Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OCI IAM Identity Domains 複数Identity Domain間の連携手順 / SSO setup between multiple Identity Domains

OCI IAM Identity Domains 複数Identity Domain間の連携手順 / SSO setup between multiple Identity Domains

oracle4engineer
PRO

August 15, 2022
Tweet

More Decks by oracle4engineer

Other Decks in Technology

Transcript

  1. OCI IAM Identity Domains 複数の OCI 環境下でのシングル・サインオン環境の構成 日本オラクル株式会社 2022/8/15

  2. Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、 情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以 下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買 決定を行う際の判断材料になさらないで下さい。 オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊 社の裁量により決定され、変更される可能性があります。 Copyright

    © 2022, Oracle and/or its affiliates 2
  3. ⚫ 本資料の前提 1. 前提となるユース・ケース 2. 解決方法 ⚫ Identity Domain(IDP) と

    Identity Domain (SP) が共存する複数の OCI 環境下での SSO 環境の 構成 1. IdP 側の Identity Domain でメタデータのダウンロード 2. SP 側の Identity Domain で IdP の追加 3. IdP 側の Identity Domain でSP の追加 4. 動作確認用のユーザー作成 5. 動作確認 ⚫ Identity Domain(IDP)から Identity Domain (SP)への ID 情報の同期 1. SP 側 の Identity Domain での SCIM インターフェース設定(機密アプリケーション登録) 2. IdP 側の Identity Domain での プロビジョニング(GenericSCIM コネクタ)設定 3. 動作確認 アジェンダ Copyright © 2022, Oracle and/or its affiliates 3
  4. 本資料の前提 Copyright © 2022, Oracle and/or its affiliates 4

  5. ◆ 下記の理由から複数の OCI 環境が存在し、それぞれの環境で、OCI IAM Identity Domain(以下、Identity Domain)運用される場合があります。 ➢ 本社用とグループ会社用での構成

    ➢ 本番環境とテスト環境の構成 ➢ 契約時期やシステム構成により環境を分割 1. 前提となるユース・ケース Copyright © 2022, Oracle and/or its affiliates 5 管理者 一般ユーザー 管理者 一般ユーザー 管理者 一般ユーザー OCI OCI PaaS OCI IAM Identity Domains OCI IAM Identity Domains OCI 3rd-Party Apps OCI IAM Identity Domains
  6. ◆ 想定される課題 ➢ 複数環境でそれぞれのユーザー管理による管理コストの増大 ➢ ユーザー管理の煩雑化によるセキュリティリスクの増大 ➢ ユーザーへの利便性の低下 1. 前提となるユース・ケース

    6 OCI OCI PaaS OCI IAM Identity Domains OCI IAM Identity Domains 管理者 一般ユーザー OCI 3rd-Party Apps • それぞれの環境でユーザの管理 を実施 • 複数回の認証が発生 • それぞの環境でのパスワード管理 Copyright © 2022, Oracle and/or its affiliates OCI IAM Identity Domains
  7. ◆ 課題の解決 ➢ SAML によるフェデレーションを構成して、OCI 間でシングル・サインオンを実現 ➢ シングル・サインオンにより、パスワードはマスターとなる IdP のみで管理が可能

    ➢ Identity Domain 間でユーザーやグループ情報を同期するコネクタを構成(手動による同期でも対応可能) 2. 解決方法 7 OCI OCI PaaS OCI IAM Identity Domains OCI IAM Identity Domains 管理者 一般ユーザー OCI 3rd-Party Apps • IdP側でユーザの管理が可能 • 同期するためのコネクタの構成 • 1回の認証でそれぞれの環境への アクセスが可能 • パスワードは IdP 側で管理 IdP SP SP フェデレーション / ユーザーの同期 Copyright © 2022, Oracle and/or its affiliates OCI IAM Identity Domains
  8. ◆ 課題の解決の技術概要 ➢ Identity Domain 間で SAML フェデレーションによるシングル・サインオンを構成することで、IdP にログインすれ ば、クラウド・サービスが認証を委託している

    SP にログインしなくても、クラウド・サービスにシングル・サインオンが可 能 ➢ Identity Domain が存在するデータ・センターやリージョンには非依存な機能であるため、データ・センターやリー ジョンをまたがった構成が可能 ➢ Identity Domain は ID 情報を伝播する REST API の標準である SCIM を利用する Generic SCIM コ ネクタを提供しており、 Generic SCIM コネクタを構成して Identity Domain 間でユーザーやグループ情報を 同期することが可能 2. 解決方法 8 Copyright © 2022, Oracle and/or its affiliates
  9. Identity Domain(IdP) と Identity Domain(SP)を構成し 複数の OCI 環境下での SSO 環境を構成

    Copyright © 2022, Oracle and/or its affiliates 9
  10. SP 本手順書は下記構成を実現するための Identity Domain 間の認証連携(外部 IdP 連携)設定手順書になりま す。(各テナントの Default ドメイン

    間での連携した構成で作成しています。) Identity Domain(IdP) と Identity Domain(SP)を構成し複数の OCI 環境下での SSO 環境を構成 10 Copyright © 2022, Oracle and/or its affiliates IdP SAML 認証連携(外部 IdP 連携) 利用者 IdP の ID/ パスワードでログイン ( IdP ログイン画面にリダイレクト) OCI コンソール Identity domain 間は属性 「ユーザー名」 でユー ザーマッピング OCI IAM Identity Domain OCI IAM Identity Domain テナント A テナント B ※同一テナント内の Identity Domain 間の連携でも同様の手順となります。
  11. 手順概要 1. IdP 側の Identity Domain でメタデータのダウンロード 2. SP 側の

    Identity Domain で IdP の追加 3. IdP 側の Identity Domain で SP の追加 4. 動作確認用のユーザー作成 5. 動作確認 Identity Domain(IdP) と Identity Domain(SP)を構成し複数の OCI 環境下での SSO 環境を構成 11 Copyright © 2022, Oracle and/or its affiliates
  12. 1.IdP 側の Identity Domain でメタデータのダウンロード Copyright © 2022, Oracle and/or

    its affiliates 12
  13. 1) IdP となる Identity Domain のコンソールにアクセスします。 OCI コンソール( https://www.oracle.com/jp/cloud/sign-in.html )にアクセスします。

    テナント名(クラウド・アカウント名)を入力し 「Next」 を選択します。 アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメイン(今回は 「Default」 )を選択します。 サインイン画面にて、 OCI 管理者の ID/ パスワードを入力し、 「サイン・イン」 を選択し OCI コンソールにログイン します。 ※ ドメイン選択画面が表示されない環境は Default ドメインのみ存在する環境になり、自動的に“ Default ドメイン”にログインす ることになります。 1.IdP 側の Identity Domain でメタデータのダウンロード 13 Copyright © 2022, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。
  14. 2) OCI コンソール画面にて、左メニューより 「アイデンティティとセキュリティ」 ー 「ドメイン」 を選択します。 3)アイデンティティ画面にて、 コンパートメントを指定し(今回はルートのコンパートメントを指定します。)、ドメインを選 択します。(今回は

    「Default」 ドメインを選択します。) ※ 自身で作成した Identity Domain (ドメイン)に設定する場合にはその該当ドメインを選択します。 1.IdP 側の Identity Domain でメタデータのダウンロード 14 Copyright © 2022, Oracle and/or its affiliates
  15. 4) アイデンティティ・ドメイン画面にて、左メニューより 「アプリケーション」 を選択します。 5) アイデンティティ・ドメインのアプリケーション画面にて、 「アプリケーションの追加」 を選択します。 1.IdP 側の

    Identity Domain でメタデータのダウンロード 15 Copyright © 2022, Oracle and/or its affiliates
  16. 6) アプリケーションの追加画面にて、「SAML アプリケーション」 を選択し、「ワークフローの起動」 を選択します。 7) SAML アプリケーションの追加画面にて 「名前」 に適当な値を入力し

    「次」 を選択します。 1.IdP 側の Identity Domain でメタデータのダウンロード 16 Copyright © 2022, Oracle and/or its affiliates
  17. 8) アプリケーションの追加画面にて、「アイデンティティ・プロバイダ・メタデータのダウンロード」 を選択し、ダウンロードされたメ タデータを適当な場所に保存します。 1.IdP 側の Identity Domain でメタデータのダウンロード 17

    Copyright © 2022, Oracle and/or its affiliates
  18. 2. SP 側の Identity Domain で IdP の追加 Copyright ©

    2022, Oracle and/or its affiliates 18
  19. 1) SP 側 Identity Domain のコンソールにアクセスします。 OCI コンソール( https://www.oracle.com/jp/cloud/sign-in.html )にアクセスします。

    テナント名(クラウド・アカウント名)を入力し 「Next」 を選択します。 アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメイン(今回は 「Default」 )を選択します。 サインイン画面にて、 OCI 管理者の ID/ パスワードを入力し、 「サイン・イン」 を選択し OCI コンソールにログイン します。 ※ ドメイン選択画面が表示されない環境は Default ドメインのみ存在する環境になり、自動的に“ Default ドメイン”にログインす ることになります。 2. SP 側の Identity Domain で IdP の追加 19 Copyright © 2022, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。
  20. 2) OCI コンソール画面にて、左メニューより 「アイデンティティとセキュリティ」 ー 「ドメイン」 を選択します。 3) アイデンティティ画面にて、 コンパートメントを指定し(今回はルートのコンパートメントを指定します。)、ドメインを選

    択します。(今回は 「Default」 ドメインを選択します。) ※ 自身で作成した Identity Domain (ドメイン)に設定する場合にはその該当ドメインを選択します。 2. SP 側の Identity Domain で IdP の追加 20 Copyright © 2022, Oracle and/or its affiliates
  21. 4) アイデンティティ・ドメイン画面にて、左メニューから 「セキュリティ」 を選択します。 5) セキュリティ画面にて、左メニューから 「アイデンティティ・プロバイダ」 を選択します。 2. SP

    側の Identity Domain で IdP の追加 21 Copyright © 2022, Oracle and/or its affiliates
  22. 6) セキュリティのアイデンティティ・プロバイダ画面にて、 「IdP の追加」 を選択し、 「SAML IdP の追加」 を選択します。 7)

    SAML アイデンティティ・プロバイダの追加画面にて、詳細の追加の 「名前」 に適当な値を入力し 「次」 を選択します。 2. SP 側の Identity Domain で IdP の追加 22 Copyright © 2022, Oracle and/or its affiliates
  23. 8) SAML アイデンティティ・プロバイダの追加画面の IdP の構成にて 「アイデンティティ・プロバイダのインポート」 を選択し、 項番 1. IdP

    側の Identity Domain でメタデータのダウンロード 8) でダウンロードしたメタデータファイルを指定し、 「次」 を選択します。 9) SAML アイデンティティ・プロバイダの追加画面のマップ属性にて、アイデンティティ・プロバイダ・ユーザー属性を 「名前 ID 」、アイデンティティ・ドメイン・ユーザー属性を 「ユーザー名」 、リクエストされた Name ID 形式を 「リクエストなし」 と入力し、 「IdP の作成」 を選択します。 2. SP 側の Identity Domain で IdP の追加 23 Copyright © 2022, Oracle and/or its affiliates
  24. 10) アイデンティティ・プロバイダの追加画面のエクスポートにて、サービス・プロバイダ署名証明書の 「ダウンロード」 を選択 し証明書をダウンロードし適当な場所に保存し、 「次」 を選択します。 11) アイデンティティ・プロバイダの追加画面のテストにて、 「次」を選択します。

    12) アイデンティティ・プロバイダの追加画面のアクティブ化にて、「アクティブ化」を選択し、「終了」選択します。 2. SP 側の Identity Domain で IdP の追加 24 Copyright © 2022, Oracle and/or its affiliates
  25. 13) アイデンティティ・プロバイダ画面にて、先ほど作成したアイデンティティ・プロバイダが作成され、アクティブになっている事 を確認します。 14) OCI コンソールにログインする際、今回、作成したアイデンティティプロバイダを IdP として利用できるようにする ため IdP

    ポリシーの定義を行います。 OCI コンソールの左メニューより 「セキュリティ」 - 「IdP ポリシー」 を選択し、「Default Identity Provider Policy」 を選択します。 2. SP 側の Identity Domain で IdP の追加 25 Copyright © 2022, Oracle and/or its affiliates
  26. 15) Default Identity Provider Policy 画面にて、 「IdP ルールの追加」 を選択します。 16)

    アイデンティティ・プロバイダ・ルールの追加画面にて、ルール名に適当な値を指定し、アイデンティティ・プロバイダの割 当て部分にて今回、作成したアイデンティティプロバイダと 「Username-Password」 を選択し、 「IdP ルールの追 加」 を選択します。 2. SP 側の Identity Domain で IdP の追加 26 Copyright © 2022, Oracle and/or its affiliates ※Default Identity Provider Policy には「 Default IdP Rule 」というルールがあらかじめ作成されています。 この「 Default IdP Rule 」を直接編集することも可能ですが、 運用の中でデフォルトの状態に戻す場合などを想定し、 「 Default IdP Rule 」は編集せずにデフォルトの状態のままに しておくことをお勧めします。
  27. 15) IdP ルール優先度の編集画面にて、左側の優先度列にある上下矢印を選択し、今回、作成したアイデンティティプ ロバイダの優先度を 「1」 に設定し、 「変更の保存」 を選択します。 16) 作成したアイデンティティプロバイダの優先度が

    「1」 になっている事を確認します。 2. SP 側の Identity Domain で IdP の追加 27 Copyright © 2022, Oracle and/or its affiliates
  28. 3. IdP 側の Identity Domain で SP の追加 Copyright ©

    2022, Oracle and/or its affiliates 28
  29. 1) 項番 1. IdP 側の Identity Domain でメタデータのダウンロード 8) の続きとなります。

    2) 上記の画面が閉じられている場合は、以下の様に画面を開きます。 アイデンティティ・ドメイン画面のメニューから 「アプリケーション」 を選択します。 ドメイン内のアプリケーション画面から、項番 1. IdP 側の Identity Domain でメタデータのダウンロード 7) で作 成した、アプリケーション を選択します。 作成したアプリケーションの画面にて、 「SSO 構成の編集」 を選択します。 3. IdP 側の Identity Domain で SP の追加 29 Copyright © 2022, Oracle and/or its affiliates
  30. 3) SSO 構成の編集画面の一般にて、項番 2. SP 側の Identity Domain で IdP

    の追加 12) で作成した、 SAML アイデンティティ・プロバイダの値をコピーして設定します。 ・ エンティティ ID: SP 側の Identity Domain のプロバイダ ID ・ アサーションコンシューマーの URL: SP 側の Identity Domain のアサーション・コンシューマ・サービス URL ・ 名前 ID のフォーマット:「未指定」、名前 ID の値:「ユーザー名 」 ・ 署名証明書: SP 側の Identity Domain のサービス・プロバイダ署名証明書 ※項番 2. SP 側の Identity Domain で IdP の追加 10) でダウンロードした証明書を指定します。 3. IdP 側の Identity Domain で SP の追加 30 Copyright © 2022, Oracle and/or its affiliates SP 側 Identity Domain SAML アイデンティ ティ・プロバイダの画面
  31. 4) SSO 構成の編集画面の追加構成にて項番 2. SP 側の Identity Domain で IdP

    の追加 12) で作成した、 アイデンティティ・プロバイダの値をコピーして設定します。 ・ シングル・ログアウト URL: SP 側の Identity Domain のログアウト・サービス戻り URL ・ ログアウト・レスポンス URL: SP 側の Identity Domain のログアウト・サービス・エンドポイント URL 「変更の保存」 を選択します。 3. IdP 側の Identity Domain で SP の追加 31 Copyright © 2022, Oracle and/or its affiliates SP 側 Identity Domain SAML アイデンティ ティ・プロバイダの画面
  32. 5) 作成したアプリケーションの画面にて、 「アクティブ化」 を選択します。 6) アプリケーションのアクティブ化画面にて、 「アプリケーションのアクティブ化」 を選択します。 3. IdP

    側の Identity Domain で SP の追加 32 Copyright © 2022, Oracle and/or its affiliates
  33. 7) 作成したアプリケーションの画面にて、 アプリケーションがアクティブ化されている事を確認します。 3. IdP 側の Identity Domain で SP

    の追加 33 Copyright © 2022, Oracle and/or its affiliates
  34. 4. 動作確認用のユーザー作成 Copyright © 2022, Oracle and/or its affiliates 34

  35. 1) IdP 側の Identity Domain の アプリケーションにユーザーを割り当てるために OCI コンソールにアクセスします。 OCI

    コンソール( https://www.oracle.com/jp/cloud/sign-in.html )にアクセスします。 テナント名(クラウド・アカウント名)を入力し 「Next」 を選択します。 アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメイン(今回は 「Default」 )を選択します。 サインイン画面にて、 OCI 管理者の ID/ パスワードを入力し、 「サイン・イン」 を選択し OCI コンソールにログイン します。 ※ ドメイン選択画面が表示されない環境は Default ドメインのみ存在する環境になり、自動的に“ Default ドメイン”にログインす ることになります。 4. 動作確認用のユーザー作成 35 Copyright © 2022, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。
  36. 2) 項番 3. IdP 側の Identity Domain でSP の追加 7)

    で作成したアプリケーションの画面にて、リソースの 「ユー ザー」 を選択し、「ユーザーの割当て」を選択します。 ※アプリケーションの割当てはグループでも可能ですが、今回は事前に作成しておいたユーザーを選択します。 3) ユーザーの割当て画面にて、動作確認を行う対象のユーザーを選択し、「割当て」 を選択します。 4. 動作確認用のユーザー作成 36 Copyright © 2022, Oracle and/or its affiliates
  37. 4) SP 側 の Identity Domain にユーザーを作成するため、OCIコンソールにアクセスします。 OCI コンソール( https://www.oracle.com/jp/cloud/sign-in.html

    )にアクセスします。 テナント名(クラウド・アカウント名)を入力し 「Next」 を選択します。 アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメイン(今回は 「Default」 )を選択します。 サインイン画面にて、 OCI 管理者の ID/ パスワードを入力し、 「サイン・イン」 を選択し OCI コンソールにログイン します。 ※ ドメイン選択画面が表示されない環境は Default ドメインのみ存在する環境になり、自動的に“ Default ドメイン”にログインす ることになります。 4. 動作確認用のユーザー作成 37 Copyright © 2022, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。
  38. 5) ドメインを選択し、左メニューから 「ユーザー」 を選択し、「ユーザーの作成」 を選択します。 6) ユーザー追加画面にて「姓」、「ユーザー名・電子メール」に値を入力し、「次」 を選択します。 ※ユーザー名は項番 4.

    動作確認用のユーザー作成 3) で割当てた IdP 側の Identity Domain のユーザーと 同じ値になるようにします。 4. 動作確認用のユーザー作成 38 Copyright © 2022, Oracle and/or its affiliates
  39. 5. 動作確認 Copyright © 2022, Oracle and/or its affiliates 39

  40. 1) OCI コンソール( https://www.oracle.com/jp/cloud/sign-in.html )にアクセスします。 テナント名(クラウド・アカウント名)を入力し 「Next」 を選択します。 2) アイデンティティ・ドメインのログイン画面の下部に今回作成した、

    アイデンティティ・プロバイダ( Identity_ Domain_IdP )が表示され選択ができることを確認し、 「アイデンティティ・プロバイダ( Identity_ Domain_IdP )」 を選択します。 3) サインイン画面にて、 項番 4. 動作確認用のユーザー作成 3) で割当てたユーザーの ID/ パスワードを入力し、 「サ イン・イン」 を選択し OCI コンソールにログインします。 5. 動作確認 40 Copyright © 2022, Oracle and/or its affiliates
  41. 4) OCI コンソールにサインしたユーザーで接続できていることを確認します。 5. 動作確認 41 Copyright © 2022, Oracle

    and/or its affiliates
  42. Identity Domain(IdP)から Identity Domain (SP)への ID 情報の同期 Copyright © 2022,

    Oracle and/or its affiliates 42
  43. SAML 認証連携(外部 IdP 連携)を利用する場合、ID 情報を同期することで ID 管理を効率よく行うことが可能です。 本手順書は下記構成を実現するための Identity Domain

    で構成された IdP と SP 間で ID 情報の同期の設定手 順書になります。(各テナントの Default ドメイン 間での連携した構成で作成しています。) Identity Domain(IdP)から Identity Domain(SP)への ID 情報の 同期 43 Copyright © 2022, Oracle and/or its affiliates Identity Domain IdP SCIM による ID 情報の同期 OCI コンソール Identity Domain 機 能 説 明 ID 情報の伝播の方向 GenericSCIM コネクタ側が主(今回は IdP から SP ) ユーザーの作成・更新・削除、アクティブ/非アクティブの同期 〇 ユーザーのパスワード同期 ✖ 同期対象となるユーザー 指定したユーザーのみ グループの作成・更新・削除の同期 ✖(グループはマッピングのみ) ID 情報を同期するタイミング リアルタイム テナント A ※同一テナント内の Identity Domain 間の連携でも同様の手順となります。 テナント B Generic SCIM コネクタ SP SCIM インター フェース
  44. 1. SP 側 の Identity Domain での SCIM インターフェース設定(機密アプリケーション登録) 2.

    IdP 側の Identity Domain での プロビジョニング(GenericSCIM コネクタ)設定 3. 動作確認 手順概要 Copyright © 2022, Oracle and/or its affiliates 44
  45. 1. SP 側 の Identity Domain での SCIM インターフェース設定 (機密アプリケーション登録)

    Copyright © 2022, Oracle and/or its affiliates 45
  46. 1) SP 側 Identity Domain のコンソールにアクセスします。 OCI コンソール( https://www.oracle.com/jp/cloud/sign-in.html )にアクセスします。

    テナント名(クラウド・アカウント名)を入力し 「Next」 を選択します。 アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメイン(今回は 「Default」 )を選択します。 サインイン画面にて、 OCI 管理者の ID/ パスワードを入力し、 「サイン・イン」 を選択し OCI コンソールにログイン します。 ※ ドメイン選択画面が表示されない環境は Default ドメインのみ存在する環境になり、自動的に“ Default ドメイン”にログインす ることになります。 1. SP 側 の Identity Domain での SCIM インターフェース設定(機密アプリ ケーション登録) 46 Copyright © 2022, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。
  47. 2) OCI コンソール画面にて、左メニューより 「アイデンティティとセキュリティ」 ー 「ドメイン」 を選択します。 3) アイデンティティ画面にて、 コンパートメントを指定し(今回はルートのコンパートメントを指定します。)、ドメインを選

    択します。(今回は 「Default」 ドメインを選択します。) ※ 自身で作成した Identity Domain (ドメイン)に設定する場合にはその該当ドメインを選択します。 4) アイデンティティ・ドメイン画面にて、ドメイン情報のドメイン URL をコピーし控えておきます。 ※後で IdP 側での設定で利用します。 1. SP 側 の Identity Domain での SCIM インターフェース設定(機密アプリ ケーション登録 47 Copyright © 2022, Oracle and/or its affiliates
  48. 5) Identity Domain のコンソール画面の左メニューから 「アプリケーション」 を選択し、「アプリケーションの追加」 を選 択します。 6) アプリケーションの追加画面にて、「機密アプリケーション」

    を選択し、「ワークフローの起動」 を選択します。 1. SP 側 の Identity Domain での SCIM インターフェース設定(機密アプリ ケーション登録 48 Copyright © 2022, Oracle and/or its affiliates
  49. 7) 機密アプリケーションの追加画面にて、名前に適当な値を入力し、「次」を選択します。 8) 機密アプリケーションの追加画面のクライアントにて、「このアプリケーションをクライアントとして今すぐ構成ます」を選択し、 許可される権限付与タイプにて、「クライアント資格証明」を選択し、「次」を選択します。 1. SP 側 の Identity

    Domain での SCIM インターフェース設定(機密アプリ ケーション登録 49 Copyright © 2022, Oracle and/or its affiliates
  50. 9) 機密アプリケーションの追加画面のクライアントにて、下段にスクロールし、アプリケーション・ロールの 「ロールの追加」 を 選択します。 10) アプリケーション・ロールの追加画面にて、 「Identity Domain Administrator」

    を選択し、 「追加」 を選択します。 11) アプリケーション・ロールに 「Identity Domain Administrator」 が追加されている事を確認し、 「次」 を選択し ます。 1. SP 側 の Identity Domain での SCIM インターフェース設定(機密アプリ ケーション登録 50 Copyright © 2022, Oracle and/or its affiliates
  51. 12) 機密アプリケーションの追加画面のWeb層ポリシーにて、「終了」を選択します。 13) 作成したアプリケーションの画面で下段にスクロールし、一般情報の 「クライアント ID」 と 「クライアント・シークレット」 の値をコピーし控えます。 ※

    「クライアント ID」 と 「クライアント・シークレット」 は後述の作業で利用します。 1. SP 側 の Identity Domain での SCIM インターフェース設定(機密アプリ ケーション登録) 51 Copyright © 2022, Oracle and/or its affiliates
  52. 14) 作成したアプリケーション画面にて 「アクティブ化」 を選択します。 15) アプリケーションのアクティブ化画面にて 「アプリケーションのアクティブ化」 を選択します。 16) 作成したアプリケーションがアクティブになっている事を確認します。

    1. SP 側 の Identity Domain での SCIM インターフェース設定(機密アプリ ケーション登録) 52 Copyright © 2022, Oracle and/or its affiliates
  53. 2. IdP 側の Identity Domain での プロビジョニング (GenericSCIM コネクタ)設定 Copyright

    © 2022, Oracle and/or its affiliates 53
  54. 1) IdP となる Identity Domain のコンソールにアクセスします。 OCI コンソール( https://www.oracle.com/jp/cloud/sign-in.html )にアクセスします。

    テナント名(クラウド・アカウント名)を入力し 「Next」 を選択します。 アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメイン(今回は 「Default」 )を選択します。 サインイン画面にて、 OCI 管理者の ID/ パスワードを入力し、 「サイン・イン」 を選択し OCI コンソールにログイン します。 ※ ドメイン選択画面が表示されない環境は Default ドメインのみ存在する環境になり、自動的に“ Default ドメイン”にログインす ることになります。 2. IdP 側の Identity Domain での プロビジョニング(GenericSCIM コネクタ)設定 54 Copyright © 2022, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。
  55. 2) OCI コンソール画面にて、左メニューより 「アイデンティティとセキュリティ」 ー 「アイデンティティ」 を選択します。 3) アイデンティティ画面にて、 「ドメイン」

    を選択し、コンパートメントに 「ルートコンパートメント」 を指定し、ドメインを選択 します。(今回は 「Default」 ドメインを選択します。) ※ 自身で作成した Identity Domain(ドメイン)に設定する場合にはその該当ドメインを選択します。 2. IdP 側の Identity Domain での プロビジョニング(GenericSCIM コネクタ)設定 55 Copyright © 2022, Oracle and/or its affiliates
  56. 4) アイデンティティ・ドメイン画面にて、左メニューより 「アプリケーション」 を選択します。 5) アイデンティティ・ドメインのアプリケーション画面にて、 「アプリケーションの追加」 を選択します。 2. IdP

    側の Identity Domain での プロビジョニング(GenericSCIM コネクタ)設定 56 Copyright © 2022, Oracle and/or its affiliates
  57. 6) アプリケーションの追加画面にて、「アプリケーション・カタログ」を選択し、「アプリケーション・カタログの起動」 を選択しま す。 7) アプリケーション・カタログ画面にて、検索のフィールドに 「GenericSCIM」 入力し、表示されるアプリケーションから、 「GenericSCIM-Client Credentials」

    を選択します。 2. IdP 側の Identity Domain での プロビジョニング(GenericSCIM コネクタ)設定 57 Copyright © 2022, Oracle and/or its affiliates
  58. 8) GenericSCIM-Client Credentials の追加画面にて、名前に適当な値を入力し、「次」 を選択します。 9) GenericSCIM-Client Credentials の追加画面のプロビジョニングの構成にて、「プロビジョニングの有効化」 を選

    択します。 10) プロビジョニングの確認を有効化画面にて、「確認」 を選択します。 2. IdP 側の Identity Domain での プロビジョニング(GenericSCIM コネクタ)設定 58 Copyright © 2022, Oracle and/or its affiliates
  59. 11) GenericSCIM-Client Credentials の追加画面の接続構成にて、以下の値を入力し、「接続のテスト」を選択 します。 ・ Host Name: SP 側の

    Identity Domain のテナント URL のホスト名部分 (例:idcs-xxxxxxxxxxxxx.identity.orclecloud.com) ※ Identity Domain のテナント URL は、項番 1. SP 側 の Identity Domain での SCIM インターフェース 設定(機密アプリケーション登録)4) に記載しています。 ・ Base URL:/admin/v1 ・ Client id:項番1. SP 側 の Identity Domain での SCIM インターフェース設定(機密アプリケーション登 録)13) にてコ ピーした値を入力 ・ Client Secret:項番 1. SP 側 の Identity Domain での SCIM インターフェース設定(機密 アプリケーション登録)13) にてコ ピーした値を入力 ・ Scope オプション: urn:opc:idm:__myscopes__ ・ Authentication Server Url: https://< SP 側の Identity Domain のテナ ント URL のホスト名部分 >/oauth2/v1/token 2. IdP 側の Identity Domain での プロビジョニング(GenericSCIM コネクタ)設定 59 Copyright © 2022, Oracle and/or its affiliates
  60. 12) GenericSCIM-Client Credentials の追加画面の接続構成にて、「接続に成功しました」が表示されることを確 認し、下段にスクロールします。 13) プロビジョニング操作の選択にて、「認可同期」のチェックが外れている事を確認し、「同期の有効化」を選択し、有効 化させて下段にスクロールします。 ※ 「認可同期」のチェックを有効にした場合は、今回の場合は、SP

    側の Identity Domain から IdP 側の Identity Domain に ID 情報の同期が行われます。 2. IdP 側の Identity Domain での プロビジョニング(GenericSCIM コネクタ)設定 60 Copyright © 2022, Oracle and/or its affiliates
  61. 14) 同期の構成にて、同期スケジュールが 「なし」であるとを確認し、「終了」(一旦保存された場合は、「変更の保 存」)を選択します。 ※今回は、手動にて同期を実施するため、「なし」 を選択します。 15) 作成したアプリケーション画面にて、「アクティブ化」 を選択します。 2.

    IdP 側の Identity Domain での プロビジョニング(GenericSCIM コネクタ)設定 61 Copyright © 2022, Oracle and/or its affiliates
  62. 16) アプリケーションのアクティブ化画面にて、「アプリケーションのアクティブ化」を選択します。 17) 作成したアプリケーション画面にて、アプリケーションがアクティブ化された事を確認します。 2. IdP 側の Identity Domain での

    プロビジョニング(GenericSCIM コネクタ)設定 62 Copyright © 2022, Oracle and/or its affiliates
  63. 3. 動作確認 Copyright © 2022, Oracle and/or its affiliates 63

  64. 1) ここでは、ユーザーの同期を確認します。 IdP 側の Identity Domain のコンソールにアクセスします。 OCI コンソール( https://www.oracle.com/jp/cloud/sign-in.html

    )にアクセスします。 テナント名(クラウド・アカウント名)を入力し 「Next」 を選択します。 アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメイン(今回は 「Default」 )を選択します。 サインイン画面にて、 OCI 管理者の ID/ パスワードを入力し、 「サイン・イン」 を選択し OCI コンソールにログイン します。 ※ ドメイン選択画面が表示されない環境は Default ドメインのみ存在する環境になり、自動的に“ Default ドメイン”にログインす ることになります。 3. 動作確認 64 Copyright © 2022, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。
  65. 2) OCI コンソール画面にて、左メニューより 「アイデンティティとセキュリティ」 ー 「アイデンティティ」 を選択します。 3) アイデンティティ画面にて、 「ドメイン」

    を選択し、コンパートメントに 「ルートコンパートメント」 を指定し、ドメインを選択 します。(今回は 「Default」 ドメインを選択します。) ※ 自身で作成した Identity Domain (ドメイン)に設定する場合にはその該当ドメインを選択します。 3. 動作確認 65 Copyright © 2022, Oracle and/or its affiliates
  66. 4) アイデンティティ・ドメイン画面の左メニューにて、「アプリケーション」を選択し、本章で作成したアプリケーションを選択しま す。 5) 作成したアプリケーション画面の左メニューにて 「ユーザー」 を選択し、「ユーザーの割当て」を選択します。 3. 動作確認 66

    Copyright © 2022, Oracle and/or its affiliates
  67. 6) ユーザーをアプリケーションに割当て画面のユーザーの選択にて、同期対象となるユーザーの右側にある「マーク」を選択 し、「割当て」を選択し、「次」 を選択します。 7) ユーザーをアプリケーションに割当て画面の詳細の追加にて、「ユーザーの割当て」 を選択します。 3. 動作確認 67

    Copyright © 2022, Oracle and/or its affiliates
  68. 8) 作成したアプリケーション画面にて、ユーザーに選択したユーザーが追加されている事を確認します。 ※今回は同期の設定を 「なし」 としている為、即時に同期が実行されます。 3. 動作確認 68 Copyright ©

    2022, Oracle and/or its affiliates
  69. 3. 動作確認 69 Copyright © 2022, Oracle and/or its affiliates

    9) SP 側の Identity Domain のコンソールにアクセスします。 OCI コンソール( https://www.oracle.com/jp/cloud/sign-in.html )にアクセスします。 テナント名(クラウド・アカウント名)を入力し 「Next」 を選択します。 アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメイン(今回は 「Default」 )を選択します。 サインイン画面にて、 OCI 管理者の ID/ パスワードを入力し、 「サイン・イン」 を選択し OCI コンソールにログイン します。 ※ ドメイン選択画面が表示されない環境は Default ドメインのみ存在する環境になり、自動的に“ Default ドメイン”にログインす ることになります。 ※環境によりドメイン選択画面は表示されません。
  70. 10) 項番 3.動作確認 7) にて IdP 側のアプリケーションに割当てたユーザーアカウントが、SP 側の Identity Domain

    に同期されている事を確認します。 3. 動作確認 70 Copyright © 2022, Oracle and/or its affiliates
  71. 11) ここでは、グループのメンバー情報の同期と同期されていないユーザーをグループのメンバーに含めた時の同期の確認 をします。 IdP 側の Identity Domain のコンソールにアクセスします。 OCI コンソール(

    https://www.oracle.com/jp/cloud/sign-in.html )にアクセスします。 テナント名(クラウド・アカウント名)を入力し 「Next」 を選択します。 アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメイン(今回は 「Default」 )を選択します。 サインイン画面にて、 OCI 管理者の ID/ パスワードを入力し、 「サイン・イン」 を選択し OCI コンソールにログイン します。 ※ ドメイン選択画面が表示されない環境は Default ドメインのみ存在する環境になり、自動的に“ Default ドメイン”にログインす ることになります。 3. 動作確認 71 Copyright © 2022, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。
  72. 12) IdP 側の Identity Domain アイデンティティ・ドメイン画面の左メニューにて、「アプリケーション」を選択し、本章で 作成したアプリケーションを選択します。 13) 作成したアプリケーション画面の左メニューにて 「グループ」

    を選択し、「グループの割当て」を選択します。 3. 動作確認 72 Copyright © 2022, Oracle and/or its affiliates
  73. 14) グループをアプリケーションに割当て画面のグループの選択にて、同期対象のグループを選択し、同期対象となるグ ループの右側にある 「マーク」 を選択し、「割当て」を選択し、「次」 を選択します。 15) グループをアプリケーションに割当て画面の詳細の追加にて、下段にスクロールし、Group の 「追加」

    を選択します。 3. 動作確認 73 Copyright © 2022, Oracle and/or its affiliates
  74. 16) Group の追加画面にて、SP 側の Identity Domain で作成されているグループの一覧が表示されるので、同 期対象となるグループを選択し、「追加」 を選択します。 ※グループ自体が同期されるのではなく、グループのメンバー情報が同期される事にご注意ください。

    また、グループのメンバーのアカウントが同期先( SP 側の Identity Domain )にない場合は、新たにユー ザーアカウントが作成されます。 さらに、グループがここで指定されてない場合は、メンバーのユーザーアカウントのみ同期されます。 ※対象のグループが表示されていない場合は、アプリケーションの画面にて「アプリケーション・データのリフレッシュ」を選 択すると表示されます。 17) グループが追加されたことを確認し、 「グループの割当て」 を選択します。 3. 動作確認 74 Copyright © 2022, Oracle and/or its affiliates
  75. 18) 作成したアプリケーション画面にて、グループに選択したグループが追加されている事を確認します。 3. 動作確認 75 Copyright © 2022, Oracle and/or

    its affiliates
  76. 3. 動作確認 76 Copyright © 2022, Oracle and/or its affiliates

    19) SP 側の Identity Domain のコンソールにアクセスします。 OCI コンソール( https://www.oracle.com/jp/cloud/sign-in.html )にアクセスします。 テナント名(クラウド・アカウント名)を入力し 「Next」 を選択します。 アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメイン(今回は 「Default」 )を選択します。 サインイン画面にて、 OCI 管理者の ID/ パスワードを入力し、 「サイン・イン」 を選択し OCI コンソールにログイン します。 ※ ドメイン選択画面が表示されない環境は Default ドメインのみ存在する環境になり、自動的に“ Default ドメイン”にログインす ることになります。 ※環境によりドメイン選択画面は表示されません。
  77. 18) IdP 側で同期対象として指定したグループが、SP 側の Identity Domain の指定したグループにメンバー情報が 同期されている事を確認します。 19) SP

    側の Identity Domain にグループのメンバーアカウントが新たに作成されている事を確認します。 3. 動作確認 77 Copyright © 2022, Oracle and/or its affiliates IdP 側の同期対象グループ SP 側の同期対象グループと新規に作成されたユーザー
  78. None