OCI IAM Identity Domains 複数Identity Domain間の連携手順 / SSO setup between multiple Identity Domains

Transcript

1. OCI IAM Identity Domains 複数のOCI環境下でのシングル・サインオン環境の構成 日本オラクル株式会社 2024/01/05

2. Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、 情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以 下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買 決定を行う際の判断材料になさらないで下さい。 オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊 社の裁量により決定され、変更される可能性があります。 Copyright

   © 2024, Oracle and/or its affiliates 2

3. ⚫ 本資料の前提 1. 前提となるユース・ケース 2. 解決方法 ⚫ Identity Domain（IdP）とIdentity Domain（SP）が共存する複数のOCI環境下でのSSO環境の構成

   1. IdP側のIdentity Domainでメタデータのダウンロード 2. SP側のIdentity DomainでIdPの追加 3. IdP側のIdentity DomainでSPの追加 4. 動作確認用のユーザー作成 5. 動作確認 ⚫ Identity Domain（IdP）からIdentity Domain（SP）へのID情報の同期 1. SP側のIdentity DomainでのSCIMインターフェース設定（機密アプリケーション登録） 2. IdP側のIdentity Domainでのプロビジョニング（同期用アプリケーション）の設定 3. 動作確認 アジェンダ Copyright © 2024, Oracle and/or its affiliates 3

4. 本資料の前提 Copyright © 2024, Oracle and/or its affiliates 4

5. ◆ 下記の理由から複数のOCI環境が存在し、それぞれの環境で、OCI IAM Identity Domains（以下、Identity Domain）が運用される場合があります。 ➢ 本社用とグループ会社用での構成 ➢ 本番環境とテスト環境の構成

   ➢ 契約時期やシステム構成により環境を分割 1. 前提となるユース・ケース Copyright © 2024, Oracle and/or its affiliates 5 管理者 一般ユーザー 管理者 一般ユーザー 管理者 一般ユーザー OCI OCI PaaS OCI IAM Identity Domains OCI IAM Identity Domains OCI 3rd-Party Apps OCI IAM Identity Domains

6. ◆ 想定される課題 ➢ 複数環境でそれぞれのユーザー管理による管理コストの増大 ➢ ユーザー管理の煩雑化によるセキュリティリスクの増大 ➢ ユーザーへの利便性の低下 1. 前提となるユース・ケース

   6 OCI OCI PaaS OCI IAM Identity Domains OCI IAM Identity Domains 管理者 一般ユーザー OCI 3rd-Party Apps • それぞれの環境でユーザの管理 を実施 • 複数回の認証が発生 • それぞの環境でのパスワード管理 Copyright © 2024, Oracle and/or its affiliates OCI IAM Identity Domains

7. ◆ 課題の解決 ➢ SAMLによるフェデレーションを構成して、OCI間でシングル・サインオン（以下、SSO）を実現 ➢ SSOにより、パスワードはマスターとなるIdPのみで管理が可能 ➢ Identity Domain間でユーザーやグループ情報を同期するコネクタを構成（手動による同期でも対応可能） 2.

   解決方法 7 OCI OCI PaaS OCI IAM Identity Domains OCI IAM Identity Domains 管理者 一般ユーザー OCI 3rd-Party Apps • IdP側でユーザの管理が可能 • 同期するためのコネクタの構成 • 1回の認証でそれぞれの環境への アクセスが可能 • パスワードはIdP側で管理 IdP SP SP フェデレーション / ユーザーの同期 Copyright © 2024, Oracle and/or its affiliates OCI IAM Identity Domains

8. ◆ 課題の解決の技術概要 ➢ Identity Domain間でSAMLフェデレーションによるSSOを構成することで、IdP にログインすれば、クラウド・ サービスが認証を委託しているSPにログインしなくても、クラウド・サービスにSSOが可能 ➢ Identity Domainが存在するデータ・センターやリージョンには非依存な機能であるため、データ・センターや

   リージョンをまたがった構成が可能 ➢ Identity DomainはID情報を伝播するREST APIの標準であるSystem for Cross-domain Identity Management（以下、SCIM）を利用する同期用アプリケーションを提供しており、同期用アプリケーションを 構成してIdentity Domain間でユーザーやグループ情報を同期することが可能 2. 解決方法 8 Copyright © 2024, Oracle and/or its affiliates

9. Identity Domain（IdP）とIdentity Domain（SP）を構成し 複数のOCI環境下でのSSO環境を構成 Copyright © 2024, Oracle and/or its

   affiliates 9

10. SP 本手順書は下記構成を実現するためのIdentity Domain間の認証連携（外部IdP連携）設定手順書になります。 Identity Domain（IdP）とIdentity Domain（SP）を構成し複数のOCI 環境下でのSSO環境を構成 10 Copyright ©

    2024, Oracle and/or its affiliates IdP SAML認証連携(外部IdP連携) 利用者 IdPのID/パスワードでログイン （ IdPログイン画面にリダイレクト） OCI コンソール Identity domain間は属性 「ユーザー名」 で ユーザーマッピング OCI IAM Identity Domain OCI IAM Identity Domain テナント A テナント B ※同一テナント内のIdentity Domain間の連携でも同様の手順となります。

11. 手順概要 1. IdP側のIdentity Domainでメタデータのダウンロード 2. SP側のIdentity DomainでIdPの追加 3. IdP側のIdentity DomainでSPの追加

    4. 動作確認用のユーザー作成 5. 動作確認 Identity Domain（IdP）とIdentity Domain（SP）を構成し複数のOCI 環境下でのSSO環境を構成 11 Copyright © 2024, Oracle and/or its affiliates

12. 1.IdP側のIdentity Domainでメタデータのダウンロード Copyright © 2024, Oracle and/or its affiliates 12

13. 1) IdPとなるIdentity DomainのOCIコンソールにアクセスします。 OCIコンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。 テナント名（クラウド・アカウント名）を入力し「次に進む」を選択します。 アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメインを選択し、「Next」を選択します。 サインイン画面にて、OCI管理者のID/パスワードを入力し、「サイン・イン」を選択し、OCI コンソールにログインします。 ※ ドメイン選択画面が表示されない環境はDefault

    ドメインのみ存在する環境になり、自動的に“Default ドメイン”に ログインすることになります。 1.IdP側のIdentity Domainでメタデータのダウンロード 13 Copyright © 2024, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。

14. 2) OCIコンソール画面にて、左メニューより 「アイデンティティとセキュリティ」 ー 「ドメイン」を選択します。 3) アイデンティティ画面にて、 コンパートメントを指定し、ドメインを選択します。 ※ 自身で作成したIdentity

    Domain （ドメイン）に設定する場合にはその該当ドメインを選択します。 1.IdP側の Identity Domain でメタデータのダウンロード 14 Copyright © 2024, Oracle and/or its affiliates

15. 4) アイデンティティ・ドメイン画面にて、左メニューより「統合アプリケーション」を選択します。 5) アイデンティティ・ドメインの統合アプリケーション画面にて、「アプリケーションの追加」を選択します。 1.IdP側の Identity Domain でメタデータのダウンロード 15 Copyright

    © 2024, Oracle and/or its affiliates

16. 6) アプリケーションの追加画面にて、「SAML アプリケーション」を選択し、「ワークフローの起動」 を選択します。 7) SAMLアプリケーションの追加画面にて「名前」に適当な値を入力し「次」を選択します。 1.IdP側の Identity Domain でメタデータのダウンロード

    16 Copyright © 2024, Oracle and/or its affiliates

17. 8) アプリケーションの追加画面にて、「アイデンティティ・プロバイダ・メタデータのダウンロード」を選択し、ダウンロードされた メタデータを適当な場所に保存します。 1.IdP側の Identity Domain でメタデータのダウンロード 17 Copyright ©

    2024, Oracle and/or its affiliates

18. 2. SP側のIdentity DomainでIdPの追加 Copyright © 2024, Oracle and/or its affiliates

    18

19. 1) SP側Identity DomainのOCIコンソールにアクセスします。 OCIコンソール（ https://www.oracle.com/jp/cloud/sign-in.html ）にアクセスします。 テナント名（クラウド・アカウント名）を入力し「次に進む」を選択します。 アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメインを選択し、「Next」を選択します。 サインイン画面にて、OCI管理者のID/パスワードを入力し、「サイン・イン」を選択し、OCIコンソールにログインします。 ※

    ドメイン選択画面が表示されない環境は Default ドメインのみ存在する環境になり、自動的に“ Default ドメイン”に ログインすることになります。 2. SP側のIdentity DomainでIdPの追加 19 Copyright © 2024, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。

20. 2) OCI コンソール画面にて、左メニューより「アイデンティティとセキュリティ」 ー 「ドメイン」を選択します。 3) アイデンティティ画面にて、コンパートメントを指定し、さらにドメインを選択します。 ※ 自身で作成した Identity

    Domain （ドメイン）に設定する場合にはその該当ドメインを選択します。 2. SP側のIdentity DomainでIdPの追加 20 Copyright © 2024, Oracle and/or its affiliates

21. 4) アイデンティティ・ドメイン画面にて、左メニューから「セキュリティ」を選択します。 5) セキュリティ画面にて、左メニューから「アイデンティティ・プロバイダ」を選択します。 2. SP側のIdentity DomainでIdPの追加 21 Copyright ©

    2024, Oracle and/or its affiliates

22. 6) セキュリティのアイデンティティ・プロバイダ画面にて、「IdPの追加」を選択し、「SAML IdPの追加」を選択します。 7) SAMLアイデンティティ・プロバイダの追加画面にて、詳細の追加の「名前」に適当な値を入力し「次」を選択します。 2. SP側のIdentity DomainでIdPの追加 22 Copyright

    © 2024, Oracle and/or its affiliates

23. 8) SAMLアイデンティティ・プロバイダの追加画面のメタデータの交換にて アイデンティティ・プロバイダ・メタデータの アップロードに、項番1. IdP側のIdentity Domainでメタデータのダウンロード 8)でダウンロードした メタデータファイルを指定し、メタデータをアップロードし、「SAMLメタデータのエクスポート」を選択し「次」を選択します。 9) アイデンティティ・プロバイダの追加画面のユーザー・アイデンティティのマップにてリクエストされた名前IDのフォーマット

    オプションが「なし」、アイデンティティ・プロバイダ・ユーザー属性が「SAMLアサーション名ID」、アイデンティティ・ドメイン・ ユーザー属性が「ユーザー名」に指定されている事を確認し、「次」を選択します。 2. SP側のIdentity DomainでIdPの追加 23 Copyright © 2024, Oracle and/or its affiliates

24. 10) アイデンティティ・プロバイダの追加画面の確認および作成にて、登録した内容を確認し、「IdPの作成」を選択します。 11) アイデンティティ・プロバイダの追加画面の次の手順にて、IdPのアクティブ化の「アクティブ化」を選択し、「閉じる」を 選択します。 2. SP側のIdentity DomainでIdPの追加 24 Copyright

    © 2024, Oracle and/or its affiliates

25. 12) アイデンティティ・プロバイダ画面にて、先ほど作成したアイデンティティ・プロバイダが作成され、アクティブになっている 事を確認します。 13) OCIコンソールにログインする際、今回、作成したアイデンティティプロバイダをIdPとして利用できるようにするため IdPポリシーの定義を行います。 OCIコンソールの左メニューより 「セキュリティ」-「IdP ポリシー」を選択し、「Default Identity

    Provider Policy」を選択します。 2. SP側のIdentity DomainでIdPの追加 25 Copyright © 2024, Oracle and/or its affiliates

26. 14) Default Identity Provider Policy画面にて、「IdPルールの追加」を選択します。 15) アイデンティティ・プロバイダ・ルールの追加画面にて、ルール名に適当な値を指定し、アイデンティティ・プロバイダの 割当てを選択し、今回、作成したアイデンティティプロバイダと「Username-Password」を選択し、 「IdPルールの追加」を選択します。 2.

    SP側のIdentity DomainでIdPの追加 26 Copyright © 2024, Oracle and/or its affiliates ※Default Identity Provider Policy には「Default IdP Rule」というルールがあらかじめ作成されています。 この「Default IdP Rule」を直接編集することも可能ですが、 運用の中でデフォルトの状態に戻す場合などを想定し、 「Default IdP Rule」は編集せずにデフォルトの状態のままに しておくことをお勧めします。

27. 16) Default Identity Provider Policy画面にて、「優先度の編集」を選択します。 17) IdPルール優先度の編集画面にて、左側の優先度列にある上下矢印を選択し、今回、作成した アイデンティティプロバイダの優先度を「1」に設定し、「変更の保存」を選択します。 18) 今回、作成したアイデンティティプロバイダの優先度が「1」になっている事を確認します。

    2. SP側のIdentity DomainでIdPの追加 27 Copyright © 2024, Oracle and/or its affiliates

28. 3. IdP側のIdentity DomainでSPの追加 Copyright © 2024, Oracle and/or its affiliates

    28

29. 1) 項番1. IdP側のIdentity Domainでメタデータのダウンロード 8)の続きとなります。 2) 上記の画面が閉じられている場合は、以下の様に画面を開きます。 アイデンティティ・ドメイン画面のメニューから「統合アプリケーション」を選択します。 ドメイン内のアプリケーション画面から、項番1. IdP側のIdentity

    Domainでメタデータのダウンロード 7)で作成した、 アプリケーションを選択します。 作成したアプリケーションの画面にて、「SSO構成の編集」を選択します。 3. IdP側のIdentity DomainでSPの追加 29 Copyright © 2024, Oracle and/or its affiliates

30. 3) SSO構成の編集画面の一般にて、項番2. SP側のIdentity DomainでIdPの追加 12)で作成した、 SAMLアイデンティティ・プロバイダの値をコピーして設定します。 ・ エンティティID:SP側のIdentity DomainのプロバイダID ・

    アサーションコンシューマーのURL:SP側のIdentity Domainのアサーション・コンシューマ・サービスURL ・ 名前IDのフォーマット:「未指定」 ・ 名前IDの値:「ユーザー名」 ・ 署名証明書:SP側のIdentity Domainのサービス・プロバイダ暗号化証明書 3. IdP側のIdentity DomainでSPの追加 30 Copyright © 2024, Oracle and/or its affiliates SP側Identity Domain SAMLアイデンティティ・プロバイダの画面

31. 4) 下段にスクロールした、SSO構成の編集画面の追加構成にて、さらに項番2.SP側のIdentity DomainでIdPの 追加 12) で作成した、アイデンティティ・プロバイダの値をコピーして設定します。 ・ シングル・ログアウトURL:SP側のIdentity Domainのログアウト・サービス戻りURL ・

    ログアウト・レスポンスURL:SP側のIdentity Domainのログアウト・サービス・エンドポイントURL ・その他は既定の設定 「変更の保存」を選択します。 3. IdP側のIdentity DomainでSPの追加 31 Copyright © 2024, Oracle and/or its affiliates SP側Identity Domain SAMLアイデンティティ・プロバイダの画面

32. 5) 今回、作成したアプリケーションの画面にて、「アクティブ化」を選択します。 6) アプリケーションのアクティブ化画面にて、「アプリケーションのアクティブ化」を選択します。 3. IdP側のIdentity DomainでSPの追加 32 Copyright ©

    2024, Oracle and/or its affiliates

33. 7) 今回、作成したアプリケーションの画面にて、 アプリケーションがアクティブ化されている事を確認します。 3. IdP側のIdentity DomainでSPの追加 33 Copyright © 2024,

    Oracle and/or its affiliates

34. 4. 動作確認用のユーザー作成 Copyright © 2024, Oracle and/or its affiliates 34

35. 1) IdP側のIdentity Domainのアプリケーションにユーザーを割り当てるためにOCIコンソールにアクセスします。 OCIコンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。 テナント名（クラウド・アカウント名）を入力し「次に進む」を選択します。 アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメインを選択します。 サインイン画面にて、OCI管理者のID/パスワードを入力し、「サイン・イン」を選択しOCIコンソールにログインします。 ※ ドメイン選択画面が表示されない環境は Default

    ドメインのみ存在する環境になり、自動的に“ Default ドメイン”に ログインすることになります。 4. 動作確認用のユーザー作成 35 Copyright © 2024, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。

36. 2) 項番 3. IdP側のIdentity DomainでSPの追加 7) で作成したアプリケーションの画面にて、リソースの 「ユーザー」を選択し、「ユーザーの割当て」を選択します。 ※アプリケーションの割当てはグループでも可能ですが、今回は事前に作成しておいたユーザーを選択します。 3)

    ユーザーの割当て画面にて、動作確認を行う対象のユーザーを選択し、「割当て」を選択します。 4. 動作確認用のユーザー作成 36 Copyright © 2024, Oracle and/or its affiliates

37. 4) ユーザーを作成するため、 SP側のIdentity DomainのOCIコンソールにアクセスします。 OCIコンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。 テナント名（クラウド・アカウント名）を入力し「次に進む」を選択します。 アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメインを選択します。 サインイン画面にて、OCI管理者のID/パスワードを入力し、「サイン・イン」を選択しOCIコンソールにログインします。 ※ ドメイン選択画面が表示されない環境は

    Default ドメインのみ存在する環境になり、自動的に“ Default ドメイン”に ログインすることになります。 4. 動作確認用のユーザー作成 37 Copyright © 2024, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。

38. 5) ドメインを選択し、左メニューから「ユーザー」を選択し、「ユーザーの作成」を選択します。 6) ユーザー追加画面にて「姓」、「ユーザー名・電子メール」に値を入力し、「作成」を選択します。 ※ユーザー名は項番 4. 動作確認用のユーザー作成 3) で割当てたIdP側のIdentity Domainのユーザーと

    同じ値になるようにします。 4. 動作確認用のユーザー作成 38 Copyright © 2024, Oracle and/or its affiliates

39. 5. 動作確認 Copyright © 2024, Oracle and/or its affiliates 39

40. 1) SP側のOCIコンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。 テナント名（クラウド・アカウント名）を入力し「次に進む」を選択し、必要に応じて「ドメイン名」を選択し、「Next」を 選択します。 2) アイデンティティ・ドメインのログイン画面の下部に今回作成した、アイデンティティ・プロバイダ （IdP_Identity_Domain）が表示され選択ができることを確認し、「アイデンティティ・プロバイダ （IdP_Identity_Domain）」を選択します。 3) IdP側のサインイン画面にリダイレクトされるので、項番

    4. 動作確認用のユーザー作成 3) で割当てたユーザーの ID/パスワードを入力し、「サイン・イン」を選択し、OCIコンソールにログインします。 5. 動作確認 40 Copyright © 2024, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。

41. 4) OCIコンソールにサインしたユーザーで接続できていることを確認します。 5. 動作確認 41 Copyright © 2024, Oracle and/or

    its affiliates

42. Identity Domain（IdP）からIdentity Domain（SP）へのID 情報の同期 Copyright © 2024, Oracle and/or its

    affiliates 42

43. SAML認証連携(外部IdP連携)を利用する場合、ID情報を同期することでID管理を効率良く行うことが可能です。 本手順書は下記構成を実現するためのIdentity Domainで構成されたIdPとSP間でID情報の同期の設定 手順書になります。 Identity Domain（IdP）からIdentity Domain（SP）へのID情報の同期 43 Copyright ©

    2024, Oracle and/or its affiliates Identity Domain IdP SCIM による ID 情報の同期 OCI コンソール Identity Domain 機 能 説 明 ID 情報の伝播の方向 双方向または、同期用アプリケーション側からの単方向の指定が可能 ユーザーの作成・更新・削除、アクティブ/非アクティブの同期 〇 ユーザーのパスワード同期 ✖ 同期対象となるユーザー 指定したユーザーおよびグループのメンバー グループの作成・更新・削除の同期 ✖(グループはマッピングのみ) ID 情報を同期するタイミング リアルタイムまたは、同期スケジュールの設定が可能 テナント A ※同一テナント内の Identity Domain 間の連携でも同様の手順となります。 テナント B 同期用 アプリ ケーション SP SCIM インター フェース

44. 1. SP側のIdentity DomainでのSCIMインターフェース設定（機密アプリケーション登録） 2. IdP側のIdentity Domainでのプロビジョニング（同期用アプリケーション）の設定 3. 動作確認 手順概要 Copyright

    © 2024, Oracle and/or its affiliates 44

45. 1. SP側のIdentity DomainでのSCIMインターフェース設定 （機密アプリケーション登録） Copyright © 2024, Oracle and/or its

    affiliates 45

46. 1) SP側Identity DomainのOCIコンソールにアクセスします。 OCIコンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。 テナント名（クラウド・アカウント名）を入力し「次に進む」を選択します。 アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメインを選択します。 サインイン画面にて、OCI管理者のID/パスワードを入力し、「サイン・イン」を選択しOCIコンソールにログインします。 ※ ドメイン選択画面が表示されない環境は Default

    ドメインのみ存在する環境になり、自動的に“ Default ドメイン”に ログインすることになります。 1. SP側のIdentity DomainでのSCIMインターフェース設定 （機密アプリケーション登録） 46 Copyright © 2024, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。

47. 2) OCIコンソール画面にて、左メニューより 「アイデンティティとセキュリティ」 ー 「ドメイン」 を選択します。 3) アイデンティティ画面にて、 コンパートメントを指定し、ドメインを選択します。 ※

    自身で作成したIdentity Domain（ドメイン）に設定する場合にはその該当ドメインを選択します。 4) アイデンティティ・ドメイン画面にて、ドメイン情報のドメインURLをコピーし控えておきます。 ※後でIdP側での設定で利用します。 1. SP側のIdentity DomainでのSCIMインターフェース設定 （機密アプリケーション登録） 47 Copyright © 2024, Oracle and/or its affiliates

48. 5) Identity Domain画面の左メニューから「統合アプリケーション」を選択し、「アプリケーションの追加」を選択します。 6) アプリケーションの追加画面にて、「機密アプリケーション」を選択し、「ワークフローの起動」を選択します。 1. SP側のIdentity DomainでのSCIMインターフェース設定 （機密アプリケーション登録） 48

    Copyright © 2024, Oracle and/or its affiliates

49. 7) 機密アプリケーションの追加画面にて、名前に適当な値を入力し、「次」を選択します。 8) 機密アプリケーションの追加画面のクライアントにて、「このアプリケーションをクライアントとして今すぐ構成します」を 選択します。 1. SP側のIdentity DomainでのSCIMインターフェース設定 （機密アプリケーション登録） 49

    Copyright © 2024, Oracle and/or its affiliates

50. 9) 機密アプリケーションの追加画面のクライアントにて、下段にスクロールし、アプリケーション・ロールの 「ロールの追加」 を 選択します。 10) アプリケーション・ロールの追加画面にて、「Identity Domain Administrator」を選択し、「追加」を選択します。 11)

    アプリケーション・ロールに「Identity Domain Administrator」が追加されている事を確認し、「次」を選択します。 1. SP側のIdentity DomainでのSCIMインターフェース設定 （機密アプリケーション登録） 50 Copyright © 2024, Oracle and/or its affiliates

51. 12) 機密アプリケーションの追加画面のWeb層ポリシーにて、「終了」を選択します。 13) 今回、作成したアプリケーションの画面で下段にスクロールし、一般情報の「クライアントID」と 「クライアント・シークレット」の値をコピーし控えます。 ※「クライアント ID」と「クライアント・シークレット」は後述の作業で利用します。 1. SP側のIdentity DomainでのSCIMインターフェース設定

    （機密アプリケーション登録） 51 Copyright © 2024, Oracle and/or its affiliates

52. 14) 作成したアプリケーション画面にて「アクティブ化」を選択します。 15) アプリケーションのアクティブ化画面にて「アプリケーションのアクティブ化」を選択します。 16) 作成したアプリケーションがアクティブになっている事を確認します。 1. SP側のIdentity DomainでのSCIMインターフェース設定 （機密アプリケーション登録）

    52 Copyright © 2024, Oracle and/or its affiliates

53. 2. IdP側のIdentity Domainでのプロビジョニング （同期用アプリケーション）の設定 Copyright © 2024, Oracle and/or its

    affiliates 53

54. 1) IdPのIdentity DomainのOCIコンソールにアクセスします。 OCIコンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。 テナント名（クラウド・アカウント名）を入力し「Next」を選択します。 アイデンティティ・ドメインの選択画面が表示される場合には、対象のドメインを選択します。 サインイン画面にて、OCI管理者のID/パスワードを入力し、「サイン・イン」を選択しOCIコンソールにログイン します。 ※ ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Default

    ドメイン”に ログインすることになります。 2. IdP側のIdentity Domainでのプロビジョニング（同期用アプリケーション）の 設定 54 Copyright © 2024, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。

55. 2) OCI コンソール画面にて、左メニューより「アイデンティティとセキュリティ」ー「アイデンティティ」を選択します。 3) アイデンティティ画面にて、「ドメイン」を選択し、コンパートメントを指定し、ドメインを選択します。 ※ 自身で作成したIdentity Domain（ドメイン）に設定する場合にはその該当ドメインを選択します。 2. IdP側のIdentity

    Domainでのプロビジョニング（同期用アプリケーション）の 設定 55 Copyright © 2024, Oracle and/or its affiliates

56. 4) アイデンティティ・ドメイン画面にて、左メニューより「統合アプリケーション」を選択します。 5) アイデンティティ・ドメインのアプリケーション画面にて、「アプリケーションの追加」を選択します。 2. IdP側のIdentity Domainでのプロビジョニング（同期用アプリケーション）の 設定 56 Copyright

    © 2024, Oracle and/or its affiliates

57. 6) アプリケーションの追加画面にて、「アプリケーション・カタログ」を選択し、「アプリケーション・カタログの起動」を選択します。 7) アプリケーション・カタログ画面にて、検索のフィールドに「Oracle Identity」と入力し、表示されるアプリケーションから、 「Oracle Identity Domain」を選択します。 2. IdP側のIdentity

    Domainでのプロビジョニング（同期用アプリケーション）の 設定 57 Copyright © 2024, Oracle and/or its affiliates

58. 8) Oracle Identity Domainの追加画面にて、名前に適当な値を入力し、「次」を選択します。 9) Oracle Identity Domainの追加画面のプロビジョニングの構成にて、「プロビジョニングの有効化」を選択します。 10) プロビジョニングの確認を有効化画面にて、「確認」を選択します。

    2. IdP側のIdentity Domainでのプロビジョニング（同期用アプリケーション）の 設定 58 Copyright © 2024, Oracle and/or its affiliates

59. 11) Oracle Identity Domainの追加画面の接続構成にて、以下の値を入力し、「接続のテスト」を選択します。 ・ Host Name:SP側のIdentity DomainのテナントURLのホスト名部分 （例: idcs-xxxxxxxxxxxxx.identity.orclecloud.com）

    ※ Identity DomainのテナントURLは、項番1. SP側のIdentity DomainでのSCIMインターフェース設定 （機密アプリケーション登録）4) に記載しています。 ・ Client Id :項番1. SP側のIdentity DomainでのSCIMインターフェース設定（機密アプリケーション登録） 13) にてコピーした値を入力 ・ Client Secret 項番1. SP側のIdentity DomainでのSCIMインターフェース設定（機密アプリケーション登録） 13) にてコピーした値を入力 ・ Scope オプション： urn:opc:idm:__myscopes__（既定の設定） ・ Authentication Server Url： https://< SP側のIdentity Domainのテナント URLのホスト名部分>:443/oauth2/v1/token 2. IdP側のIdentity Domainでのプロビジョニング（同期用アプリケーション）の 設定 59 Copyright © 2024, Oracle and/or its affiliates

60. 12) Oracle Identity Domainの追加画面の接続構成にて、「接続に成功しました」が表示されることを確認し、 下段にスクロールします。 13) プロビジョニング操作の選択にて、「認可同期」のチェックが外れている事を確認し、「同期の有効化」を選択し、 有効化させて、さらに下段にスクロールします。 ※ 「認可同期」のチェックを有効にした場合は、今回の場合は、SP側のIdentity

    DomainからIdP側の Identity DomainにID情報の同期が行われます。 2. IdP側のIdentity Domainでのプロビジョニング（同期用アプリケーション）の 設定 60 Copyright © 2024, Oracle and/or its affiliates

61. 14) 同期の構成にて、同期スケジュールが「なし」であるとを確認し、「終了」を選択します。 （一旦保存された場合は、「変更の保存」）を選択します。 ※今回は、手動にて同期を実施するため、「なし」 を選択します。 15) 今回、作成したアプリケーション画面にて、「アクティブ化」 を選択します。 2. IdP側のIdentity

    Domainでのプロビジョニング（同期用アプリケーション）の 設定 61 Copyright © 2024, Oracle and/or its affiliates

62. 16) アプリケーションのアクティブ化画面にて、「アプリケーションのアクティブ化」を選択します。 17) 作成したアプリケーション画面にて、アプリケーションがアクティブ化された事を確認します。 2. IdP側のIdentity Domainでのプロビジョニング（同期用アプリケーション）の 設定 62 Copyright

    © 2024, Oracle and/or its affiliates

63. 3. 動作確認 Copyright © 2024, Oracle and/or its affiliates 63

64. 1) ここでは、ユーザーの同期を確認します。 IdP側のIdentity DomainのOCIコンソールにアクセスします。 OCI コンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。 テナント名（クラウド・アカウント名）を入力し「Next」を選択します。 アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメインを選択します。 サインイン画面にて、OCI管理者のID/パスワードを入力し、「サイン・イン」を選択しOCIコンソールにログインします。 ※

    ドメイン選択画面が表示されない環境は Default ドメインのみ存在する環境になり、自動的に“ Default ドメイン”に ログインすることになります。 3. 動作確認 64 Copyright © 2024, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。

65. 2) OCIコンソール画面にて、左メニューより「アイデンティティとセキュリティ」ー「アイデンティティ」を選択します。 3) アイデンティティ画面にて、「ドメイン」を選択し、コンパートメントを指定し、ドメインを選択します。 ※ 自身で作成したIdentity Domain（ドメイン）に設定する場合にはその該当ドメインを選択します。 3. 動作確認 65

    Copyright © 2024, Oracle and/or its affiliates

66. 4) アイデンティティ・ドメイン画面の左メニューにて、「統合アプリケーション」を選択し、本章で作成したアプリケーションを 選択します。 5) 今回、作成したアプリケーション画面の左メニューにて 「ユーザー」を選択し、「ユーザーの割当て」を選択します。 3. 動作確認 66 Copyright

    © 2024, Oracle and/or its affiliates

67. 6) ユーザーをアプリケーションに割当て画面のユーザーの選択にて、同期対象となるユーザーの右側にある「マーク」を 選択し、「割当て」を選択し、「次」を選択します。 7) ユーザーをアプリケーションに割当て画面の詳細の追加にて、「ユーザーの割当て」を選択します。 3. 動作確認 67 Copyright ©

    2024, Oracle and/or its affiliates

68. 8) 作成したアプリケーション画面にて、ユーザーに選択したユーザーが追加されている事を確認します。 ※ 今回は同期の設定を「なし」としている為、即時にID情報の同期が実行されます。 3. 動作確認 68 Copyright © 2024,

    Oracle and/or its affiliates

69. 3. 動作確認 69 Copyright © 2024, Oracle and/or its affiliates

    9) SP側のIdentity DomainのOCIコンソールにアクセスします。 OCIコンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。 テナント名（クラウド・アカウント名）を入力し「Next」を選択します。 アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメインを選択します。 サインイン画面にて、OCI管理者のID/パスワードを入力し、「サイン・イン」を選択しOCIコンソールにログインします。 ※ ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”に ログインすることになります。 ※環境によりドメイン選択画面は表示されません。

70. 10) 項番 3.動作確認 7) にてIdP側のアプリケーションに割当てたユーザーアカウントが、SP側のIdentity Domain に 同期されている事を確認します。 3. 動作確認

    70 Copyright © 2024, Oracle and/or its affiliates

71. 11) ここでは、同期されていないユーザーをグループのメンバーに含めた時のグループの同期の確認をします。 IdP側のIdentity DomainのOCIコンソールにアクセスします。 OCIコンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。 テナント名（クラウド・アカウント名）を入力し「Next」を選択します。 アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメインを選択します。 サインイン画面にて、OCI管理者のID/パスワードを入力し、「サイン・イン」を選択しOCIコンソールにログインします。 ※ ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”に

    ログインすることになります。 3. 動作確認 71 Copyright © 2024, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。

72. 12) IdP側のIdentity Domainのアイデンティティ・ドメイン画面の左メニューにて、「統合アプリケーション」を選択し、 本章で作成したアプリケーションを選択します。 13) 今回、作成したアプリケーション画面の左メニューにて 「グループ」 を選択し、「グループの割当て」を選択します。 3. 動作確認

    72 Copyright © 2024, Oracle and/or its affiliates

73. 14) グループをアプリケーションに割当て画面のグループの選択にて、同期対象のグループを選択し、同期対象となる グループの右側にある「マーク」を選択し、「割当て」を選択し、「次」を選択します。 15) グループをアプリケーションに割当て画面の詳細の追加にて、下段にスクロールし、Groupの「追加」を選択します。 3. 動作確認 73 Copyright ©

    2024, Oracle and/or its affiliates

74. 16) Groupの追加画面にて、SP側のIdentity Domainで作成されているグループの一覧が表示されるので、同期 対象となるグループを選択し、「追加」 を選択します。 ※グループ自体が同期されるのではなく、グループのメンバー情報が同期される事にご注意ください。 また、グループのメンバーのアカウントが同期先（SP側のIdentity Domain）にない場合は、新たにユーザー アカウントが作成されます。 さらに、グループが指定されてない場合は、メンバーのユーザーアカウントのみ同期されます。

    ※ 対象のグループが表示されていない場合は、アプリケーションの画面にて「アプリケーション・データのリフレッシュ」を 選択すると表示されます。 3. 動作確認 74 Copyright © 2024, Oracle and/or its affiliates

75. 17) グループが追加されたことを確認し、 「グループの割当て」 を選択します。 18) 作成したアプリケーション画面にて、グループに選択したグループが追加されている事を確認します。 3. 動作確認 75 Copyright

    © 2024, Oracle and/or its affiliates

76. 3. 動作確認 76 Copyright © 2024, Oracle and/or its affiliates

    19) SP側のIdentity DomainのOCIコンソールにアクセスします。 OCIコンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。 テナント名（クラウド・アカウント名）を入力し「Next」を選択します。 アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメインを選択します。 サインイン画面にて、OCI管理者のID/パスワードを入力し、「サイン・イン」を選択しOCIコンソールにログインします。 ※ ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”に ログインすることになります。 ※環境によりドメイン選択画面は表示されません。

77. 18) IdP側で同期対象として指定したグループが、SP側のIdentity Domainの指定したグループにメンバー情報が 同期されている事を確認します。 19) SP側のIdentity Domainにグループのメンバーのユーザーアカウントが新たに作成されている事を確認します。 3. 動作確認 77

    Copyright © 2024, Oracle and/or its affiliates IdP側の同期対象グループ画面 SP側の同期対象グループと新規に作成されたユーザー画面 SP側の同期対象グループ画面
78. None