SAML Just-In-Timeプロビジョニングの理解
SAML Just-In-Time (JIT)プロビジョニングは、ユーザーが最初にSSOを実行しようとしたときにユーザーがOracle Identity Cloud Serviceにまだ存在しない場合に、ユーザー・アカウントの作成を自動化します。 JITでは、ユーザーの自動作成に加えて、プロビジョニングの一環としてグループ・メンバーシップの付与と取消しを行うことができます。 サービス・プロバイダ(SP)ストア内のユーザーの属性をアイデンティティ・プロバイダ(IDP)のユーザー・ストア属性と同期できるように、プロビジョニングされたユーザーを更新するようにJITを構成できます。
前提条件
SAML Just-In-Timeプロビジョニングを有効にします。 Oracleでは、この機能を有効にする必要があります。 Oracleで有効にする必要がある機能およびそれらを有効にする方法の詳細は、「Oracle Identity Cloud Serviceの標準ライセンス階層機能」を参照してください。
利点
JITの利点は次のとおりです:
- Oracle Identity Cloud Serviceのユーザー・アカウントのフットプリントは、アイデンティティ・プロバイダのユーザー・ディレクトリ内のすべてのユーザーではなく、フェデレーテッドSSOを介して実際にログインするユーザーに制限されます。
- SSOプロセスの一部としてアカウントがオンデマンドで作成され、アイデンティティ・プロバイダとサービス・プロバイダのユーザー・ストアを手動で同期する必要がないため、管理コストが削減されます。
- 後でアイデンティティ・プロバイダのユーザー・ストアに追加される新規ユーザーについて、管理者は対応するサービス・プロバイダ・アカウントを手動で作成する必要はありません(ユーザーは常に同期されます)。
仕組み
JITプロビジョニングには、次の4つのランタイム・フローがあります:
| サイン・イン時のユーザー: | フロー |
|---|---|
| 存在し、JITプロビジョニングが有効です。 | 標準SSOフロー。 |
| 存在せず、JITプロビジョニングが有効になっていません。 | 標準のSSO失敗フロー。 |
| 存在せず、JIT作成が有効です。 | ユーザーが作成され、JIT構成でマップされたSAMLアサーション属性が移入されます。 |
| 存在し、JIT更新が有効です。 | ユーザー属性値は、JIT構成でマップされたSAMLアサーション属性で更新されます。 |
SAML JITプロビジョニングは、
/admin/v1/IdentityProviders REST APIエンドポイントを使用してのみ構成できます。 SAML JITプロビジョニングを構成するには、次の項を参照してください: