OCI IAM Identity Domains 複数Identity Domain間の連携手順 / SSO setup between multiple Identity Domains

Slide 1

Slide 1 text

OCI IAM Identity Domains 複数のOCI環境下でのシングル・サインオン環境の構成日本オラクル株式会社 2025/08/01

Slide 2

Slide 2 text

Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買決定を行う際の判断材料になさらないで下さい。オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊社の裁量により決定され、変更される可能性があります。 Copyright © 2025, Oracle and/or its affiliates 2

Slide 3

Slide 3 text

⚫ 本資料の前提 1. 前提となるユース・ケース 2. 解決方法 ⚫ Identity Domain（IdP）とIdentity Domain（SP）が共存する複数のOCI環境下でのSSO環境の構成 1. IdP側のIdentity Domainでメタデータのダウンロード 2. SP側のIdentity DomainでIdPの追加 3. IdP側のIdentity DomainでSPの追加 4. 動作確認用のユーザー作成 5. 動作確認 ⚫ Identity Domain（IdP）からIdentity Domain（SP）へのID情報の同期 1. SP側のIdentity DomainでのSCIMインターフェース設定（機密アプリケーション登録） 2. IdP側のIdentity Domainでのプロビジョニング（Generic SCIM コネクタ）の設定 3. 動作確認アジェンダ Copyright © 2025, Oracle and/or its affiliates 3 ※本資料は2025年7月現在の仕様に基づき作成しております。

Slide 4

Slide 4 text

Slide 5

Slide 5 text

◆ 下記の理由から複数のOCI環境が存在し、それぞれの環境で、OCI IAM Identity Domains（以下、Identity Domain）が運用される場合があります。 ➢ 本社用とグループ会社用での構成 ➢ 本番環境とテスト環境の構成 ➢ 契約時期やシステム構成により環境を分割 1. 前提となるユース・ケース Copyright © 2025, Oracle and/or its affiliates 5 管理者一般ユーザー管理者一般ユーザー管理者一般ユーザー OCI OCI PaaS OCI IAM Identity Domains OCI IAM Identity Domains OCI 3rd-Party Apps OCI IAM Identity Domains

Slide 6

Slide 6 text

◆ 想定される課題 ➢ 複数環境でそれぞれのユーザー管理による管理コストの増大 ➢ ユーザー管理の煩雑化によるセキュリティリスクの増大 ➢ ユーザーへの利便性の低下 1. 前提となるユース・ケース 6 PaaS OCI IAM Identity Domains OCI IAM Identity Domains 管理者一般ユーザー OCI 3rd-Party Apps • それぞれの環境でユーザの管理を実施 • 複数回の認証が発生 • それぞの環境でのパスワード管理 Copyright © 2025, Oracle and/or its affiliates OCI IAM Identity Domains OCI OCI

Slide 7

Slide 7 text

◆ 課題の解決 ➢ SAMLによるフェデレーションを構成して、OCI間でシングル・サインオン（以下、SSO）を実現 ➢ SSOにより、パスワードはマスターとなるIdPのみで管理が可能 ➢ Identity Domain間でユーザーやグループ情報を同期するコネクタを構成（手動による同期でも対応可能） 2. 解決方法 7 PaaS OCI IAM Identity Domains OCI IAM Identity Domains 管理者一般ユーザー OCI 3rd-Party Apps • IdP側でユーザの管理が可能 • 同期するためのコネクタの構成 • 1回の認証でそれぞれの環境へのアクセスが可能 • パスワードはIdP側で管理 IdP SP SP フェデレーション / ユーザーの同期 Copyright © 2025, Oracle and/or its affiliates OCI IAM Identity Domains OCI OCI

Slide 8

Slide 8 text

◆ 課題の解決の技術概要 ➢ Identity Domain間でSAMLフェデレーションによるSSOを構成することで、IdP にログインすれば、クラウド・サービスが認証を委託しているSPにログインしなくても、クラウド・サービスにSSOが可能 ➢ Identity Domainが存在するデータ・センターやリージョンには非依存な機能であるため、データ・センターやリージョンをまたがった構成が可能 ➢ Identity DomainはID情報を伝播するREST APIの標準であるSystem for Cross-domain Identity Management（以下、SCIM）を利用する同期用アプリケーションを提供しており、同期用アプリケーションを構成してIdentity Domain間でユーザーやグループ情報を同期することが可能 2. 解決方法 8 Copyright © 2025, Oracle and/or its affiliates

Slide 9

Slide 9 text

Slide 10

Slide 10 text

SP 本手順書は下記構成を実現するためのIdentity Domain間の認証連携（外部IdP連携）設定手順書になります。 Identity Domain（IdP）とIdentity Domain（SP）を構成し複数のOCI 環境下でのSSO環境を構成 10 Copyright © 2025, Oracle and/or its affiliates IdP SAML認証連携(外部IdP連携) 利用者 IdPのID/パスワードでログイン（ IdPログイン画面にリダイレクト） OCI コンソール Identity domain間は属性「ユーザー名」でユーザーマッピング OCI IAM Identity Domain OCI IAM Identity Domain テナント A テナント B ※同一テナント内のIdentity Domain間の連携でも同様の手順となります。

Slide 11

Slide 11 text

手順概要 1. IdP側のIdentity Domainでメタデータのダウンロード 2. SP側のIdentity DomainでIdPの追加 3. IdP側のIdentity DomainでSPの追加 4. 動作確認 Identity Domain（IdP）とIdentity Domain（SP）を構成し複数のOCI 環境下でのSSO環境を構成 11 Copyright © 2025, Oracle and/or its affiliates

Slide 12

Slide 12 text

Slide 13

Slide 13 text

1）IdPとなるIdentity DomainのOCIコンソールにアクセスします。 OCIコンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。テナント名（クラウド・アカウント名）を入力し「次に進む」を選択します。アイデンティティ・ドメインの選択画面が表示される場合には、該当のドメインを選択し、「次」を選択します。サインイン画面にて、該当ドメインのドメイン管理者の権限を持つユーザーの「ユーザー名」および「パスワード」を入力し、「サイン・イン」を選択し、OCIコンソールにサインインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にサインインすることになります。注意事項：OCIコンソールは既定で多要素認証が設定されておりますので、サインイン後に多要素認証を行う場合があります。 1.IdP側のIdentity Domainでメタデータのダウンロード 13 Copyright © 2025, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。

Slide 14

Slide 14 text

2）認証なしでサービス・プロバイダ・メタデータをダウンロードできるように設定を変更します。 OCIコンソール画面にて、ハンバーガーメニューを選択し、左メニューより「アイデンティティとセキュリティ」ー「ドメイン」を選択します。 3）ドメイン画面にて、コンパートメントを指定し、ドメインを選択します。 ※自身で作成したコンパートメントおよびIdentity Domain（ドメイン）に設定する場合は、該当のコンパートメントおよびドメインを選択します。 1.IdP側の Identity Domain でメタデータのダウンロード 14 Copyright © 2025, Oracle and/or its affiliates

Slide 15

Slide 15 text

4）アイデンティティ・ドメイン画面にて、ドメイン情報からドメインURLの「コピー」を選択し、ドメインURLを控えておき、上部のメニューから「設定」を選択します。 ※コピーしたドメインURLは後続の手順で利用します。 5）ドメインの設定画面にて、画面下にスクロールし、ドメイン設定-ロケールにある「ドメイン設定の編集」を選択します。 1.IdP側の Identity Domain でメタデータのダウンロード 15 Copyright © 2025, Oracle and/or its affiliates

Slide 16

Slide 16 text

6）ドメイン設定の編集画面にて署名証明書へのアクセスの「クライアント・アクセスの構成」のチェックボックスを「オン」にし、「変更の保存」を選択します。 7）ブラウザにて下記のURLにアクセスし、サービス・プロバイダ・メタデータをダウンロードし、適切な場所に保存します。 1.IdP側の Identity Domain でメタデータのダウンロード 16 Copyright © 2025, Oracle and/or its affiliates https://{Identity DomainのURL（項番1. Identity DomainのSAMLメタデータダウンロード 4）で控えたURL）}/fed/v1/metadata

Slide 17

Slide 17 text

Slide 18

Slide 18 text

1）SP側Identity DomainのOCIコンソールにアクセスします。 OCIコンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。テナント名（クラウド・アカウント名）を入力し「次に進む」を選択します。アイデンティティ・ドメインの選択画面が表示される場合には、該当のドメインを選択し、「次」を選択します。サインイン画面にて、該当ドメインのドメイン管理者の権限を持つユーザーの「ユーザー名」および「パスワード」を入力し、「サイン・イン」を選択し、OCIコンソールにサインインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にサインインすることになります。注意事項：OCIコンソールは既定で多要素認証が設定されておりますので、サインイン後に多要素認証を行う場合があります。 2. SP側のIdentity Domainでアイデンティティ・プロバイダの登録 18 Copyright © 2025, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。

Slide 19

Slide 19 text

2）認証なしでサービス・プロバイダ・メタデータをダウンロードできるように設定を変更します。 OCIコンソール画面にて、ハンバーガーメニューを選択し、左メニューより「アイデンティティとセキュリティ」ー「ドメイン」を選択します。 3）ドメイン画面にて、コンパートメントを指定し、ドメインを選択します。 ※自身で作成したコンパートメントおよびIdentity Domain（ドメイン）に設定する場合は、該当のコンパートメントおよびドメインを選択します。 2. SP側のIdentity Domainでアイデンティティ・プロバイダの登録 19 Copyright © 2025, Oracle and/or its affiliates

Slide 20

Slide 20 text

4）アイデンティティ・ドメイン画面にて、上部のメニューより、「フェデレーション」を選択します。 5）フェデレーションの画面にて、アイデンティティ・プロバイダの「アクション」を選択し、さらに「SAML IdPの追加」を選択します。 2. SP側のIdentity Domainでアイデンティティ・プロバイダの登録 20 Copyright © 2025, Oracle and/or its affiliates

Slide 21

Slide 21 text

Slide 22

Slide 22 text

7）SAMLアイデンティティ・プロバイダの追加画面のメタデータの交換にて「アイデンティティ・プロバイダ・メタデータのアップロード」に、項番1. IdP側のIdentity Domainでメタデータのダウンロード 8)でダウンロードしたメタデータファイルを指定し、メタデータをアップロードし、「SAMLメタデータのエクスポート」を選択し「次」を選択します。 2. SP側のIdentity DomainでIdPの追加 22 Copyright © 2025, Oracle and/or its affiliates

Slide 23

Slide 23 text

8）アイデンティティ・プロバイダの追加画面のユーザー・アイデンティティのマップにてリクエストされた名前IDのフォーマットオプションが「なし」、アイデンティティ・プロバイダ・ユーザー属性が「SAMLアサーション名ID」、アイデンティティ・ドメイン・ユーザー属性が「ユーザー名」に指定されている事を確認し、「次」を選択します。 2. SP側のIdentity DomainでIdPの追加 23 Copyright © 2025, Oracle and/or its affiliates

Slide 24

Slide 24 text

Slide 25

Slide 25 text

Slide 26

Slide 26 text

Slide 27

Slide 27 text

12）アイデンティティ・プロバイダ画面にて、先ほど作成したアイデンティティ・プロバイダが作成され、アクティブになっている事を確認します。さらにサインイン画面に、作成したアイデンティティプロバイダをIdPとして利用できるようにIdPポリシーの定義を行う為に、アイデンティティ・プロバイダ・ポリシーにある「Default Identity Provider Policy」名を選択します。 13）Default Identity Provider Policy画面にて「アイデンティティ・プロバイダ・ルール」を選択します。 2. SP側のIdentity DomainでIdPの追加 27 Copyright © 2025, Oracle and/or its affiliates

Slide 28

Slide 28 text

14）Default Identity Provider Policy画面にて、「IdPルールの追加」を選択します。 15）アイデンティティ・プロバイダ・ルールの追加画面にて、ルール名に適切な値を入力し、アイデンティティ・プロバイダの割当てを選択し、今回、作成したアイデンティティプロバイダ名と「Username-Password」を選択し、「IdPルールの追加」を選択します。 2. SP側のIdentity DomainでIdPの追加 28 Copyright © 2025, Oracle and/or its affiliates ※Default Identity Provider Policy には「Default IdP Rule」というルールがあらかじめ作成されています。この「Default IdP Rule」を直接編集することも可能ですが、運用の中でデフォルトの状態に戻す場合などを想定し、「Default IdP Rule」は編集せずにデフォルトの状態のままにしておくことをお勧めします。

Slide 29

Slide 29 text

16）Default Identity Provider Policy画面にて、「アクション」を選択し、さらに「IdPルール優先度の編集」を選択します。 17）IdPルール優先度の編集画面にて、今回、作成したアイデンティティプロバイダの優先度を「1」に設定し、「Default IDP Rule」の優先度を「2」に設定し「変更の保存」を選択します。 2. SP側のIdentity DomainでIdPの追加 29 Copyright © 2025, Oracle and/or its affiliates

Slide 30

Slide 30 text

Slide 31

Slide 31 text

Slide 32

Slide 32 text

1）「項番1. IdP側のIdentity Domainでメタデータのダウンロード」の続きとなります。アイデンティティ・ドメイン画面のメニューから「統合アプリケーション」を選択し、「アプリケーションの追加」を選択します。 2）アプリケーションの追加画面にて、「SAMLアプリケーション」を選択し、「ワークフローの起動」を選択します。 3. IdP側のIdentity DomainでSPの追加 32 Copyright © 2025, Oracle and/or its affiliates

Slide 33

Slide 33 text

Slide 34

Slide 34 text

Slide 35

Slide 35 text

5）SSO構成の編集画面の一般にて、項番2. SP側のIdentity DomainでIdPの追加 10）で作成した、SAMLアイデンティティ・プロバイダの値をコピーして設定します。・エンティティID:SP側のIdentity DomainのプロバイダID ・アサーションコンシューマーのURL:SP側のIdentity Domainのアサーション・コンシューマ・サービスURL ・名前IDのフォーマット:「未指定」・名前IDの値:「ユーザー名」・署名証明書:SP側のIdentity Domainのサービス・プロバイダ暗号化証明書 3. IdP側のIdentity DomainでSPの追加 35 Copyright © 2025, Oracle and/or its affiliates SP側Identity Domain SAMLアイデンティティ・プロバイダの画面

Slide 36

Slide 36 text

6）下段にスクロールし、SSO構成の編集画面の追加構成にて、さらに項番2.SP側のIdentity DomainでIdPの追加 10）で作成した、アイデンティティ・プロバイダの値をコピーして設定し、「変更の保存」を選択します。・シングル・ログアウトURL:SP側のIdentity Domainのログアウト・サービス戻りURL ・ログアウト・レスポンスURL:SP側のIdentity Domainのログアウト・サービス・エンドポイントURL ・その他は既定の設定 3. IdP側のIdentity DomainでSPの追加 36 Copyright © 2025, Oracle and/or its affiliates SP側Identity Domain SAMLアイデンティティ・プロバイダの画面

Slide 37

Slide 37 text

Slide 38

Slide 38 text

Slide 39

Slide 39 text

Slide 40

Slide 40 text

1）IdP側のIdentity Domainのアプリケーションにユーザーを割り当てるためにIdP側のOCIコンソールにアクセスします。 OCIコンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。テナント名（クラウド・アカウント名）を入力し「次に進む」を選択します。アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメインを選択します。サインイン画面にて、OCI管理者のID/パスワードを入力し、「サイン・イン」を選択しOCIコンソールにログインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にサインインすることになります。注意事項：OCIコンソールは既定で多要素認証が設定されておりますので、サインイン後に多要素認証による認証を行う場合があります。 4. 動作確認 40 Copyright © 2025, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。

Slide 41

Slide 41 text

2）項番 3. IdP側のIdentity DomainでSPの追加 6) で作成したアプリケーションの画面にて、メニューから「ユーザー」を選択し、「ユーザーの割当て」を選択します。 ※アプリケーションの割当てはグループでも可能ですが、今回は事前に作成しておいたユーザーを選択します。 3）ユーザーの割当て画面にて、動作確認を行う対象のユーザーを選択し、「割当て」を選択します。 4. 動作確認 41 Copyright © 2025, Oracle and/or its affiliates

Slide 42

Slide 42 text

4）ユーザーを作成するため、SP側のIdentity DomainのOCIコンソールにアクセスします。 OCIコンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。テナント名（クラウド・アカウント名）を入力し「次に進む」を選択します。アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメインを選択します。サインイン画面にて、OCI管理者のID/パスワードを入力し、「サイン・イン」を選択しOCIコンソールにログインします。 ※ドメイン選択画面が表示されない環境はDefault ドメインのみ存在する環境になり、自動的に“Default ドメイン”にログインすることになります。注意事項：OCIコンソールは既定で多要素認証が設定されておりますので、サインイン後に多要素認証を行う場合があります。 4. 動作確認 42 Copyright © 2025, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。

Slide 43

Slide 43 text

5）ドメインを選択し、上段のメニューから「ユーザー管理」を選択し、「作成」を選択します。 6）ユーザー追加画面にて「名」、「姓」、「ユーザー名」および「電子メール」に適切な値を入力し、「作成」を選択します。 ※ユーザー名は項番 4. 動作確認用のユーザー作成 3）で割当てたIdP側のIdentity Domainのユーザーと同じ値になるようにします。 4. 動作確認 43 Copyright © 2025, Oracle and/or its affiliates

Slide 44

Slide 44 text

7）動作確認を行う為、SP側のOCIコンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。テナント名（クラウド・アカウント名）を入力し「次に進む」を選択し、必要に応じて「ドメイン名」を選択し、「次」を選択します。 8）アイデンティティ・ドメインのログイン画面の下部に今回作成した、アイデンティティ・プロバイダ（IdP_Identity_Domain）が表示され選択ができることを確認し、「アイデンティティ・プロバイダ（IdP_Identity_Domain）」を選択します。 9）IdP側のサインイン画面にリダイレクトされるので、項番 4. 動作確認用のユーザー作成 3) で割当てたユーザーのID/パスワードを入力し、「サイン・イン」を選択し、OCIコンソールにログインします。 ※多要素認証が有効になっている場合は、サインイン後に多要素認証の初期設定が行われます。 4. 動作確認 44 Copyright © 2025, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。

Slide 45

Slide 45 text

Slide 46

Slide 46 text

Slide 47

Slide 47 text

SAML認証連携(外部IdP連携)を利用する場合、IdP側およびSP側で連携させるIDが必要となります。その為、ID情報をIdPとSP間にてID同期を行う事で、ID管理の管理コスト低減させる事が可能となります。本手順書は、下記構成を実現するためのIdentity Domainで構成されたIdPとSP間でID情報の同期の設定手順書になります。 ※ID同期において「IdP」、「SP」という考え方はございませんが、同期元と同期先を区別する為に、記載させていただきます。 Identity Domain（IdP）からIdentity Domain（SP）へのID情報の同期 47 Copyright © 2025, Oracle and/or its affiliates Identity Domain IdP SCIM による ID 情報の同期 OCI コンソール Identity Domain 機能説明 ID 情報の伝播の方向双方向または、同期用アプリケーション側からの単方向の指定が可能ユーザーの作成・更新・削除、アクティブ/非アクティブの同期〇ユーザーのパスワード同期 ✖ 同期対象となるユーザー指定したユーザーおよびグループのメンバーグループの作成・更新・削除の同期 ✖(グループはマッピングのみ) ID 情報を同期するタイミングリアルタイムまたは、同期スケジュールの設定が可能テナント A ※同一テナント内のIdentity Domain間の連携でも同様の手順となります。テナント B Generic SCIM コネクタ SP SCIM インターフェース

Slide 48

Slide 48 text

Slide 49

Slide 49 text

Slide 50

Slide 50 text

1）SP側Identity DomainのOCIコンソールにアクセスします。 OCIコンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。テナント名（クラウド・アカウント名）を入力し「次に進む」を選択します。アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメインを選択します。サインイン画面にて、OCI管理者のID/パスワードを入力し、「サイン・イン」を選択しOCIコンソールにログインします。 ※ ドメイン選択画面が表示されない環境はDefault ドメインのみ存在する環境になり、自動的に“Default ドメイン”にログインすることになります。注意事項：OCIコンソールは既定で多要素認証が設定されておりますので、サインイン後に多要素認証を行う場合があります。 1. SP側のIdentity DomainでのSCIMインターフェース設定（機密アプリケーション登録） 50 Copyright © 2025, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。

Slide 51

Slide 51 text

2）認証なしでサービス・プロバイダ・メタデータをダウンロードできるように設定を変更します。 OCIコンソール画面にて、ハンバーガーメニューを選択し、左メニューより「アイデンティティとセキュリティ」ー「ドメイン」を選択します。 3）アイデンティティ画面にて、コンパートメントを指定し、ドメインを選択します。 ※自身で作成したコンパートメントおよびIdentity Domain（ドメイン）に設定する場合は、該当のコンパートメントおよびドメインを選択します。 1. SP側のIdentity DomainでのSCIMインターフェース設定（機密アプリケーション登録） 51 Copyright © 2025, Oracle and/or its affiliates

Slide 52

Slide 52 text

Slide 53

Slide 53 text

5）アイデンティティ・ドメインのドメインの概要画面にて、上部のメニューより、「統合アプリケーション」を選択し、「アプリケーションの追加」を選択します。 6）アプリケーションの追加画面にて、「機密アプリケーション」を選択し、「ワークフローの起動」を選択します。 1. SP側のIdentity DomainでのSCIMインターフェース設定（機密アプリケーション登録） 53 Copyright © 2025, Oracle and/or its affiliates

Slide 54

Slide 54 text

Slide 55

Slide 55 text

Slide 56

Slide 56 text

9）OAuth構成の編集画面にて、クライアント構成の「このアプリケーションをクライアントとして今すぐ構成します」を選択し、認可の許可される権限付与タイプで、「クライアント資格証明」を選択します。 10）OAuth構成の編集画面を下にスクロールし、「アプリケーション・ロールの追加」をスライドさせて有効化し、「「アプリケーション・ロールの追加」を選択します。 1. SP側のIdentity DomainでのSCIMインターフェース設定（機密アプリケーション登録） 56 Copyright © 2025, Oracle and/or its affiliates

Slide 57

Slide 57 text

Slide 58

Slide 58 text

Slide 59

Slide 59 text

13）作成した機密アプリケーションの画面にて、一般情報の「クライアントID」と「クライアント・シークレット」の値を控えます。「クライアント・シークレット」のコピーの取得は「…」を選択し、「コピー」を選択します。 ※「クライアント ID」と「クライアント・シークレット」は後述の作業で利用します。 14）同画面にて、「アクション」を選択し、「アクティブ化」を選択します。 1. SP側のIdentity DomainでのSCIMインターフェース設定（機密アプリケーション登録） 59 Copyright © 2025, Oracle and/or its affiliates

Slide 60

Slide 60 text

15）アプリケーションのアクティブ化画面にて、「アプリケーションのアクティブ化」を選択します。 16）作成した機密アプリケーションの画面にて、作成した機密アプリケーションがアクティブになっている事を確認します。 1. SP側のIdentity DomainでのSCIMインターフェース設定（機密アプリケーション登録） 60 Copyright © 2025, Oracle and/or its affiliates

Slide 61

Slide 61 text

Slide 62

Slide 62 text

1）IdPのIdentity DomainのOCIコンソールにアクセスします。 OCIコンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。テナント名（クラウド・アカウント名）を入力し「次に進む」を選択します。アイデンティティ・ドメインの選択画面が表示される場合には、該当のドメインを選択し、「次」を選択します。サインイン画面にて、該当ドメインのドメイン管理者の権限を持つユーザーの「ユーザー名」および「パスワード」を入力し、「サイン・イン」を選択し、OCIコンソールにサインインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にサインインすることになります。注意事項：OCIコンソールは既定で多要素認証が設定されておりますので、サインイン後に多要素認証を行う場合があります。 2. IdP側のIdentity Domainでのプロビジョニング（Generic SCIM コネクタ）の設定 62 Copyright © 2025, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。

Slide 63

Slide 63 text

2）OCIコンソール画面にて、ハンバーガーメニューを選択し、左メニューより「アイデンティティとセキュリティ」ー「ドメイン」を選択します。 3）アイデンティティ画面にて、コンパートメントを指定し、ドメインを選択します。 ※自身で作成したコンパートメントおよびIdentity Domain（ドメイン）に設定する場合は、該当のコンパートメントおよびドメインを選択します。 2. IdP側のIdentity Domainでのプロビジョニング（Generic SCIM コネクタ）の設定 63 Copyright © 2025, Oracle and/or its affiliates

Slide 64

Slide 64 text

4）アイデンティティ・ドメイン画面のメニューから「統合アプリケーション」を選択し、「アプリケーションの追加」を選択します。 5）アプリケーションの追加画面にて、「アプリケーション・カタログ」を選択し、「ワークフローの起動」を選択します。 2. IdP側のIdentity Domainでのプロビジョニング（Generic SCIM コネクタ）の設定 64 Copyright © 2025, Oracle and/or its affiliates

Slide 65

Slide 65 text

6）アプリケーション・カタログ画面にて、検索のフィールドに「Oracle Identity」と入力し、「検索」を選択し、表示されたアプリケーションから、「Oracle Identity Domain」を選択します。 7）作成したアプリケーションの追加画面にて、「名前」および必要に応じて「説明」に適切な値を入力し、「送信」を選択します。 2. IdP側のIdentity Domainでのプロビジョニング（Generic SCIM コネクタ）の設定 65 Copyright © 2025, Oracle and/or its affiliates

Slide 66

Slide 66 text

8）作成したアプリケーションの画面にて、上段のメニューより「プロビジョニング中」を選択し、さらに「…」を選択し、「プロビジョニングの編集」を選択します。 9）プロビジョニングの有効化画面にて「プロビジョニングの有効化」をスライドさせ、有効化させ、プロビジョニングの確認を有効化画面にて、「確認」を選択します。 2. IdP側のIdentity Domainでのプロビジョニング（Generic SCIM コネクタ）の設定 66 Copyright © 2025, Oracle and/or its affiliates

Slide 67

Slide 67 text

10）プロビジョニングの有効化画面の接続構成にて、以下の値を入力し、「接続のテスト」を選択します。・ Host Name:SP側のIdentity DomainのドメインURLのホスト名部分（例: idcs-xxxxxxxxxxxxx.identity.orclecloud.com） ※Identity DomainのテナントURLは、項番1. SP側のIdentity DomainでのSCIMインターフェース設定機密アプリケーション登録）4) に記載しています。・ Client Id :項番1. SP側のIdentity DomainでのSCIMインターフェース設定（機密アプリケーション登録） 13) にてコピーした値を入力・ Client Secret 項番1. SP側のIdentity DomainでのSCIMインターフェース設定（機密アプリケーション登録） 13) にてコピーした値を入力・ Scope オプション： urn:opc:idm:__myscopes__（既定の設定）・ Authentication Server Url： https://< SP側のIdentity Domainのドメイン URLのホスト名部分>:443/oauth2/v1/token 2. IdP側のIdentity Domainでのプロビジョニング（Generic SCIM コネクタ）の設定 67 Copyright © 2025, Oracle and/or its affiliates

Slide 68

Slide 68 text

11）接続のテストにて、「接続に成功しました」が表示されたことを確認し、同画面を下にスクロールし、プロビジョニング操作の選択の「認可同期」のチェックが外れている事を確認し、「同期の有効化」をスライドさせ、有効化し、さらに下段にスクロールします。 ※「認可同期」のチェックを有効にした場合は、今回の構成の場合は、SP側のIdentity DomainからIdP側のIdentity DomainにID情報の同期が行われます。 12）同期の構成の、同期スケジュールが「なし」であるとを確認し、「送信」を選択します。 ※今回は、手動にて同期を実施するため、「なし」を選択します。 2. IdP側のIdentity Domainでのプロビジョニング（Generic SCIM コネクタ）の設定 68 Copyright © 2025, Oracle and/or its affiliates

Slide 69

Slide 69 text

13）作成したアプリケーションの画面にて、「アクション」を選択し、さらに「アクティブ化」を選択します。 14）アプリケーションのアクティブ化画面にて、「アプリケーションのアクティブ化」を選択します。 2. IdP側のIdentity Domainでのプロビジョニング（Generic SCIM コネクタ）の設定 69 Copyright © 2025, Oracle and/or its affiliates

Slide 70

Slide 70 text

Slide 71

Slide 71 text

Slide 72

Slide 72 text

1）ここでは、ユーザーの同期を確認します。同期元であるIdP側のIdentity DomainのOCIコンソールにアクセスします。 OCIコンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。テナント名（クラウド・アカウント名）を入力し「次に進む」を選択します。アイデンティティ・ドメインの選択画面が表示される場合には、該当のドメインを選択し、「次」を選択します。サインイン画面にて、該当ドメインのドメイン管理者の権限を持つユーザーの「ユーザー名」および「パスワード」を入力し、「サイン・イン」を選択し、OCIコンソールにサインインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にサインインすることになります。注意事項：OCIコンソールは既定で多要素認証が設定されておりますので、サインイン後に多要素認証を行う場合があります。 3. 動作確認 72 Copyright © 2025, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。

Slide 73

Slide 73 text

2）OCIコンソール画面にて、ハンバーガーメニューを選択し、左メニューより「アイデンティティとセキュリティ」ー「ドメイン」を選択します。 3）アイデンティティ画面にて、コンパートメントを指定し、ドメインを選択します。 ※自身で作成したコンパートメントおよびIdentity Domain（ドメイン）に設定する場合は、該当のコンパートメントおよびドメインを選択します。 3. 動作確認 73 Copyright © 2025, Oracle and/or its affiliates

Slide 74

Slide 74 text

4）アイデンティティ・ドメイン画面にて、上部のメニューより、「統合アプリケーション」を選択し、項番2. IdP側のIdentity Domainでのプロビジョニング（Generic SCIM コネクタ）の設定 13) で作成したアプリケーションを選択します。 5）作成したアプリケーション画面の上部のメニューより、「ユーザー」を選択し、「ユーザーの割当て」を選択します。 3. 動作確認 74 Copyright © 2025, Oracle and/or its affiliates

Slide 75

Slide 75 text

Slide 76

Slide 76 text

Slide 77

Slide 77 text

3. 動作確認 77 Copyright © 2025, Oracle and/or its affiliates 9）同期先であるSP側のIdentity DomainのOCIコンソールにアクセスします。 OCIコンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。テナント名（クラウド・アカウント名）を入力し「次に進む」を選択します。アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメインを選択します。サインイン画面にて、OCI管理者のID/パスワードを入力し、「サイン・イン」を選択しOCIコンソールにログインします。 ※ドメイン選択画面が表示されない環境はDefault ドメインのみ存在する環境になり、自動的に“Default ドメイン”にログインすることになります。注意事項：OCIコンソールは既定で多要素認証が設定されておりますので、サインイン後に多要素認証を行う場合があります。 ※環境によりドメイン選択画面は表示されません。

Slide 78

Slide 78 text

Slide 79

Slide 79 text

11）ここでは、同期されていないユーザーをグループのメンバーに含むグループの同期の確認をします。 IdP側のIdentity DomainのOCIコンソールにアクセスします。 OCIコンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。テナント名（クラウド・アカウント名）を入力し「次に進む」を選択します。アイデンティティ・ドメインの選択画面が表示される場合には、該当のドメインを選択し、「次」を選択します。サインイン画面にて、該当ドメインのドメイン管理者の権限を持つユーザーの「ユーザー名」および「パスワード」を入力し、「サイン・イン」を選択し、OCIコンソールにサインインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にサインインすることになります。注意事項：OCIコンソールは既定で多要素認証が設定されておりますので、サインイン後に多要素認証を行う場合があります。 3. 動作確認 79 Copyright © 2025, Oracle and/or its affiliates ※環境によりドメイン選択画面は表示されません。

Slide 80

Slide 80 text

12）アイデンティティ・ドメイン画面にて、上部のメニューより、「統合アプリケーション」を選択し、項番2. IdP側のIdentity Domainでのプロビジョニング（Generic SCIM コネクタ）の設定 13) で作成したアプリケーションを選択します。 13）作成したアプリケーション画面の上部のメニューより、「グループ」を選択し、「グループの割当て」を選択します。 3. 動作確認 80 Copyright © 2025, Oracle and/or its affiliates

Slide 81

Slide 81 text

Slide 82

Slide 82 text

16）Groupの追加画面にて、SP側のIdentity Domainで作成されているグループの一覧が表示されるので、同期対象となるグループを選択し、「追加」を選択します。注意事項：グループ自体が同期されるのではなく、グループのメンバー情報が同期される事にご注意ください。また、グループのメンバーのアカウントが同期先（SP側のIdentity Domain）にない場合は、新たにユーザーアカウントが作成されます。さらに、同期先のグループが指定されてない場合は、メンバーのユーザーアカウントのみ同期されます。 ※対象のグループが表示されていない場合は、アプリケーション画面にて、上段メニューの「プロビジョニング中」を選択し、「…」から「アプリケーション・データのリフレッシュ」を選択すると表示されます。 3. 動作確認 82 Copyright © 2025, Oracle and/or its affiliates 対象のグループが表示されていない時の対応

Slide 83

Slide 83 text

Slide 84

Slide 84 text

Slide 85

Slide 85 text

3. 動作確認 85 Copyright © 2025, Oracle and/or its affiliates 19）SP側のIdentity DomainのOCIコンソールにアクセスします。 OCIコンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。テナント名（クラウド・アカウント名）を入力し「次に進む」を選択します。アイデンティティ・ドメインの選択画面が表示される場合には、対象ドメインを選択します。サインイン画面にて、OCI管理者のID/パスワードを入力し、「サイン・イン」を選択しOCIコンソールにログインします。 ※ ドメイン選択画面が表示されない環境は Default ドメインのみ存在する環境になり、自動的に“ Default ドメイン”にログインすることになります。注意事項：OCIコンソールは既定で多要素認証が設定されておりますので、サインイン後に多要素認証を行う場合があります。 ※環境によりドメイン選択画面は表示されません。

Slide 86

Slide 86 text

20）IdP側で同期対象として指定したグループが、SP側のIdentity Domainの指定したグループにメンバー情報が同期されている事を確認します。 21）SP側のIdentity Domainにグループのメンバーのユーザーアカウントが新たに作成されている事を確認します。 3. 動作確認 86 Copyright © 2025, Oracle and/or its affiliates IdP側の同期対象グループ画面 SP側の同期対象グループと新規に作成されたユーザー画面 SP側の同期対象グループ画面

Slide 87

Slide 87 text

No content