Slide 1

Slide 1 text

OCI IAM Identity Domains AWSとのSAMLによる認証連携設定⼿順 2024年1⽉16⽇ ⽇本オラクル株式会社 テクノロジークラウドエンジニアリング本部 セキュリティ&マネジメントソリューション部

Slide 2

Slide 2 text

Copyright © 2024, Oracle and/or its affiliates 2 本⼿順書はAWSとOCI IAM Identity DomainsでのSAMLによる認証連携(SP Initiate)設定⼿順書です。 ※対象のAWS環境は構築済み、 Identity Domainsにはユーザーが登録されている前提とします。 OCI IAM Identity Domain IdP SAMLによる認証連携 SP 利⽤者 Identity Domainsの情報で認証し AWSにログイン 認証 環境構成

Slide 3

Slide 3 text

Copyright © 2024, Oracle and/or its affiliates 3 1. OCI IAM Identity DomainsでSAMLアプリケーションの作成 2. OCI IAM Identity Domainsでメタデータの取得 3. AWSでIDプロバイダの作成 4. AWSでロールの作成 5. OCI IAM Identity Domainsで属性構成を登録 6. 動作確認 ⼿順

Slide 4

Slide 4 text

Copyright © 2024, Oracle and/or its affiliates 4 1.Identity DomainsでSAMLアプリケーションの作成

Slide 5

Slide 5 text

1.Identity DomainsでSAMLアプリケーションの作成 Copyright © 2024, Oracle and/or its affiliates 5 AWSとのSAML認証を構成するためにSAMLアプリケーションを作成します。 OCIコンソールのメニューから「アイデンティティとセキュリティ」→「アイデンティティ」→「ドメイン」を選択します。

Slide 6

Slide 6 text

1.Identity DomainsでSAMLアプリケーションの作成 Copyright © 2024, Oracle and/or its affiliates 6 AWSと認証連携対象のドメインを選択します。

Slide 7

Slide 7 text

1.Identity DomainsでSAMLアプリケーションの作成 Copyright © 2024, Oracle and/or its affiliates 7 「アプリケーション」を選択し、「アプリケーションの追加」を選択します。

Slide 8

Slide 8 text

1.Identity DomainsでSAMLアプリケーションの作成 Copyright © 2024, Oracle and/or its affiliates 8 SAMLアプリケーション」を選択して、「ワークフローの起動」を選択します。

Slide 9

Slide 9 text

1.Identity DomainsでSAMLアプリケーションの作成 Copyright © 2024, Oracle and/or its affiliates 9 名前に「任意の名前」を⼊⼒します。

Slide 10

Slide 10 text

1.Identity DomainsでSAMLアプリケーションの作成 Copyright © 2024, Oracle and/or its affiliates 10 表⽰設定の「⾃分のアプリケーション」に表⽰、「ユーザーにアクセス権のリクエストを許可」、 認証と認可の「権限付与を認可として実施」を選択し、「次」を選択します。

Slide 11

Slide 11 text

1.Identity DomainsでSAMLアプリケーションの作成 Copyright © 2024, Oracle and/or its affiliates 11 ⼀般のエンティティIDとアサーション・コンシューマのURLに「https://signin.aws.amazon.com/saml」を⼊⼒します。 名前IDフォーマットは「永続」、名前IDの値は「プライマリ電⼦メール」を選択し「終了」を選択します。

Slide 12

Slide 12 text

Copyright © 2024, Oracle and/or its affiliates 12 2. Identity Domainsでメタデータの取得

Slide 13

Slide 13 text

2. Identity Domainsでメタデータの取得 Copyright © 2024, Oracle and/or its affiliates 13 統合アプリケーションから作成したSAMLアプリケーションを選択します。

Slide 14

Slide 14 text

2. Identity Domainsでメタデータの取得 Copyright © 2024, Oracle and/or its affiliates 14 作成したSAMLアプリケーションを有効化するために、「アクティブ化」を選択します。

Slide 15

Slide 15 text

2. Identity Domainsでメタデータの取得 Copyright © 2024, Oracle and/or its affiliates 15 SSO構成の「アイデンティティ・プロバイダ・メタデータのダウンロード」選択します。

Slide 16

Slide 16 text

Copyright © 2024, Oracle and/or its affiliates 16 3.AWSでIDプロバイダを作成

Slide 17

Slide 17 text

3.AWSでIDプロバイダを作成 Copyright © 2024, Oracle and/or its affiliates 17 AWSでIDプロバイダを作成します。 サービスからセキュリティ、ID、およびコンプライアンスの「IAM」を選択します。

Slide 18

Slide 18 text

3.AWSでIDプロバイダを作成 Copyright © 2024, Oracle and/or its affiliates 18 アクセス管理の「IDプロバイダ」を選択します。 「プロバイダを追加」を選択します。

Slide 19

Slide 19 text

3.AWSでIDプロバイダを作成 Copyright © 2024, Oracle and/or its affiliates 19 プロバイダ名に「任意の名前」を⼊⼒し、メタデータドキュメントに前⼿順でダウンロードしたメタデータを選択します。

Slide 20

Slide 20 text

3.AWSでIDプロバイダを作成 Copyright © 2024, Oracle and/or its affiliates 20 作成したプロバイダを選択し、後⼿順で使⽤するARNをメモします。

Slide 21

Slide 21 text

Copyright © 2024, Oracle and/or its affiliates 21 4.AWSでロールを作成

Slide 22

Slide 22 text

4.AWSでロールを作成 Copyright © 2024, Oracle and/or its affiliates 22 ロールを作成します。 アクセス管理のロールを選択し、「ロールの作成」を選択します。

Slide 23

Slide 23 text

4.AWSでロールを作成 Copyright © 2024, Oracle and/or its affiliates 23 以下の設定をし、「次へ」を選択します。 信頼されたエンティティタイプ︓SAML2.0フェデレーション SAML2.0のプロバイダー︓全⼿順で作成したIDプロバイダ 許可されるアクセス︓プログラムとAWSマネジメントコンソールへのアクセスを許可する

Slide 24

Slide 24 text

4.AWSでロールを作成 Copyright © 2024, Oracle and/or its affiliates 24 ロール名に「任意のロール名」を⼊⼒し、「ロールの作成」を選択します。

Slide 25

Slide 25 text

4.AWSでロールを作成 Copyright © 2024, Oracle and/or its affiliates 25 作成したロールを選択し、ARNをメモします。

Slide 26

Slide 26 text

Copyright © 2024, Oracle and/or its affiliates 26 5. OCI IAM Identity Domainsで属性構成を登録

Slide 27

Slide 27 text

5. OCI IAM Identity Domainsで属性構成を登録 Copyright © 2024, Oracle and/or its affiliates 27 Identity Domainsに前⼿順でメモしたARNを登録します。 「SSO構成の編集」を選択します。

Slide 28

Slide 28 text

5. OCI IAM Identity Domainsで属性構成を登録 Copyright © 2024, Oracle and/or its affiliates 28 属性構成を以下のように設定し、「変更の保存」を選択します。 • 1つ⽬ 名前︓https://aws.amazon.com/SAML/Attributes/RoleSessionName 形式︓基本 タイプ︓ユーザー属性 タイプ値︓プライマリ電⼦メール • 2つ⽬ 名前︓https://aws.amazon.com/SAML/Attributes/Role 形式︓基本 タイプ︓式/リテラル タイプ値︓ロールARN,プロバイダARN

Slide 29

Slide 29 text

Copyright © 2024, Oracle and/or its affiliates 29 6.動作確認

Slide 30

Slide 30 text

6.動作確認 Copyright © 2024, Oracle and/or its affiliates 30 Identity Domainsを利⽤したAWSへのログインの動作確認をします。 アプリケーションを作成した連携対象のドメインにログインし、コンソール右上のユーザーアイコンを選択し 「⾃分のプロファイル」を選択します。

Slide 31

Slide 31 text

6.動作確認 Copyright © 2024, Oracle and/or its affiliates 31 他のアクションの「⾃分のアプリケーション」コンソールの表⽰を選択します。

Slide 32

Slide 32 text

6.動作確認 Copyright © 2024, Oracle and/or its affiliates 32 作成したアプリケーションを選択します。

Slide 33

Slide 33 text

6.動作確認 Copyright © 2024, Oracle and/or its affiliates 33 認証連携対象のドメインに登録されているユーザーの「Username」と「Password」を⼊⼒して「Sign In」を選択します。

Slide 34

Slide 34 text

6.動作確認 Copyright © 2024, Oracle and/or its affiliates 34 AWSのコンソール画⾯が表⽰されれば設定完了です。

Slide 35

Slide 35 text

No content

Slide 36

Slide 36 text

No content