40.8 OAM Identity ProviderとMicrosoft Office 365サービス・プロバイダの統合

次の各トピックでは、Microsoft Office 365がSAML 2.0標準を使用するSPとして構成されている場合に、Microsoft Office 365との統合のためにOAM Identity Federation 11g R2PS2 (11.1.2.2.0)をIdPとして管理する方法について説明します。統合の実装後は、アイデンティティ・リポジトリ内のアカウントを使用して、すべてのWebクライアント(SharePoint Onlineに接続するOfficeリッチ・クライアント・アプリケーションを含む)や、Basic認証およびサポートされているExchangeアクセス方式(IMAP、POP、Active Sync、MAPIなど)を使用する電子メール・リッチ・クライアントにアクセスできます。(Enhanced Client Protocolエンド・ポイントをデプロイする必要があります。)

デプロイメントの前提条件は次のとおりです。

OAM 11gR2PS2がインストールされ、SSLを使用して構成されていること。
Oracle Access Managementコンソールを使用して、Office 365の管理者ロールを定義するアカウントが作成されていること。
Windows PowerShell 2.0およびMicrosoft Online Servicesモジュールがインストールされていること。
使用可能なドメイン名がOffice 365でフェデレーテッド・ドメインとして使用できること。一般に、このドメインは購入する必要があります。

ノート:

Webベースでないクライアント統合の場合は、次のことに注意してください。

パブリック・ネットワークからOAM IdPエンドポイントにアクセスできる必要があります。
既知のエンティティにより発行された信頼できるSSL証明書を使用する必要があります。

次の各トピックでは、構成の詳細について説明します。

40.8.1 OAMの統合のためのMicrosoft Office 365の構成

OAMの統合のためにMicrosoft Office 365を構成するには、次のようにします。

ドメイン名(test.comなど)を追加し、Office 365 Web管理センターを使用して検証します。

Set-MsolDomainAuthentication PowerShellコマンドを実行して、ドメインの認証スキームをフェデレーテッドとして定義します。

$dom="<domain name>"
$url="https://server_host:port/oamfed/idp/samlv20"
$uri="<entityID>"
$ecpUrl=https:// server_host:port/oamfed/idp/soap
$logouturl="https://server_host:port/oamfed/idp/samlv20"
$cert="MIIB/DCCAWWgAwIBAgI......."
Set-MsolDomainAuthentication -FederationBrandName $dom 
 -Authentication Federated -ActiveLogUri $ecpUrl -PassiveLogOnUri $url 
 -SigningCertificate $cert -IssuerUri $uri
-LogOffUri $logouturl -PreferredAuthenticationProtocol SAMLP

ノート:

これらのパラメータの一部の値は、OAM アイデンティティ・プロバイダ・メタデータ内に見つかる場合があります。

New-MsolUser PowerShellコマンドを実行して、フェデレーテッド・ドメイン内にユーザーを作成します。
```
New-MsolUser -DisplayName <name> –UserPrincipalName 
 <name@domain_name> -UsageLocation <location> 
 -BlockCredential $false -ImmutableId <immutableid>
```
Office 365のフェデレーションでは、UserPrincipalNameおよびImmutableIdの値が必要です。SAMLアサーションでは、ImmutableIdの値は、"urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"という名前IDフォーマットを使用してSAMLサブジェクトに格納されます。UserPrincipalNameは、属性名IDPEmailを使用してSAML属性に格納されます。OAMユーザー・アイデンティティ・ストアでは、ユーザー・エントリは同じ属性を使用してUserPrincipalNameおよびImmutableIdの値を格納する必要があります。次を使用します。
- mail=<name@domain_name (UserPrincipalName)>
- uid=<immutableid>
ノート:
この統合の前にOffice 365が存在していた場合、既存のユーザーをテストに使用できます。既存のユーザーのUserPrincipalName属性とImmutableId属性の値がわかっている必要があります。
Office 365が提供するアプリケーションをユーザーが使用できるように、ユーザーにライセンスを割り当てます。

40.8.2 Microsoft Office 365の統合のためのOAMの構成

次の各トピックでは、Microsoft Office 365との統合のためにOAMを構成する方法について説明します。

WLSTコマンドを使用する方法の詳細は、「Identity Federation WLSTコマンド」を参照してください。

40.8.2.1 Webクライアントおよび非Webクライアントの構成

Webクライアントおよび非Webクライアントを構成するには、次のようにします。

Oracle Access Managementコンソールにログインします。
「使用可能なサービス」に移動し、Identity Federationサービスを有効にします。
「アイデンティティ・プロバイダ管理」に移動します。
サービス・プロバイダ属性プロファイルのマッピングを作成します。

表40-7 メッセージ属性のマッピング

メッセージ属性名値常に送信

IDPEmail

$user.attr.mail

true

メッセージ属性名	値	常に送信
IDPEmail	$user.attr.mail	true

属性と値を使用して、Office 365用のサービス・プロバイダ・パートナを作成します。

詳細は、表40-8を参照。

表40-8 Office 365サービス・プロバイダの属性値

プロバイダ属性	値
名前	Office365
プロトコル	SAML 2.0
サービスの詳細	プロバイダ・メタデータからロードします。
メタデータ・ファイル	次からダウンロードできます。 https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml 中国の顧客がOffice 365の中国固有インスタンスを使用している場合は、次からダウンロードします。 https://nexus.partner.microsoftonline-p.cn/federationmetadata/saml20/federationmetadata.xml
名前IDフォーマット	persistent
NameID値	ユーザーIDストア属性 + uid
属性マッピング・プロファイル	ステップ2で作成したプロファイル
ユーザー・アイデンティティ・ストア	使用されるアイデンティティ・ストア
ユーザー検索ベースDN	ユーザー検索のベースDN
SSOレスポンス・バインディング	HTTP POST

オプションで、setSPPartnerDefaultScheme WLSTコマンドを使用して、サービス・プロバイダ・パートナのデフォルト認証スキームを設定します。
デフォルトでは、OAMはユーザー認証にLDAPSchemeを使用します。別のスキームを使用するには、次のコマンドを実行します。
```
setSPPartnerDefaultScheme(<partner>, <authnScheme>)
```
非Webクライアントを使用する場合は、「非Webクライアントの追加構成」を参照してください。

40.8.2.2 非Webクライアントの追加構成

非Webクライアントを使用する場合は、次の追加構成を実行してください。これらのステップがWebベースの統合に影響を与えることはありません。

setSPPartnerAlternateScheme WLSTコマンドを使用して、HTTP Basic認証を処理するサービス・プロバイダ・パートナの代替認証スキームを設定します。次に例を示します。
```
setSPPartnerAlternateScheme(<partner>, "true", 
  httpHeaderName="X-MS-Client-Application", httpHeaderExpression=".* 
  Microsoft.Exchange..*", authnScheme="BasicScheme or BasicSessionlessScheme")
```
httpHeaderNameおよびhttpHeaderExpressionの値は、Office365からOAMに送信されたHTTPリクエストから決定できます。他の値を使用する場合は、リッチ・クライアントを使用して電子メール・アカウントを接続し、OAMサーバー側のHTTPリクエストを取得します。

ノート:
Office 365ではアサーションの取得にユーザー資格証明の検証のみが行われるため、BasicSessionlessSchemeを使用することをお薦めします。
updatePartnerProperty WLSTコマンドを使用して、XMLシグネチャで証明書を送信するように構成を更新します。

updatePartnerProperty(<partner>,"sp","includecertinsignature","true","boolean")

Basic認証の場合、リクエストの認証後でも再認証が必要になることがあります。

40.8.3 フェデレーション・シングル・サインオンの確認

次の各トピックでは、フェデレーションSSOの確認方法について説明します。

40.8.3.1 SPが開始するSSOの確認

SPが開始するSSOを確認するには、次のようにします。

次のいずれかのURLを開きます。
- http://portal.microsoftonline.com: ログイン・ページから、ユーザー名フィールドに"xxx@test.com"と入力し、パスワード・フィールドをクリックします。この時点で、OAMログイン・ページに自動的にリダイレクトされます。
- http://www.outlook.com/test.com: OAMログイン・ページに自動的にリダイレクトされます。
表示されたOAMログイン・ページでユーザー名とパスワードを入力し、「ログイン」をクリックします。
SSOが成功すると、Office 365 Webポータルにログインできます。

40.8.3.2 IDPが開始するSSOの確認

IDPが開始するSSOを確認するには、次のようにします。

ブラウザで、http://host:port/oamfed/idp/initiatesso?providerid=urn:federation:MicrosoftOnline&returnURL=http://portal.microsoftonline.comを開きます。
表示されたOAMログイン・ページでユーザー名とパスワードを入力し、「ログイン」をクリックします。
SSOが成功すると、Office 365 Webポータルにログインできます。

40.8.3.3 非Webベース・クライアントを使用するフェデレーションの確認

非Webベース・クライアントを使用するフェデレーションを確認するには、次のようにします。

電子メール・クライアントの電子メール・アカウントを追加します。
- デスクトップ電子メール・クライアント(Outlookクライアントなど)の場合は、http://help.outlook.com/en-ca/140/cc875899.aspxを参照してください。
- Androidデバイスのネイティブ電子メール・アプリケーションの場合は、http://office.microsoft.com/client/15/help/preview?AssetId=HA102823196&lcid=1033&NS=O365ENTADMIN&Version=15&CTT=5&origin=HA103787372を参照してください。
- IOSデバイスの場合は、http://office.microsoft.com/client/15/help/preview?AssetId=HA102818554&lcid=1033&NS=O365ENTADMIN&Version=15&CTT=5&origin=HA102828259を参照してください。
ノート:
Outlookクライアントを使用して電子メール・アカウントを追加する場合、「User Information」領域で「Your Name」と「Email Address」に入力すると、「Logon Information」領域の「User Name」値に「Your Name」の値が自動的に入力されます。電子メール・アドレスが反映されるように「Your Name」の値を変更することをお薦めします。
電子メールを正常に送受信できることを確認します。