Slide 1

Slide 1 text

OCI IAM Identity Domains 2025年7月17日 日本オラクル株式会社 APEXアプリケーションとの認証連携(2要素認証込み)

Slide 2

Slide 2 text

Copyright © 2025, Oracle and/or its affiliates 2 Safe harbor statement The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, timing, and pricing of any features or functionality described for Oracle’s products may change and remains at the sole discretion of Oracle Corporation.

Slide 3

Slide 3 text

アジェンダ Copyright © 2025, Oracle and/or its affiliates 3 【基本編】:APEXアプリとIdentity Domains認証連携(2要素認証込み) 1.APEX側でのサンプルアプリケーションの作成 2.Identity Domains側での設定(APEXアプリケーションとの認証連携設定) 3.Identity Domains側での設定(2要素認証の設定) 4.APEX側での設定 5.動作確認 【拡張編】:グループによるアクセス制御 ※基本編を実施済み前提の手順 6.Identity Domains側での設定追加(グループ作成) 7.APEX側での設定変更 8.動作確認

Slide 4

Slide 4 text

基本編:APEXアプリとIdentity Domains認証連携(2要素認証込み) Copyright © 2025, Oracle and/or its affiliates 4

Slide 5

Slide 5 text

【基本編】で実現するイメージ Copyright © 2025, Oracle and/or its affiliates 5 ユーザー ログイン画面 ID/パスワード 2要素認証画面 ワンタイム パスコードなど OCI IAM Identity Domains ユーザー情報 APEXアプリ OpenID Connectによる連携 本資料は、ADBのAPEXアプリケーションにアクセスする際の認証および2要素認証(MFA)としてIdentity Domainsを 利用するための設定手順になります。 ※本資料ではAPEXアプリケーションとして“販売”サンプルアプリケーションを利用します。 ※APEXアプリケーションとIdentity DomainsはOpenID Connectにより連携します。

Slide 6

Slide 6 text

1.APEX側でのサンプルアプリケーションの作成 Copyright © 2025, Oracle and/or its affiliates 6

Slide 7

Slide 7 text

APEX側でのサンプルアプリケーションの作成 Copyright © 2025, Oracle and/or its affiliates 7 1) APEXの任意のワークスペースにワークスペース管理者としてログインします。

Slide 8

Slide 8 text

APEX側でのサンプルアプリケーションの作成 Copyright © 2025, Oracle and/or its affiliates 8 2) ログイン後画面にてブラウザアドレスバーのURLにてoraclecloudapps.comまでのAPEX URLをコピーし控えておきます。 ※このURLは後続の手順で利用します。 例)https://g884・・・・・・c-db2・・・・・・・・・・・・・051.adb.ap-tokyo-1.oraclecloudapps.com

Slide 9

Slide 9 text

APEX側でのサンプルアプリケーションの作成 Copyright © 2025, Oracle and/or its affiliates 9 3) ログイン後画面にて「アプリケーション・ビルダー」を選択します。 続けて「作成」を選択します。

Slide 10

Slide 10 text

APEX側でのサンプルアプリケーションの作成 Copyright © 2025, Oracle and/or its affiliates 10 4) アプリケーションの作成画面にて「ファイルからのアプリケーションの作成」を選択します。

Slide 11

Slide 11 text

APEX側でのサンプルアプリケーションの作成 Copyright © 2025, Oracle and/or its affiliates 11 5) 表示されたデータのロード画面にて「コピー・アンド・ペースト」を選択します。 サンプルの選択から「販売」を選択し、「次」を選択します。

Slide 12

Slide 12 text

APEX側でのサンプルアプリケーションの作成 Copyright © 2025, Oracle and/or its affiliates 12 6) 表名に任意の値(例:SALES100)を入力し、「データのロード」を選択します。

Slide 13

Slide 13 text

APEX側でのサンプルアプリケーションの作成 Copyright © 2025, Oracle and/or its affiliates 13 7) 表が作成されたメッセージを確認し、「アプリケーションの作成」を選択します。

Slide 14

Slide 14 text

APEX側でのサンプルアプリケーションの作成 Copyright © 2025, Oracle and/or its affiliates 14 8) 画面中段の機能エリアにて「すべてをチェック」を選択し、「アプリケーションの作成」を選択します。

Slide 15

Slide 15 text

APEX側でのサンプルアプリケーションの作成 Copyright © 2025, Oracle and/or its affiliates 15 9) 表示された作成したアプリケーション画面にて「アプリケーション定義の編集」を選択します。

Slide 16

Slide 16 text

APEX側でのサンプルアプリケーションの作成 Copyright © 2025, Oracle and/or its affiliates 16 10) 表示された画面にてアプリケーション項目の数字(例:106)を控えておきます。 ※この控えたアプリケーション番号は後ほどの手順で使います。 「取消」を選択します。

Slide 17

Slide 17 text

APEX側でのサンプルアプリケーションの作成 Copyright © 2025, Oracle and/or its affiliates 17 11) 「共有コンポーネント」を選択します。 表示された画面にて「セキュリティ属性」を選択します。

Slide 18

Slide 18 text

APEX側でのサンプルアプリケーションの作成 Copyright © 2025, Oracle and/or its affiliates 18 12) 認可エリアの認可スキームに「アプリケーション認可の必要なし」を選択し、「変更の適用」を選択します。

Slide 19

Slide 19 text

APEX側でのサンプルアプリケーションの作成 Copyright © 2025, Oracle and/or its affiliates 19 13) 表示された画面の「アプリケーションXXX」(例:アプリケーション106)リンクを選択します。 「アプリケーションの実行」を選択します。

Slide 20

Slide 20 text

APEX側でのサンプルアプリケーションの作成 Copyright © 2025, Oracle and/or its affiliates 20 14) 表示されたログイン画面にワークスペース管理者のID/パスワードを入力し、「サインイン」を選択します。 “販売”サンプルアプリ(例:Sales100)にアクセスできることを確認します。

Slide 21

Slide 21 text

2. Identity Domains側での設定 (APEXアプリケーションとの認証連携設定) Copyright © 2025, Oracle and/or its affiliates 21

Slide 22

Slide 22 text

Identity Domains側での設定(APEXアプリケーションとの認証連携設定) Copyright © 2025, Oracle and/or its affiliates 22 1)OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。 テナント名(クラウド・アカウント名)を入力し「Next」を選択します。 アイデンティティ・ドメインの選択画面が表示される場合には「Default」を選択し、管理者のユーザー名/パスワードを入力し OCIコンソールにログインします。 ※該当ドメインの管理者でログインしても構いません。 ※環境によりドメイン選択画面は表示されません。

Slide 23

Slide 23 text

Identity Domains側での設定(APEXアプリケーションとの認証連携設定) Copyright © 2025, Oracle and/or its affiliates 23 2)メニューより「アイデンティティとセキュリティ」ー「アイデンティティ」を選択します。

Slide 24

Slide 24 text

Identity Domains側での設定(APEXアプリケーションとの認証連携設定) Copyright © 2025, Oracle and/or its affiliates 24 3)ドメイン画面にて、適用済みフィルタ部分にて対象ドメインが存在するコンパートメントを指定し、対象ドメインを選択します。

Slide 25

Slide 25 text

Identity Domains側での設定(APEXアプリケーションとの認証連携設定) Copyright © 2025, Oracle and/or its affiliates 25 4) ドメインのメニュー「詳細」を選択し、ドメインURLの「コピー」を選択しドメインURLを控えておきます。 このドメインURLは後続の手順で利用します。 ※ドメインURLは「https://idcs-d92e・・・・・・・・7a34.identity.oraclecloud.com:443」になります。

Slide 26

Slide 26 text

Identity Domains側での設定(APEXアプリケーションとの認証連携設定) Copyright © 2025, Oracle and/or its affiliates 26 5) メニュー「統合アプリケーション」を選択します。 統合アプリケーション部分にて「アプリケーションの追加」を選択します。 表示されたアプリケーションの追加画面にて「機密アプリケーション」を選択し、「ワークフローの起動」を選択します。

Slide 27

Slide 27 text

Identity Domains側での設定(APEXアプリケーションとの認証連携設定) Copyright © 2025, Oracle and/or its affiliates 27 6)名前、説明に適当な値を指定し、「送信」を選択します。 ・名前:APEX Sales App ※任意の名前で構いません。 ・説明:APEX Sales App ※任意の名前で構いません。

Slide 28

Slide 28 text

Identity Domains側での設定(APEXアプリケーションとの認証連携設定) Copyright © 2025, Oracle and/or its affiliates 28 7) 作成した機密アプリケーション画面にて「OAuth構成」を選択し、「OAuth構成の編集」を選択します。

Slide 29

Slide 29 text

Identity Domains側での設定(APEXアプリケーションとの認証連携設定) Copyright © 2025, Oracle and/or its affiliates 29 8) 表示された画面にて、下記項目を設定します。 ・クライアント構成 – このアプリケーションをクライアントとして今すぐ構成します:チェックON ・認可 – 認可コード:チェックON

Slide 30

Slide 30 text

Identity Domains側での設定(APEXアプリケーションとの認証連携設定) Copyright © 2025, Oracle and/or its affiliates 30 9) 同画面にて下記項目を入力します。 ・リダイレクトURL:https://<上記1.にて控えたURL>/ords/apex_authentication.callback 例) https://g884・・・・・・c-db2・・・・・・・・・・・・・051.adb.ap-tokyo-1.oraclecloudapps.com/ords/apex_authentication.callback ・ログアウト後のリダイレクトURL: https://<上記1.にて控えたURL>/ords/f?p=<上記1.で控えた販売サンプルアプリの番号> 例) https://g884・・・・・・c-db2・・・・・・・・・・・・・051.adb.ap-tokyo-1.oraclecloudapps.com/ords/f?p=200

Slide 31

Slide 31 text

Identity Domains側での設定(APEXアプリケーションとの認証連携設定) Copyright © 2025, Oracle and/or its affiliates 31 10) 同画面にて、「同意のバイパス」をチェックONにし、「送信」を選択します。

Slide 32

Slide 32 text

Identity Domains側での設定(APEXアプリケーションとの認証連携設定) Copyright © 2025, Oracle and/or its affiliates 32 11) 作成した機密アプリケーションの画面にて、右上のアクションより「アクティブ化」を選択します。 確認画面で「アプリケーションのアクティブ化」を選択します。

Slide 33

Slide 33 text

Identity Domains側での設定(APEXアプリケーションとの認証連携設定) Copyright © 2025, Oracle and/or its affiliates 33 12) 作成した機密アプリケーションがアクティブ化されたことを確認します。 一般情報部分にある「クライアントID」の値をコピーして控えておきます。 また、クライアント・シークレット部分にあるシークレットの表示より「コピー」選択し、クライアント・シークレットも控えておきます。 ※控えたクライアントIDとクライアント・シークレットは後続の手順で利用します。

Slide 34

Slide 34 text

3. Identity Domains側での設定 (2要素認証の設定) ※2要素認証の要素として電子メールワンタイムパスコードを利用する手順 Copyright © 2025, Oracle and/or its affiliates 34

Slide 35

Slide 35 text

Identity Domains側での設定(2要素認証の設定) Copyright © 2025, Oracle and/or its affiliates 35 1)MFA要素として「電子メール」を有効化するため、ドメインメニュー「認証」を選択します。 ファクタ部分の電子メールが無効になっている場合には「ファクタの有効化または無効化」を選択します。 ※電子メールが有効になっている場合には3)に進みます。

Slide 36

Slide 36 text

Identity Domains側での設定(2要素認証の設定) Copyright © 2025, Oracle and/or its affiliates 36 2)ファクタの有効化または無効化画面にて「電子メール」をチェックONにし、「変更の保存」を選択します。 ※2要素認証の要素を有効化したのみではAPEXアプリケーションへの アクセス時のMFA利用はまだ有効になりません。 MFA利用には後続のサインオンポリシーの設定が必要になります。

Slide 37

Slide 37 text

Identity Domains側での設定(2要素認証の設定) Copyright © 2025, Oracle and/or its affiliates 37 3)次に、APEXサンプルアプリアクセス時にMFAを必須にするサインオンポリシーを定義するため、 ドメインメニュー「ドメイン・ポリシー」を選択します。 サインオン・ポリシー部分にて「サインオン・ポリシーの作成」を選択します。

Slide 38

Slide 38 text

Identity Domains側での設定(2要素認証の設定) Copyright © 2025, Oracle and/or its affiliates 38 4)ポリシーの作成画面にて、名前、説明に任意の値(例:For APEX Sales App)を指定し、 「サインオン・ポリシーの作成」を選択します。

Slide 39

Slide 39 text

Identity Domains側での設定(2要素認証の設定) Copyright © 2025, Oracle and/or its affiliates 39 5)作成されたサインオン・ポリシーの画面にてメニュー「サインオン・ルール」を選択し、「サインオン・ルールの追加」を選択します。

Slide 40

Slide 40 text

Identity Domains側での設定(2要素認証の設定) Copyright © 2025, Oracle and/or its affiliates 40 6)サインオン・ルールの追加画面にて、ルール名に「MFA Rule」(任意の値でOK)を入力し、アクション部分にて下記を設定し、 「追加」を選択します。(条件部分は何も設定しない。) ・追加ファクタの要求にチェック ・指定されたファクタのみにチェック ・電子メールににチェック ・頻度‐セッションごと・・・・・にチェック ・登録‐必須にチェック 本手順では、条件部分に何も設定していないため、無条件でMFAを 要求するルールを設定しています。 条件付き(グループなど)でMFA要求する/しないを制御する場合に は条件部分をセットします。

Slide 41

Slide 41 text

Identity Domains側での設定(2要素認証の設定) Copyright © 2025, Oracle and/or its affiliates 41 7)サインオン・ルールが作成されたことを確認し、メニュー「アプリケーション」を選択し、「アプリケーションの追加」を選択します。

Slide 42

Slide 42 text

Identity Domains側での設定(2要素認証の設定) Copyright © 2025, Oracle and/or its affiliates 42 8)アプリケーションの追加画面にて上記にて作成したAPEX用機密アプリケーション(APEX Sales App)にチェックし 「アプリケーションの追加」を選択します。

Slide 43

Slide 43 text

Identity Domains側での設定(2要素認証の設定) Copyright © 2025, Oracle and/or its affiliates 43 9)アプリケーションが追加されたことを確認します。 右上のアクションより「サインオン・ポリシーのアクティブ化」を選択します。 確認画面でも「サインオン・ポリシーのアクティブ化」を選択します。

Slide 44

Slide 44 text

Identity Domains側での設定(2要素認証の設定) Copyright © 2025, Oracle and/or its affiliates 44 10)サインオン・ポリシーがアクティブ化したことを確認します。 本サインオンポリシーは、“アプリケーション”に指定したアプリケーション(APEX Sales App)に アクセスした場合にのみ使われることになります。

Slide 45

Slide 45 text

4.APEX側での設定 Copyright © 2025, Oracle and/or its affiliates 45

Slide 46

Slide 46 text

APEX側での設定 Copyright © 2025, Oracle and/or its affiliates 46 1) 上記1.にてAPEXサンプルアプリケーション(販売)を作成したワークスペースにワークスペース管理者としてログインします。

Slide 47

Slide 47 text

APEX側での設定 Copyright © 2025, Oracle and/or its affiliates 47 2) Web資格証明を設定するため、ログイン後に表示された画面にて「アプリケーション・ビルダー」を選択します。 遷移した画面で「ワークスペース・ユーティリティ」を選択します。

Slide 48

Slide 48 text

APEX側での設定 Copyright © 2025, Oracle and/or its affiliates 48 3) ワークスペース・ユーティリティ画面にて「Web資格証明」を選択します。 ※今回の場合、Web資格証明はOpenID ConnectによりIdentity Domainsと認証連携する際に利用するIdentity Domains側のキーなどの 情報を格納しておくために利用します。

Slide 49

Slide 49 text

APEX側での設定 Copyright © 2025, Oracle and/or its affiliates 49 4) Web資格証明画面にて「作成」を選択します。 ※今回の場合、Web資格証明はOpenID ConnectによりIdentity Domainsと認証連携する際に利用するIdentity Domains側のキーなどの 情報を格納しておくために利用します。

Slide 50

Slide 50 text

APEX側での設定 Copyright © 2025, Oracle and/or its affiliates 50 5) Web資格証明作成画面にて下記項目を入力し「作成」を選択します。 ・名前:任意の名前(例:IdentityDomain_N00) ・クライアントIDまたはユーザー名:上記手順で控えたクライアントIDの値 ・クライアント・シークレットまたはパスワード:上記手順で控えたクライアント・シークレットの値 ・クライアント・シークレットまたはパスワードの確認:上記手順で控えたクライアント・シークレットの値

Slide 51

Slide 51 text

APEX側での設定 Copyright © 2025, Oracle and/or its affiliates 51 6) Identity Domain用のWeb資格証明が作成されたことを確認します。 続けて、APEX「販売」アプリにOpenID Connectの設定をするため、画面上部の「アプリケーション・ビルダー」を選択します。

Slide 52

Slide 52 text

APEX側での設定 Copyright © 2025, Oracle and/or its affiliates 52 7) 上記1.で作成した販売サンプルアプリケーション(例:Sales100) を選択します。

Slide 53

Slide 53 text

APEX側での設定 Copyright © 2025, Oracle and/or its affiliates 53 8) 販売サンプルアプリケーション画面にて「共有コンポーネント」を選択します。 遷移した共有コンポーネント画面にて「認証スキーム」を選択します。

Slide 54

Slide 54 text

APEX側での設定 Copyright © 2025, Oracle and/or its affiliates 54 9) 認証スキーム画面にて「作成」を選択します。 ※デフォルトの状態では「Oracle APEXアカウント」(DB認証)スキームしか存在しません。

Slide 55

Slide 55 text

APEX側での設定 Copyright © 2025, Oracle and/or its affiliates 55 10) 認証スキームの作成画面にて「ギャラリからの事前構成済スキームに基づく」をチェックONにし「次」を選択します。

Slide 56

Slide 56 text

APEX側での設定 Copyright © 2025, Oracle and/or its affiliates 56 11) 認証スキームの作成画面にて下記項目を入力し「認証スキームの作成」を選択します。 ・名前:IdentityDomain_Auth ※任意の名前で構いません。 ・スキーム・タイプ:ソーシャル・サインイン ・認証証明ストア:上記で作成したWeb資格証明(IdentityDomain_N00) ・認証プロバイダ:OpenID Connectプロバイダ ・検出URL:<上記2.で控えたIdentity Domain URL>/.well-known/openid-configuration 例) https://idcs-d92e・・・・・47a34.identity.oraclecloud.com:443/.well-known/openid-configuration ・有効範囲:profile ・ユーザー名:sub

Slide 57

Slide 57 text

APEX側での設定 Copyright © 2025, Oracle and/or its affiliates 57 12) 認証スキームが作成されたことを確認し、作成された認証スキーム「IdentityDomain_Auth」を選択します。

Slide 58

Slide 58 text

APEX側での設定 Copyright © 2025, Oracle and/or its affiliates 58 13) 認証スキーム画面で「ログアウト後URL」を選択します。 ログアウト後URLの画面にて下記項目を入力し、「変更の適用」を選択します。 ・移動先:URLにチェックON ・URL: https://<上記1.にて控えたURL>/ords/f?p=<上記1.で控えた販売サンプルアプリの番号> 例) https://g884・・・・・・c-db2・・・・・・・・・・・・・051.adb.ap-tokyo-1.oraclecloudapps.com/ords/f?p=106

Slide 59

Slide 59 text

APEX側での設定 Copyright © 2025, Oracle and/or its affiliates 59 14) 再度、作成された認証スキーム「IdentityDomain_Auth」を選択します。 表示された認証スキーム画面にて「カレント・スキームにする」を選択します。 確認画面で「OK」を選択します。

Slide 60

Slide 60 text

APEX側での設定 Copyright © 2025, Oracle and/or its affiliates 60 15) 作成した認証スキーム「IdentityDomain_Auth」のカレントが「はい」になっていることを確認します。 ※この手順により販売サンプルアプリケーションへの認証はIdentity Domainsを使った認証になります。

Slide 61

Slide 61 text

5.動作確認 Copyright © 2025, Oracle and/or its affiliates 61

Slide 62

Slide 62 text

動作確認 Copyright © 2025, Oracle and/or its affiliates 62 1)テストユーザーを作成するため、 OCIコンソールにて対象ドメインのメニュー「ユーザー管理」を選択し、ユーザー部分の「作成」を選択します。

Slide 63

Slide 63 text

動作確認 Copyright © 2025, Oracle and/or its affiliates 63 2)ユーザー作成画面にて、名/姓/メールアドレス(ユーザーIDとメールアドレスを分ける場合にはユーザーID)を入力し「作成」を選択します。

Slide 64

Slide 64 text

動作確認 Copyright © 2025, Oracle and/or its affiliates 64 3)指定したメールアドレスに通知「Activate your profile in account - <テナンシ名>」が届いていることを確認し、 本文の「Active Your Account」を選択し、作成したテストユーザーの初期パスワードをセットします。 ※パスワードセット後に「サインインへ進む」を選択せずに、ブラウザタブを閉じます。

Slide 65

Slide 65 text

動作確認 Copyright © 2025, Oracle and/or its affiliates 65 4)開いているブラウザ シークレットウィンドウをすべて閉じ、 新規にブラウザ シークレットウィンドウを開き、販売サンプルアプリケーションのURLにアクセスします。 URL(例):https://g884・・・・・・c-db2・・・・・・・・・・・・・051.adb.ap-tokyo-1.oraclecloudapps.com/ords/f?p=106 ※アプリケーションの番号↑ アイデンティティ・ドメインのログイン画面が表示されたことを確認し、上記で作成したテストユーザーのID/パスワードを指定し 「サインイン」を選択します。

Slide 66

Slide 66 text

動作確認 Copyright © 2025, Oracle and/or its affiliates 66 5)セキュアな検証の有効化画面にて「セキュアな検証の有効化」を選択します。 ※テストユーザーはまだMFA要素が未登録であるため本画面が表示されます。 MFA要素の選択画面にて「電子メール」を選択します。 ※上記にて作成したサインオンポリシーにて要素として「電子メール」のみ選択したため、選択肢は「電子メール」のみになります。

Slide 67

Slide 67 text

動作確認 Copyright © 2025, Oracle and/or its affiliates 67 6)テストユーザーのメールアドレスに通知「One-Time Passcode for accessing your Cloud account in <テナンシ名>」が 届いていることを確認し、本文中のパスワードコードをブラウザ画面のコード部分に入力し、「電子メール・アドレスの確認」を選択します。

Slide 68

Slide 68 text

動作確認 Copyright © 2025, Oracle Internal Only 68 7)MFA要素「電子メール」の登録が完了したことを確認し「完了」を選択します。 販売サンプルアプリ(APEXアプリ)にアクセスできたことを確認し、右上にテストユーザーのユーザー名が表示されていることを確認します。

Slide 69

Slide 69 text

動作確認 Copyright © 2025, Oracle Internal Only 69 8)次回の販売アプリケーションへのアクセスからは、ログイン画面⇒MFA(電子メールワンタイムパスコード指定)⇒販売アプリケーションへ という流れになることを確認します。 販売アプリケーションに アクセス ログイン 2要素認証 販売アプリ(APEXアプリ)

Slide 70

Slide 70 text

拡張編:グループによるアクセス制御 ※以降は上記の基本編を実施済み前提の手順です。 Copyright © 2025, Oracle and/or its affiliates 70

Slide 71

Slide 71 text

【拡張編】で実現するイメージ Copyright © 2025, Oracle and/or its affiliates 71 本資料は、ユーザーが所属するIdentity Domains側のグループによりAPEXアプリケーションにアクセスさせる/させない を制御するための設定手順になります。 ※この拡張編は基本編を実施済み前提の手順になります。 OCI IAM Identity Domains APEX_User Test-G1 所属グループ 〇 × アクセス可 アクセス不可 Test-G1 ユーザーA ユーザーB APEXアプリ Identity Domainsグループ「APEX_User」に所属しているユーザーのみAPEXアプリケーションにアクセス許可 (ユーザーAはアクセス可 / ユーザーBはアクセス不可)

Slide 72

Slide 72 text

6. Identity Domains側の設定追加 (グループ作成) Copyright © 2025, Oracle and/or its affiliates 72

Slide 73

Slide 73 text

Identity Domains側の設定追加(グループ作成) Copyright © 2025, Oracle and/or its affiliates 73 1)OCIコンソールにて対象ドメインのメニューより「ユーザー管理」を選択し、グループ部分の「グループの作成」を選択します。

Slide 74

Slide 74 text

Identity Domains側の設定追加(グループ作成) Copyright © 2025, Oracle and/or its affiliates 74 2)グループの作成画面で名前、説明に「APEX_User」と入力し、「作成」を選択します。

Slide 75

Slide 75 text

Identity Domains側の設定追加(グループ作成) Copyright © 2025, Oracle and/or its affiliates 75 3)グループ「APEX_User」が作成されたことを確認します。 ※グループへのメンバー追加は後続の手順で実施します。

Slide 76

Slide 76 text

7. APEX側での設定変更 Copyright © 2025, Oracle and/or its affiliates 76

Slide 77

Slide 77 text

APEX側での設定変更 Copyright © 2025, Oracle and/or its affiliates 77 1) 上記1.にてAPEXサンプルアプリケーション(販売)を作成したワークスペースにワークスペース管理者としてログインします。

Slide 78

Slide 78 text

APEX側での設定変更 Copyright © 2025, Oracle and/or its affiliates 78 2) 「アプリケーション・ビルダー」を選択します。 続けて販売アプリケーション(例:Sales100)を選択します。

Slide 79

Slide 79 text

APEX側での設定変更 Copyright © 2025, Oracle and/or its affiliates 79 3) 「共有コンポーネント」を選択します。 続けて「認証スキーム」を選択します。

Slide 80

Slide 80 text

APEX側での設定変更 Copyright © 2025, Oracle and/or its affiliates 80 4) 上記にて作成した認証スキーム「IdentityDomain_Auth」を選択します。

Slide 81

Slide 81 text

APEX側での設定変更 Copyright © 2025, Oracle and/or its affiliates 81 5) 「設定」タブを選択し、下記項目を変更・追加し「変更の適用」を選択します。 ・有効範囲:profile,groups ・追加ユーザー属性:groups

Slide 82

Slide 82 text

APEX側での設定変更 Copyright © 2025, Oracle and/or its affiliates 82 6) 再度、「IdentityDomain_Auth」を選択します。

Slide 83

Slide 83 text

APEX側での設定変更 Copyright © 2025, Oracle and/or its affiliates 83 7) 「ソース」タブを選択し、PL/SQLコード部分に下記コードを入力します。 procedure load_dynamic_groups as l_group_names apex_t_varchar2; l_group_count number; begin -- -- get groups count -- l_group_count := apex_json.get_count('groups'); if l_group_count is not null then -- -- add all group names to l_group_names -- for i in 1 .. apex_json.get_count('groups') loop apex_string.push ( p_table => l_group_names, p_value => apex_json.get_varchar2 ( p_path => 'groups[%d].name', p0 => i )); end loop; -- -- save group names in session -- if l_group_names.count > 0 then apex_authorization.enable_dynamic_groups ( p_group_names => l_group_names ); end if; end if; end; OpenID Connectにより連携されたログインした Identity Domainsユーザー情報から所属グループ を取得するコードです。

Slide 84

Slide 84 text

APEX側での設定変更 Copyright © 2025, Oracle and/or its affiliates 84 8) 「ログイン・プロセス」タブを選択し、認証後のプロシージャ名に「load_dynamic_groups」と入力します。 「変更の適用」ボタンをクリックします。 ※この手順により、Identity DomainsのユーザーがAPEXアプリケーションにログインするタイミングでユーザーが属している Identity Domainsのグループの情報が取得されます。

Slide 85

Slide 85 text

APEX側での設定変更 Copyright © 2025, Oracle and/or its affiliates 85 9) 画面左上の「共有コンポーネント」リンクを選択します。 続けて「認可スキーム」を選択します。

Slide 86

Slide 86 text

APEX側での設定変更 Copyright © 2025, Oracle and/or its affiliates 86 10) 認可スキーム画面で「作成」を選択します。

Slide 87

Slide 87 text

APEX側での設定変更 Copyright © 2025, Oracle and/or its affiliates 87 11) 表示された認可スキームの作成画面で「最初から」を選択し、「次」を選択します。

Slide 88

Slide 88 text

APEX側での設定変更 Copyright © 2025, Oracle and/or its affiliates 88 12) 表示された認可スキームの作成画面で下記項目を指定し、「認可スキームの作成」を選択します。 ・名前:Group AuthZ (任意の名前) ・スキーム・タイプ:ロールまたはグループ内にある ・タイプ:カスタム ・名前:アクセス許可するIdentity Domainsグループ名 (例:APEX_User) ・スキームの違反時に・・・・:Not Authorized !!(任意の値)

Slide 89

Slide 89 text

APEX側での設定変更 Copyright © 2025, Oracle and/or its affiliates 89 13) 認可スキームが作成されたことを確認します。

Slide 90

Slide 90 text

APEX側での設定変更 Copyright © 2025, Oracle and/or its affiliates 90 14) 作成した認可スキームを販売サンプルアプリケーションへ適用するため、 画面左上の「共有コンポーネント」リンクを選択します。 続けて、「セキュリティ属性」を選択します。

Slide 91

Slide 91 text

APEX側での設定変更 Copyright © 2025, Oracle and/or its affiliates 91 15) 「すべて表示」タブを選択し、認可セクションにて下記項目を指定し、「変更の保存」を選択します。 ・認可スキーム:上記で作成した認可スキーム(Group AuthZ) ・ロールまたはグループ・スキームのソース:カスタム・コード

Slide 92

Slide 92 text

8. 動作確認 Copyright © 2025, Oracle and/or its affiliates 92

Slide 93

Slide 93 text

動作確認 Copyright © 2025, Oracle and/or its affiliates 93 1)上記で作成したグループ「APEX_User」にユーザーを所属させるため、 OCIコンソールにて対象ドメインのメニュー「ユーザー管理」を選択し、グループ「APEX_User」を選択します。

Slide 94

Slide 94 text

動作確認 Copyright © 2025, Oracle and/or its affiliates 94 2)グループ「APEX_User」の画面でメニュー「ユーザー」を選択し、「グループへのユーザーの割当て」を選択します。

Slide 95

Slide 95 text

動作確認 Copyright © 2025, Oracle and/or its affiliates 95 3)表示されたユーザーの追加画面にて、上記にて作成したテストユーザー(test_user1)を選択し、「追加」を選択します。

Slide 96

Slide 96 text

動作確認 Copyright © 2025, Oracle and/or its affiliates 96 4)グループ「APEX_User」のメンバーとしてテストユーザー(test_user1)が追加されたことを確認します。 続けて、画面上の「←」を選択します。

Slide 97

Slide 97 text

動作確認 Copyright © 2025, Oracle and/or its affiliates 97 5)次に、グループ「APEX_User」に所属しないテストユーザーを新規作成するため、 ユーザー部分の「作成」を選択します。 表示された画面にて新規テストユーザーの姓/名/メールアドレス(ユーザーIDとメールアドレスを分ける場合にはユーザーID)を入力し 「作成」を選択します。 ※新規作成するテストユーザーはどのグループにも所属させないようにします。

Slide 98

Slide 98 text

動作確認 Copyright © 2025, Oracle and/or its affiliates 98 6)指定したメールアドレスに通知「Activate your profile in account - <テナンシ名>」が届いていることを確認し、 本文の「Active Your Account」を選択し、作成したテストユーザー(test_user2)の初期パスワードをセットします。 ※パスワードセット後に「サインインへ進む」を選択せずに、ブラウザタブを閉じます。

Slide 99

Slide 99 text

動作確認 Copyright © 2025, Oracle and/or its affiliates 99 7)開いているブラウザ シークレットウィンドウをすべて閉じ、 新規にブラウザ シークレットウィンドウを開き、販売サンプルアプリケーションのURLにアクセスします。 URL(例):https://g884・・・・・・c-db2・・・・・・・・・・・・・051.adb.ap-tokyo-1.oraclecloudapps.com/ords/f?p=106 ※アプリケーションの番号↑ アイデンティティ・ドメインのログイン画面にて、グループ「APEX_User」に属しているテストユーザー(test_user1)のID/パスワードを 指定し「サインイン」を選択します。

Slide 100

Slide 100 text

動作確認 Copyright © 2025, Oracle and/or its affiliates 100 8)電子メールワンタイムパスコード指定画面にて、受信したメールに記載のワンタイムパスコードを指定し「検証」を選択します。 販売サンプルアプリケーションにアクセスできることを確認します。

Slide 101

Slide 101 text

動作確認 Copyright © 2025, Oracle and/or its affiliates 101 9)開いているブラウザ シークレットウィンドウをすべて閉じ、 新規にブラウザ シークレットウィンドウを開き、販売サンプルアプリケーションのURLに再度アクセスします。 URL(例):https://g884・・・・・・c-db2・・・・・・・・・・・・・051.adb.ap-tokyo-1.oraclecloudapps.com/ords/f?p=106 ※アプリケーションの番号↑ アイデンティティ・ドメインのログイン画面にて、グループ「APEX_User」に属していないテストユーザー(test_user2)のID/パスワードを 指定し「サインイン」を選択します。

Slide 102

Slide 102 text

動作確認 Copyright © 2025, Oracle and/or its affiliates 102 10)セキュアな検証の有効化画面にて「セキュアな検証の有効化」を選択します。 ※テストユーザー(test_user2)はまだMFA要素が未登録であるため本画面が表示されます。 MFA要素の選択画面にて「電子メール」を選択します。 ※上記にて作成したサインオンポリシーにて要素として「電子メール」のみ選択したため、選択肢は「電子メール」のみになります。

Slide 103

Slide 103 text

動作確認 Copyright © 2025, Oracle and/or its affiliates 103 11)テストユーザーのメールアドレスに通知「One-Time Passcode for accessing your Cloud account in <テナンシ名>」が 届いていることを確認し、本文中のパスワードコードをブラウザ画面のコード部分に入力し、「電子メール・アドレスの確認」を選択します。

Slide 104

Slide 104 text

動作確認 Copyright © 2025, Oracle Internal Only 104 12)MFA要素「電子メール」の登録が完了したことを確認し「完了」を選択します。 その後、アクセス拒否の画面(上記の認可スキームの設定で指定したメッセージ)が表示され、販売サンプルアプリ(APEXアプリ)に アクセスできないことを確認します。

Slide 105

Slide 105 text

No content