OCI IAM Identity Domains Entra IDとの認証連携（外部IdP連携）・ID同期 設定手順 日本オラクル株式会社 2024年03月29日 

Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、 情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以 下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買 決定を行う際の判断材料になさらないで下さい。 オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊 社の裁量により決定され、変更される可能性があります。 Copyright © 2024, Oracle and/or its affiliates 2 

Identity DomainとEntra IDとの認証連携（外部IdP連携） 手順概要 1. Identity Domainのサービス・プロバイダ・メタデータのダウンロード 2. Entra ID側でサービス・プロバイダの登録 3. Identity Domain側でアイデンティティ・プロバイダの登録 4. Identity Domain側でアイデンティティ・プロバイダアクティブ化 5. Identity Domain側でIdPポリシーの定義 6. 動作確認 （オプション）Entra IDからIdentity DomainへのID情報の同期 手順概要 1. Identity Domain側でSCIMインターフェース設定（機密アプリケーション登録） 2. Entra ID側でプロビジョニング設定 3. 動作確認 アジェンダ Copyright © 2024, Oracle and/or its affiliates 3 ※本資料は2024年3月現在の仕様に基づき作成しております。 

OCI IAM Identity DomainsとEntra IDとの認証連携（外部IdP連携） Copyright © 2024, Oracle and/or its affiliates 4 本手順書は下記構成を実現するためのMicrosoft Entra ID（以下、Entra ID、旧称：Azure Active Directory）とOCI IAM Identity Domains（以下、Identity Domain）との認証連携（外部IdP連携）設定手順書になります。 ※ 対象Entra IDは構築済みが前提となります。 参考資料 https://docs.oracle.com/ja-jp/iaas/Content/Identity/tutorials/azure_ad/sso_azure/azure_sso.htm OCI IAM Identity Domains IdP SAML 認証連携（外部 IdP 連携） ＜オプション＞ Entra ID → Identity Domain ID情報同期 （Entra ID側からのPushによる同期） SP 利用者 Entra IDのID/パスワードでサインイン （Entra IDのサインイン画面にリダイレクト） アプリ アプリ アプリ IdP SP SP SP Entra IDの属性「user.mail」と Identity Domainの属性「プリンシパル電子メールアドレス」でユーザーマッピング Microsoft Entra ID 

手順概要 Copyright © 2024, Oracle and/or its affiliates 5 1. Identity Domainのサービス・プロバイダ・メタデータのダウンロード 2. Entra ID側でサービス・プロバイダの登録 3. Identity Domain側でアイデンティティ・プロバイダの登録 4. Identity Domain側でアイデンティティ・プロバイダアクティブ化 5. Identity Domain側でIdPポリシーの定義 6. 動作確認 

1. Identity Domainのサービス・プロバイダ・メタデータのダウンロード Copyright © 2024, Oracle and/or its affiliates 6 

1. Identity Domainのサービス・プロバイダ・メタデータのダウンロード Copyright © 2024, Oracle and/or its affiliates 7 1）OCIコンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。 テナント名（クラウド・アカウント名）を入力し「次に進む」を選択します。 アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメインを選択し、「次」を選択します。 サインイン画面にて、OCI管理者のID/パスワードを入力し、「サイン・イン」を選択しOCIコンソールにサインインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にサインインすることになります。 注意事項：OCIコンソールは既定で多要素認証が設定されておりますので、認証後に多要素認証による認証を行う場合があります。 ※環境によりドメイン選択画面は表示されません。 

1. Identity Domainのサービス・プロバイダ・メタデータのダウンロード Copyright © 2024, Oracle and/or its affiliates 8 2）認証なしでサービス・プロバイダ・メタデータをダウンロードできるように設定を変更します。 OCI コンソール画面にて、左メニューより「アイデンティティとセキュリティ」を選択し、「ドメイン」を選択します。 3）アイデンティティ画面にて、コンパートメントで対象のコーパートメントを選択し、さらに対象のドメインを選択します。 ※自身で作成したコンパートメントおよびIdentity Domain（ドメイン）に設定する場合は、該当のコンパートメントおよびドメインを 選択します。 

1. Identity Domainのサービス・プロバイダ・メタデータのダウンロード Copyright © 2024, Oracle and/or its affiliates 9 4）アイデンティティ・ドメイン画面にて、ドメイン情報からドメインURLのコピーを選択し、ドメインURLを控えておき、左のメニューから 「設定」を選択します。 ※コピーしたドメインURLは後続の手順で利用します。 5）ドメイン設定画面にて、署名証明書へのアクセスの「クライアント・アクセスの構成」をチェックし、「変更の保存」を選択します。 

1. Identity Domainのサービス・プロバイダ・メタデータのダウンロード Copyright © 2024, Oracle and/or its affiliates 10 6）ブラウザにて下記のURLにアクセスし、サービス・プロバイダ・メタデータをダウンロードし、適切な場所に保存します。 https://{Identity DomainのURL（項番1. Identity DomainのSAMLメタデータダウンロード 4）で控えたURL）}/fed/v1/metadata 

2. Entra ID側でサービス・プロバイダの登録 Copyright © 2024, Oracle and/or its affiliates 11 

2. Entra ID側でサービス・プロバイダの登録 Copyright © 2024, Oracle and/or its affiliates 12 1）Azureポータル（ https://portal.azure.com ）にアクセスします。 マイクロソフト サインイン画面にて、 Azureの管理者のID/パスワードを入力し、「サインイン」を選択し、Azure ポータルに サインインします。 ※Azureの管理者とは以下のいずれかのロールを持つアカウントを示します。 グローバル管理者/クラウド・アプリケーション管理者/アプリケーション管理者 注意事項：Azureポータルは既定で多要素認証が設定されておりますので、認証後に多要素認証による認証を行う場合があります。 

2. Entra ID側でサービス・プロバイダの登録 Copyright © 2024, Oracle and/or its affiliates 13 2）Azure ポータル画面で「Microsoft Entra ID」を選択します。 ※画面にEntra IDが表示されていない場合はハンバーガーメニューを選択し、表示されたメニューもしくは、検索からEntra IDを 指定します。 3）既定のディレクトリ 概要画面にて、左メニューから「エンタープライズアプリケーション」を選択します。 

2. Entra ID側でサービス・プロバイダの登録 Copyright © 2024, Oracle and/or its affiliates 14 4）エンタープライズアプリケーション画面にて、「新しいアプリケーション」を選択します。 5）アプリケーションを検索で、「Oracle Cloud Infrastructure Console」と入力、もしくはクラウド プラットフォームから「Oracle」を 選択し、「Oracle Cloud Infrastructure Console」を選択します。 

2. Entra ID側でサービス・プロバイダの登録 Copyright © 2024, Oracle and/or its affiliates 15 6）Oracle Cloud Infrastructure Consoleの作成画面にて、「名前」に適切な値を入力し、「作成」を選択します。 

2. Entra ID側でサービス・プロバイダの登録 Copyright © 2024, Oracle and/or its affiliates 16 7）作成された エンタープライズアプリ画面の左メニューから「シングルサインオン」を選択します。 8）シングルサインオン画面にて、「SAML」を選択します。 

2. Entra ID側でサービス・プロバイダの登録 Copyright © 2024, Oracle and/or its affiliates 17 9） SAML ベースのサインオン画面にて、「メタデータファイルをアップロードする」を選択します。 10）ファイル選択部分にて項番 1. OCI IAM Identity Domainのサービス・プロバイダ・メタデータのダウンロード 6）にてダウンロードした Identity Domainサービス・プロバイダ・メタデータのファイルを指定し「追加」を選択します。 

2. Entra ID側でサービス・プロバイダの登録 Copyright © 2024, Oracle and/or its affiliates 18 11）基本的な SAML 構成画面が開きます。 12）基本的な SAML 構成画面にて、サインオン URLに以下のURLを入力し、「保存」を選択し、「×」を選択し、画面を閉じます。 OCIコンソールにサインインしたい場合：https://cloud.oracle.com マイコンソールにサインインしたい場合： https:///ui/v1/myconsole 

2. Entra ID側でサービス・プロバイダの登録 Copyright © 2024, Oracle and/or its affiliates 19 13）属性とクレームの「編集」を選択します。 14）属性とクレーム画面にて、クレーム名「一意のユーザー識別子（名前 ID）」を選択します。 

2. Entra ID側でサービス・プロバイダの登録 Copyright © 2024, Oracle and/or its affiliates 20 15）要求の管理画面にて、以下の項目を変更し、「保存」を選択し、さらに属性とクレーム画面も閉じます。 • 名前識別子の形式：電子メールアドレス • ソース：属性 • ソース属性：user.mail 16）SAML ベースのサインオン画面にて、SAML証明書の「フェデレーション メタデータ XML」の「ダウンロード」を選択し、メタデータを ダウンロードし、適切な場所に保存します。 ※ このメタデータは後続の手順で利用します。 

2. Entra ID側でサービス・プロバイダの登録 Copyright © 2024, Oracle and/or its affiliates 21 17）Azure ポータルの既定のディレクトリ 概要画面にて 、左メニューから「ユーザー」を選択し、ユーザーを作成します。 

2. Entra ID側でサービス・プロバイダの登録 Copyright © 2024, Oracle and/or its affiliates 22 18）作成したユーザーを、作成したエンタープライズアプリケーションに割り当てるため、 既定のディレクトリ 概要画面にて、左メニューから 「エンタープライズアプリケーション」を選択します。 19）すべてのアプリケーション画面にて、作成したエンタープライズアプリケーションを選択します。 

2. Entra ID側でサービス・プロバイダの登録 Copyright © 2024, Oracle and/or its affiliates 23 20）作成したエンタープライズアプリケーション画面の左メニューから「ユーザーとグループ」を選択し、「ユーザーまたはグループの追加」を 選択します。 21）ユーザー部分の「選択されていません」を選択し、右側ペインより、項番17）で作成したユーザーを選択し「選択」を選択します。 

2. Entra ID側でサービス・プロバイダの登録 Copyright © 2024, Oracle and/or its affiliates 24 22）割り当ての追加画面にて、「割り当て」を選択します。 23）ユーザーとグループ画面に割り当てたユーザーが追加されている事を確認します。 

3. Identity Domainでアイデンティティ・プロバイダの登録 Copyright © 2024, Oracle and/or its affiliates 25 

3. Identity Domain側でアイデンティティ・プロバイダの登録 Copyright © 2024, Oracle and/or its affiliates 26 1）OCIコンソール（ https://www.oracle.com/jp/cloud/sign-in.html ）にアクセスします。 テナント名（クラウド・アカウント名）を入力し「次に進む」を選択します。 アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメインを選択し、「次」を選択します。 サインイン画面にて、OCI管理者のID/パスワードを入力し、「サイン・イン」を選択しOCIコンソールにサインインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にサインインすることになります。 注意事項：OCIコンソールは既定で多要素認証が設定されておりますので、認証後に多要素認証による認証を行う場合があります。 ※環境によりドメイン選択画面は表示されません。 

3. Identity Domain側でアイデンティティ・プロバイダの登録 Copyright © 2024, Oracle and/or its affiliates 27 2）OCI コンソール画面にて、左メニューより「アイデンティティとセキュリティ」を選択し、「ドメイン」を選択します。 3）アイデンティティ画面にて、コンパートメントで対象のコーパートメントを選択し、さらに対象のドメインを選択します。 ※自身で作成したコンパートメントおよびIdentity Domain（ドメイン）に設定する場合は、該当のコンパートメントおよびドメインを 選択します。 

3. Identity Domain側でアイデンティティ・プロバイダの登録 Copyright © 2024, Oracle and/or its affiliates 28 4）アイデンティティ・ドメインのドメインの概要画面にて、左メニューより、「セキュリティ」を選択します。 5）セキュリティ画面にて、左メニューより、「アイデンティティ・プロバイダ」を選択し、「IdPの追加」を選択し、さらに「SAML IdPの追加」を 選択します。 

3. Identity Domain側でアイデンティティ・プロバイダの登録 Copyright © 2024, Oracle and/or its affiliates 29 6）SAMLアイデンティティ・プロバイダの追加画面にて、「名前」、「説明」に適切な値を入力し、「次」を選択します。 7）アイデンティティ・プロバイダのシングル・サインオン（SSO）の構成にて、「IdPメタデータのインポート」を選択し、「アイデンティティ・ プロバイダ・メタデータのアップロード」に項番 2.Entar ID側でサービス・プロバイダの登録 16）にてダウンロードしたメタデータを アップロードし、「次」を選択します。 

3. Identity Domain側でアイデンティティ・プロバイダの登録 Copyright © 2024, Oracle and/or its affiliates 30 8）ユーザー・アイデンティティのマップにて、各項目に下記内容を指定し、「次」を選択します。 ・リクエストされた名前IDフォーマット：電子メール・アドレス ・アイデンティティ・プロバイダ・ユーザー属性：SAMLアサーション名ID ・アイデンティティ・ドメインユーザー属性：プライマリ電子メール・アドレス 9）確認および作成にて、設定した内容を確認していただき、「IdPの作成」を選択します。 

3. Identity Domain側でアイデンティティ・プロバイダの登録 Copyright © 2024, Oracle and/or its affiliates 31 10）次の手順にて、「閉じる」を選択します。 11）セキュリティ画面のアイデンティティ・プロバイダ（ IdP ）にて、先ほど作成したアイデンティティ・プロバイダが非アクティブ状態で 追加されたことを確認します。 

4. Identity Domainでアイデンティティ・プロバイダのアクティブ化 Copyright © 2024, Oracle and/or its affiliates 32 

4. Identity Domain側でアイデンティティ・プロバイダのアクティブ化 Copyright © 2024, Oracle and/or its affiliates 33 1）項番 2. Enta ID側でサービス・プロバイダの登録 17）にてEntra IDで作成したユーザーと同一のユーザーを Identity Domain側に作成します。 アイデンティティ・ドメイン画面にて、左メニューから「ユーザー」を選択し、「ユーザーの作成」を選択します。 ユーザーの作成画面にてユーザーを作成する為の適切な値を入力し、「作成」を選択します。 ※Entra IDの属性：メールとIdentity Domainの属性：電子メール・アドレスが同じ値になるように作成します。 

4. Identity Domain側でアイデンティティ・プロバイダのアクティブ化 Copyright © 2024, Oracle and/or its affiliates 34 2）アイデンティティ・ドメイン画面の左メニューから「セキュリティ」を選択します。 3）セキュリティ画面にて「アイデンティティ・プロバイダ」を選択し、項番 3. Identity Domain側でアイデンティティ・プロバイダの 登録 11）で作成したアイデンティティ・プロバイダ名を選択します。 

4. Identity Domain側でアイデンティティ・プロバイダのアクティブ化 Copyright © 2024, Oracle and/or its affiliates 35 4）アイデンティティ・プロバイダの画面にて「他のアクション」を選択し、「ログインのテスト」を選択します。 5）マイクロソフト サインイン画面にて、項番 2. Entra ID側でサービス・プロバイダの登録 17）にてEntra ID上で作成したユーザー ID/パスワードを入力し、「サインイン」を選択します。 接続に成功した旨のメッセージが表示されることを確認し、画面を閉じます。 ※Entra IDの認証において多要素認証が求められる場合があります。 

4. Identity Domain側でアイデンティティ・プロバイダのアクティブ化 Copyright © 2024, Oracle and/or its affiliates 36 6）アイデンティティ・プロバイダ編集画面にて「IdPのアクティブ化」を選択します。 7）アイデンティティ・プロバイダのアクティブ化の画面にて「IdPのアクティブ化」を選択します。 

4. Identity Domain側でアイデンティティ・プロバイダのアクティブ化 Copyright © 2024, Oracle and/or its affiliates 37 8）アイデンティティ・プロバイダがアクティブ化されたことを確認します。 

5. Identity Domain側でIdPポリシーの定義 Copyright © 2024, Oracle and/or its affiliates 38 

5. Identity Domain側でIdPポリシーの定義 Copyright © 2024, Oracle and/or its affiliates 39 1）OCIコンソールにサインインする際、今回、作成したアイデンティティ・プロバイダを選択して利用できるようにするためIdPポリシーの定義を 行います。 セキュリティ画面の左メニューから「IdPポリシー」を選択し、「Default Identity Provider Policy」を選択します。 2）Default Identity Provider Policy画面にて、アイデンティティ・プロバイダ・ルールの「IdPルールの追加」を選択します。 ※「Default Identity Provider Policy」には「Default IdP Rule」というルールが既定で 作成されています。 この「Default IdP Rule」を直接編集することも可能ですが、運用の中にデフォルト状態に戻す事も 想定し、「Default IdP Rule」は編集せずにデフォルトの状態のままにしておくことをお勧めします。 

5. Identity Domain側でIdPポリシーの定義 Copyright © 2024, Oracle and/or its affiliates 40 3）アイデンティティ・プロバイダ・ルールの追加画面にて、「ルール名」に適切な値を入力し、アイデンティティ・プロバイダの割当て部分にて 今回、作成したアイデンティティ・プロバイダと「Username-Password」を選択し、「IdPルールの追加」を選択します。 ※アイデンティティ・プロバイダに設定した「Username-Password」はIdentity Domainのローカル認証のことを指します。 4）Default Identity Provider Policy画面にて、作成したIdPルールが追加されている事を確認し、「優先度の編集」を選択します。 

5. Identity Domain側でIdPポリシーの定義 Copyright © 2024, Oracle and/or its affiliates 41 5）IdPルール優先度の編集画面にて、左側の優先度列にある上下矢印を選択し、今回、作成したアイデンティティ・プロバイダの優先度を 「1」に設定し、「変更の保存」を選択します。 6） Default Identity Provider Policy画面にて、作成したアイデンティティ・プロバイダの優先度が「1」になっている事を確認します。 

6. 動作確認 Copyright © 2024, Oracle and/or its affiliates 42 

6. 動作確認 Copyright © 2024, Oracle and/or its affiliates 43 1）OCI コンソール（ https://www.oracle.com/jp/cloud/sign-in.html ）にアクセスします。 テナント名（クラウド・アカウント名）を入力し、「次に進む」を選択します。 アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメインを選択し、「次」を選択します。 ※ ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“ Default ドメイン”にサインインすることになります。 2）アイデンティティ・ドメインのサインイン画面の下部に今回作成した、 アイデンティティ・プロバイダが表示され選択ができることを確認し、 「アイデンティティ・プロバイダ」を選択します。 ※環境によりドメイン選択画面は表示されません。 

6. 動作確認 Copyright © 2024, Oracle and/or its affiliates 44 3）マイクロソフトのサインイン画面にて、項番 2. Entra ID側でサービス・プロバイダの登録 17）にてEntra ID上で作成した ユーザーID/パスワードを入力し、「サインイン」を選択します。 項番 4. Identity Domain側でアイデンティティ・プロバイダのアクティブ化 1）で作成されたユーザーでOCIコンソールにサインイン できていることを確認します。 ※Entra IDの認証において多要素認証が求められる場合があります。 

（オプション） Entra IDからIdentity DomainへのID情報同期 Copyright © 2024, Oracle and/or its affiliates 45 

（オプション） Entra IDからIdentity DomainへのID情報同期 Copyright © 2024, Oracle and/or its affiliates 46 Entra IDとのSAMLによる認証連携（外部IdP連携）を行う場合、Entra IDのID情報をIdentity Domainに同期することで ID管理を効率よく行うことが可能です。 本手順ではEntra IDが用意しているプロビジョニング機能によりEntra IDのID情報をIdentity DomainにPushによる同期の 手順をまとめています。 Entra IDおよびIdentity Domainの両サービスは、ID情報のやり取りを自動化する規格であるSystem for Cross-Domains Identity Management（以下、SCIM）に対応しており、今回は、SCIMを利用したID情報の同期となります。 参考資料：https://docs.oracle.com/ja-jp/iaas/Content/Identity/tutorials/azure_ad/lifecycle_azure/azure_lifecycle.htm OCI IAM Identity Domains IdP SAML 認証連携（外部 IdP 連携） SP アプリ アプリ アプリ IdP SP SP SP Entra IDの属性「user.mail」と Identity Domainの属性「プリンシパル電子メールアドレス」でユーザーマッピング Microsoft Entra ID ユーザー ユーザー名：User01 姓：User 名：01 メールアドレス：[email protected] ユーザー ユーザー名：User01 姓：User 名：01 メールアドレス：[email protected] 属性1：フェデレーテッドユーザーとして登録 属性2：作成時のメール通知を停止 ＜オプション＞ Entra ID → Identity Domain ID情報同期 （Entra IDからのPushによる同期） 

手順概要 Copyright © 2024, Oracle and/or its affiliates 47 1. Identity Domain側でSCIMインターフェース設定（機密アプリケーション登録） 2. Entra ID側でプロビジョニング設定 3. 動作確認 

1. Identity Domain側でSCIMインターフェースの設定 （機密アプリケーション登録） Copyright © 2024, Oracle and/or its affiliates 48 

1. Identity Domain側でSCIMインターフェースの設定 （機密アプリケーション登録） Copyright © 2024, Oracle and/or its affiliates 49 1）OCIコンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。 テナント名（クラウド・アカウント名）を入力し「次に進む」を選択します。 アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメインを選択し、「次」を選択します。 サインイン画面にて、OCI管理者のID/パスワードを入力し、「サイン・イン」を選択しOCIコンソールにサインインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にサインインすることになります。 注意事項：OCIコンソールは既定で多要素認証が設定されておりますので、認証後に多要素認証による認証を行う場合があります。 ※環境によりドメイン選択画面は表示されません。 

1. Identity Domain側でSCIMインターフェースの設定 （機密アプリケーション登録） Copyright © 2024, Oracle and/or its affiliates 50 2）OCI コンソール画面にて、左メニューより「アイデンティティとセキュリティ」を選択し、「ドメイン」を選択します。 3）アイデンティティ画面にて、コンパートメントで対象のコーパートメントを選択し、さらに対象のドメインを選択します。 ※自身で作成したコンパートメントおよびIdentity Domain（ドメイン）に設定する場合は、該当のコンパートメントおよびドメインを 選択します。 

1. Identity Domain側でSCIMインターフェースの設定 （機密アプリケーション登録） Copyright © 2024, Oracle and/or its affiliates 51 4）アイデンティティ・ドメイン画面にて、ドメイン情報からドメインURLのコピーを選択し、ドメインのURLを控えておき、左のメニューから 「統合アプリケーション」を選択します。 ※コピーしたドメインURLは後続の手順で利用します。 5）統合アプリケーション画面にて、「アプリケーションの追加」を選択します。 

1. Identity Domain側でSCIMインターフェースの設定 （機密アプリケーション登録） Copyright © 2024, Oracle and/or its affiliates 52 6）アプリケーションの追加画面にて「機密アプリケーション」を選択し、「ワークフローの起動」を選択します。 7）機密アプリケーションの追加画面にて、「名前」、「説明」に適切な値を入力し、「次」を選択します。 

1. Identity Domain側でSCIMインターフェースの設定 （機密アプリケーション登録） Copyright © 2024, Oracle and/or its affiliates 53 8）機密アプリケーションの追加画面にて、クライアント構成にて「このアプリケーションをクライアントとして今すぐ構成します」をチェックします。 認可の許可される権限付与タイプにて「クライアント資格証明」をチェックします。 9）画面を下にスクロールし、クライアントタイプを「機密」、さらにトークン発行ポリシーの認可されたリソースにて「特定」、そして 「アプリケーション・ロールの追加」をチェックし、「ロールの追加」を選択します。 

1. Identity Domain側でSCIMインターフェースの設定 （機密アプリケーション登録） Copyright © 2024, Oracle and/or its affiliates 54 10）アプリケーション・ロールの追加画面にて「User Administrator」をチェックし、「追加」を選択します。 11）機密アプリケーションの追加画面にてアプリケーション・ロールに「User Administrator」が追加されたことを確認し、「次」を選択します。 

1. Identity Domain側でSCIMインターフェースの設定 （機密アプリケーション登録） Copyright © 2024, Oracle and/or its affiliates 55 12）機密アプリケーションの追加画面にて、Web層ポリシー部分にて「スキップして後で実行」をチェックし、「終了」を選択します。 13）作成した機密アプリケーションの画面にて「アクティブ化」を選択します。 

1. Identity Domain側でSCIMインターフェースの設定 （機密アプリケーション登録） Copyright © 2024, Oracle and/or its affiliates 56 14）アプリケーションのアクティブ化画面にて「アプリケーションのアクティブ化」を選択します。 15）作成した機密アプリケーションがアクティブ化されたことを確認します。 OAuth構成の一般情報にある「クライアントID」と「クライアント・シークレット」をコピーし控えます。 ※控えた「クライアントID」と「クライアント・シークレット」は後続の手順で利用します。 

1. Identity Domain側でSCIMインターフェースの設定 （機密アプリケーション登録） Copyright © 2024, Oracle and/or its affiliates 57 16）PC上でテキストエディタを開き、本章 項番 15）で控えた「クライアントID」と「クライアント・シークレット」を以下の形式で作成し 保存します。 ｛クライアントID｝:｛クライアント・シークレット｝ ※作成時に改行がされていない事にご注意ください。 17）PC上でコマンドプロンプトを開き、以下のコマンドを実行し、上記で作成したファイル（クライアント ID:クライアント・シークレット）を 以下のコマンドを利用して、Base64でエンコードし、ファイルに保存します。 certutil -encode {上記にて作成したテキストファイル名} {Base64エンコード後のファイル名} ※エンコードされたファイルは後続の手順で利用します。 ※certutilは、Windows環境で提供されているコマンドラインプログラムです。 

2. Entra ID側でプロビジョニング設定 Copyright © 2024, Oracle and/or its affiliates 58 

2. Entra ID側でプロビジョニング設定 Copyright © 2024, Oracle and/or its affiliates 59 1）Azureポータル（ https://portal.azure.com ）にアクセスします。 マイクロソフト サインイン画面にて、 Azureの管理者のID/パスワードを入力し、「サインイン」を選択し、Azure ポータルに サインインします。 ※Azureの管理者とは以下のいずれかのロールを持つアカウントを示します。 グローバル管理者/クラウド・アプリケーション管理者/アプリケーション管理者 注意事項：Azureポータルは既定で多要素認証が設定されておりますので、認証後に多要素認証による認証を行う場合があります。 

2. Entra ID側でプロビジョニング設定 Copyright © 2024, Oracle and/or its affiliates 60 2）Azure ポータル画面で「Microsoft Entra ID」を選択します。 ※画面にEntra IDが表示されていない場合はハンバーガーメニューを選択し、表示されたメニューもしくは、検索からEntra IDを 指定します。 3）既定のディレクトリ 概要画面にて、左メニューから「エンタープライズアプリケーション」を選択します。 

2. Entra ID側でプロビジョニング設定 Copyright © 2024, Oracle and/or its affiliates 61 4）エンタープライズアプリケーション画面にて、 前章の項番 2. Entra ID側でサービス・プロバイダの登録 6）で作成したエンタープライズ アプリケーションを選択します。 ※本章では、前章で作成したエンタープライズアプリケーション上で設定を行っておりますが、初めて作成する場合は、別途 エンタープライズアプリケーションを作成することをお勧めします。 5）作成したエンタープライズアプリケーション 概要画面の左メニューから「プロビジョニング」を選択し、さらに「作業の開始」を選択します。 

2. Entra ID側でプロビジョニング設定 Copyright © 2024, Oracle and/or its affiliates 62 6）プロビジョニング画面にてプロビジョニングモードを「自動」に 指定します。 管理者資格情報を以下の様に指定し、「テスト接続」を 選択します。 ・テナントのURL: 項番1. Identity Domain側でSCIMインターフェースの 設定（機密アプリケーション登録）4）で控えたドメインの URLに「/admin/v1」を付けた値を入力します。 <対象ドメインのURL>/admin/v1 例）https://idcs-xxxx.identity. oraclecloud.com/admin/v1 ・シークレット・トークン： 項番1. Identity Domain側でSCIMインターフェースの 設定（機密アプリケーション登録）17）でBase64で エンコードしたファイル」の値を入力します。 ※Base64エンコードしたファイルを開き、途中の改行は削除した 値を入力します。 

2. Entra ID側でプロビジョニング設定 Copyright © 2024, Oracle and/or its affiliates 63 7）テスト接続が成功したメッセージが表示されていることを確認し、「保存」を選択します。 

2. Entra ID側でプロビジョニング設定 Copyright © 2024, Oracle and/or its affiliates 64 8）マッピングを展開する事で、グループおよびユーザーの属性マッピングの定義を編集する事ができます。 グループの属性マッピングを変更したい場合は「Provisioning Entra ID Groups」を選択します。 ユーザーの属性マッピングを変更したい場合は「Provisioning Entra ID Users」を選択します。 ※本章では、同期されるユーザーは、外部IdPからのみ認証されるフェデレーテッドユーザーとして構成し、さらに作成および更新時に 送付される通知メールを停止する設定を実施します。 「Provisioning Entra ID Users」を選択します。 

９）属性マッピング画面にて下までスクロールし、「新しいマッピングの追加」を選択します。 10）ここではフェデレーテッドユーザーの構成をする為、以下の設定を行い、「OK」を選択します。 マッピングの種類：「式」を選択 式：「CBool(“true”)」を入力 対象の属性：「urn:ietf:params:scim:schemas:oracle:idcs: extension:user:User:isFederatedUser」を選択 2. Entra ID側でプロビジョニング設定 Copyright © 2024, Oracle and/or its affiliates 65 

11）先ほど設定した属性マッピングが追加されている事を確認し、再度「新しいマッピングの追加」を選択します。 12）ここでは作成および変更時の通知メールを停止する構成にする為、以下の設定を行い、「OK」を選択します。 マッピングの種類：「式」を選択 式：「CBool(“true”)」を入力 対象の属性：「urn:ietf:params:scim:schemas:oracle:idcs: extension:user:User:bypassNotification」を選択 2. Entra ID側でプロビジョニング設定 Copyright © 2024, Oracle and/or its affiliates 66 

13）先ほど設定した属性マッピングが追加されている事を確認し、「保存」を選択し、さらに「はい」を選択し、属性マッピング画面を閉じます。 14）プロビジョニング画面にて「設定」を展開し、範囲にて「割り当てられたユーザーとグループのみを同期する」を選択します。 ※「割り当てられたユーザーとグループのみを同期する」でエンタープライスアプリケーションに割り当てられたユーザーまたはグループが 同期されます。 プロビジョニング状態を「オン」にし、「保存」を選択し、プロビジョニング画面を閉じます。 2. Entra ID側でプロビジョニング設定 Copyright © 2024, Oracle and/or its affiliates 67 

3. 動作確認 Copyright © 2024, Oracle and/or its affiliates 68 

3. 動作確認 Copyright © 2024, Oracle and/or its affiliates 69 1）Azureポータルの既定のディレクトリ 概要画面にて、左メニューから「エンタープライズアプリケーション」を選択します。 2）エンタープライズアプリケーション画面にて、前章にてプロビジョニングの設定を行った エンタープライズアプリケーションを選択します。 

3. 動作確認 Copyright © 2024, Oracle and/or its affiliates 70 3）エンタープライズアプリケーション 概要画面にて「ユーザーとグループ」を選択します。 エンタープライズアプリケーションのユーザーとグループ画面にて「ユーザーまたはグループの追加」を選択します。 4）ユーザー部分の「選択されていません」を選択し、右側ペインより、同期対象のユーザーを選択し「選択」を選択します。 ※同期対象のユーザーは、Identity domainでユーザー作成時に入力必須となっている「ユーザー名」、「姓」、「メールアドレス」に 値を入力し作成しておく必要があります。 

3. 動作確認 Copyright © 2024, Oracle and/or its affiliates 71 5）割り当ての追加画面にて、「割り当て」を選択します。 6）選択したユーザーが追加されている事を確認し、左メニューから「プロビジョニング」を選択します。 

3. 動作確認 Copyright © 2024, Oracle and/or its affiliates 72 7）エンタープライズアプリケーションの概要画面にて、同期が行われている事を確認します。 ※「プロビジョニングの停止」を選択し、「プロビジョニングの開始」を選択すると同期が再実行されます。 「プロビジョニング ログの表示」を選択すると、同期対象のユーザーやグループのプロビジョニングログを確認する事ができます。 

3. 動作確認 Copyright © 2024, Oracle and/or its affiliates 73 8）Identity Domainにて同期されたユーザーの属性を確認します。 Entra IDで設定されていた属性が同期され設定されている事を確認します。 「フェデレーテッド」属性が「はい」と設定されている事を確認します。 

No content