Tweet
Tweet

Slide 1

Slide 1 text

OCI IAM Identity Domains Entra IDとの認証連携(外部IdP連携)・ID同期 設定手順 日本オラクル株式会社 2025年7月11日

Slide 2

Slide 2 text

Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、 情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以 下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買 決定を行う際の判断材料になさらないで下さい。 オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊 社の裁量により決定され、変更される可能性があります。 Copyright © 2025, Oracle and/or its affiliates 2

Slide 3

Slide 3 text

Identity DomainとEntra IDとの認証連携(外部IdP連携) 手順概要 1. Identity Domainのサービス・プロバイダ・メタデータのダウンロード 2. Entra ID側でサービス・プロバイダの登録 3. Identity Domain側でアイデンティティ・プロバイダの登録 4. Identity Domain側でアイデンティティ・プロバイダアクティブ化 5. Identity Domain側でIdPポリシーの定義 6. 動作確認 (オプション)Entra IDからIdentity DomainへのID情報の同期 手順概要 1. Identity Domain側でSCIMインターフェース設定(機密アプリケーション登録) 2. Entra ID側でプロビジョニング設定 3. 動作確認 アジェンダ Copyright © 2025, Oracle and/or its affiliates 3 ※本資料は2025年7月現在の仕様に基づき作成しております。

Slide 4

Slide 4 text

OCI IAM Identity DomainsとEntra IDとの認証連携(外部IdP連携) Copyright © 2025, Oracle and/or its affiliates 4 本手順書は、外部IdPにMicrosoft Entra ID(以下、Entra ID、旧称:Azure Active Directory)を利用したOCI IAM Identity Domains(以下、Identity Domain)との認証連携(外部IdP連携)設定手順書なります。 ※ 対象Entra IDは構築済みが前提となります。 本資料は、以下のサイトに記載されている内容をベースに作成しており、最新の情報は以下のサイトをご確認下さい。 https://docs.oracle.com/ja-jp/iaas/Content/Identity/tutorials/azure_ad/sso_azure/azure_sso.htm OCI IAM Identity Domains IdP SAML 認証連携(外部 IdP 連携) SP 利用者 Entra IDのID/パスワードでサインイン (Entra IDのサインイン画面にリダイレクト) アプリ アプリ アプリ IdP SP SP SP Entra IDの属性「user.mail」と Identity Domainの属性「プリンシパル電子メールアドレス」でユーザーマッピング Microsoft Entra ID

Slide 5

Slide 5 text

手順概要 Copyright © 2025, Oracle and/or its affiliates 5 1. Identity Domainのサービス・プロバイダ・メタデータのダウンロード 2. Entra ID側でサービス・プロバイダの登録 3. Identity Domain側でアイデンティティ・プロバイダの登録 4. Identity Domain側でアイデンティティ・プロバイダアクティブ化 5. Identity Domain側でIdPポリシーの定義 6. 動作確認

Slide 6

Slide 6 text

1. Identity Domainのサービス・プロバイダ・メタデータのダウンロード Copyright © 2025, Oracle and/or its affiliates 6

Slide 7

Slide 7 text

1. Identity Domainのサービス・プロバイダ・メタデータのダウンロード Copyright © 2025, Oracle and/or its affiliates 7 1)OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。 テナント名(クラウド・アカウント名)を入力し「次に進む」を選択します。 アイデンティティ・ドメインの選択画面が表示される場合には、該当のドメインを選択し、「次」を選択します。 サインイン画面にて、該当ドメインのドメイン管理者の権限を持つユーザーの「ユーザー名」および「パスワード」を入力し、「サイン・イン」を 選択し、OCIコンソールにサインインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にサインインすることになります。 注意事項:OCIコンソールは既定で多要素認証が設定されておりますので、認証後に多要素認証による認証を行う場合があります。 ※環境によりドメイン選択画面は表示されません。

Slide 8

Slide 8 text

1. Identity Domainのサービス・プロバイダ・メタデータのダウンロード Copyright © 2025, Oracle and/or its affiliates 8 2)認証なしでサービス・プロバイダ・メタデータをダウンロードできるように設定を変更します。 OCI コンソール画面にて、左メニューより「アイデンティティとセキュリティ」を選択し、「ドメイン」を選択します。 3)アイデンティティ画面にて、コンパートメントで対象のコーパートメントを選択し、さらに対象のドメインを選択します。 ※自身で作成したコンパートメントおよびIdentity Domain(ドメイン)に設定する場合は、該当のコンパートメントおよびドメインを 選択します。

Slide 9

Slide 9 text

1. Identity Domainのサービス・プロバイダ・メタデータのダウンロード Copyright © 2025, Oracle and/or its affiliates 9 4)アイデンティティ・ドメイン画面にて、ドメイン情報からドメインURLの「コピー」を選択し、ドメインURLを控えておき、上部のメニューから 「設定」を選択します。 ※コピーしたドメインURLは後続の手順で利用します。 5)ドメインの設定画面にて、画面下にスクロールし、ドメイン設定-ロケールにある「ドメイン設定の編集」を選択します。

Slide 10

Slide 10 text

1. Identity Domainのサービス・プロバイダ・メタデータのダウンロード Copyright © 2025, Oracle and/or its affiliates 10 6)ドメイン設定の編集画面にて署名証明書へのアクセスの「クライアント・アクセスの構成」のチェックボックスを「オン」にし、「変更の保存」を 選択します。 7)ブラウザにて下記のURLにアクセスし、サービス・プロバイダ・メタデータをダウンロードし、適切な場所に保存します。 https://{Identity DomainのURL(項番1. Identity DomainのSAMLメタデータダウンロード 4)で控えたURL)}/fed/v1/metadata

Slide 11

Slide 11 text

2. Entra ID側でサービス・プロバイダの登録 Copyright © 2025, Oracle and/or its affiliates 11

Slide 12

Slide 12 text

2. Entra ID側でサービス・プロバイダの登録 Copyright © 2025, Oracle and/or its affiliates 12 1)Microsoft Entra管理センター(https://entra.microsoft.com)にアクセスします。 マイクロソフト サインイン画面にて、 Azureの管理者のID/パスワードを入力し、「次へ」を選択し、Microsoft Entra 管理センターに サインインします。 ※Azureの管理者とは以下のいずれかのロールを持つアカウントを示します。 グローバル管理者/クラウド・アプリケーション管理者/アプリケーション管理者 注意事項:Azureポータルは既定で多要素認証が設定されておりますので、認証後に多要素認証による認証を行う場合があります。

Slide 13

Slide 13 text

2. Entra ID側でサービス・プロバイダの登録 Copyright © 2025, Oracle and/or its affiliates 13 2)Microsoft Entra管理センター画面の左メニューで「ID」ー「アプリケーション」を選択します。 3) 「アプリケーション」から展開された「エンタープライズアプリケーション」を選択します。

Slide 14

Slide 14 text

2. Entra ID側でサービス・プロバイダの登録 Copyright © 2025, Oracle and/or its affiliates 14 4)エンタープライズアプリケーション画面にて、「新しいアプリケーション」を選択します。 5)Microsoft Entraギャラリーを参照する画面にて、アプリケーションを検索で、「Oracle Cloud Infrastructure Console」と入力し 検索、もしくはクラウドプラットフォームから「Oracle」を選択します。

Slide 15

Slide 15 text

2. Entra ID側でサービス・プロバイダの登録 Copyright © 2025, Oracle and/or its affiliates 15 6)Microsoft Entraギャラリーを参照する画面にて、「Oracle Cloud Infrastructure Console」を選択します。 7)Oracle Cloud Infrastructure Consoleの作成画面にて、「名前」に適切な値を入力し、「作成」を選択します。

Slide 16

Slide 16 text

2. Entra ID側でサービス・プロバイダの登録 Copyright © 2025, Oracle and/or its affiliates 16 8)作成されたエンタープライズアプリの概要画面にて、Getting Startedにある「2。シングル サインオンの設定」を選択、または、 左メニューから「シングル サインオン」を選択します。 9)シングルサインオン画面にて、「SAML」を選択します。

Slide 17

Slide 17 text

2. Entra ID側でサービス・プロバイダの登録 Copyright © 2025, Oracle and/or its affiliates 17 10) SAML ベースのサインオン画面にて、「メタデータ ファイルをアップロードする」を選択します。 11)ファイル選択部分にて項番 1. OCI IAM Identity Domainのサービス・プロバイダ・メタデータのダウンロード 6)にてダウンロードした Identity Domainサービス・プロバイダ・メタデータのファイルを指定し「追加」を選択します。

Slide 18

Slide 18 text

2. Entra ID側でサービス・プロバイダの登録 Copyright © 2025, Oracle and/or its affiliates 18 12)基本的な SAML 構成画面にて、サインオン URLに以下のURLを入力し、「保存」を選択し、「×」を選択し、画面を閉じます。 OCIコンソールにサインインしたい場合:https://cloud.oracle.com マイコンソールにサインインしたい場合: https:///ui/v1/myconsole

Slide 19

Slide 19 text

2. Entra ID側でサービス・プロバイダの登録 Copyright © 2025, Oracle and/or its affiliates 19 13)SAML ベースのサインオン画面にて、シングルサインオンをTest画面が表示されるので、「いいえ、後でTestします」を選択し、属性と クレームの「編集」を選択します。 14)属性とクレーム画面にて、クレーム名の「一意のユーザー識別子(名前 ID)」を選択します。

Slide 20

Slide 20 text

2. Entra ID側でサービス・プロバイダの登録 Copyright © 2025, Oracle and/or its affiliates 20 15)要求の管理画面にて、以下に示す内容に項目を変更し、「保存」を選択し、さらに「×」を選択し、要求と管理画面を閉じ、同様に 属性とクレーム画面も閉じます。 • 名前識別子の形式:電子メールアドレス • ソース:属性 • ソース属性:user.mail 16)SAML ベースのサインオン画面にて、SAML証明書の「フェデレーション メタデータ XML」の「ダウンロード」を選択し、メタデータを ダウンロードし、適切な場所に保存します。 ※ このメタデータは後続の手順で利用します。

Slide 21

Slide 21 text

2. Entra ID側でサービス・プロバイダの登録 Copyright © 2025, Oracle and/or its affiliates 21 17)Entra IDアプリケーションのテスト・ユーザーを作成します。 Microsoft Entra管理センター画面の左メニューで「ID」ー「ユーザー」を選択し、展開されたメニューから「すべてのユーザー」を選択し、 ユーザーを新規に作成します。 ※ユーザー作成時に、連絡先情報のメールアドレスにOCI IAM側のユーザーと同じメールアドレスを登録して下さい。

Slide 22

Slide 22 text

2. Entra ID側でサービス・プロバイダの登録 Copyright © 2025, Oracle and/or its affiliates 22 18)作成したユーザーを、作成したエンタープライズアプリケーションに割り当てます。 Microsoft Entra管理センター画面の左メニューで「ID」ー「アプリケーション」を選択し、展開されたメニューから 「エンタープライズアプリケーション」を選択します。 19)すべてのアプリケーション画面にて、作成したエンタープライズアプリケーションを選択します。

Slide 23

Slide 23 text

2. Entra ID側でサービス・プロバイダの登録 Copyright © 2025, Oracle and/or its affiliates 23 20)作成したエンタープライズアプリケーションの概要画面にて、Getting Startedにある「1。ユーザーとグループの割り当て」または、 左メニューにある管理の「ユーザーとグループ」を選択します。 21)ユーザーとグループ画面にて、「ユーザーまたはグループの追加」を選択します。

Slide 24

Slide 24 text

2. Entra ID側でサービス・プロバイダの登録 Copyright © 2025, Oracle and/or its affiliates 24 22)割り当ての追加画面にて、ユーザーの「選択されていません」を選択します。 23)ユーザー画面にて、すべてのユーザーが表示されるので、項番17)で作成したテスト用のユーザーを検索し、ユーザーの チェックボックスを選択し、さらに「選択」を選択します。

Slide 25

Slide 25 text

2. Entra ID側でサービス・プロバイダの登録 Copyright © 2025, Oracle and/or its affiliates 25 24)割り当ての追加画面にて、ユーザーに「1人のユーザーが選択されました。」が表示されている事を確認し、「割り当て」を選択します。 25)ユーザーとグループ画面に割り当てたユーザーが追加されている事を確認します。

Slide 26

Slide 26 text

3. Identity Domainでアイデンティティ・プロバイダの登録 Copyright © 2025, Oracle and/or its affiliates 26

Slide 27

Slide 27 text

3. Identity Domain側でアイデンティティ・プロバイダの登録 Copyright © 2025, Oracle and/or its affiliates 27 1)OCIコンソール( https://www.oracle.com/jp/cloud/sign-in.html )にアクセスします。 テナント名(クラウド・アカウント名)を入力し「次に進む」を選択します。 アイデンティティ・ドメインの選択画面が表示される場合には、該当のドメインを選択し、「次」を選択します。 サインイン画面にて、該当ドメインのドメイン管理者の権限を持つユーザーの「ユーザー名」および「パスワード」を入力し、「サイン・イン」を 選択し、OCIコンソールにサインインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にサインインすることになります。 注意事項:OCIコンソールは既定で多要素認証が設定されておりますので、認証後に多要素認証による認証を行う場合があります。 ※環境によりドメイン選択画面は表示されません。

Slide 28

Slide 28 text

3. Identity Domain側でアイデンティティ・プロバイダの登録 Copyright © 2025, Oracle and/or its affiliates 28 2)OCI コンソール画面にて、左メニューより「アイデンティティとセキュリティ」を選択し、「ドメイン」を選択します。 3)ドメイン画面にて、コンパートメントで対象のコーパートメントを選択し、さらに該当のドメインを選択します。 ※自身で作成したコンパートメントおよびIdentity Domain(ドメイン)に設定する場合は、該当のコンパートメントおよびドメインを 選択します。

Slide 29

Slide 29 text

3. Identity Domain側でアイデンティティ・プロバイダの登録 Copyright © 2025, Oracle and/or its affiliates 29 4)アイデンティティ・ドメインのドメインの概要画面にて、上部のメニューより、「フェデレーション」を選択します。 5)フェデレーションの画面にて、アイデンティティ・プロバイダの「アクション」を選択し、さらに「SAML IdPの追加」を選択します。

Slide 30

Slide 30 text

3. Identity Domain側でアイデンティティ・プロバイダの登録 Copyright © 2025, Oracle and/or its affiliates 30 6)SAMLアイデンティティ・プロバイダの追加画面にて「名前」、必要に応じて「説明」に適切な値を入力し、「次」を選択します。

Slide 31

Slide 31 text

3. Identity Domain側でアイデンティティ・プロバイダの登録 Copyright © 2025, Oracle and/or its affiliates 31 7)アイデンティティ・プロバイダのシングル・サインオン(SSO)の構成にて、「アイデンティティ・プロバイダ・メタデータのアップロード」の「ファイル をドロップするか選択」を選択し、項番 2.Entar ID側でサービス・プロバイダの登録 16)にてダウンロードしたメタデータを選択し、 「次」を選択します。

Slide 32

Slide 32 text

3. Identity Domain側でアイデンティティ・プロバイダの登録 Copyright © 2025, Oracle and/or its affiliates 32 8)ユーザー・アイデンティティのマップにて、各項目に下記の内容を指定し、「次」を選択します。 ・リクエストされた名前IDフォーマット:電子メール・アドレス ・アイデンティティ・プロバイダ・ユーザー属性:SAMLアサーション名ID ・アイデンティティ・ドメインユーザー属性:プライマリ電子メール・アドレス

Slide 33

Slide 33 text

3. Identity Domain側でアイデンティティ・プロバイダの登録 Copyright © 2025, Oracle and/or its affiliates 33 9)確認および作成にて、設定した内容を確認し、「IdPの作成」を選択します。

Slide 34

Slide 34 text

3. Identity Domain側でアイデンティティ・プロバイダの登録 Copyright © 2025, Oracle and/or its affiliates 34 10)アイデンティティ・プロバイダ( IdP )にて、先ほど作成したアイデンティティ・プロバイダが非アクティブ状態で追加されたことを 確認します。

Slide 35

Slide 35 text

4. Identity Domainでアイデンティティ・プロバイダのアクティブ化 Copyright © 2025, Oracle and/or its affiliates 35

Slide 36

Slide 36 text

4. Identity Domain側でアイデンティティ・プロバイダのアクティブ化 Copyright © 2025, Oracle and/or its affiliates 36 1)後述の「ログインテスト」を行う為に項番 2. Enta ID側でサービス・プロバイダの登録 17)にてEntra IDで作成したユーザーと同一の ユーザーをIdentity Domain側に作成します。 アイデンティティ・ドメインの概要画面にて、上部のメニューより、「ユーザー管理」を選択し、ユーザー画面にて「作成」を選択します。 ユーザーの作成画面にてユーザーを作成する為の適切な値を入力し、「作成」を選択します。 ※Entra IDの属性:メールとIdentity Domainの属性:電子メール・アドレスが同じ値になるように作成します。

Slide 37

Slide 37 text

4. Identity Domain側でアイデンティティ・プロバイダのアクティブ化 Copyright © 2025, Oracle and/or its affiliates 37 2)アイデンティティ・ドメインの概要画面にて、上部のメニューより、「フェデレーション」を選択し、アイデンティティ・プロバイダにて、項番 3. Identity Domain側でアイデンティティ・プロバイダの登録 11)で作成したアイデンティティ・プロバイダ名を選択します。

Slide 38

Slide 38 text

4. Identity Domain側でアイデンティティ・プロバイダのアクティブ化 Copyright © 2025, Oracle and/or its affiliates 38 3)アイデンティティ・プロバイダの画面にて「アクション」を選択し、「ログインのテスト」を選択します。 4)マイクロソフト サインイン画面にて、項番 2. Entra ID側でサービス・プロバイダの登録 17)にてEntra ID上で作成したユーザー ID/パスワードを入力し、「サインイン」を選択し、接続に成功した旨のメッセージが表示されることを確認し、画面を閉じます。 ※Entra IDの認証において多要素認証が求められる場合があります。

Slide 39

Slide 39 text

4. Identity Domain側でアイデンティティ・プロバイダのアクティブ化 Copyright © 2025, Oracle and/or its affiliates 39 5)アイデンティティ・プロバイダの画面にて「アクション」を選択し、「IdPのアクティブ化」を選択します。 6)アイデンティティ・プロバイダのアクティブ化の画面にて「IdPのアクティブ化」を選択します。

Slide 40

Slide 40 text

4. Identity Domain側でアイデンティティ・プロバイダのアクティブ化 Copyright © 2025, Oracle and/or its affiliates 40 7)アイデンティティ・プロバイダがアクティブ化されたことを確認します。

Slide 41

Slide 41 text

5. Identity Domain側でIdPポリシーの定義 Copyright © 2025, Oracle and/or its affiliates 41

Slide 42

Slide 42 text

5. Identity Domain側でIdPポリシーの定義 Copyright © 2025, Oracle and/or its affiliates 42 1)OCIコンソールにサインインする際、今回、作成したアイデンティティ・プロバイダを選択して利用できるようにするためIdPポリシーの定義を 行います。 アイデンティティ・ドメインの概要画面にて、上部のメニューより、「フェデレーション」を選択し、を選択し、「Default Identity Provider Policy」を選択します。 2)Default Identity Provider Policy画面にて、アイデンティティ・プロバイダ・ルールの「IdPルールの追加」を選択します。 ※「Default Identity Provider Policy」には「Default IdP Rule」というルールが既定で 作成されています。 この「Default IdP Rule」を直接編集することも可能ですが、運用の中にデフォルト状態に戻す事も 想定し、「Default IdP Rule」は編集せずにデフォルトの状態のままにしておくことをお勧めします。

Slide 43

Slide 43 text

5. Identity Domain側でIdPポリシーの定義 Copyright © 2025, Oracle and/or its affiliates 43 3)アイデンティティ・プロバイダ・ルールの追加画面にて、「ルール名」に適切な値を入力し、アイデンティティ・プロバイダの割当てにて 項番3. Identity Domain側でアイデンティティ・プロバイダの登録にて作成したアイデンティティ・プロバイダ(今回の場合、 「IdP_EntraID」)と「Username-Password」を選択し、「IdPルールの追加」を選択します。 ※アイデンティティ・プロバイダに設定した「Username-Password」はIdentity Domainのローカル認証のことを指します。

Slide 44

Slide 44 text

5. Identity Domain側でIdPポリシーの定義 Copyright © 2025, Oracle and/or its affiliates 44 4)Default Identity Provider Policy画面にて、 アイデンティティ・プロバイダ・ルールのアクションを選択し、「IdPルール優先度の 編集」を選択します。 5)IdPルール優先度の編集画面にて、Default IDP Ruleの優先度を「2」に、本章の項番3)で作成したアイデンティティ・プロバイダの 優先度を「1」に設定し、「変更の保存」を選択します。

Slide 45

Slide 45 text

5. Identity Domain側でIdPポリシーの定義 Copyright © 2025, Oracle and/or its affiliates 45 6)Default Identity Provider Policy画面のアイデンティティ・プロバイダ・ルールにて、本章の項番3)で作成したアイデンティティ・ プロバイダの優先度が「1」になっている事を確認します。

Slide 46

Slide 46 text

6. 動作確認 Copyright © 2025, Oracle and/or its affiliates 46

Slide 47

Slide 47 text

6. 動作確認 Copyright © 2025, Oracle and/or its affiliates 47 1)OCI コンソール( https://www.oracle.com/jp/cloud/sign-in.html )にアクセスします。 テナント名(クラウド・アカウント名)を入力し、「次に進む」を選択します。 アイデンティティ・ドメインの選択画面が表示される場合には、該当のドメインを選択し、「次」を選択します。 ※ ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“ Default ドメイン”にサインインすることになります。 注意事項:OCIコンソールは既定で多要素認証が設定されておりますので、認証後に多要素認証による認証を行う場合があります。 2)アイデンティティ・ドメインのサインイン画面の下部に今回作成した、 アイデンティティ・プロバイダが表示され選択ができることを確認し、 「アイデンティティ・プロバイダ」を選択します。 ※環境によりドメイン選択画面は表示されません。

Slide 48

Slide 48 text

6. 動作確認 Copyright © 2025, Oracle and/or its affiliates 48 3)マイクロソフトのサインイン画面にて、項番 2. Entra ID側でサービス・プロバイダの登録 17)にてEntra ID上で作成した ユーザーID/パスワードを入力し、「サインイン」を選択します。 項番 4. Identity Domain側でアイデンティティ・プロバイダのアクティブ化 1)で作成されたユーザーでOCIコンソールにサインイン できていることを確認します。 ※Entra IDの認証において多要素認証が求められる場合があります。

Slide 49

Slide 49 text

(オプション) Entra IDからIdentity DomainへのID情報同期 Copyright © 2025, Oracle and/or its affiliates 49

Slide 50

Slide 50 text

OCI IAM Identity DomainsとEntra ID間でのIDプロビジョニング検証 Copyright © 2025, Oracle and/or its affiliates 50 本資料はEntra IDとIdentity DomainとのID同期の設定手順書となります。 ここでは、Entra IDからIdentity DomainにPushによるID情報の同期の設定手順について記載しています。 ※ 対象Entra IDは構築済みが前提となります。 本資料は、以下のサイトに記載されている内容をベースに作成しており、最新の情報は以下のサイトをご確認下さい。 https://docs.oracle.com/ja-jp/iaas/Content/Identity/tutorials/azure_ad/lifecycle_azure/azure_lifecycle.htm OCI IAM Identity Domains Microsoft Entra ID Entra ID → Identity Domain ID情報同期 (Entra ID側からのPushによる同期)

Slide 51

Slide 51 text

Entra IDからIdentity DomainにPushするID情報の同期 Copyright © 2025, Oracle and/or its affiliates 51

Slide 52

Slide 52 text

手順概要 Copyright © 2025, Oracle and/or its affiliates 52 1. Identity Domain側でSCIMインターフェース設定(機密アプリケーション登録) 2. Entra ID側でプロビジョニング設定 3. 動作確認

Slide 53

Slide 53 text

1. Identity Domain側でSCIMインターフェースの設定 (機密アプリケーション登録) Copyright © 2025, Oracle and/or its affiliates 53

Slide 54

Slide 54 text

1. Identity Domain側でSCIMインターフェースの設定 (機密アプリケーション登録) Copyright © 2025, Oracle and/or its affiliates 54 1)OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。 テナント名(クラウド・アカウント名)を入力し「次に進む」を選択します。 アイデンティティ・ドメインの選択画面が表示される場合には、該当のドメインを選択し、「次」を選択します。 サインイン画面にて、該当ドメインのドメイン管理者の権限を持つユーザーの「ユーザー名」および「パスワード」を入力し、「サイン・イン」を 選択し、OCIコンソールにサインインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にサインインすることになります。 注意事項:OCIコンソールは既定で多要素認証が設定されておりますので、認証後に多要素認証による認証を行う場合があります。 ※環境によりドメイン選択画面は表示されません。

Slide 55

Slide 55 text

1. Identity Domain側でSCIMインターフェースの設定 (機密アプリケーション登録) Copyright © 2025, Oracle and/or its affiliates 55 2)OCI コンソール画面にて、左メニューより「アイデンティティとセキュリティ」を選択し、「ドメイン」を選択します。 3)ドメイン画面にて、コンパートメントで対象のコーパートメントを選択し、さらに該当のドメインを選択します。 ※自身で作成したコンパートメントおよびIdentity Domain(ドメイン)に設定する場合は、該当のコンパートメントおよびドメインを 選択します。

Slide 56

Slide 56 text

1. Identity Domain側でSCIMインターフェースの設定 (機密アプリケーション登録) Copyright © 2025, Oracle and/or its affiliates 56 4)対象のドメイン画面にて、詳細からドメインURLの「コピー」を選択し、ドメインのURLを控えておき、上部のメニューから 「統合アプリケーション」を選択します。 ※コピーしたドメインURLは後続の手順で利用します。 5)統合アプリケーション画面にて、「アプリケーションの追加」を選択します。

Slide 57

Slide 57 text

1. Identity Domain側でSCIMインターフェースの設定 (機密アプリケーション登録) Copyright © 2025, Oracle and/or its affiliates 57 6)アプリケーションの追加画面にて「機密アプリケーション」を選択し、「ワークフローの起動」を選択します。

Slide 58

Slide 58 text

1. Identity Domain側でSCIMインターフェースの設定 (機密アプリケーション登録) Copyright © 2025, Oracle and/or its affiliates 58 7)機密アプリケーションの追加画面にて、「名前」、「説明」に適当な値を入力し、「送信」を選択します。

Slide 59

Slide 59 text

1. Identity Domain側でSCIMインターフェースの設定 (機密アプリケーション登録) Copyright © 2025, Oracle and/or its affiliates 59 8)作成した機密アプリケーションの画面にて、上部のメニューから「OAuth構成」を選択し、リソース・サーバー構成の「OAuth構成の 編集」を選択します。 9)OAuth構成の編集画面にて、リソース・サーバー構成は既定で設定されている「リソース・サーバー構成がありません」を選択し、 クライアント構成は「このアプリケーションをクライアントとして今すぐ構成します」を選択します。

Slide 60

Slide 60 text

1. Identity Domain側でSCIMインターフェースの設定 (機密アプリケーション登録) Copyright © 2025, Oracle and/or its affiliates 60 10)「このアプリケーションをクライアントとして今すぐ構成します」を選択する事で展開されたOAuth構成の編集画面にて、認可の許可 される権限付与タイプにて、 「クライアント資格証明」をチェックします。 11)画面を下にスクロールし、クライアントタイプで「機密」、さらにトークン発行ポリシーの認可されたリソースにて「機密」を選択します。

Slide 61

Slide 61 text

1. Identity Domain側でSCIMインターフェースの設定 (機密アプリケーション登録) Copyright © 2025, Oracle and/or its affiliates 61 12)画面を下にスクロールし、トークン発行ポリシーのアプリケーション・ロールの追加を選択し有効化し、「アプリケーション・ロールの追加」を 選択します。 13)アプリケーション・ロールの追加画面にて名前が「User Administrator」のチェックボックスを選択し、「追加」を選択します。

Slide 62

Slide 62 text

1. Identity Domain側でSCIMインターフェースの設定 (機密アプリケーション登録) Copyright © 2025, Oracle and/or its affiliates 62 14) OAuth構成の編集画面のアプリケーション・ロールに「User Administrator」が追加されたことを確認し、「送信」を選択します。

Slide 63

Slide 63 text

1. Identity Domain側でSCIMインターフェースの設定 (機密アプリケーション登録) Copyright © 2025, Oracle and/or its affiliates 63 15)作成した機密アプリケーションの画面にて、作成した機密アプリケーションの画面にて「アクティブ化」を選択します。 16)アプリケーションのアクティブ化画面にて、 アプリケーションのアクティブ化を選択します。

Slide 64

Slide 64 text

1. Identity Domain側でSCIMインターフェースの設定 (機密アプリケーション登録) Copyright © 2025, Oracle and/or its affiliates 64 17)作成した機密アプリケーションの画面にて、アクティブ化された事を確認します。 18)一般情報にある「クライアントID」と「クライアント・シークレット」の「・・・」を選択し、表示されたメニューから「コピー」を選択し、クライアント IDとクライアント・シークレットを控えます。 ※控えた「クライアントID」と「クライアント・シークレット」は後続の手順で利用します。

Slide 65

Slide 65 text

1. Identity Domain側でSCIMインターフェースの設定 (機密アプリケーション登録) Copyright © 2025, Oracle and/or its affiliates 65 19)PC上でテキストエディタを開き、本章の項番18)で控えた「クライアントID」と「クライアント・シークレット」を以下の形式で作成し 保存します。 {クライアントID}:{クライアント・シークレット} ※作成時に改行がされていない事にご注意ください。 20)PC上でコマンドプロンプトを開き、以下のコマンドを実行し、上記で作成したファイル(クライアント ID:クライアント・シークレット)を 以下のコマンドを利用して、Base64でエンコードし、ファイルに保存します。 certutil -encode {上記にて作成したテキストファイル名} {Base64エンコード後のファイル名} ※エンコードされたファイルは後続の手順で利用します。 ※certutilは、Windows環境で提供されているコマンドラインプログラムです。

Slide 66

Slide 66 text

2. Entra ID側でプロビジョニング設定 Copyright © 2025, Oracle and/or its affiliates 66

Slide 67

Slide 67 text

2. Entra ID側でサービス・プロバイダの登録 Copyright © 2025, Oracle and/or its affiliates 67 1)Microsoft Entra管理センター(https://entra.microsoft.com)にアクセスします。 マイクロソフト サインイン画面にて、 Azureの管理者のID/パスワードを入力し、「サインイン」を選択し、Microsoft Entra 管理センターにサインインします。 ※Azureの管理者とは以下のいずれかのロールを持つアカウントを示します。 グローバル管理者/クラウド・アプリケーション管理者/アプリケーション管理者 注意事項:Azureポータルは既定で多要素認証が設定されておりますので、認証後に多要素認証による認証を行う場合があります。

Slide 68

Slide 68 text

2. Entra ID側でサービス・プロバイダの登録 Copyright © 2025, Oracle and/or its affiliates 68 2)Microsoft Entra管理センター画面の左メニューで「ID」ー「アプリケーション」を選択します。 3) 「アプリケーション」から展開された「エンタープライズアプリケーション」を選択します。

Slide 69

Slide 69 text

2. Entra ID側でサービス・プロバイダの登録 Copyright © 2025, Oracle and/or its affiliates 69 4)エンタープライズアプリケーション画面にて、「新しいアプリケーション」を選択します。 ※第1章の認証連携で作成したアプリケーションを選択して利用する事もできますが、はじめての場合は、別のアプリケーションを新規に 作成することを推奨します。 5)Microsoft Entraギャラリーを参照する画面にて、アプリケーションを検索で、「Oracle Cloud Infrastructure Console」と入力し 検索、もしくはクラウドプラットフォームから「Oracle」を選択します。

Slide 70

Slide 70 text

2. Entra ID側でサービス・プロバイダの登録 Copyright © 2025, Oracle and/or its affiliates 70 6)Microsoft Entraギャラリーを参照する画面にて、「Oracle Cloud Infrastructure Console」を選択します。 7)Oracle Cloud Infrastructure Consoleの作成画面にて、「名前」に適切な値を入力し、「作成」を選択します。

Slide 71

Slide 71 text

2. Entra ID側でプロビジョニング設定 Copyright © 2025, Oracle and/or its affiliates 71 7)作成したエンタープライズアプリケーションの概要画面にて、Getting Startedにある「3。ユーザーアカウントのプロビジョニング」、または 左メニューから「プロビジョニング」を選択し、さらに「作業の開始」を選択します。

Slide 72

Slide 72 text

2. Entra ID側でプロビジョニング設定 Copyright © 2025, Oracle and/or its affiliates 72 8)プロビジョニング画面にてプロビジョニングモードを「自動」に 指定します。 管理者資格情報を以下の様に登録し、「テスト接続」を 選択します。 ・テナントのURL: 項番1. Identity Domain側でSCIMインターフェースの 設定(機密アプリケーション登録)4)にて控えたドメインの URLに「/admin/v1」を付けた値を入力します。 <対象ドメインのURL>/admin/v1 例)https://idcs-xxxx.identity. oraclecloud.com/admin/v1 ・シークレット・トークン: 項番1. Identity Domain側でSCIMインターフェースの 設定(機密アプリケーション登録)20)にてBase64で エンコードしたファイル」の値を入力します。 ※Base64エンコードしたファイルを開き、途中の改行は削除した 値を入力します。

Slide 73

Slide 73 text

2. Entra ID側でプロビジョニング設定 Copyright © 2025, Oracle and/or its affiliates 73 9)テスト接続が成功したメッセージが表示されていることを確認し、「保存」を選択します。

Slide 74

Slide 74 text

2. Entra ID側でプロビジョニング設定 Copyright © 2025, Oracle and/or its affiliates 74 10)「マッピング」を展開する事で、グループおよびユーザーの属性マッピングの定義を編集する事ができます。 グループの属性マッピングを変更する場合は「Provisioning Entra ID Groups」を選択します。 11)属性マッピング画面が表示されるので必要に応じて設定を行い、設定後「×」を選択し画面を閉じます。

Slide 75

Slide 75 text

2. Entra ID側でプロビジョニング設定 Copyright © 2025, Oracle and/or its affiliates 75 12)ユーザーの属性マッピングを変更する場合は「Provisioning Entra ID Users」を選択します。 ※本章では、同期されるユーザーは、外部IdPからのみ認証されるフェデレーテッドユーザーとして構成し、さらにユーザーの作成および 更新時に送付される通知メールを停止する設定を実施します。 13)属性マッピング画面が表示されます。

Slide 76

Slide 76 text

14)属性マッピング画面にて下までスクロールし、「新しいマッピングの追加」を選択します。 15)属性の編集画面にて、フェデレーテッドユーザーの構成をする為、以下の設定を行い、「OK」を選択します。 マッピングの種類:「式」を選択 式:「CBool("true")」を入力 対象の属性:「urn:ietf:params:scim:schemas:oracle:idcs: extension:user:User:isFederatedUser」を選択 2. Entra ID側でプロビジョニング設定 Copyright © 2025, Oracle and/or its affiliates 76

Slide 77

Slide 77 text

16)先ほど設定した属性マッピングが追加されている事を確認し、再度「新しいマッピングの追加」を選択します。 17)属性の編集画面にて、ユーザーの作成および変更時の通知メールを停止する構成をする為、以下の設定を行い、「OK」を選択します。 マッピングの種類:「式」を選択 式:「CBool("true")」を入力 対象の属性:「urn:ietf:params:scim:schemas:oracle:idcs: extension:user:User:bypassNotification」を選択 2. Entra ID側でプロビジョニング設定 Copyright © 2025, Oracle and/or its affiliates 77

Slide 78

Slide 78 text

18)先ほど設定した属性マッピングが追加されている事を確認し、「保存」を選択し、さらに変更の保存画面にて「はい」を選択し、 「×」を選択し属性マッピング画面を閉じます。 19)プロビジョニング画面にて「設定」を展開し、範囲にて「割り当てられたユーザーとグループのみを同期する」を選択します。 ※「割り当てられたユーザーとグループのみを同期する」でエンタープライスアプリケーションに割り当てられたユーザーまたはグループが 同期されます。 プロビジョニング状態を「オン」にし、「保存」を選択し、プロビジョニング画面を閉じます。 2. Entra ID側でプロビジョニング設定 Copyright © 2025, Oracle and/or its affiliates 78

Slide 79

Slide 79 text

3. 動作確認 Copyright © 2025, Oracle and/or its affiliates 79

Slide 80

Slide 80 text

3. 動作確認 Copyright © 2025, Oracle and/or its affiliates 80 1)Microsoft Entra管理センター画面の左メニューで「ID」ー「アプリケーション」を選択し、展開されたメニューから 「エンタープライズアプリケーション」を選択します。 2)エンタープライズアプリケーション画面にて、前章にてプロビジョニングの設定を行った エンタープライズアプリケーションを選択します。

Slide 81

Slide 81 text

3. 動作確認 Copyright © 2025, Oracle and/or its affiliates 81 3)作成したエンタープライズアプリケーションの概要画面にて、Getting Startedにある「1。ユーザーとグループの割り当て」または、 左メニューにある管理の「ユーザーとグループ」を選択します。 4)エンタープライズアプリケーションのユーザーとグループ画面にて「ユーザーまたはグループの追加」を選択します。

Slide 82

Slide 82 text

3. 動作確認 Copyright © 2025, Oracle and/or its affiliates 82 5)割り当ての追加画面にて、ユーザーの「選択されていません」を選択します。 6)ユーザー画面にて、すべてのユーザーが表示されるので同期対象のユーザーのチェックボックスを選択し、さらに「選択」を選択します。

Slide 83

Slide 83 text

3. 動作確認 Copyright © 2025, Oracle and/or its affiliates 83 7)割り当ての追加画面にて、「割り当て」を選択します。 8)選択したグループとユーザーが追加されている事を確認し、左メニューから「プロビジョニング」を選択します。

Slide 84

Slide 84 text

3. 動作確認 Copyright © 2025, Oracle and/or its affiliates 84 9)エンタープライズアプリケーションの概要画面にて、同期が行われている事を確認します。 ※「プロビジョニングの停止」を選択し、「プロビジョニングの開始」を選択すると同期が再実行されます。 「プロビジョニング ログの表示」を選択すると、プロビジョニングログを確認する事ができます。

Slide 85

Slide 85 text

3. 動作確認 Copyright © 2025, Oracle and/or its affiliates 85 10)OCI コンソールにてEntra IDからIdentity Domainに同期されたユーザーおよび同期されたユーザーの属性を確認します。 アイデンティティ・ドメインのドメインの概要画面にて、上部のメニューより、「ユーザー情報」を選択し、Entra IDで設定されユーザーが 同期されている事を確認します。 さらに、同期されたユーザーを選択し、「フェデレーテッド」属性が「はい」と設定されている事を確認します。

Slide 86

Slide 86 text

No content