Tweet
Tweet

Slide 1

Slide 1 text

OCI IAM Identity Domains IdPポリシー設定手順 日本オラクル株式会社 2025/5/27

Slide 2

Slide 2 text

Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、 情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以 下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買 決定を行う際の判断材料になさらないで下さい。 オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊 社の裁量により決定され、変更される可能性があります。 Copyright © 2025, Oracle and/or its affiliates 2

Slide 3

Slide 3 text

3 Copyright © 2025, Oracle and/or its affiliates 目次 IdPポリシーの概要 利用者にIdPを選択してもらう設定 利用者全員に強制的に外部IdPを利用させる設定 利用者の所属グループによりIdPを制御する設定 個別アプリケーションに対してのみ外部IdPを利用させる設定 1 2 3 4 5

Slide 4

Slide 4 text

1. IdPポリシーの概要 Copyright © 2025, Oracle and/or its affiliates 4

Slide 5

Slide 5 text

IdPポリシー IdP(アイデンティティ・プロバイダ)の利用ルールを定義するIdPポリシー機能 IdPポリシー Copyright © 2025, Oracle and/or its affiliates 5 利用者 IdPポリシー1 IdPポリシー2 Web業務アプリケーション “従業員”グループ所属 IdPルールの例 • IdPポリシーにより、認証時に利用するIdPとしてローカル認証(アイデンティティ・ドメインの認証)を使うか、または外部IdP(AzureAD等の 他社認証基盤)を使うかを制御することが可能 • 利用IdPを利用者自身が都度選択することが可能 • 所属グループ等の利用者属性を利用し強制的に1つのIdPを利用させることも可能 • アプリケーション全体(OCIコンソール含む)または個別アプリケーションのみにIdPポリシーを適用 条件 IdP 他社クラウドサービス Oracle PaaS/SaaS Azure AD 社外NWからのアクセス ローカル 無条件(全員・強制的) 既存社内認証基盤 Azure AD OCI IAM Identity Domain 社内認証基盤 IdPによる認証処理 ※IdPポリシーにて外部IdPを利用するルールを定義する場合には、事前に外部IdPの登録設定が必要になります。

Slide 6

Slide 6 text

全体/個別アプリケーションへのIdPポリシー適用 Copyright © 2025, Oracle and/or its affiliates 6 • デフォルトの状態で全体(すべてのアプリケーション)に適用するためのIdPポリシー「Default Identity Provider Policy」を用意 ✓ 「 Default Identity Provider Policy」の中で細かなIdPルール(条件、利用IdP)を複数定義可能 • 個別アプリケーションにのみ適用したい場合には別途カスタムIdPポリシーを作成 ✓ 作成したカスタムポリシーの中で細かなIdPルール(条件、利用IdP)を複数定義可能 • IdPポリシーの中のIdPルールには評価順序の設定が可能(順序順に評価) OCIコンソールを含め 全てのアプリケーションに適用したい場合 Default Identity Provider Policy OCIコンソール Oracle PaaS/SaaS 他社クラウドサービス On-P Webアプリケーション IdPルール1 IdPルール2 IdPルール3 …. Default IdP Policyに ルールを自由に定義 ※Default IdP Policyは削除できません 個別アプリケーションにのみ適用したい場合 カスタム IdPポリシー クラウドサービスA IdPルール1 IdPルール2 IdPルール3 …. カスタム・IdPポリシーを作成し ルールを自由に定義 ※カスタム・IdPポリシーは削除可能 アプリケーションA カスタム・IdPポリシーに 適用対象アプリケーションを登録 適用対象アプリケーションの 登録不要 評価順 評価順

Slide 7

Slide 7 text

IdPポリシーで使うネットワークペリメータ Copyright © 2025, Oracle and/or its affiliates 7 • IdPポリシー内のIdPルールで接続元IPアドレスを条件で利用したい場合、利用するIPアドレスを「ネットワーク・ペリメータ」として事前に定義 • 条件に利用するIPアドレスが変更となっても、IdPルールに影響与えずネットワーク・ペリメータのみの変更で対応可能 • ネットワーク・ペリメータではいくつかの方法でIPアドレスを登録可能 ✓ 1つのIPアドレスを登録(例:10.0.0.1) ✓ カンマ区切りで複数のIPアドレスを登録(例:10.0.0.1,10.0.0.1,10.1.0.100) ✓ ハイフンを利用しIPアドレス範囲を登録(例:10.0.0.1-10.0.0.100) ✓ CIDR表記によるIPアドレス範囲を登録(例:10.0.0.1/16) Default Identity Provider Policy 【IDPルール1】 ネットワーク・ペリメータ「社内」の場合 Azure AD

Slide 8

Slide 8 text

2.利用者にIdPを選択してもらう設定 Copyright © 2025, Oracle and/or its affiliates 8 ※本手順は、外部IdPとして利用する“ADFS”はOCI IAM アイデンティティ・ドメインに登録済みの前提での手順となります。

Slide 9

Slide 9 text

Copyright © 2025, Oracle and/or its affiliates 本手順による実現イメージ/IdPポリシーの構成 9 • IdPポリシー「Default Identity Provider Policy」に、無条件でIdPとしてローカルまたは外部IdP(今回はADFS)を選択させる ルールを定義し、1つのアイデンティティ・ドメイン全体(OCIコンソールを含むすべてのアプリケーション)へそのポリシーを適用させます。 無条件 ローカル , ADFS 条件 IdP す べ て の NW ローカル認証 (OCI IAMアイデンティティ・ドメイン) アプリケーション全体 OCIコンソール Oracle PaaS/SaaS 他社クラウドサービス On-P Webアプリケーション 【OCI IAM アイデンティティ・ドメイン ログイン画面】 IdP選択 ローカル or ADFS ルール1 Default Identity Provider Policy 【 実 現 イ メ ー ジ 】 【 IdP ポ リ シ ー 構 成 】 全員 ADFS認証 リダイレクト リダイレクト

Slide 10

Slide 10 text

利用者にIdPを選択してもらう設定 Copyright © 2025, Oracle and/or its affiliates 10 1)OCI管理者でOCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。 テナント名(クラウド・アカウント名)を入力し「Next」を選択します。 アイデンティティ・ドメインの選択にてDefaultドメインを選択し、管理者のID/パスワードを入力しOCIコンソールにログインします。 ※対象ドメインの管理者でログインしても構いません。

Slide 11

Slide 11 text

利用者にIdPを選択してもらう設定 Copyright © 2025, Oracle and/or its affiliates 11 2)メニューより「アイデンティティとセキュリティ」ー「アイデンティティ」を選択します。

Slide 12

Slide 12 text

利用者にIdPを選択してもらう設定 Copyright © 2025, Oracle and/or its affiliates 12 3)対象ドメインが存在するコンパートメントを指定し、対象ドメインを選択します。

Slide 13

Slide 13 text

利用者にIdPを選択してもらう設定 Copyright © 2025, Oracle and/or its affiliates 13 4)IdPポリシーを設定するため、メニュー「フェデレーション」を選択し、アイデンティティ・プロバイダ・ポリシー部分にて 「Default Identity Provider Policy」を選択します。

Slide 14

Slide 14 text

利用者にIdPを選択してもらう設定 Copyright © 2025, Oracle and/or its affiliates 14 5)Default Identity Provider Policy画面にて、「アイデンティティ・プロバイダ・ルール」を選択し、「IdPルールの追加」を選択します。 ※Default Identity Provider Policyには「Default IDP Rule」というルールがあらかじめ作成されています。 この「Default IDP Rule」を直接編集することも可能ですが、運用の中でデフォルトの状態に戻す場合などを想定し、 「Default IDP Rule」は編集せずにデフォルトの状態のままにしておくことをお勧めします。

Slide 15

Slide 15 text

利用者にIdPを選択してもらう設定 Copyright © 2025, Oracle and/or its affiliates 15 6)IdPルールの追加画面にて、ルール名に適当な値を指定し、 アイデンティティ・プロバイダの割当て部分にてADFSを示すIdP(「ADFS-Inu2」)と「Username-Password」を選択します。 その他条件は何も設定せずに、「IdPルールの追加」を選択します。 ※アイデンティティ・プロバイダに設定した「Username-Password」は アイデンティティ・ドメインのローカル認証のことを指します。

Slide 16

Slide 16 text

利用者にIdPを選択してもらう設定 Copyright © 2025, Oracle and/or its affiliates 16 7)Default Identity Provider画面に戻り、IdPルールが1つ追加されていることを確認し、 アクションより「IdPルール優先度の編集」を選択します。

Slide 17

Slide 17 text

利用者にIdPを選択してもらう設定 Copyright © 2025, Oracle and/or its affiliates 17 8)IdPルール優先度の編集画面にて下記順序になるように「優先度」を指定し、「変更の保存」を選択します。 優先度:1 ⇒ Rule1 優先度:2 ⇒ Default IDP Rule

Slide 18

Slide 18 text

利用者にIdPを選択してもらう設定 Copyright © 2025, Oracle and/or its affiliates 18 9)作成したIdPルールの優先度が1になっていることを確認します。

Slide 19

Slide 19 text

動作確認 Copyright © 2025, Oracle and/or its affiliates 19 1)OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。 テナント名(クラウド・アカウント名)を入力し「Next」を選択します。 アイデンティティ・ドメインの選択にて対象ドメインを選択し (今回は「IdentityDomain_PoC01 」)、「Next」を選択します。

Slide 20

Slide 20 text

動作確認 Copyright © 2025, Oracle and/or its affiliates 20 2)アイデンティティ・ドメインのログイン画面の下部に上にて追加したADFSを表すアイデンティティプロバイダ (今回は「ADFS-Inu2」)が 表示され選択可能な状態になっていることを確認します。 「ADFS-Inu2」を選択するとADFSログイン画面に遷移し、ADFSログイン後にOCIコンソールにリダイレクトされることを確認します。 一方、アイデンティティ・ドメインのログイン画面にてそのままID/パスワードを入力してもOCIコンソールにサインインできることを確認します。

Slide 21

Slide 21 text

3.利用者全員に強制的に外部IdPを利用させる設定 Copyright © 2025, Oracle and/or its affiliates 21 ※本手順は、外部IdPとして利用する“ADFS”はOCI IAM アイデンティティ・ドメインに登録済みの前提での手順となります。 ※上記2.の設定は未実施の前提での手順となります。

Slide 22

Slide 22 text

OCI IAMアイデンティティ・ドメイン ログイン画面 非表示 Copyright © 2025, Oracle and/or its affiliates 本手順による実現イメージ/IdPポリシーの構成 22 • IdPポリシー「Default Identity Provider Policy」に、無条件でIdPとして外部IdP(今回はADFS)のみを利用するルールを定義し、 1つのアイデンティティ・ドメイン全体(OCIコンソールを含むすべてのアプリケーション)へそのポリシーを適用させます。 無条件 ADFS 条件 IdP す べ て の NW アプリケーション全体 OCIコンソール Oracle PaaS/SaaS 他社クラウドサービス On-P Webアプリケーション 【ADFSログイン画面】 ADFS認証 ルール1 Default Identity Provider Policy 【 実 現 イ メ ー ジ 】 【 IdP ポ リ シ ー 構 成 】 全員 リダイレクト リダイレクト

Slide 23

Slide 23 text

利用者全員に強制的に外部IdPを利用させる設定 Copyright © 2025, Oracle and/or its affiliates 23 1)OCI管理者でOCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。 テナント名(クラウド・アカウント名)を入力し「Next」を選択します。 アイデンティティ・ドメインの選択にてDefaultドメインを選択し、管理者のID/パスワードを入力しOCIコンソールにログインします。 ※対象ドメインの管理者でログインしても構いません。

Slide 24

Slide 24 text

利用者にIdPを選択してもらう設定 Copyright © 2025, Oracle and/or its affiliates 24 2)メニューより「アイデンティティとセキュリティ」ー「アイデンティティ」を選択します。

Slide 25

Slide 25 text

利用者にIdPを選択してもらう設定 Copyright © 2025, Oracle and/or its affiliates 25 3)対象ドメインが存在するコンパートメントを指定し、対象ドメインを選択します。

Slide 26

Slide 26 text

利用者にIdPを選択してもらう設定 Copyright © 2025, Oracle and/or its affiliates 26 4)IdPポリシーを設定するため、メニュー「フェデレーション」を選択し、アイデンティティ・プロバイダ・ポリシー部分にて 「Default Identity Provider Policy」を選択します。

Slide 27

Slide 27 text

利用者にIdPを選択してもらう設定 Copyright © 2025, Oracle and/or its affiliates 27 5)Default Identity Provider Policy画面にて、「アイデンティティ・プロバイダ・ルール」を選択し、「IdPルールの追加」を選択します。 ※Default Identity Provider Policyには「Default IDP Rule」というルールがあらかじめ作成されています。 この「Default IDP Rule」を直接編集することも可能ですが、運用の中でデフォルトの状態に戻す場合などを想定し、 「Default IDP Rule」は編集せずにデフォルトの状態のままにしておくことをお勧めします。

Slide 28

Slide 28 text

利用者全員に強制的に外部IdPを利用させる設定 Copyright © 2025, Oracle and/or its affiliates 28 6)IdPルールの追加画面にて、ルール名に適当な値を指定し、 アイデンティティ・プロバイダの割当て部分にてADFSを示すIdP(「ADFS-Inu2」)のみを選択します。 その他条件は何も設定せずに「IdPルールの追加」を選択します。

Slide 29

Slide 29 text

利用者全員に強制的に外部IdPを利用させる設定 Copyright © 2025, Oracle and/or its affiliates 29 7)Default Identity Provider画面に戻り、IdPルールが1つ追加されていることを確認し、 アクションより「IdPルール優先度の編集」を選択します。

Slide 30

Slide 30 text

利用者全員に強制的に外部IdPを利用させる設定 Copyright © 2025, Oracle and/or its affiliates 30 8)IdPルール優先度の編集画面にて下記順序になるように「優先度」を指定し、「変更の保存」を選択します。 優先度:1 ⇒ All ADFS 優先度:2 ⇒ Default IDP Rule

Slide 31

Slide 31 text

利用者全員に強制的に外部IdPを利用させる設定 Copyright © 2025, Oracle and/or its affiliates 31 9)作成したIDPルールの優先度が1になっていることを確認します。

Slide 32

Slide 32 text

動作確認 Copyright © 2025, Oracle and/or its affiliates 32 1)OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。 テナント名(クラウド・アカウント名)を入力し「Next」を選択します。 アイデンティティ・ドメインの選択にて対象ドメインを選択し (今回は「IdentityDomain_PoC01 」)、「Next」を選択します。

Slide 33

Slide 33 text

動作確認 Copyright © 2025, Oracle and/or its affiliates 33 2)ADFSのログイン画面にが表示されることを確認します。 ADFS側のID/パスワードを入力し「サインイン」を選択することで、OCIコンソールにアクセスできることを確認します。

Slide 34

Slide 34 text

4.利用者の所属グループによりIdPを制御する設定 Copyright © 2025, Oracle and/or its affiliates 34 ※本手順は、グループ(Employee/Contractor)は事前にアイデンティティ・ドメインに作成済みの前提での手順となります。 ※外部IdPとして利用する“ADFS”はOCI IAM アイデンティティ・ドメインに登録済みの前提での手順となります。 ※上記2.、3.の設定は未実施の前提での手順となります。

Slide 35

Slide 35 text

Copyright © 2025, Oracle and/or its affiliates 本手順による実現イメージ/IdPポリシーの構成 35 • IdPポリシー「Default Identity Provider Policy」に、所属グループを利用した条件によりIdPを外部IdP(今回はADFS)またはローカル を利用するルールを定義し、1つのアイデンティティ・ドメイン全体(OCIコンソールを含むすべてのアプリケーション)へそのポリシーを適用させます。 所属グループ=“Employee” ADFS 条件 IdP す べ て の NW アプリケーション全体 OCIコンソール Oracle PaaS/SaaS 他社クラウドサービス On-P Webアプリケーション 【ADFSログイン画面】 ADFS認証 ルール1 Default Identity Provider Policy 【 実 現 イ メ ー ジ 】 【 IdP ポ リ シ ー 構 成 】 グループ:Employee所属ユーザー リダイレクト グループ:Contractor所属ユーザー 【OCI IAMログイン画面】 ローカル認証 OCI IAM アイデンティティドメイン ユーザーID指定画面 リダイレクト 所属グループ=“Contractor” ローカル ルール2

Slide 36

Slide 36 text

利用者の所属グループによりIdPを制御する設定 Copyright © 2025, Oracle and/or its affiliates 36 1)OCI管理者でOCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。 テナント名(クラウド・アカウント名)を入力し「Next」を選択します。 アイデンティティ・ドメインの選択にてDefaultドメインを選択し、管理者のID/パスワードを入力しOCIコンソールにログインします。 ※対象ドメインの管理者でログインしても構いません。

Slide 37

Slide 37 text

利用者の所属グループによりIdPを制御する設定 Copyright © 2025, Oracle and/or its affiliates 37 2)メニューより「アイデンティティとセキュリティ」ー「アイデンティティ」を選択します。

Slide 38

Slide 38 text

利用者の所属グループによりIdPを制御する設定 Copyright © 2025, Oracle and/or its affiliates 38 3)対象ドメインが存在するコンパートメントを指定し、対象ドメインを選択します。

Slide 39

Slide 39 text

利用者の所属グループによりIdPを制御する設定 Copyright © 2025, Oracle and/or its affiliates 39 4)条件で利用するグループの確認のため、メニュー「ユーザー管理」を選択します。 グループ部分にて条件で利用するグループ(今回は“Employee”と“Contractor”)を選択し、ユーザーが所属していることを確認します。

Slide 40

Slide 40 text

利用者の所属グループによりIdPを制御する設定 Copyright © 2025, Oracle and/or its affiliates 40 5)IdPポリシーを設定するため、メニュー「フェデレーション」を選択し、アイデンティティ・プロバイダ・ポリシー部分にて 「Default Identity Provider Policy」を選択します。

Slide 41

Slide 41 text

利用者の所属グループによりIdPを制御する設定 Copyright © 2025, Oracle and/or its affiliates 41 6)Default Identity Provider Policy画面にて、「アイデンティティ・プロバイダ・ルール」を選択し、「IdPルールの追加」を選択します。 ※Default Identity Provider Policyには「Default IDP Rule」というルールがあらかじめ作成されています。 この「Default IDP Rule」を直接編集することも可能ですが、運用の中でデフォルトの状態に戻す場合などを想定し、 「Default IDP Rule」は編集せずにデフォルトの状態のままにしておくことをお勧めします。

Slide 42

Slide 42 text

利用者の所属グループによりIdPを制御する設定 Copyright © 2025, Oracle and/or its affiliates 42 7)IdPルールの追加画面にて、ルール名に適当な値を指定し、 アイデンティティ・プロバイダの割当て部分にてADFSを示すIdP(「ADFS-Inu2」)のみを選択します。

Slide 43

Slide 43 text

利用者の所属グループによりIdPを制御する設定 Copyright © 2025, Oracle and/or its affiliates 43 8)続けてグループ部分のアクションより「追加」を選択し、表示されたグループ追加画面にて「Employee」をチェックONにし 「追加」を選択します。

Slide 44

Slide 44 text

利用者の所属グループによりIdPを制御する設定 Copyright © 2025, Oracle and/or its affiliates 44 9)グループに「Employee」が追加されたことを確認し、「IdPの作成」を選択します。

Slide 45

Slide 45 text

利用者の所属グループによりIdPを制御する設定 Copyright © 2025, Oracle and/or its affiliates 45 10)Default Identity Provider画面に戻り、IdPルール(Employee Rule)が1つ追加されていることを確認します。 再度「IdPルールの追加」を選択します。

Slide 46

Slide 46 text

利用者の所属グループによりIdPを制御する設定 Copyright © 2025, Oracle and/or its affiliates 46 11)IdPルールの追加画面にて、ルール名に適当な値を指定し、 アイデンティティ・プロバイダの割当て部分にて「Username-Password」のみを選択します。 ※アイデンティティ・プロバイダに設定した「Username-Password」は アイデンティティ・ドメインのローカル認証のことを指します。

Slide 47

Slide 47 text

利用者の所属グループによりIdPを制御する設定 Copyright © 2025, Oracle and/or its affiliates 47 12)続けてグループ部分のアクションより「追加」を選択し、表示されたグループ追加画面にて「Contractor」をチェックONにし 「追加」を選択します。

Slide 48

Slide 48 text

利用者の所属グループによりIdPを制御する設定 Copyright © 2025, Oracle and/or its affiliates 48 13)グループに「Contractor」が追加されたことを確認し、「IdPの作成」を選択します。

Slide 49

Slide 49 text

利用者の所属グループによりIdPを制御する設定 Copyright © 2025, Oracle and/or its affiliates 49 14)Default Identity Provider画面に戻り、IdPルールが2つ(Employee RuleとContractor Rule)追加されていることを確認し、 アクションより「IdPルール優先度の編集」を選択します。

Slide 50

Slide 50 text

利用者の所属グループによりIdPを制御する設定 Copyright © 2025, Oracle and/or its affiliates 50 15)IdPルール優先度の編集画面にて下記順序になるように「優先度」を指定し、「変更の保存」を選択します。 優先度:1 ⇒ Employee Rule 優先度:2 ⇒ Contractor Rule 優先度:3 ⇒ Default IDP Rule

Slide 51

Slide 51 text

利用者の所属グループによりIdPを制御する設定 Copyright © 2025, Oracle and/or its affiliates 51 16)優先度が反映されていることを確認します。 ※グループ「Employee」や「Contractor」に属さないユーザーは、優先度3のルール(Default IDP Rule)が適用されることになります。

Slide 52

Slide 52 text

利用者の所属グループによりIdPを制御する設定 Copyright © 2025, Oracle and/or its affiliates 52 17)今回のようにIDPポリシーにて所属しているグループによる条件判定を行う場合、認証処理前にアクセスするユーザーIDを先に 入力する(伝えてあげる)設定が必要になります。 画面上部の「←」を選択し、メニューの「設定」を選択します。

Slide 53

Slide 53 text

利用者の所属グループによりIdPを制御する設定 Copyright © 2025, Oracle and/or its affiliates 53 18)画面中段の右側にある「セッション設定の編集」を選択します。

Slide 54

Slide 54 text

利用者の所属グループによりIdPを制御する設定 Copyright © 2025, Oracle and/or its affiliates 54 19)表示されたセッション設定の編集画面にて「ユーザー名を先に有効化するフロー」をチェックONにし「変更の保存」を選択します。

Slide 55

Slide 55 text

利用者の所属グループによりIdPを制御する設定 Copyright © 2025, Oracle and/or its affiliates 55 20)「ユーザー名を先に有効化するフロー」が「True」になったことを確認します。

Slide 56

Slide 56 text

動作確認 – グループ“Employee”に所属しているユーザーによるアクセス Copyright © 2025, Oracle and/or its affiliates 56 1)OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。 テナント名(クラウド・アカウント名)を入力し「Next」を選択します。 アイデンティティ・ドメインの選択にて対象ドメインを選択し (今回は「IdentityDomain_PoC01 」)、「Next」を選択します。

Slide 57

Slide 57 text

動作確認 – グループ“Employee”に所属しているユーザーによるアクセス Copyright © 2025, Oracle and/or its affiliates 57 2)ユーザー名を指定する画面が先に表示されることを確認します。 グループ「Employee」に所属するユーザー名を指定し、「サインイン」を選択します。

Slide 58

Slide 58 text

動作確認 – グループ“Employee”に所属しているユーザーによるアクセス Copyright © 2025, Oracle and/or its affiliates 58 3)ADFSのログイン画面にが表示されることを確認します。 ADFS側のID/パスワードを入力し「サインイン」を選択することで、OCIコンソールにアクセスできることを確認します。

Slide 59

Slide 59 text

動作確認 – グループ“Contractor”に所属しているユーザーによるアクセス Copyright © 2025, Oracle and/or its affiliates 59 1)OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。 テナント名(クラウド・アカウント名)を入力し「Next」を選択します。 アイデンティティ・ドメインの選択にて対象ドメインを選択し (今回は「IdentityDomain_PoC01 」)、「Next」を選択します。

Slide 60

Slide 60 text

動作確認 – グループ“Contractor”に所属しているユーザーによるアクセス Copyright © 2025, Oracle and/or its affiliates 60 2)ユーザー名を指定する画面が先に表示されることを確認します。 グループ「Contractor」に所属するユーザー名を指定し、「サインイン」を選択します。

Slide 61

Slide 61 text

動作確認 – グループ“Contractor”に所属しているユーザーによるアクセス Copyright © 2025, Oracle and/or its affiliates 61 3)アイデンティティ・ドメインのパスワード指定画面が表示されることを確認します。 アイデンティティ・ドメインのパスワードを入力し「検証」を選択することで、OCIコンソールにアクセスできることを確認します。

Slide 62

Slide 62 text

5.個別アプリケーションに対してのみ外部IdPを利用させる設定 Copyright © 2025, Oracle and/or its affiliates 62 ※本手順は、利用するアプリケーションは事前にアイデンティティ・ドメインに定義済みの前提での手順となります。 ※外部IdPとして利用する“ADFS”はOCI IAM アイデンティティ・ドメインに登録済みの前提での手順となります。 ※上記2.、3.、4.の設定は未実施の前提での手順となります。

Slide 63

Slide 63 text

Copyright © 2025, Oracle and/or its affiliates 本手順による実現イメージ/IdPポリシーの構成 63 • IdPポリシーを新たに作成し、無条件で外部IdP(今回はADFS) を利用するルールを定義し、ある1つの個別アプリケーションへ そのポリシーを適用させます。 OCI IAMアイデンティティ・ドメイン ログイン画面 非表示 無条件 ADFS 条件 IdP す べ て の NW アプリケーションA 【ADFSログイン画面】 ADFS認証 ルール1 カスタムIDPポリシー(アプリケーションA用IdPポリシー) 【 実 現 イ メ ー ジ 】 【 IdP ポ リ シ ー 構 成 】 全員 リダイレクト リダイレクト アプリケーションA 適用

Slide 64

Slide 64 text

個別アプリケーションに対してのみ外部IdPを利用させる設定 Copyright © 2025, Oracle and/or its affiliates 64 1)OCI管理者でOCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。 テナント名(クラウド・アカウント名)を入力し「Next」を選択します。 アイデンティティ・ドメインの選択にてDefaultドメインを選択し、管理者のID/パスワードを入力しOCIコンソールにログインします。 ※対象ドメインの管理者でログインしても構いません。

Slide 65

Slide 65 text

個別アプリケーションに対してのみ外部IdPを利用させる設定 Copyright © 2025, Oracle and/or its affiliates 65 2)メニューより「アイデンティティとセキュリティ」ー「アイデンティティ」を選択します。

Slide 66

Slide 66 text

個別アプリケーションに対してのみ外部IdPを利用させる設定 Copyright © 2025, Oracle and/or its affiliates 66 3)対象ドメインが存在するコンパートメントを指定し、対象ドメインを選択します。

Slide 67

Slide 67 text

個別アプリケーションに対してのみ外部IdPを利用させる設定 Copyright © 2025, Oracle and/or its affiliates 67 4)IdPポリシーを新規作成するため、メニュー「フェデレーション」を選択し、 アイデンティティ・プロバイダ・ポリシー部分にて「IdPポリシーの作成」を選択します。

Slide 68

Slide 68 text

個別アプリケーションに対してのみ外部IdPを利用させる設定 Copyright © 2025, Oracle and/or its affiliates 68 5)IdPポリシーの作成画面にて、ポリシーの名前に適当な値を指定し「アイデンティティ・プロバイダ・ポリシーの作成」を選択します。

Slide 69

Slide 69 text

個別アプリケーションに対してのみ外部IdPを利用させる設定 Copyright © 2025, Oracle and/or its affiliates 69 6)表示されたIdPルール(上記にて作成した)の画面にて「アイデンティティ・プロバイダ・ルール」を選択します。 「IdPルールの追加」を選択します。

Slide 70

Slide 70 text

個別アプリケーションに対してのみ外部IdPを利用させる設定 Copyright © 2025, Oracle and/or its affiliates 70 7)IdPルールの追加画面にて、ルール名に適当な値を指定します。 アイデンティティ・プロバイダの割当て部分にてADFSを示すIdP(「ADFS-Inu2」)のみを指定しします。 条件部分には何もせず(無条件)、「IdPルールの追加」を選択します。

Slide 71

Slide 71 text

個別アプリケーションに対してのみ外部IdPを利用させる設定 Copyright © 2025, Oracle and/or its affiliates 71 8)IdPルールが追加されたことを確認し、「アプリケーション」を選択します。

Slide 72

Slide 72 text

個別アプリケーションに対してのみ外部IdPを利用させる設定 Copyright © 2025, Oracle and/or its affiliates 72 9)アプリケーションの追加画面にて「アプリケーションの追加」を選択します。 表示されたアプリケーション選択画面にてこのIdPポリシーを適用するアプリケーションをチェックONにし「アプリケーションの追加」を選択します。

Slide 73

Slide 73 text

個別アプリケーションに対してのみ外部IdPを利用させる設定 Copyright © 2025, Oracle and/or its affiliates 73 10)アプリケーションが追加されたことを確認します。 ※“アプリケーション”に登録されたアプリケーションへアクセスした場合にのみ、このIdPポリシーが使われることになります。

Slide 74

Slide 74 text

動作確認 – 個別アプリケーションアクセス(IdPポリシー適用済みのアプリケーション) Copyright © 2025, Oracle and/or its affiliates 74 1)ブラウザにて該当個別アプリケーションへアクセスします。 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・

Slide 75

Slide 75 text

動作確認 – 個別アプリケーションアクセス(IdPポリシー適用済みのアプリケーション) Copyright © 2025, Oracle and/or its affiliates 75 2)ADFSのログイン画面にが表示されることを確認します。 ADFS側のID/パスワードを入力し「サインイン」を選択することで、該当個別アプリケーションにアクセスできることを確認します。

Slide 76

Slide 76 text

動作確認 – OCIコンソールアクセス(IdPポリシー未適用のアプリケーション) Copyright © 2025, Oracle and/or its affiliates 76 1)OCI管理者でOCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。 テナント名(クラウド・アカウント名)を入力し「Next」を選択します。 アイデンティティ・ドメインの選択にて対象ドメイン(今回は「IdentityDomain_PoC01」)を選択します。 アイデンティティ・ドメインのログイン画面が表示されることを確認します。

Slide 77

Slide 77 text

No content