9シングル・サインオン
この章の内容は次のとおりです。
シングル・サインオン(SSO)・サービス・プロバイダとしてのOracle Applications Cloud
タスクを実行するために、ユーザーは様々な内部アプリケーションや外部アプリケーションにアクセスする可能性があります。また、パートナ、ベンダーおよびサプライヤがホストする様々なアプリケーションへのアクセスが必要になる場合もあります。異なるアプリケーションにアクセスするたびに認証を受けることをユーザーは望んでいません。この問題を解決できるのがITマネージャです。Oracle Applications Cloudをシングル・サインオン・サービス・プロバイダとして設定すると、ユーザーにシームレスなシングル・サインオン体験を提供できます。
ユーザーはアイデンティティと資格証明を格納および管理するアイデンティティ・プロバイダに登録されます。セキュリティ・コンソールでアイデンティティ・プロバイダを追加すると、ユーザーの情報を格納しなくてもユーザーの身元を確認できます。
最初のログイン
通常の勤務日に初めてサインインするときに、ユーザーはアプリケーションまたはWebページへのアクセスをリクエストします。サービス・プロバイダとして設定されているOracle Applications Cloudは、ユーザーのアイデンティティ・プロバイダ(セキュリティ・コンソールにすでに追加されているもの)に検証リクエストを送信します。このアイデンティティ・プロバイダはユーザー資格証明を検証し、認可および認証レスポンスをサービス・プロバイダに返信します。認証が成功すると、ユーザーは必要なアプリケーションまたはWebページへのアクセスを許可されます。認証はエンタープライズ・ネットワーク全域で有効であるため、同じネットワーク上で使用可能な別のアプリケーションにアクセスするときにユーザーが再度サインインする必要はありません。サービス・プロバイダと各種のアイデンティティ・プロバイダ間のこの信頼チェーン全体は、Security Assertion Markup Language (SAML) 2.0規格を使用して確立されます。
最終サインアウト
シングル・サインオンはエンタープライズ・ネットワークからのサインアウトにも適用されます。ユーザーが1つのアプリケーションからサインアウトすると、ネットワーク上のすべてのアプリケーションから自動的にサインアウトされます。これは無許可アクセスを防止し、データが常に保護されるようにするためです。
前提条件
偶発的なアカウント・ロックアウトが発生した場合に管理者がOracle Applications Cloudへのアクセス権を再取得できるようにするには、管理者に次の設定を構成する必要があります。
-
有効なEメール
-
ITセキュリティ・マネージャ・ロール
-
Eメール通知が有効になります
シングル・サインオンの構成
環境でシングル・サインオンを有効にするには、セキュリティ・コンソールで「シングル・サインオン構成」セクションの設定を完了します。この構成では、ログイン・ページ、およびアプリケーションからのログアウト後にユーザーをリダイレクトさせるページを有効化します。環境でシングル・サインオンが有効になっている場合、不要であれば対応するボタンで無効にできます。デフォルトでは、このボタンは無効になっています。
これらのステップを実行します:
-
セキュリティ・コンソールで、「シングル・サインオン」タブをクリックします。
-
「シングル・サインオン構成」セクションで「編集」をクリックします。
-
「サイン・アウトURL」を入力します。アプリケーションからサインアウトすると、ユーザーはこのページにリダイレクトされます。
ノート: 構成するすべてのアイデンティティ・プロバイダで、同じサイン・アウトURLを使用します。 -
「チューザ・ログイン・ページ使用可能」が無効になっている場合は、これを選択することで、サービス・プロバイダのシングル・サインオンのページを会社のログイン・ページと一緒に表示できます。
-
「保存」をクリックします。
Oracle Applications Cloudをサービス・プロバイダとして構成するには、次の手順を実行する必要があります。
-
アイデンティティ・プロバイダの追加
-
サービス・プロバイダの詳細の確認
-
アイデンティティ・プロバイダのテスト
-
アイデンティティ・プロバイダの有効化
セキュリティ・コンソールで、「シングル・サインオン」タブに移動して、「アイデンティティ・プロバイダの作成」をクリックします。
アイデンティティ・プロバイダの追加
必要な数のアイデンティティ・プロバイダを追加して、すべてのユーザーのシングル・サインオンを促進できます。ただし、いずれか1つをデフォルトのアイデンティティ・プロバイダに設定してください。
開始する前に:
アイデンティティ・プロバイダの追加の重要なステップの1つは、アイデンティティ・プロバイダのメタデータ・コンテンツのインポートです。メタデータ・ファイルには、認証情報、およびアイデンティティ・プロバイダの署名付き証明書と暗号化証明書が含まれています。メタデータXMLファイルまたはURLがすぐに使用可能であることを確認します。ファイルがないと、設定は完了しません。
-
セキュリティ・コンソールで、「シングル・サインオン」→ 「アイデンティティ・プロバイダの作成」をクリックします。
-
「アイデンティティ・プロバイダ詳細」ページで、「編集」をクリックしてアイデンティティ・プロバイダの詳細を入力します。
-
アイデンティティ・プロバイダの「名前」および「摘要」を指定します。アイデンティティ・プロバイダ名はそのパートナシップ固有の名前である必要があります。
-
関連する名前ID書式を選択します。アイデンティティ・プロバイダの名前として電子メールを使用する場合は、「Eメール」を選択します。それ以外の場合は、「未指定」のままにします。
-
リレー状態URLを入力します。どのアプリケーションにアクセスする場合でも、ユーザーはこのURLに誘導されて署名と認証を求められます。
-
このアイデンティティ・プロバイダをデフォルトのアイデンティティ・プロバイダにするには、「デフォルト・アイデンティティ・プロバイダ」チェック・ボックスを選択します。
-
-
アイデンティティ・プロバイダ・メタデータをインポートします。
-
XMLファイルの場合は、「参照」をクリックしてファイルを選択します。
-
Webページ上にある場合は、「外部URL」チェック・ボックスを選択し、URLを入力します。外部URLはこの構成には格納されず、アイデンティティ・プロバイダの作成または変更時にアイデンティティ・プロバイダ・メタデータをインポートする目的でのみ使用されます。
ノート: メタデータXMLファイルはBase64でエンコードされている必要があります。 -
-
「保存してクローズ」をクリックします。
サービス・プロバイダの詳細の確認
「サービス・プロバイダ詳細」タブと「診断およびアクティブ化」タブは、アイデンティティ・プロバイダの詳細を入力した場合にのみ有効になります。「サービス・プロバイダ詳細」タブをクリックして、このページで次の情報を確認します。
-
サービス・プロバイダのID。この場合、Oracle Applications CloudのIDです。
-
サービス・プロバイダ・メタデータ。ダウンロードおよび表示可能なXMLファイルへのURL参照。
-
サービス・プロバイダ署名証明書。
-
サービス・プロバイダ暗号化証明書。
これらの詳細をアイデンティティ・プロバイダと共有し、アイデンティティ・プロバイダがこの情報を基にアプリケーションを関連サービス・プロバイダとして構成できるようにしてください。
アイデンティティ・プロバイダのテスト
「診断およびアクティブ化」タブをクリックして、追加したアイデンティティ・プロバイダが想定どおりに動作することを検証します。
-
「テスト」ボタンをクリックすると、診断が実行されます。フェデレーションSSOの開始ページが表示されます。
-
SSOの開始ボタンをクリックします。アイデンティティ・プロバイダに登録されているユーザーのユーザー資格証明を入力するよう求められます。テストでは、フェデレーション・シングル・サインオンが成功するかどうかが検証されます。結果サマリーには次の詳細が含まれます。
-
認証のステータス: 成功または失敗
-
アサーションで渡される属性
-
XML内のアサーション・メッセージ
-
「連邦ログ」セクションに表示されるログ・メッセージを確認して、アイデンティティ・プロバイダの構成に問題があるかどうかを確認できます。
アイデンティティ・プロバイダの有効化
すべてが正常であれば、続行してアイデンティティ・プロバイダを有効化します。「診断およびアクティブ化」ページを表示している場合は、「編集」をクリックし、「アイデンティティ・プロバイダ使用可能」チェック・ボックスを選択します。アイデンティティ・プロバイダがアクティブになります。
シングル・サインオンに関するFAQ
サービス・プロバイダにユーザー・パスワードは保存されますか。
パスワードはアイデンティティ・プロバイダに保存されます。ユーザーがサインインすると、アイデンティティ・プロバイダがパスワードを認証し、アプリケーションへのアクセス・リクエストを認可して、その確認をサービス・プロバイダに送信します。するとサービス・プロバイダがアプリケーションまたはWebページへのアクセスをユーザーに許可します。
アイデンティティ・プロバイダを有効化せずに設定できますか。
はい。アイデンティティ・プロバイダを設定し、徹底的にテストしてから有効化できます。デフォルトでは、アイデンティティ・プロバイダは無効のままです。アイデンティティ・プロバイダはいつでも無効化できます。
自分のユーザーが自社の資格証明を使用してサインインできるようにするにはどのようにするのですか。
セキュリティ・コンソールで、「シングル・サインオン」→「アイデンティティ・プロバイダ詳細」ページに移動して、「チューザ・ログイン・ページ使用可能」チェック・ボックスが選択されていることを確認します。
ユーザーがメイン・ポータル・ページにアクセスする際、次のいずれかのオプションを使用してサインインできます。
-
アイデンティティ・プロバイダに登録されたシングル・サインオン資格証明
-
会社に登録されているシングル・サインオン資格証明
アイデンティティ・プロバイダが提供する証明書の有効期間を延長するにはどうすればよいですか。
証明書失効に関する通知が届いたら必ず目をとおしてください。アイデンティティ・プロバイダに依頼して、更新後の証明書有効性詳細が含まれた更新済メタデータ・ファイルを入手します。メタデータ・ファイルをアップロードすると、証明書の有効性が自動的に更新されます。証明書が常に有効であることを保証するために、この情報を一定間隔で監視する必要があります。
アイデンティティ・プロバイダは更新された証明書をサービス・プロバイダからどのように取得しますか。
アイデンティティ・プロバイダはサービス・プロバイダにサービス・リクエストを送信し、更新された署名証明書および暗号化証明書を要求します。
アプリケーションにサインインしていないときにシングル・サインオンを無効にするにはどうすればよいですか。
管理者に提供されたURLを使用して、「管理アクティビティ」ページへのアクセスをリクエストする必要があります。次の権限があることを確認します。
-
ASE_ADMINISTER_SSO_PRIV
-
ASE_ADMINSTER_SECURITY_PRIV
「管理アクティビティ」ページへのアクセス権をリクエストすると、次の形式のURLを含む電子メールが登録済の電子メールIDに届きます。
https://<FA POD>/hcmUI/faces/AdminActivity
URLをクリックすると、セキュアな「管理アクティビティ」ページに移動します。「シングル・サインオン使用不可」オプションを選択して、「送信」をクリックします。シングル・サインオンが無効になっていることを示す確認メッセージが表示されます。その後Oracle Applications Cloudのログイン・ページにリダイレクトされるので、登録済のユーザー名およびパスワードを使用してサインインできます。
シングル・サインオン機能にはどのようなイベントおよび通知が関連付けられていますか。
シングル・サインオンに関連付けられている次のイベントについて、自動通知が送信されます。
-
管理者がシングル・サインオンを無効化するために「管理アクティビティ」ページへのアクセスをリクエストした場合
-
シングル・サインオン機能が使用不可にされた場合
-
外部アイデンティティ・プロバイダの署名証明書の有効期限が近づいているとき
-
サービス・プロバイダの署名証明書の有効期限が近づいているとき
-
サービス・プロバイダの暗号化証明書の有効期限が近づいているとき
-
最初の通知 - 失効日の60日前
-
2回目の通知 - 失効日の30日前
-
最後の通知 - 失効日の10日前