OCI IAM Identity Domains 複数Identity Domain間の連携手順 / SSO setup between multiple Identity Domains

Slide 1

Slide 1 text

OCI IAM Identity Domains 複数のOCI環境下でのシングル・サインオン環境の構成日本オラクル株式会社 2024/01/05

Slide 2

Slide 2 text

Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買決定を行う際の判断材料になさらないで下さい。オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊社の裁量により決定され、変更される可能性があります。 Copyright © 2024, Oracle and/or its affiliates 2

Slide 3

Slide 3 text

⚫ 本資料の前提 1. 前提となるユース・ケース 2. 解決方法 ⚫ Identity Domain（IdP）とIdentity Domain（SP）が共存する複数のOCI環境下でのSSO環境の構成 1. IdP側のIdentity Domainでメタデータのダウンロード 2. SP側のIdentity DomainでIdPの追加 3. IdP側のIdentity DomainでSPの追加 4. 動作確認用のユーザー作成 5. 動作確認 ⚫ Identity Domain（IdP）からIdentity Domain（SP）へのID情報の同期 1. SP側のIdentity DomainでのSCIMインターフェース設定（機密アプリケーション登録） 2. IdP側のIdentity Domainでのプロビジョニング（同期用アプリケーション）の設定 3. 動作確認アジェンダ Copyright © 2024, Oracle and/or its affiliates 3

Slide 4

Slide 4 text

Slide 5

Slide 5 text

◆ 下記の理由から複数のOCI環境が存在し、それぞれの環境で、OCI IAM Identity Domains（以下、Identity Domain）が運用される場合があります。 ➢ 本社用とグループ会社用での構成 ➢ 本番環境とテスト環境の構成 ➢ 契約時期やシステム構成により環境を分割 1. 前提となるユース・ケース Copyright © 2024, Oracle and/or its affiliates 5 管理者一般ユーザー管理者一般ユーザー管理者一般ユーザー OCI OCI PaaS OCI IAM Identity Domains OCI IAM Identity Domains OCI 3rd-Party Apps OCI IAM Identity Domains

Slide 6

Slide 6 text

◆ 想定される課題 ➢ 複数環境でそれぞれのユーザー管理による管理コストの増大 ➢ ユーザー管理の煩雑化によるセキュリティリスクの増大 ➢ ユーザーへの利便性の低下 1. 前提となるユース・ケース 6 OCI OCI PaaS OCI IAM Identity Domains OCI IAM Identity Domains 管理者一般ユーザー OCI 3rd-Party Apps • それぞれの環境でユーザの管理を実施 • 複数回の認証が発生 • それぞの環境でのパスワード管理 Copyright © 2024, Oracle and/or its affiliates OCI IAM Identity Domains

Slide 7

Slide 7 text

◆ 課題の解決 ➢ SAMLによるフェデレーションを構成して、OCI間でシングル・サインオン（以下、SSO）を実現 ➢ SSOにより、パスワードはマスターとなるIdPのみで管理が可能 ➢ Identity Domain間でユーザーやグループ情報を同期するコネクタを構成（手動による同期でも対応可能） 2. 解決方法 7 OCI OCI PaaS OCI IAM Identity Domains OCI IAM Identity Domains 管理者一般ユーザー OCI 3rd-Party Apps • IdP側でユーザの管理が可能 • 同期するためのコネクタの構成 • 1回の認証でそれぞれの環境へのアクセスが可能 • パスワードはIdP側で管理 IdP SP SP フェデレーション / ユーザーの同期 Copyright © 2024, Oracle and/or its affiliates OCI IAM Identity Domains

Slide 8

Slide 8 text

◆ 課題の解決の技術概要 ➢ Identity Domain間でSAMLフェデレーションによるSSOを構成することで、IdP にログインすれば、クラウド・サービスが認証を委託しているSPにログインしなくても、クラウド・サービスにSSOが可能 ➢ Identity Domainが存在するデータ・センターやリージョンには非依存な機能であるため、データ・センターやリージョンをまたがった構成が可能 ➢ Identity DomainはID情報を伝播するREST APIの標準であるSystem for Cross-domain Identity Management（以下、SCIM）を利用する同期用アプリケーションを提供しており、同期用アプリケーションを構成してIdentity Domain間でユーザーやグループ情報を同期することが可能 2. 解決方法 8 Copyright © 2024, Oracle and/or its affiliates

Slide 9

Slide 9 text

Slide 10

Slide 10 text

SP 本手順書は下記構成を実現するためのIdentity Domain間の認証連携（外部IdP連携）設定手順書になります。 Identity Domain（IdP）とIdentity Domain（SP）を構成し複数のOCI 環境下でのSSO環境を構成 10 Copyright © 2024, Oracle and/or its affiliates IdP SAML認証連携(外部IdP連携) 利用者 IdPのID/パスワードでログイン（ IdPログイン画面にリダイレクト） OCI コンソール Identity domain間は属性「ユーザー名」でユーザーマッピング OCI IAM Identity Domain OCI IAM Identity Domain テナント A テナント B ※同一テナント内のIdentity Domain間の連携でも同様の手順となります。

Slide 11

Slide 11 text

手順概要 1. IdP側のIdentity Domainでメタデータのダウンロード 2. SP側のIdentity DomainでIdPの追加 3. IdP側のIdentity DomainでSPの追加 4. 動作確認用のユーザー作成 5. 動作確認 Identity Domain（IdP）とIdentity Domain（SP）を構成し複数のOCI 環境下でのSSO環境を構成 11 Copyright © 2024, Oracle and/or its affiliates

Slide 12

Slide 12 text

Slide 13

Slide 13 text

1) IdPとなるIdentity DomainのOCIコンソールにアクセスします。 OCIコンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。テナント名（クラウド・アカウント名）を入力し「次に進む」を選択します。アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメインを選択し、「Next」を選択します。サインイン画面にて、OCI管理者のID/パスワードを入力し、「サイン・イン」を選択し、OCI コンソールにログインします。 ※ ドメイン選択画面が表示されない環境はDefault ドメインのみ存在する環境になり、自動的に“Default ドメイン”にログインすることになります。 1.IdP側のIdentity Domainでメタデータのダウンロード 13 Copyright © 2024, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。

Slide 14

Slide 14 text

2) OCIコンソール画面にて、左メニューより「アイデンティティとセキュリティ」ー「ドメイン」を選択します。 3) アイデンティティ画面にて、コンパートメントを指定し、ドメインを選択します。 ※ 自身で作成したIdentity Domain （ドメイン）に設定する場合にはその該当ドメインを選択します。 1.IdP側の Identity Domain でメタデータのダウンロード 14 Copyright © 2024, Oracle and/or its affiliates

Slide 15

Slide 15 text

Slide 16

Slide 16 text

Slide 17

Slide 17 text

Slide 18

Slide 18 text

Slide 19

Slide 19 text

1) SP側Identity DomainのOCIコンソールにアクセスします。 OCIコンソール（ https://www.oracle.com/jp/cloud/sign-in.html ）にアクセスします。テナント名（クラウド・アカウント名）を入力し「次に進む」を選択します。アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメインを選択し、「Next」を選択します。サインイン画面にて、OCI管理者のID/パスワードを入力し、「サイン・イン」を選択し、OCIコンソールにログインします。 ※ ドメイン選択画面が表示されない環境は Default ドメインのみ存在する環境になり、自動的に“ Default ドメイン”にログインすることになります。 2. SP側のIdentity DomainでIdPの追加 19 Copyright © 2024, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。

Slide 20

Slide 20 text

2) OCI コンソール画面にて、左メニューより「アイデンティティとセキュリティ」ー「ドメイン」を選択します。 3) アイデンティティ画面にて、コンパートメントを指定し、さらにドメインを選択します。 ※ 自身で作成した Identity Domain （ドメイン）に設定する場合にはその該当ドメインを選択します。 2. SP側のIdentity DomainでIdPの追加 20 Copyright © 2024, Oracle and/or its affiliates

Slide 21

Slide 21 text

Slide 22

Slide 22 text

6) セキュリティのアイデンティティ・プロバイダ画面にて、「IdPの追加」を選択し、「SAML IdPの追加」を選択します。 7) SAMLアイデンティティ・プロバイダの追加画面にて、詳細の追加の「名前」に適当な値を入力し「次」を選択します。 2. SP側のIdentity DomainでIdPの追加 22 Copyright © 2024, Oracle and/or its affiliates

Slide 23

Slide 23 text

8) SAMLアイデンティティ・プロバイダの追加画面のメタデータの交換にてアイデンティティ・プロバイダ・メタデータのアップロードに、項番1. IdP側のIdentity Domainでメタデータのダウンロード 8)でダウンロードしたメタデータファイルを指定し、メタデータをアップロードし、「SAMLメタデータのエクスポート」を選択し「次」を選択します。 9) アイデンティティ・プロバイダの追加画面のユーザー・アイデンティティのマップにてリクエストされた名前IDのフォーマットオプションが「なし」、アイデンティティ・プロバイダ・ユーザー属性が「SAMLアサーション名ID」、アイデンティティ・ドメイン・ユーザー属性が「ユーザー名」に指定されている事を確認し、「次」を選択します。 2. SP側のIdentity DomainでIdPの追加 23 Copyright © 2024, Oracle and/or its affiliates

Slide 24

Slide 24 text

10) アイデンティティ・プロバイダの追加画面の確認および作成にて、登録した内容を確認し、「IdPの作成」を選択します。 11) アイデンティティ・プロバイダの追加画面の次の手順にて、IdPのアクティブ化の「アクティブ化」を選択し、「閉じる」を選択します。 2. SP側のIdentity DomainでIdPの追加 24 Copyright © 2024, Oracle and/or its affiliates

Slide 25

Slide 25 text

12) アイデンティティ・プロバイダ画面にて、先ほど作成したアイデンティティ・プロバイダが作成され、アクティブになっている事を確認します。 13) OCIコンソールにログインする際、今回、作成したアイデンティティプロバイダをIdPとして利用できるようにするため IdPポリシーの定義を行います。 OCIコンソールの左メニューより「セキュリティ」-「IdP ポリシー」を選択し、「Default Identity Provider Policy」を選択します。 2. SP側のIdentity DomainでIdPの追加 25 Copyright © 2024, Oracle and/or its affiliates

Slide 26

Slide 26 text

14) Default Identity Provider Policy画面にて、「IdPルールの追加」を選択します。 15) アイデンティティ・プロバイダ・ルールの追加画面にて、ルール名に適当な値を指定し、アイデンティティ・プロバイダの割当てを選択し、今回、作成したアイデンティティプロバイダと「Username-Password」を選択し、「IdPルールの追加」を選択します。 2. SP側のIdentity DomainでIdPの追加 26 Copyright © 2024, Oracle and/or its affiliates ※Default Identity Provider Policy には「Default IdP Rule」というルールがあらかじめ作成されています。この「Default IdP Rule」を直接編集することも可能ですが、運用の中でデフォルトの状態に戻す場合などを想定し、「Default IdP Rule」は編集せずにデフォルトの状態のままにしておくことをお勧めします。

Slide 27

Slide 27 text

16) Default Identity Provider Policy画面にて、「優先度の編集」を選択します。 17) IdPルール優先度の編集画面にて、左側の優先度列にある上下矢印を選択し、今回、作成したアイデンティティプロバイダの優先度を「1」に設定し、「変更の保存」を選択します。 18) 今回、作成したアイデンティティプロバイダの優先度が「1」になっている事を確認します。 2. SP側のIdentity DomainでIdPの追加 27 Copyright © 2024, Oracle and/or its affiliates

Slide 28

Slide 28 text

Slide 29

Slide 29 text

1) 項番1. IdP側のIdentity Domainでメタデータのダウンロード 8)の続きとなります。 2) 上記の画面が閉じられている場合は、以下の様に画面を開きます。アイデンティティ・ドメイン画面のメニューから「統合アプリケーション」を選択します。ドメイン内のアプリケーション画面から、項番1. IdP側のIdentity Domainでメタデータのダウンロード 7)で作成した、アプリケーションを選択します。作成したアプリケーションの画面にて、「SSO構成の編集」を選択します。 3. IdP側のIdentity DomainでSPの追加 29 Copyright © 2024, Oracle and/or its affiliates

Slide 30

Slide 30 text

3) SSO構成の編集画面の一般にて、項番2. SP側のIdentity DomainでIdPの追加 12)で作成した、 SAMLアイデンティティ・プロバイダの値をコピーして設定します。・エンティティID:SP側のIdentity DomainのプロバイダID ・アサーションコンシューマーのURL:SP側のIdentity Domainのアサーション・コンシューマ・サービスURL ・名前IDのフォーマット:「未指定」・名前IDの値:「ユーザー名」・署名証明書:SP側のIdentity Domainのサービス・プロバイダ暗号化証明書 3. IdP側のIdentity DomainでSPの追加 30 Copyright © 2024, Oracle and/or its affiliates SP側Identity Domain SAMLアイデンティティ・プロバイダの画面

Slide 31

Slide 31 text

4) 下段にスクロールした、SSO構成の編集画面の追加構成にて、さらに項番2.SP側のIdentity DomainでIdPの追加 12) で作成した、アイデンティティ・プロバイダの値をコピーして設定します。・シングル・ログアウトURL:SP側のIdentity Domainのログアウト・サービス戻りURL ・ログアウト・レスポンスURL:SP側のIdentity Domainのログアウト・サービス・エンドポイントURL ・その他は既定の設定「変更の保存」を選択します。 3. IdP側のIdentity DomainでSPの追加 31 Copyright © 2024, Oracle and/or its affiliates SP側Identity Domain SAMLアイデンティティ・プロバイダの画面

Slide 32

Slide 32 text

Slide 33

Slide 33 text

Slide 34

Slide 34 text

Slide 35

Slide 35 text

1) IdP側のIdentity Domainのアプリケーションにユーザーを割り当てるためにOCIコンソールにアクセスします。 OCIコンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。テナント名（クラウド・アカウント名）を入力し「次に進む」を選択します。アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメインを選択します。サインイン画面にて、OCI管理者のID/パスワードを入力し、「サイン・イン」を選択しOCIコンソールにログインします。 ※ ドメイン選択画面が表示されない環境は Default ドメインのみ存在する環境になり、自動的に“ Default ドメイン”にログインすることになります。 4. 動作確認用のユーザー作成 35 Copyright © 2024, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。

Slide 36

Slide 36 text

2) 項番 3. IdP側のIdentity DomainでSPの追加 7) で作成したアプリケーションの画面にて、リソースの「ユーザー」を選択し、「ユーザーの割当て」を選択します。 ※アプリケーションの割当てはグループでも可能ですが、今回は事前に作成しておいたユーザーを選択します。 3) ユーザーの割当て画面にて、動作確認を行う対象のユーザーを選択し、「割当て」を選択します。 4. 動作確認用のユーザー作成 36 Copyright © 2024, Oracle and/or its affiliates

Slide 37

Slide 37 text

4) ユーザーを作成するため、 SP側のIdentity DomainのOCIコンソールにアクセスします。 OCIコンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。テナント名（クラウド・アカウント名）を入力し「次に進む」を選択します。アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメインを選択します。サインイン画面にて、OCI管理者のID/パスワードを入力し、「サイン・イン」を選択しOCIコンソールにログインします。 ※ ドメイン選択画面が表示されない環境は Default ドメインのみ存在する環境になり、自動的に“ Default ドメイン”にログインすることになります。 4. 動作確認用のユーザー作成 37 Copyright © 2024, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。

Slide 38

Slide 38 text

5) ドメインを選択し、左メニューから「ユーザー」を選択し、「ユーザーの作成」を選択します。 6) ユーザー追加画面にて「姓」、「ユーザー名・電子メール」に値を入力し、「作成」を選択します。 ※ユーザー名は項番 4. 動作確認用のユーザー作成 3) で割当てたIdP側のIdentity Domainのユーザーと同じ値になるようにします。 4. 動作確認用のユーザー作成 38 Copyright © 2024, Oracle and/or its affiliates

Slide 39

Slide 39 text

Slide 40

Slide 40 text

1) SP側のOCIコンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。テナント名（クラウド・アカウント名）を入力し「次に進む」を選択し、必要に応じて「ドメイン名」を選択し、「Next」を選択します。 2) アイデンティティ・ドメインのログイン画面の下部に今回作成した、アイデンティティ・プロバイダ（IdP_Identity_Domain）が表示され選択ができることを確認し、「アイデンティティ・プロバイダ（IdP_Identity_Domain）」を選択します。 3) IdP側のサインイン画面にリダイレクトされるので、項番 4. 動作確認用のユーザー作成 3) で割当てたユーザーの ID/パスワードを入力し、「サイン・イン」を選択し、OCIコンソールにログインします。 5. 動作確認 40 Copyright © 2024, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。

Slide 41

Slide 41 text

Slide 42

Slide 42 text

Slide 43

Slide 43 text

SAML認証連携(外部IdP連携)を利用する場合、ID情報を同期することでID管理を効率良く行うことが可能です。本手順書は下記構成を実現するためのIdentity Domainで構成されたIdPとSP間でID情報の同期の設定手順書になります。 Identity Domain（IdP）からIdentity Domain（SP）へのID情報の同期 43 Copyright © 2024, Oracle and/or its affiliates Identity Domain IdP SCIM による ID 情報の同期 OCI コンソール Identity Domain 機能説明 ID 情報の伝播の方向双方向または、同期用アプリケーション側からの単方向の指定が可能ユーザーの作成・更新・削除、アクティブ/非アクティブの同期〇ユーザーのパスワード同期 ✖ 同期対象となるユーザー指定したユーザーおよびグループのメンバーグループの作成・更新・削除の同期 ✖(グループはマッピングのみ) ID 情報を同期するタイミングリアルタイムまたは、同期スケジュールの設定が可能テナント A ※同一テナント内の Identity Domain 間の連携でも同様の手順となります。テナント B 同期用アプリケーション SP SCIM インターフェース

Slide 44

Slide 44 text

Slide 45

Slide 45 text

Slide 46

Slide 46 text

1) SP側Identity DomainのOCIコンソールにアクセスします。 OCIコンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。テナント名（クラウド・アカウント名）を入力し「次に進む」を選択します。アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメインを選択します。サインイン画面にて、OCI管理者のID/パスワードを入力し、「サイン・イン」を選択しOCIコンソールにログインします。 ※ ドメイン選択画面が表示されない環境は Default ドメインのみ存在する環境になり、自動的に“ Default ドメイン”にログインすることになります。 1. SP側のIdentity DomainでのSCIMインターフェース設定（機密アプリケーション登録） 46 Copyright © 2024, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。

Slide 47

Slide 47 text

2) OCIコンソール画面にて、左メニューより「アイデンティティとセキュリティ」ー「ドメイン」を選択します。 3) アイデンティティ画面にて、コンパートメントを指定し、ドメインを選択します。 ※ 自身で作成したIdentity Domain（ドメイン）に設定する場合にはその該当ドメインを選択します。 4) アイデンティティ・ドメイン画面にて、ドメイン情報のドメインURLをコピーし控えておきます。 ※後でIdP側での設定で利用します。 1. SP側のIdentity DomainでのSCIMインターフェース設定（機密アプリケーション登録） 47 Copyright © 2024, Oracle and/or its affiliates

Slide 48

Slide 48 text

5) Identity Domain画面の左メニューから「統合アプリケーション」を選択し、「アプリケーションの追加」を選択します。 6) アプリケーションの追加画面にて、「機密アプリケーション」を選択し、「ワークフローの起動」を選択します。 1. SP側のIdentity DomainでのSCIMインターフェース設定（機密アプリケーション登録） 48 Copyright © 2024, Oracle and/or its affiliates

Slide 49

Slide 49 text

7) 機密アプリケーションの追加画面にて、名前に適当な値を入力し、「次」を選択します。 8) 機密アプリケーションの追加画面のクライアントにて、「このアプリケーションをクライアントとして今すぐ構成します」を選択します。 1. SP側のIdentity DomainでのSCIMインターフェース設定（機密アプリケーション登録） 49 Copyright © 2024, Oracle and/or its affiliates

Slide 50

Slide 50 text

9) 機密アプリケーションの追加画面のクライアントにて、下段にスクロールし、アプリケーション・ロールの「ロールの追加」を選択します。 10) アプリケーション・ロールの追加画面にて、「Identity Domain Administrator」を選択し、「追加」を選択します。 11) アプリケーション・ロールに「Identity Domain Administrator」が追加されている事を確認し、「次」を選択します。 1. SP側のIdentity DomainでのSCIMインターフェース設定（機密アプリケーション登録） 50 Copyright © 2024, Oracle and/or its affiliates

Slide 51

Slide 51 text

12) 機密アプリケーションの追加画面のWeb層ポリシーにて、「終了」を選択します。 13) 今回、作成したアプリケーションの画面で下段にスクロールし、一般情報の「クライアントID」と「クライアント・シークレット」の値をコピーし控えます。 ※「クライアント ID」と「クライアント・シークレット」は後述の作業で利用します。 1. SP側のIdentity DomainでのSCIMインターフェース設定（機密アプリケーション登録） 51 Copyright © 2024, Oracle and/or its affiliates

Slide 52

Slide 52 text

14) 作成したアプリケーション画面にて「アクティブ化」を選択します。 15) アプリケーションのアクティブ化画面にて「アプリケーションのアクティブ化」を選択します。 16) 作成したアプリケーションがアクティブになっている事を確認します。 1. SP側のIdentity DomainでのSCIMインターフェース設定（機密アプリケーション登録） 52 Copyright © 2024, Oracle and/or its affiliates

Slide 53

Slide 53 text

Slide 54

Slide 54 text

1) IdPのIdentity DomainのOCIコンソールにアクセスします。 OCIコンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。テナント名（クラウド・アカウント名）を入力し「Next」を選択します。アイデンティティ・ドメインの選択画面が表示される場合には、対象のドメインを選択します。サインイン画面にて、OCI管理者のID/パスワードを入力し、「サイン・イン」を選択しOCIコンソールにログインします。 ※ ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Default ドメイン”にログインすることになります。 2. IdP側のIdentity Domainでのプロビジョニング（同期用アプリケーション）の設定 54 Copyright © 2024, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。

Slide 55

Slide 55 text

2) OCI コンソール画面にて、左メニューより「アイデンティティとセキュリティ」ー「アイデンティティ」を選択します。 3) アイデンティティ画面にて、「ドメイン」を選択し、コンパートメントを指定し、ドメインを選択します。 ※ 自身で作成したIdentity Domain（ドメイン）に設定する場合にはその該当ドメインを選択します。 2. IdP側のIdentity Domainでのプロビジョニング（同期用アプリケーション）の設定 55 Copyright © 2024, Oracle and/or its affiliates

Slide 56

Slide 56 text

Slide 57

Slide 57 text

6) アプリケーションの追加画面にて、「アプリケーション・カタログ」を選択し、「アプリケーション・カタログの起動」を選択します。 7) アプリケーション・カタログ画面にて、検索のフィールドに「Oracle Identity」と入力し、表示されるアプリケーションから、「Oracle Identity Domain」を選択します。 2. IdP側のIdentity Domainでのプロビジョニング（同期用アプリケーション）の設定 57 Copyright © 2024, Oracle and/or its affiliates

Slide 58

Slide 58 text

8) Oracle Identity Domainの追加画面にて、名前に適当な値を入力し、「次」を選択します。 9) Oracle Identity Domainの追加画面のプロビジョニングの構成にて、「プロビジョニングの有効化」を選択します。 10) プロビジョニングの確認を有効化画面にて、「確認」を選択します。 2. IdP側のIdentity Domainでのプロビジョニング（同期用アプリケーション）の設定 58 Copyright © 2024, Oracle and/or its affiliates

Slide 59

Slide 59 text

11) Oracle Identity Domainの追加画面の接続構成にて、以下の値を入力し、「接続のテスト」を選択します。・ Host Name:SP側のIdentity DomainのテナントURLのホスト名部分（例: idcs-xxxxxxxxxxxxx.identity.orclecloud.com） ※ Identity DomainのテナントURLは、項番1. SP側のIdentity DomainでのSCIMインターフェース設定（機密アプリケーション登録）4) に記載しています。・ Client Id :項番1. SP側のIdentity DomainでのSCIMインターフェース設定（機密アプリケーション登録） 13) にてコピーした値を入力・ Client Secret 項番1. SP側のIdentity DomainでのSCIMインターフェース設定（機密アプリケーション登録） 13) にてコピーした値を入力・ Scope オプション： urn:opc:idm:__myscopes__（既定の設定）・ Authentication Server Url： https://< SP側のIdentity Domainのテナント URLのホスト名部分>:443/oauth2/v1/token 2. IdP側のIdentity Domainでのプロビジョニング（同期用アプリケーション）の設定 59 Copyright © 2024, Oracle and/or its affiliates

Slide 60

Slide 60 text

12) Oracle Identity Domainの追加画面の接続構成にて、「接続に成功しました」が表示されることを確認し、下段にスクロールします。 13) プロビジョニング操作の選択にて、「認可同期」のチェックが外れている事を確認し、「同期の有効化」を選択し、有効化させて、さらに下段にスクロールします。 ※ 「認可同期」のチェックを有効にした場合は、今回の場合は、SP側のIdentity DomainからIdP側の Identity DomainにID情報の同期が行われます。 2. IdP側のIdentity Domainでのプロビジョニング（同期用アプリケーション）の設定 60 Copyright © 2024, Oracle and/or its affiliates

Slide 61

Slide 61 text

14) 同期の構成にて、同期スケジュールが「なし」であるとを確認し、「終了」を選択します。（一旦保存された場合は、「変更の保存」）を選択します。 ※今回は、手動にて同期を実施するため、「なし」を選択します。 15) 今回、作成したアプリケーション画面にて、「アクティブ化」を選択します。 2. IdP側のIdentity Domainでのプロビジョニング（同期用アプリケーション）の設定 61 Copyright © 2024, Oracle and/or its affiliates

Slide 62

Slide 62 text

Slide 63

Slide 63 text

Slide 64

Slide 64 text

1) ここでは、ユーザーの同期を確認します。 IdP側のIdentity DomainのOCIコンソールにアクセスします。 OCI コンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。テナント名（クラウド・アカウント名）を入力し「Next」を選択します。アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメインを選択します。サインイン画面にて、OCI管理者のID/パスワードを入力し、「サイン・イン」を選択しOCIコンソールにログインします。 ※ ドメイン選択画面が表示されない環境は Default ドメインのみ存在する環境になり、自動的に“ Default ドメイン”にログインすることになります。 3. 動作確認 64 Copyright © 2024, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。

Slide 65

Slide 65 text

2) OCIコンソール画面にて、左メニューより「アイデンティティとセキュリティ」ー「アイデンティティ」を選択します。 3) アイデンティティ画面にて、「ドメイン」を選択し、コンパートメントを指定し、ドメインを選択します。 ※ 自身で作成したIdentity Domain（ドメイン）に設定する場合にはその該当ドメインを選択します。 3. 動作確認 65 Copyright © 2024, Oracle and/or its affiliates

Slide 66

Slide 66 text

Slide 67

Slide 67 text

Slide 68

Slide 68 text

Slide 69

Slide 69 text

3. 動作確認 69 Copyright © 2024, Oracle and/or its affiliates 9) SP側のIdentity DomainのOCIコンソールにアクセスします。 OCIコンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。テナント名（クラウド・アカウント名）を入力し「Next」を選択します。アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメインを選択します。サインイン画面にて、OCI管理者のID/パスワードを入力し、「サイン・イン」を選択しOCIコンソールにログインします。 ※ ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にログインすることになります。 ※環境によりドメイン選択画面は表示されません。

Slide 70

Slide 70 text

Slide 71

Slide 71 text

11) ここでは、同期されていないユーザーをグループのメンバーに含めた時のグループの同期の確認をします。 IdP側のIdentity DomainのOCIコンソールにアクセスします。 OCIコンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。テナント名（クラウド・アカウント名）を入力し「Next」を選択します。アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメインを選択します。サインイン画面にて、OCI管理者のID/パスワードを入力し、「サイン・イン」を選択しOCIコンソールにログインします。 ※ ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にログインすることになります。 3. 動作確認 71 Copyright © 2024, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。

Slide 72

Slide 72 text

12) IdP側のIdentity Domainのアイデンティティ・ドメイン画面の左メニューにて、「統合アプリケーション」を選択し、本章で作成したアプリケーションを選択します。 13) 今回、作成したアプリケーション画面の左メニューにて「グループ」を選択し、「グループの割当て」を選択します。 3. 動作確認 72 Copyright © 2024, Oracle and/or its affiliates

Slide 73

Slide 73 text

14) グループをアプリケーションに割当て画面のグループの選択にて、同期対象のグループを選択し、同期対象となるグループの右側にある「マーク」を選択し、「割当て」を選択し、「次」を選択します。 15) グループをアプリケーションに割当て画面の詳細の追加にて、下段にスクロールし、Groupの「追加」を選択します。 3. 動作確認 73 Copyright © 2024, Oracle and/or its affiliates

Slide 74

Slide 74 text

16) Groupの追加画面にて、SP側のIdentity Domainで作成されているグループの一覧が表示されるので、同期対象となるグループを選択し、「追加」を選択します。 ※グループ自体が同期されるのではなく、グループのメンバー情報が同期される事にご注意ください。また、グループのメンバーのアカウントが同期先（SP側のIdentity Domain）にない場合は、新たにユーザーアカウントが作成されます。さらに、グループが指定されてない場合は、メンバーのユーザーアカウントのみ同期されます。 ※ 対象のグループが表示されていない場合は、アプリケーションの画面にて「アプリケーション・データのリフレッシュ」を選択すると表示されます。 3. 動作確認 74 Copyright © 2024, Oracle and/or its affiliates

Slide 75

Slide 75 text

Slide 76

Slide 76 text

3. 動作確認 76 Copyright © 2024, Oracle and/or its affiliates 19) SP側のIdentity DomainのOCIコンソールにアクセスします。 OCIコンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。テナント名（クラウド・アカウント名）を入力し「Next」を選択します。アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメインを選択します。サインイン画面にて、OCI管理者のID/パスワードを入力し、「サイン・イン」を選択しOCIコンソールにログインします。 ※ ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にログインすることになります。 ※環境によりドメイン選択画面は表示されません。

Slide 77

Slide 77 text

18) IdP側で同期対象として指定したグループが、SP側のIdentity Domainの指定したグループにメンバー情報が同期されている事を確認します。 19) SP側のIdentity Domainにグループのメンバーのユーザーアカウントが新たに作成されている事を確認します。 3. 動作確認 77 Copyright © 2024, Oracle and/or its affiliates IdP側の同期対象グループ画面 SP側の同期対象グループと新規に作成されたユーザー画面 SP側の同期対象グループ画面

Slide 78

Slide 78 text

No content