Slide 1
Slide 1 text
OCI IAM Identity Domains
2025年7月17日
日本オラクル株式会社
APEXアプリケーションとの認証連携(2要素認証込み)
Slide 2
Slide 2 text
Copyright © 2025, Oracle and/or its affiliates
2
Safe harbor statement
The following is intended to outline our general product direction. It is intended for
information purposes only, and may not be incorporated into any contract. It is not
a commitment to deliver any material, code, or functionality, and should not be relied
upon in making purchasing decisions.
The development, release, timing, and pricing of any features or functionality described
for Oracle’s products may change and remains at the sole discretion of Oracle
Corporation.
Slide 3
Slide 3 text
アジェンダ
Copyright © 2025, Oracle and/or its affiliates
3
【基本編】:APEXアプリとIdentity Domains認証連携(2要素認証込み)
1.APEX側でのサンプルアプリケーションの作成
2.Identity Domains側での設定(APEXアプリケーションとの認証連携設定)
3.Identity Domains側での設定(2要素認証の設定)
4.APEX側での設定
5.動作確認
【拡張編】:グループによるアクセス制御 ※基本編を実施済み前提の手順
6.Identity Domains側での設定追加(グループ作成)
7.APEX側での設定変更
8.動作確認
Slide 4
Slide 4 text
基本編:APEXアプリとIdentity Domains認証連携(2要素認証込み)
Copyright © 2025, Oracle and/or its affiliates
4
Slide 5
Slide 5 text
【基本編】で実現するイメージ
Copyright © 2025, Oracle and/or its affiliates
5
ユーザー
ログイン画面
ID/パスワード
2要素認証画面
ワンタイム
パスコードなど
OCI IAM
Identity Domains
ユーザー情報
APEXアプリ
OpenID Connectによる連携
本資料は、ADBのAPEXアプリケーションにアクセスする際の認証および2要素認証(MFA)としてIdentity Domainsを
利用するための設定手順になります。
※本資料ではAPEXアプリケーションとして“販売”サンプルアプリケーションを利用します。
※APEXアプリケーションとIdentity DomainsはOpenID Connectにより連携します。
Slide 6
Slide 6 text
1.APEX側でのサンプルアプリケーションの作成
Copyright © 2025, Oracle and/or its affiliates
6
Slide 7
Slide 7 text
APEX側でのサンプルアプリケーションの作成
Copyright © 2025, Oracle and/or its affiliates
7
1) APEXの任意のワークスペースにワークスペース管理者としてログインします。
Slide 8
Slide 8 text
APEX側でのサンプルアプリケーションの作成
Copyright © 2025, Oracle and/or its affiliates
8
2) ログイン後画面にてブラウザアドレスバーのURLにてoraclecloudapps.comまでのAPEX URLをコピーし控えておきます。
※このURLは後続の手順で利用します。
例)https://g884・・・・・・c-db2・・・・・・・・・・・・・051.adb.ap-tokyo-1.oraclecloudapps.com
Slide 9
Slide 9 text
APEX側でのサンプルアプリケーションの作成
Copyright © 2025, Oracle and/or its affiliates
9
3) ログイン後画面にて「アプリケーション・ビルダー」を選択します。
続けて「作成」を選択します。
Slide 10
Slide 10 text
APEX側でのサンプルアプリケーションの作成
Copyright © 2025, Oracle and/or its affiliates
10
4) アプリケーションの作成画面にて「ファイルからのアプリケーションの作成」を選択します。
Slide 11
Slide 11 text
APEX側でのサンプルアプリケーションの作成
Copyright © 2025, Oracle and/or its affiliates
11
5) 表示されたデータのロード画面にて「コピー・アンド・ペースト」を選択します。
サンプルの選択から「販売」を選択し、「次」を選択します。
Slide 12
Slide 12 text
APEX側でのサンプルアプリケーションの作成
Copyright © 2025, Oracle and/or its affiliates
12
6) 表名に任意の値(例:SALES100)を入力し、「データのロード」を選択します。
Slide 13
Slide 13 text
APEX側でのサンプルアプリケーションの作成
Copyright © 2025, Oracle and/or its affiliates
13
7) 表が作成されたメッセージを確認し、「アプリケーションの作成」を選択します。
Slide 14
Slide 14 text
APEX側でのサンプルアプリケーションの作成
Copyright © 2025, Oracle and/or its affiliates
14
8) 画面中段の機能エリアにて「すべてをチェック」を選択し、「アプリケーションの作成」を選択します。
Slide 15
Slide 15 text
APEX側でのサンプルアプリケーションの作成
Copyright © 2025, Oracle and/or its affiliates
15
9) 表示された作成したアプリケーション画面にて「アプリケーション定義の編集」を選択します。
Slide 16
Slide 16 text
APEX側でのサンプルアプリケーションの作成
Copyright © 2025, Oracle and/or its affiliates
16
10) 表示された画面にてアプリケーション項目の数字(例:106)を控えておきます。
※この控えたアプリケーション番号は後ほどの手順で使います。
「取消」を選択します。
Slide 17
Slide 17 text
APEX側でのサンプルアプリケーションの作成
Copyright © 2025, Oracle and/or its affiliates
17
11) 「共有コンポーネント」を選択します。
表示された画面にて「セキュリティ属性」を選択します。
Slide 18
Slide 18 text
APEX側でのサンプルアプリケーションの作成
Copyright © 2025, Oracle and/or its affiliates
18
12) 認可エリアの認可スキームに「アプリケーション認可の必要なし」を選択し、「変更の適用」を選択します。
Slide 19
Slide 19 text
APEX側でのサンプルアプリケーションの作成
Copyright © 2025, Oracle and/or its affiliates
19
13) 表示された画面の「アプリケーションXXX」(例:アプリケーション106)リンクを選択します。
「アプリケーションの実行」を選択します。
Slide 20
Slide 20 text
APEX側でのサンプルアプリケーションの作成
Copyright © 2025, Oracle and/or its affiliates
20
14) 表示されたログイン画面にワークスペース管理者のID/パスワードを入力し、「サインイン」を選択します。
“販売”サンプルアプリ(例:Sales100)にアクセスできることを確認します。
Slide 21
Slide 21 text
2. Identity Domains側での設定
(APEXアプリケーションとの認証連携設定)
Copyright © 2025, Oracle and/or its affiliates
21
Slide 22
Slide 22 text
Identity Domains側での設定(APEXアプリケーションとの認証連携設定)
Copyright © 2025, Oracle and/or its affiliates
22
1)OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。
テナント名(クラウド・アカウント名)を入力し「Next」を選択します。
アイデンティティ・ドメインの選択画面が表示される場合には「Default」を選択し、管理者のユーザー名/パスワードを入力し
OCIコンソールにログインします。
※該当ドメインの管理者でログインしても構いません。
※環境によりドメイン選択画面は表示されません。
Slide 23
Slide 23 text
Identity Domains側での設定(APEXアプリケーションとの認証連携設定)
Copyright © 2025, Oracle and/or its affiliates
23
2)メニューより「アイデンティティとセキュリティ」ー「アイデンティティ」を選択します。
Slide 24
Slide 24 text
Identity Domains側での設定(APEXアプリケーションとの認証連携設定)
Copyright © 2025, Oracle and/or its affiliates
24
3)ドメイン画面にて、適用済みフィルタ部分にて対象ドメインが存在するコンパートメントを指定し、対象ドメインを選択します。
Slide 25
Slide 25 text
Identity Domains側での設定(APEXアプリケーションとの認証連携設定)
Copyright © 2025, Oracle and/or its affiliates
25
4) ドメインのメニュー「詳細」を選択し、ドメインURLの「コピー」を選択しドメインURLを控えておきます。
このドメインURLは後続の手順で利用します。
※ドメインURLは「https://idcs-d92e・・・・・・・・7a34.identity.oraclecloud.com:443」になります。
Slide 26
Slide 26 text
Identity Domains側での設定(APEXアプリケーションとの認証連携設定)
Copyright © 2025, Oracle and/or its affiliates
26
5) メニュー「統合アプリケーション」を選択します。
統合アプリケーション部分にて「アプリケーションの追加」を選択します。
表示されたアプリケーションの追加画面にて「機密アプリケーション」を選択し、「ワークフローの起動」を選択します。
Slide 27
Slide 27 text
Identity Domains側での設定(APEXアプリケーションとの認証連携設定)
Copyright © 2025, Oracle and/or its affiliates
27
6)名前、説明に適当な値を指定し、「送信」を選択します。
・名前:APEX Sales App ※任意の名前で構いません。
・説明:APEX Sales App ※任意の名前で構いません。
Slide 28
Slide 28 text
Identity Domains側での設定(APEXアプリケーションとの認証連携設定)
Copyright © 2025, Oracle and/or its affiliates
28
7) 作成した機密アプリケーション画面にて「OAuth構成」を選択し、「OAuth構成の編集」を選択します。
Slide 29
Slide 29 text
Identity Domains側での設定(APEXアプリケーションとの認証連携設定)
Copyright © 2025, Oracle and/or its affiliates
29
8) 表示された画面にて、下記項目を設定します。
・クライアント構成 – このアプリケーションをクライアントとして今すぐ構成します:チェックON
・認可 – 認可コード:チェックON
Slide 30
Slide 30 text
Identity Domains側での設定(APEXアプリケーションとの認証連携設定)
Copyright © 2025, Oracle and/or its affiliates
30
9) 同画面にて下記項目を入力します。
・リダイレクトURL:https://<上記1.にて控えたURL>/ords/apex_authentication.callback
例) https://g884・・・・・・c-db2・・・・・・・・・・・・・051.adb.ap-tokyo-1.oraclecloudapps.com/ords/apex_authentication.callback
・ログアウト後のリダイレクトURL: https://<上記1.にて控えたURL>/ords/f?p=<上記1.で控えた販売サンプルアプリの番号>
例) https://g884・・・・・・c-db2・・・・・・・・・・・・・051.adb.ap-tokyo-1.oraclecloudapps.com/ords/f?p=200
Slide 31
Slide 31 text
Identity Domains側での設定(APEXアプリケーションとの認証連携設定)
Copyright © 2025, Oracle and/or its affiliates
31
10) 同画面にて、「同意のバイパス」をチェックONにし、「送信」を選択します。
Slide 32
Slide 32 text
Identity Domains側での設定(APEXアプリケーションとの認証連携設定)
Copyright © 2025, Oracle and/or its affiliates
32
11) 作成した機密アプリケーションの画面にて、右上のアクションより「アクティブ化」を選択します。
確認画面で「アプリケーションのアクティブ化」を選択します。
Slide 33
Slide 33 text
Identity Domains側での設定(APEXアプリケーションとの認証連携設定)
Copyright © 2025, Oracle and/or its affiliates
33
12) 作成した機密アプリケーションがアクティブ化されたことを確認します。
一般情報部分にある「クライアントID」の値をコピーして控えておきます。
また、クライアント・シークレット部分にあるシークレットの表示より「コピー」選択し、クライアント・シークレットも控えておきます。
※控えたクライアントIDとクライアント・シークレットは後続の手順で利用します。
Slide 34
Slide 34 text
3. Identity Domains側での設定
(2要素認証の設定)
※2要素認証の要素として電子メールワンタイムパスコードを利用する手順
Copyright © 2025, Oracle and/or its affiliates
34
Slide 35
Slide 35 text
Identity Domains側での設定(2要素認証の設定)
Copyright © 2025, Oracle and/or its affiliates
35
1)MFA要素として「電子メール」を有効化するため、ドメインメニュー「認証」を選択します。
ファクタ部分の電子メールが無効になっている場合には「ファクタの有効化または無効化」を選択します。
※電子メールが有効になっている場合には3)に進みます。
Slide 36
Slide 36 text
Identity Domains側での設定(2要素認証の設定)
Copyright © 2025, Oracle and/or its affiliates
36
2)ファクタの有効化または無効化画面にて「電子メール」をチェックONにし、「変更の保存」を選択します。
※2要素認証の要素を有効化したのみではAPEXアプリケーションへの
アクセス時のMFA利用はまだ有効になりません。
MFA利用には後続のサインオンポリシーの設定が必要になります。
Slide 37
Slide 37 text
Identity Domains側での設定(2要素認証の設定)
Copyright © 2025, Oracle and/or its affiliates
37
3)次に、APEXサンプルアプリアクセス時にMFAを必須にするサインオンポリシーを定義するため、
ドメインメニュー「ドメイン・ポリシー」を選択します。
サインオン・ポリシー部分にて「サインオン・ポリシーの作成」を選択します。
Slide 38
Slide 38 text
Identity Domains側での設定(2要素認証の設定)
Copyright © 2025, Oracle and/or its affiliates
38
4)ポリシーの作成画面にて、名前、説明に任意の値(例:For APEX Sales App)を指定し、
「サインオン・ポリシーの作成」を選択します。
Slide 39
Slide 39 text
Identity Domains側での設定(2要素認証の設定)
Copyright © 2025, Oracle and/or its affiliates
39
5)作成されたサインオン・ポリシーの画面にてメニュー「サインオン・ルール」を選択し、「サインオン・ルールの追加」を選択します。
Slide 40
Slide 40 text
Identity Domains側での設定(2要素認証の設定)
Copyright © 2025, Oracle and/or its affiliates
40
6)サインオン・ルールの追加画面にて、ルール名に「MFA Rule」(任意の値でOK)を入力し、アクション部分にて下記を設定し、
「追加」を選択します。(条件部分は何も設定しない。)
・追加ファクタの要求にチェック
・指定されたファクタのみにチェック
・電子メールににチェック
・頻度‐セッションごと・・・・・にチェック
・登録‐必須にチェック
本手順では、条件部分に何も設定していないため、無条件でMFAを
要求するルールを設定しています。
条件付き(グループなど)でMFA要求する/しないを制御する場合に
は条件部分をセットします。
Slide 41
Slide 41 text
Identity Domains側での設定(2要素認証の設定)
Copyright © 2025, Oracle and/or its affiliates
41
7)サインオン・ルールが作成されたことを確認し、メニュー「アプリケーション」を選択し、「アプリケーションの追加」を選択します。
Slide 42
Slide 42 text
Identity Domains側での設定(2要素認証の設定)
Copyright © 2025, Oracle and/or its affiliates
42
8)アプリケーションの追加画面にて上記にて作成したAPEX用機密アプリケーション(APEX Sales App)にチェックし
「アプリケーションの追加」を選択します。
Slide 43
Slide 43 text
Identity Domains側での設定(2要素認証の設定)
Copyright © 2025, Oracle and/or its affiliates
43
9)アプリケーションが追加されたことを確認します。
右上のアクションより「サインオン・ポリシーのアクティブ化」を選択します。
確認画面でも「サインオン・ポリシーのアクティブ化」を選択します。
Slide 44
Slide 44 text
Identity Domains側での設定(2要素認証の設定)
Copyright © 2025, Oracle and/or its affiliates
44
10)サインオン・ポリシーがアクティブ化したことを確認します。
本サインオンポリシーは、“アプリケーション”に指定したアプリケーション(APEX Sales App)に
アクセスした場合にのみ使われることになります。
Slide 45
Slide 45 text
4.APEX側での設定
Copyright © 2025, Oracle and/or its affiliates
45
Slide 46
Slide 46 text
APEX側での設定
Copyright © 2025, Oracle and/or its affiliates
46
1) 上記1.にてAPEXサンプルアプリケーション(販売)を作成したワークスペースにワークスペース管理者としてログインします。
Slide 47
Slide 47 text
APEX側での設定
Copyright © 2025, Oracle and/or its affiliates
47
2) Web資格証明を設定するため、ログイン後に表示された画面にて「アプリケーション・ビルダー」を選択します。
遷移した画面で「ワークスペース・ユーティリティ」を選択します。
Slide 48
Slide 48 text
APEX側での設定
Copyright © 2025, Oracle and/or its affiliates
48
3) ワークスペース・ユーティリティ画面にて「Web資格証明」を選択します。
※今回の場合、Web資格証明はOpenID ConnectによりIdentity Domainsと認証連携する際に利用するIdentity Domains側のキーなどの
情報を格納しておくために利用します。
Slide 49
Slide 49 text
APEX側での設定
Copyright © 2025, Oracle and/or its affiliates
49
4) Web資格証明画面にて「作成」を選択します。
※今回の場合、Web資格証明はOpenID ConnectによりIdentity Domainsと認証連携する際に利用するIdentity Domains側のキーなどの
情報を格納しておくために利用します。
Slide 50
Slide 50 text
APEX側での設定
Copyright © 2025, Oracle and/or its affiliates
50
5) Web資格証明作成画面にて下記項目を入力し「作成」を選択します。
・名前:任意の名前(例:IdentityDomain_N00)
・クライアントIDまたはユーザー名:上記手順で控えたクライアントIDの値
・クライアント・シークレットまたはパスワード:上記手順で控えたクライアント・シークレットの値
・クライアント・シークレットまたはパスワードの確認:上記手順で控えたクライアント・シークレットの値
Slide 51
Slide 51 text
APEX側での設定
Copyright © 2025, Oracle and/or its affiliates
51
6) Identity Domain用のWeb資格証明が作成されたことを確認します。
続けて、APEX「販売」アプリにOpenID Connectの設定をするため、画面上部の「アプリケーション・ビルダー」を選択します。
Slide 52
Slide 52 text
APEX側での設定
Copyright © 2025, Oracle and/or its affiliates
52
7) 上記1.で作成した販売サンプルアプリケーション(例:Sales100) を選択します。
Slide 53
Slide 53 text
APEX側での設定
Copyright © 2025, Oracle and/or its affiliates
53
8) 販売サンプルアプリケーション画面にて「共有コンポーネント」を選択します。
遷移した共有コンポーネント画面にて「認証スキーム」を選択します。
Slide 54
Slide 54 text
APEX側での設定
Copyright © 2025, Oracle and/or its affiliates
54
9) 認証スキーム画面にて「作成」を選択します。
※デフォルトの状態では「Oracle APEXアカウント」(DB認証)スキームしか存在しません。
Slide 55
Slide 55 text
APEX側での設定
Copyright © 2025, Oracle and/or its affiliates
55
10) 認証スキームの作成画面にて「ギャラリからの事前構成済スキームに基づく」をチェックONにし「次」を選択します。
Slide 56
Slide 56 text
APEX側での設定
Copyright © 2025, Oracle and/or its affiliates
56
11) 認証スキームの作成画面にて下記項目を入力し「認証スキームの作成」を選択します。
・名前:IdentityDomain_Auth ※任意の名前で構いません。
・スキーム・タイプ:ソーシャル・サインイン
・認証証明ストア:上記で作成したWeb資格証明(IdentityDomain_N00)
・認証プロバイダ:OpenID Connectプロバイダ
・検出URL:<上記2.で控えたIdentity Domain URL>/.well-known/openid-configuration
例) https://idcs-d92e・・・・・47a34.identity.oraclecloud.com:443/.well-known/openid-configuration
・有効範囲:profile
・ユーザー名:sub
Slide 57
Slide 57 text
APEX側での設定
Copyright © 2025, Oracle and/or its affiliates
57
12) 認証スキームが作成されたことを確認し、作成された認証スキーム「IdentityDomain_Auth」を選択します。
Slide 58
Slide 58 text
APEX側での設定
Copyright © 2025, Oracle and/or its affiliates
58
13) 認証スキーム画面で「ログアウト後URL」を選択します。
ログアウト後URLの画面にて下記項目を入力し、「変更の適用」を選択します。
・移動先:URLにチェックON
・URL: https://<上記1.にて控えたURL>/ords/f?p=<上記1.で控えた販売サンプルアプリの番号>
例) https://g884・・・・・・c-db2・・・・・・・・・・・・・051.adb.ap-tokyo-1.oraclecloudapps.com/ords/f?p=106
Slide 59
Slide 59 text
APEX側での設定
Copyright © 2025, Oracle and/or its affiliates
59
14) 再度、作成された認証スキーム「IdentityDomain_Auth」を選択します。
表示された認証スキーム画面にて「カレント・スキームにする」を選択します。
確認画面で「OK」を選択します。
Slide 60
Slide 60 text
APEX側での設定
Copyright © 2025, Oracle and/or its affiliates
60
15) 作成した認証スキーム「IdentityDomain_Auth」のカレントが「はい」になっていることを確認します。
※この手順により販売サンプルアプリケーションへの認証はIdentity Domainsを使った認証になります。
Slide 61
Slide 61 text
5.動作確認
Copyright © 2025, Oracle and/or its affiliates
61
Slide 62
Slide 62 text
動作確認
Copyright © 2025, Oracle and/or its affiliates
62
1)テストユーザーを作成するため、
OCIコンソールにて対象ドメインのメニュー「ユーザー管理」を選択し、ユーザー部分の「作成」を選択します。
Slide 63
Slide 63 text
動作確認
Copyright © 2025, Oracle and/or its affiliates
63
2)ユーザー作成画面にて、名/姓/メールアドレス(ユーザーIDとメールアドレスを分ける場合にはユーザーID)を入力し「作成」を選択します。
Slide 64
Slide 64 text
動作確認
Copyright © 2025, Oracle and/or its affiliates
64
3)指定したメールアドレスに通知「Activate your profile in account - <テナンシ名>」が届いていることを確認し、
本文の「Active Your Account」を選択し、作成したテストユーザーの初期パスワードをセットします。
※パスワードセット後に「サインインへ進む」を選択せずに、ブラウザタブを閉じます。
Slide 65
Slide 65 text
動作確認
Copyright © 2025, Oracle and/or its affiliates
65
4)開いているブラウザ シークレットウィンドウをすべて閉じ、
新規にブラウザ シークレットウィンドウを開き、販売サンプルアプリケーションのURLにアクセスします。
URL(例):https://g884・・・・・・c-db2・・・・・・・・・・・・・051.adb.ap-tokyo-1.oraclecloudapps.com/ords/f?p=106
※アプリケーションの番号↑
アイデンティティ・ドメインのログイン画面が表示されたことを確認し、上記で作成したテストユーザーのID/パスワードを指定し
「サインイン」を選択します。
Slide 66
Slide 66 text
動作確認
Copyright © 2025, Oracle and/or its affiliates
66
5)セキュアな検証の有効化画面にて「セキュアな検証の有効化」を選択します。
※テストユーザーはまだMFA要素が未登録であるため本画面が表示されます。
MFA要素の選択画面にて「電子メール」を選択します。
※上記にて作成したサインオンポリシーにて要素として「電子メール」のみ選択したため、選択肢は「電子メール」のみになります。
Slide 67
Slide 67 text
動作確認
Copyright © 2025, Oracle and/or its affiliates
67
6)テストユーザーのメールアドレスに通知「One-Time Passcode for accessing your Cloud account in <テナンシ名>」が
届いていることを確認し、本文中のパスワードコードをブラウザ画面のコード部分に入力し、「電子メール・アドレスの確認」を選択します。
Slide 68
Slide 68 text
動作確認
Copyright © 2025, Oracle Internal Only
68
7)MFA要素「電子メール」の登録が完了したことを確認し「完了」を選択します。
販売サンプルアプリ(APEXアプリ)にアクセスできたことを確認し、右上にテストユーザーのユーザー名が表示されていることを確認します。
Slide 69
Slide 69 text
動作確認
Copyright © 2025, Oracle Internal Only
69
8)次回の販売アプリケーションへのアクセスからは、ログイン画面⇒MFA(電子メールワンタイムパスコード指定)⇒販売アプリケーションへ
という流れになることを確認します。
販売アプリケーションに
アクセス
ログイン 2要素認証
販売アプリ(APEXアプリ)
Slide 70
Slide 70 text
拡張編:グループによるアクセス制御
※以降は上記の基本編を実施済み前提の手順です。
Copyright © 2025, Oracle and/or its affiliates
70
Slide 71
Slide 71 text
【拡張編】で実現するイメージ
Copyright © 2025, Oracle and/or its affiliates
71
本資料は、ユーザーが所属するIdentity Domains側のグループによりAPEXアプリケーションにアクセスさせる/させない
を制御するための設定手順になります。
※この拡張編は基本編を実施済み前提の手順になります。
OCI IAM
Identity Domains
APEX_User
Test-G1
所属グループ
〇
×
アクセス可
アクセス不可
Test-G1
ユーザーA
ユーザーB
APEXアプリ
Identity Domainsグループ「APEX_User」に所属しているユーザーのみAPEXアプリケーションにアクセス許可
(ユーザーAはアクセス可 / ユーザーBはアクセス不可)
Slide 72
Slide 72 text
6. Identity Domains側の設定追加
(グループ作成)
Copyright © 2025, Oracle and/or its affiliates
72
Slide 73
Slide 73 text
Identity Domains側の設定追加(グループ作成)
Copyright © 2025, Oracle and/or its affiliates
73
1)OCIコンソールにて対象ドメインのメニューより「ユーザー管理」を選択し、グループ部分の「グループの作成」を選択します。
Slide 74
Slide 74 text
Identity Domains側の設定追加(グループ作成)
Copyright © 2025, Oracle and/or its affiliates
74
2)グループの作成画面で名前、説明に「APEX_User」と入力し、「作成」を選択します。
Slide 75
Slide 75 text
Identity Domains側の設定追加(グループ作成)
Copyright © 2025, Oracle and/or its affiliates
75
3)グループ「APEX_User」が作成されたことを確認します。
※グループへのメンバー追加は後続の手順で実施します。
Slide 76
Slide 76 text
7. APEX側での設定変更
Copyright © 2025, Oracle and/or its affiliates
76
Slide 77
Slide 77 text
APEX側での設定変更
Copyright © 2025, Oracle and/or its affiliates
77
1) 上記1.にてAPEXサンプルアプリケーション(販売)を作成したワークスペースにワークスペース管理者としてログインします。
Slide 78
Slide 78 text
APEX側での設定変更
Copyright © 2025, Oracle and/or its affiliates
78
2) 「アプリケーション・ビルダー」を選択します。
続けて販売アプリケーション(例:Sales100)を選択します。
Slide 79
Slide 79 text
APEX側での設定変更
Copyright © 2025, Oracle and/or its affiliates
79
3) 「共有コンポーネント」を選択します。
続けて「認証スキーム」を選択します。
Slide 80
Slide 80 text
APEX側での設定変更
Copyright © 2025, Oracle and/or its affiliates
80
4) 上記にて作成した認証スキーム「IdentityDomain_Auth」を選択します。
Slide 81
Slide 81 text
APEX側での設定変更
Copyright © 2025, Oracle and/or its affiliates
81
5) 「設定」タブを選択し、下記項目を変更・追加し「変更の適用」を選択します。
・有効範囲:profile,groups
・追加ユーザー属性:groups
Slide 82
Slide 82 text
APEX側での設定変更
Copyright © 2025, Oracle and/or its affiliates
82
6) 再度、「IdentityDomain_Auth」を選択します。
Slide 83
Slide 83 text
APEX側での設定変更
Copyright © 2025, Oracle and/or its affiliates
83
7) 「ソース」タブを選択し、PL/SQLコード部分に下記コードを入力します。
procedure load_dynamic_groups as
l_group_names apex_t_varchar2;
l_group_count number;
begin
--
-- get groups count
--
l_group_count := apex_json.get_count('groups');
if l_group_count is not null then
--
-- add all group names to l_group_names
--
for i in 1 .. apex_json.get_count('groups') loop
apex_string.push (
p_table => l_group_names,
p_value => apex_json.get_varchar2 (
p_path => 'groups[%d].name',
p0 => i ));
end loop;
--
-- save group names in session
--
if l_group_names.count > 0 then
apex_authorization.enable_dynamic_groups (
p_group_names => l_group_names );
end if;
end if;
end;
OpenID Connectにより連携されたログインした
Identity Domainsユーザー情報から所属グループ
を取得するコードです。
Slide 84
Slide 84 text
APEX側での設定変更
Copyright © 2025, Oracle and/or its affiliates
84
8) 「ログイン・プロセス」タブを選択し、認証後のプロシージャ名に「load_dynamic_groups」と入力します。
「変更の適用」ボタンをクリックします。
※この手順により、Identity DomainsのユーザーがAPEXアプリケーションにログインするタイミングでユーザーが属している
Identity Domainsのグループの情報が取得されます。
Slide 85
Slide 85 text
APEX側での設定変更
Copyright © 2025, Oracle and/or its affiliates
85
9) 画面左上の「共有コンポーネント」リンクを選択します。
続けて「認可スキーム」を選択します。
Slide 86
Slide 86 text
APEX側での設定変更
Copyright © 2025, Oracle and/or its affiliates
86
10) 認可スキーム画面で「作成」を選択します。
Slide 87
Slide 87 text
APEX側での設定変更
Copyright © 2025, Oracle and/or its affiliates
87
11) 表示された認可スキームの作成画面で「最初から」を選択し、「次」を選択します。
Slide 88
Slide 88 text
APEX側での設定変更
Copyright © 2025, Oracle and/or its affiliates
88
12) 表示された認可スキームの作成画面で下記項目を指定し、「認可スキームの作成」を選択します。
・名前:Group AuthZ (任意の名前)
・スキーム・タイプ:ロールまたはグループ内にある
・タイプ:カスタム
・名前:アクセス許可するIdentity Domainsグループ名
(例:APEX_User)
・スキームの違反時に・・・・:Not Authorized !!(任意の値)
Slide 89
Slide 89 text
APEX側での設定変更
Copyright © 2025, Oracle and/or its affiliates
89
13) 認可スキームが作成されたことを確認します。
Slide 90
Slide 90 text
APEX側での設定変更
Copyright © 2025, Oracle and/or its affiliates
90
14) 作成した認可スキームを販売サンプルアプリケーションへ適用するため、
画面左上の「共有コンポーネント」リンクを選択します。
続けて、「セキュリティ属性」を選択します。
Slide 91
Slide 91 text
APEX側での設定変更
Copyright © 2025, Oracle and/or its affiliates
91
15) 「すべて表示」タブを選択し、認可セクションにて下記項目を指定し、「変更の保存」を選択します。
・認可スキーム:上記で作成した認可スキーム(Group AuthZ)
・ロールまたはグループ・スキームのソース:カスタム・コード
Slide 92
Slide 92 text
8. 動作確認
Copyright © 2025, Oracle and/or its affiliates
92
Slide 93
Slide 93 text
動作確認
Copyright © 2025, Oracle and/or its affiliates
93
1)上記で作成したグループ「APEX_User」にユーザーを所属させるため、
OCIコンソールにて対象ドメインのメニュー「ユーザー管理」を選択し、グループ「APEX_User」を選択します。
Slide 94
Slide 94 text
動作確認
Copyright © 2025, Oracle and/or its affiliates
94
2)グループ「APEX_User」の画面でメニュー「ユーザー」を選択し、「グループへのユーザーの割当て」を選択します。
Slide 95
Slide 95 text
動作確認
Copyright © 2025, Oracle and/or its affiliates
95
3)表示されたユーザーの追加画面にて、上記にて作成したテストユーザー(test_user1)を選択し、「追加」を選択します。
Slide 96
Slide 96 text
動作確認
Copyright © 2025, Oracle and/or its affiliates
96
4)グループ「APEX_User」のメンバーとしてテストユーザー(test_user1)が追加されたことを確認します。
続けて、画面上の「←」を選択します。
Slide 97
Slide 97 text
動作確認
Copyright © 2025, Oracle and/or its affiliates
97
5)次に、グループ「APEX_User」に所属しないテストユーザーを新規作成するため、
ユーザー部分の「作成」を選択します。
表示された画面にて新規テストユーザーの姓/名/メールアドレス(ユーザーIDとメールアドレスを分ける場合にはユーザーID)を入力し
「作成」を選択します。
※新規作成するテストユーザーはどのグループにも所属させないようにします。
Slide 98
Slide 98 text
動作確認
Copyright © 2025, Oracle and/or its affiliates
98
6)指定したメールアドレスに通知「Activate your profile in account - <テナンシ名>」が届いていることを確認し、
本文の「Active Your Account」を選択し、作成したテストユーザー(test_user2)の初期パスワードをセットします。
※パスワードセット後に「サインインへ進む」を選択せずに、ブラウザタブを閉じます。
Slide 99
Slide 99 text
動作確認
Copyright © 2025, Oracle and/or its affiliates
99
7)開いているブラウザ シークレットウィンドウをすべて閉じ、
新規にブラウザ シークレットウィンドウを開き、販売サンプルアプリケーションのURLにアクセスします。
URL(例):https://g884・・・・・・c-db2・・・・・・・・・・・・・051.adb.ap-tokyo-1.oraclecloudapps.com/ords/f?p=106
※アプリケーションの番号↑
アイデンティティ・ドメインのログイン画面にて、グループ「APEX_User」に属しているテストユーザー(test_user1)のID/パスワードを
指定し「サインイン」を選択します。
Slide 100
Slide 100 text
動作確認
Copyright © 2025, Oracle and/or its affiliates
100
8)電子メールワンタイムパスコード指定画面にて、受信したメールに記載のワンタイムパスコードを指定し「検証」を選択します。
販売サンプルアプリケーションにアクセスできることを確認します。
Slide 101
Slide 101 text
動作確認
Copyright © 2025, Oracle and/or its affiliates
101
9)開いているブラウザ シークレットウィンドウをすべて閉じ、
新規にブラウザ シークレットウィンドウを開き、販売サンプルアプリケーションのURLに再度アクセスします。
URL(例):https://g884・・・・・・c-db2・・・・・・・・・・・・・051.adb.ap-tokyo-1.oraclecloudapps.com/ords/f?p=106
※アプリケーションの番号↑
アイデンティティ・ドメインのログイン画面にて、グループ「APEX_User」に属していないテストユーザー(test_user2)のID/パスワードを
指定し「サインイン」を選択します。
Slide 102
Slide 102 text
動作確認
Copyright © 2025, Oracle and/or its affiliates
102
10)セキュアな検証の有効化画面にて「セキュアな検証の有効化」を選択します。
※テストユーザー(test_user2)はまだMFA要素が未登録であるため本画面が表示されます。
MFA要素の選択画面にて「電子メール」を選択します。
※上記にて作成したサインオンポリシーにて要素として「電子メール」のみ選択したため、選択肢は「電子メール」のみになります。
Slide 103
Slide 103 text
動作確認
Copyright © 2025, Oracle and/or its affiliates
103
11)テストユーザーのメールアドレスに通知「One-Time Passcode for accessing your Cloud account in <テナンシ名>」が
届いていることを確認し、本文中のパスワードコードをブラウザ画面のコード部分に入力し、「電子メール・アドレスの確認」を選択します。
Slide 104
Slide 104 text
動作確認
Copyright © 2025, Oracle Internal Only
104
12)MFA要素「電子メール」の登録が完了したことを確認し「完了」を選択します。
その後、アクセス拒否の画面(上記の認可スキームの設定で指定したメッセージ)が表示され、販売サンプルアプリ(APEXアプリ)に
アクセスできないことを確認します。
Slide 105
Slide 105 text
No content