「SSO構成の編集」を選択します。 3. IdP側のIdentity DomainでSPの追加 34 Copyright © 2025, Oracle
and/or its affiliates
5)SSO構成の編集画面の一般にて、項番2. SP側のIdentity DomainでIdPの追加 10)で作成した、SAMLアイデンティティ・ プロバイダの値をコピーして設定します。 ・ エンティティID:SP側のIdentity DomainのプロバイダID ・ アサーションコンシューマーのURL:SP側のIdentity
Domainのアサーション・コンシューマ・サービスURL ・ 名前IDのフォーマット:「未指定」 ・ 名前IDの値:「ユーザー名」 ・ 署名証明書:SP側のIdentity Domainのサービス・プロバイダ暗号化証明書 3. IdP側のIdentity DomainでSPの追加 35 Copyright © 2025, Oracle and/or its affiliates SP側Identity Domain SAMLアイデンティティ・プロバイダの画面
6)下段にスクロールし、SSO構成の編集画面の追加構成にて、さらに項番2.SP側のIdentity DomainでIdPの追加 10)で 作成した、アイデンティティ・プロバイダの値をコピーして設定し、 「変更の保存」を選択します。 ・ シングル・ログアウトURL:SP側のIdentity Domainのログアウト・サービス戻りURL ・ ログアウト・レスポンスURL:SP側のIdentity
Domainのログアウト・サービス・エンドポイントURL ・その他は既定の設定 3. IdP側のIdentity DomainでSPの追加 36 Copyright © 2025, Oracle and/or its affiliates SP側Identity Domain SAMLアイデンティティ・プロバイダの画面
7)今回、作成したアプリケーションの画面にて、「アクション」を選択し、「アクティブ化」を選択します。 8)アプリケーションのアクティブ化画面にて、「アプリケーションのアクティブ化」を選択します。 3. IdP側のIdentity DomainでSPの追加 37 Copyright © 2025, Oracle
and/or its affiliates
9)今回、作成したアプリケーションの画面にて、 アプリケーションがアクティブ化されている事を確認します。 3. IdP側のIdentity DomainでSPの追加 38 Copyright © 2025, Oracle
and/or its affiliates
4. 動作確認 Copyright © 2025, Oracle and/or its affiliates 39
1)IdP側のIdentity Domainのアプリケーションにユーザーを割り当てるためにIdP側のOCIコンソールにアクセスします。 OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。 テナント名(クラウド・アカウント名)を入力し「次に進む」を選択します。 アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメインを選択します。 サインイン画面にて、OCI管理者のID/パスワードを入力し、「サイン・イン」を選択しOCIコンソールにログインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にサインインすることになります。 注意事項:OCIコンソールは既定で多要素認証が設定されておりますので、サインイン後に多要素認証による認証を行う場合があります。 4. 動作確認
40 Copyright © 2025, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。
2)項番 3. IdP側のIdentity DomainでSPの追加 6) で作成したアプリケーションの画面にて、メニューから 「ユーザー」を選択し、 「ユーザーの割当て」を選択します。 ※アプリケーションの割当てはグループでも可能ですが、今回は事前に作成しておいたユーザーを選択します。 3)ユーザーの割当て画面にて、動作確認を行う対象のユーザーを選択し、「割当て」を選択します。
4. 動作確認 41 Copyright © 2025, Oracle and/or its affiliates
4)ユーザーを作成するため、SP側のIdentity DomainのOCIコンソールにアクセスします。 OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。 テナント名(クラウド・アカウント名)を入力し「次に進む」を選択します。 アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメインを選択します。 サインイン画面にて、OCI管理者のID/パスワードを入力し、「サイン・イン」を選択しOCIコンソールにログインします。 ※ドメイン選択画面が表示されない環境はDefault ドメインのみ存在する環境になり、自動的に“Default ドメイン”にログインすることになります。 注意事項:OCIコンソールは既定で多要素認証が設定されておりますので、サインイン後に多要素認証を行う場合があります。
4. 動作確認 42 Copyright © 2025, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。
5)ドメインを選択し、上段のメニューから「ユーザー管理」を選択し、「作成」を選択します。 6)ユーザー追加画面にて「名」、「姓」、「ユーザー名」および「電子メール」に適切な値を入力し、「作成」を選択します。 ※ユーザー名は項番 4. 動作確認用のユーザー作成 3)で割当てたIdP側のIdentity Domainのユーザーと同じ値になるようにします。 4. 動作確認 43
Copyright © 2025, Oracle and/or its affiliates
7)動作確認を行う為、SP側のOCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。 テナント名(クラウド・アカウント名)を入力し「次に進む」を選択し、必要に応じて「ドメイン名」を選択し、「次」を選択します。 8)アイデンティティ・ドメインのログイン画面の下部に今回作成した、アイデンティティ・プロバイダ (IdP_Identity_Domain)が 表示され選択ができることを確認し、「アイデンティティ・プロバイダ(IdP_Identity_Domain)」を選択します。 9)IdP側のサインイン画面にリダイレクトされるので、項番 4. 動作確認用のユーザー作成 3) で割当てたユーザーのID/パスワードを
入力し、「サイン・イン」を選択し、OCIコンソールにログインします。 ※多要素認証が有効になっている場合は、サインイン後に多要素認証の初期設定が行われます。 4. 動作確認 44 Copyright © 2025, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。
10)OCIコンソールにサインしたユーザーで接続できていることを確認します。 4. 動作確認 45 Copyright © 2025, Oracle and/or its
affiliates
Identity Domain(IdP)からIdentity Domain(SP)へのID 情報の同期 Copyright © 2025, Oracle and/or its
affiliates 46
SAML認証連携(外部IdP連携)を利用する場合、IdP側およびSP側で連携させるIDが必要となります。 その為、ID情報をIdPとSP間にてID同期を行う事で、ID管理の管理コスト低減させる事が可能となります。 本手順書は、下記構成を実現するためのIdentity Domainで構成されたIdPとSP間でID情報の同期の設定 手順書になります。 ※ID同期において「IdP」、「SP」という考え方はございませんが、同期元と同期先を区別する為に、記載させていただきます。 Identity Domain(IdP)からIdentity Domain(SP)へのID情報の同期 47
Copyright © 2025, Oracle and/or its affiliates Identity Domain IdP SCIM による ID 情報の同期 OCI コンソール Identity Domain 機 能 説 明 ID 情報の伝播の方向 双方向または、同期用アプリケーション側からの単方向の指定が可能 ユーザーの作成・更新・削除、アクティブ/非アクティブの同期 〇 ユーザーのパスワード同期 ✖ 同期対象となるユーザー 指定したユーザーおよびグループのメンバー グループの作成・更新・削除の同期 ✖(グループはマッピングのみ) ID 情報を同期するタイミング リアルタイムまたは、同期スケジュールの設定が可能 テナント A ※同一テナント内のIdentity Domain間の連携でも同様の手順となります。 テナント B Generic SCIM コネクタ SP SCIM インター フェース
1. SP側のIdentity DomainでのSCIMインターフェース設定(機密アプリケーション登録) 2. IdP側のIdentity Domainでのプロビジョニング(Generic SCIM コネクタ)の設定 3. 動作確認
手順概要 Copyright © 2025, Oracle and/or its affiliates 48
1. SP側のIdentity DomainでのSCIMインターフェース設定 (機密アプリケーション登録) Copyright © 2025, Oracle and/or its
affiliates 49
1)SP側Identity DomainのOCIコンソールにアクセスします。 OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。 テナント名(クラウド・アカウント名)を入力し「次に進む」を選択します。 アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメインを選択します。 サインイン画面にて、OCI管理者のID/パスワードを入力し、「サイン・イン」を選択しOCIコンソールにログインします。 ※ ドメイン選択画面が表示されない環境はDefault ドメインのみ存在する環境になり、自動的に“Default ドメイン”にログインすることになります。
注意事項:OCIコンソールは既定で多要素認証が設定されておりますので、サインイン後に多要素認証を行う場合があります。 1. SP側のIdentity DomainでのSCIMインターフェース設定 (機密アプリケーション登録) 50 Copyright © 2025, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。
2)認証なしでサービス・プロバイダ・メタデータをダウンロードできるように設定を変更します。 OCIコンソール画面にて、ハンバーガーメニューを選択し、左メニューより 「アイデンティティとセキュリティ」 ー 「ドメイン」を選択します。 3)アイデンティティ画面にて、 コンパートメントを指定し、ドメインを選択します。 ※自身で作成したコンパートメントおよびIdentity Domain(ドメイン)に設定する場合は、該当のコンパートメントおよび ドメインを選択します。
1. SP側のIdentity DomainでのSCIMインターフェース設定 (機密アプリケーション登録) 51 Copyright © 2025, Oracle and/or its affiliates
4)アイデンティティ・ドメイン画面にて、詳細のドメインURLをコピーし控えておきます。 ※後述のIdP側での設定で利用します。 1. SP側のIdentity DomainでのSCIMインターフェース設定 (機密アプリケーション登録) 52 Copyright © 2025,
Oracle and/or its affiliates
5)アイデンティティ・ドメインのドメインの概要画面にて、上部のメニューより、「統合アプリケーション」を選択し、「アプリケーションの追加」を 選択します。 6)アプリケーションの追加画面にて、「機密アプリケーション」を選択し、「ワークフローの起動」を選択します。 1. SP側のIdentity DomainでのSCIMインターフェース設定 (機密アプリケーション登録) 53 Copyright ©
2025, Oracle and/or its affiliates
7)機密アプリケーションの追加画面にて、「名前」または必要に応じて「説明」に適切な値を入力し、「送信」を選択します。 1. SP側のIdentity DomainでのSCIMインターフェース設定 (機密アプリケーション登録) 54 Copyright © 2025, Oracle
and/or its affiliates
8)作成した機密アプリケーションの画面にて、上段のメニューから「OAuth構成」を選択し、「OAuth構成の編集」を選択します。 1. SP側のIdentity DomainでのSCIMインターフェース設定 (機密アプリケーション登録) 55 Copyright © 2025, Oracle
and/or its affiliates
9)OAuth構成の編集画面にて、クライアント構成の「このアプリケーションをクライアントとして今すぐ構成します」を選択し、認可の 許可される権限付与タイプで、「クライアント資格証明」を選択します。 10)OAuth構成の編集画面を下にスクロールし、「アプリケーション・ロールの追加」をスライドさせて有効化し、「 「アプリケーション・ ロールの追加」を選択します。 1. SP側のIdentity DomainでのSCIMインターフェース設定 (機密アプリケーション登録) 56
Copyright © 2025, Oracle and/or its affiliates
11)アプリケーション・ロールの追加画面にて、「User Administrator」を選択し、「追加」を選択します。 1. SP側のIdentity DomainでのSCIMインターフェース設定 (機密アプリケーション登録) 57 Copyright © 2025,
Oracle and/or its affiliates
12)OAuth構成の編集画面にて、「User Administrator」が追加されている事を確認し、「送信」を選択します。 1. SP側のIdentity DomainでのSCIMインターフェース設定 (機密アプリケーション登録) 58 Copyright © 2025,
Oracle and/or its affiliates
13)作成した機密アプリケーションの画面にて、一般情報の「クライアントID」と「クライアント・シークレット」の値を控えます。 「クライアント・シークレット」のコピーの取得は「…」を選択し、「コピー」を選択します。 ※「クライアント ID」と「クライアント・シークレット」は後述の作業で利用します。 14)同画面にて、「アクション」を選択し、「アクティブ化」を選択します。 1. SP側のIdentity DomainでのSCIMインターフェース設定 (機密アプリケーション登録) 59
Copyright © 2025, Oracle and/or its affiliates
15)アプリケーションのアクティブ化画面にて、「アプリケーションのアクティブ化」を選択します。 16)作成した機密アプリケーションの画面にて、作成した機密アプリケーションがアクティブになっている事を確認します。 1. SP側のIdentity DomainでのSCIMインターフェース設定 (機密アプリケーション登録) 60 Copyright © 2025,
Oracle and/or its affiliates
2. IdP側のIdentity Domainでのプロビジョニング ( Generic SCIM コネクタ)の設定 Copyright © 2025,
Oracle and/or its affiliates 61
1)IdPのIdentity DomainのOCIコンソールにアクセスします。 OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。 テナント名(クラウド・アカウント名)を入力し「次に進む」を選択します。 アイデンティティ・ドメインの選択画面が表示される場合には、該当のドメインを選択し、「次」を選択します。 サインイン画面にて、該当ドメインのドメイン管理者の権限を持つユーザーの「ユーザー名」および「パスワード」を 入力し、「サイン・イン」を選択し、OCIコンソールにサインインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にサインインすることになります。 注意事項:OCIコンソールは既定で多要素認証が設定されておりますので、サインイン後に多要素認証を行う場合があります。 2.
IdP側のIdentity Domainでのプロビジョニング(Generic SCIM コネクタ)の 設定 62 Copyright © 2025, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。
2)OCIコンソール画面にて、ハンバーガーメニューを選択し、左メニューより 「アイデンティティとセキュリティ」 ー 「ドメイン」を選択します。 3)アイデンティティ画面にて、 コンパートメントを指定し、ドメインを選択します。 ※自身で作成したコンパートメントおよびIdentity Domain(ドメイン)に設定する場合は、該当のコンパートメントおよびドメインを選択します。 2. IdP側のIdentity
Domainでのプロビジョニング(Generic SCIM コネクタ)の 設定 63 Copyright © 2025, Oracle and/or its affiliates
4)アイデンティティ・ドメイン画面のメニューから「統合アプリケーション」を選択し、「アプリケーションの追加」を選択します。 5)アプリケーションの追加画面にて、「アプリケーション・カタログ」を選択し、「ワークフローの起動」を選択します。 2. IdP側のIdentity Domainでのプロビジョニング(Generic SCIM コネクタ)の 設定 64 Copyright
© 2025, Oracle and/or its affiliates
6)アプリケーション・カタログ画面にて、検索のフィールドに「Oracle Identity」と入力し、「検索」を選択し、表示されたアプリケーション から、「Oracle Identity Domain」を選択します。 7)作成したアプリケーションの追加画面にて、「名前」および必要に応じて「説明」に適切な値を入力し、「送信」を選択します。 2. IdP側のIdentity Domainでのプロビジョニング(Generic SCIM
コネクタ)の 設定 65 Copyright © 2025, Oracle and/or its affiliates
8)作成したアプリケーションの画面にて、上段のメニューより「プロビジョニング中」を選択し、さらに「…」を選択し、「プロビジョニングの 編集」を選択します。 9)プロビジョニングの有効化画面にて「プロビジョニングの有効化」をスライドさせ、有効化させ、プロビジョニングの確認を有効化画面にて、 「確認」を選択します。 2. IdP側のIdentity Domainでのプロビジョニング(Generic SCIM コネクタ)の 設定
66 Copyright © 2025, Oracle and/or its affiliates
10)プロビジョニングの有効化画面の接続構成にて、以下の値を入力し、「接続のテスト」を選択します。 ・ Host Name:SP側のIdentity DomainのドメインURLのホスト名部分 (例: idcs-xxxxxxxxxxxxx.identity.orclecloud.com) ※Identity DomainのテナントURLは、項番1. SP側のIdentity
DomainでのSCIMインターフェース設定機密アプリケーション登録)4) に 記載しています。 ・ Client Id :項番1. SP側のIdentity DomainでのSCIMインターフェース設定(機密アプリケーション登録) 13) にてコピーした値を入力 ・ Client Secret 項番1. SP側のIdentity DomainでのSCIMインターフェース設定(機密アプリケーション登録) 13) にてコピーした値を入力 ・ Scope オプション: urn:opc:idm:__myscopes__(既定の設定) ・ Authentication Server Url: https://< SP側のIdentity Domainのドメイン URLのホスト名部分>:443/oauth2/v1/token 2. IdP側のIdentity Domainでのプロビジョニング(Generic SCIM コネクタ)の 設定 67 Copyright © 2025, Oracle and/or its affiliates
11)接続のテストにて、「接続に成功しました」が表示されたことを確認し、同画面を下にスクロールし、プロビジョニング操作の選択の 「認可同期」のチェックが外れている事を確認し、「同期の有効化」をスライドさせ、有効化し、さらに下段にスクロールします。 ※「認可同期」のチェックを有効にした場合は、今回の構成の場合は、SP側のIdentity DomainからIdP側のIdentity DomainにID情報の 同期が行われます。 12)同期の構成の、同期スケジュールが「なし」であるとを確認し、「送信」を選択します。 ※今回は、手動にて同期を実施するため、「なし」 を選択します。 2.
IdP側のIdentity Domainでのプロビジョニング(Generic SCIM コネクタ)の 設定 68 Copyright © 2025, Oracle and/or its affiliates
13)作成したアプリケーションの画面にて、「アクション」を選択し、さらに「アクティブ化」を選択します。 14)アプリケーションのアクティブ化画面にて、「アプリケーションのアクティブ化」を選択します。 2. IdP側のIdentity Domainでのプロビジョニング(Generic SCIM コネクタ)の 設定 69 Copyright
© 2025, Oracle and/or its affiliates
15)作成したアプリケーションの画面にて、作成したアプリケーションがアクティブになっている事を確認します。 2. IdP側のIdentity Domainでのプロビジョニング(Generic SCIM コネクタ)の 設定 70 Copyright ©
2025, Oracle and/or its affiliates
3. 動作確認 Copyright © 2025, Oracle and/or its affiliates 71
1)ここでは、ユーザーの同期を確認します。 同期元であるIdP側のIdentity DomainのOCIコンソールにアクセスします。 OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。 テナント名(クラウド・アカウント名)を入力し「次に進む」を選択します。 アイデンティティ・ドメインの選択画面が表示される場合には、該当のドメインを選択し、「次」を選択します。 サインイン画面にて、該当ドメインのドメイン管理者の権限を持つユーザーの「ユーザー名」および「パスワード」を 入力し、「サイン・イン」を選択し、OCIコンソールにサインインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にサインインすることになります。 注意事項:OCIコンソールは既定で多要素認証が設定されておりますので、サインイン後に多要素認証を行う場合があります。
3. 動作確認 72 Copyright © 2025, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。
2)OCIコンソール画面にて、ハンバーガーメニューを選択し、左メニューより 「アイデンティティとセキュリティ」 ー 「ドメイン」を選択します。 3)アイデンティティ画面にて、 コンパートメントを指定し、ドメインを選択します。 ※自身で作成したコンパートメントおよびIdentity Domain(ドメイン)に設定する場合は、該当のコンパートメントおよびドメインを選択します。 3. 動作確認
73 Copyright © 2025, Oracle and/or its affiliates
4)アイデンティティ・ドメイン画面にて、上部のメニューより、「統合アプリケーション」を選択し、項番2. IdP側のIdentity Domainでの プロビジョニング(Generic SCIM コネクタ)の設定 13) で作成したアプリケーションを選択します。 5)作成したアプリケーション画面の上部のメニューより、 「ユーザー」を選択し、「ユーザーの割当て」を選択します。
3. 動作確認 74 Copyright © 2025, Oracle and/or its affiliates
6)ユーザーの割当て画面にて、同期対象となるユーザーの「…」を選択し、さらに「フォームを入力して割当て」を選択します。 7)ユーザーの割当て画面にて、属性情報の確認、または必要に応じて属性情報の設定を行い、「ユーザーの割当て」を選択します。 3. 動作確認 75 Copyright © 2025, Oracle and/or
its affiliates
8)作成したアプリケーション画面にて、ユーザーに選択したユーザーが追加されている事を確認します。 ※今回は同期の設定を「なし」としている為、即時にID情報の同期が実行されます。 3. 動作確認 76 Copyright © 2025, Oracle and/or
its affiliates
3. 動作確認 77 Copyright © 2025, Oracle and/or its affiliates
9)同期先であるSP側のIdentity DomainのOCIコンソールにアクセスします。 OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。 テナント名(クラウド・アカウント名)を入力し「次に進む」を選択します。 アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメインを選択します。 サインイン画面にて、OCI管理者のID/パスワードを入力し、「サイン・イン」を選択しOCIコンソールにログインします。 ※ドメイン選択画面が表示されない環境はDefault ドメインのみ存在する環境になり、自動的に“Default ドメイン”にログインすることになります。 注意事項:OCIコンソールは既定で多要素認証が設定されておりますので、サインイン後に多要素認証を行う場合があります。 ※環境によりドメイン選択画面は表示されません。
10) 項番 3.動作確認 7) にてIdP側のアプリケーションに割当てたユーザーアカウントが、SP側のIdentity Domain に同期されて いる事を確認します。 3. 動作確認
78 Copyright © 2025, Oracle and/or its affiliates
11)ここでは、同期されていないユーザーをグループのメンバーに含むグループの同期の確認をします。 IdP側のIdentity DomainのOCIコンソールにアクセスします。 OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。 テナント名(クラウド・アカウント名)を入力し「次に進む」を選択します。 アイデンティティ・ドメインの選択画面が表示される場合には、該当のドメインを選択し、「次」を選択します。 サインイン画面にて、該当ドメインのドメイン管理者の権限を持つユーザーの「ユーザー名」および「パスワード」を 入力し、「サイン・イン」を選択し、OCIコンソールにサインインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にサインインすることになります。 注意事項:OCIコンソールは既定で多要素認証が設定されておりますので、サインイン後に多要素認証を行う場合があります。
3. 動作確認 79 Copyright © 2025, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。
12)アイデンティティ・ドメイン画面にて、上部のメニューより、「統合アプリケーション」を選択し、項番2. IdP側のIdentity Domainでの プロビジョニング(Generic SCIM コネクタ)の設定 13) で作成したアプリケーションを選択します。 13)作成したアプリケーション画面の上部のメニューより、 「グループ」
を選択し、「グループの割当て」を選択します。 3. 動作確認 80 Copyright © 2025, Oracle and/or its affiliates
14)グループの割当て画面にて、同期対象となるグループの「…」を選択し、さらに「フォームを入力して割当て」を選択します。 15)グループの割当て画面にて、下段にスクロールし、Groupの「追加」を選択します。 3. 動作確認 81 Copyright © 2025, Oracle and/or
its affiliates
16)Groupの追加画面にて、SP側のIdentity Domainで作成されているグループの一覧が表示されるので、同期対象となる グループを選択し、「追加」 を選択します。 注意事項:グループ自体が同期されるのではなく、グループのメンバー情報が同期される事にご注意ください。 また、グループのメンバーのアカウントが同期先(SP側のIdentity Domain)にない場合は、新たにユーザーアカウントが作成されます。 さらに、同期先のグループが指定されてない場合は、メンバーのユーザーアカウントのみ同期されます。 ※対象のグループが表示されていない場合は、アプリケーション画面にて、上段メニューの「プロビジョニング中」を選択し、「…」から「アプリケーション・ データのリフレッシュ」を選択すると表示されます。
3. 動作確認 82 Copyright © 2025, Oracle and/or its affiliates 対象のグループが表示されていない時の対応
17)作成したアプリケーションのグループ編集画面にて、選択したグループが追加されたことを確認し、 「変更の保存」 を選択します。 3. 動作確認 83 Copyright © 2025, Oracle
and/or its affiliates
18)作成したアプリケーション画面にて、グループに選択したグループが追加されている事を確認します。 3. 動作確認 84 Copyright © 2025, Oracle and/or its
affiliates
3. 動作確認 85 Copyright © 2025, Oracle and/or its affiliates
19)SP側のIdentity DomainのOCIコンソールにアクセスします。 OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。 テナント名(クラウド・アカウント名)を入力し「次に進む」を選択します。 アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメインを選択します。 サインイン画面にて、OCI管理者のID/パスワードを入力し、「サイン・イン」を選択しOCIコンソールにログインします。 ※ ドメイン選択画面が表示されない環境は Default ドメインのみ存在する環境になり、自動的に“ Default ドメイン”にログインすることになります。 注意事項:OCIコンソールは既定で多要素認証が設定されておりますので、サインイン後に多要素認証を行う場合があります。 ※環境によりドメイン選択画面は表示されません。
20)IdP側で同期対象として指定したグループが、SP側のIdentity Domainの指定したグループにメンバー情報が同期されている 事を確認します。 21)SP側のIdentity Domainにグループのメンバーのユーザーアカウントが新たに作成されている事を確認します。 3. 動作確認 86 Copyright ©
2025, Oracle and/or its affiliates IdP側の同期対象グループ画面 SP側の同期対象グループと新規に作成されたユーザー画面 SP側の同期対象グループ画面
None