Oracle Cloud Infrastructureドキュメント

アイデンティティ・プロバイダによるフェデレート

このトピックでは、Idフェデレーションの概念について説明します。 Oracle Cloud Infrastructureは、Oracle Identity Cloud Serviceを使用したフェデレーション、Microsoft Active Directory (Active Directory Federation Services (AD FS)経由)、Okta、およびSecurity Assertion Markup Language (SAML) 2.0プロトコルをサポートするアイデンティティ・プロバイダをサポートします。

概要

エンタープライズ企業は、通常、ユーザーのログイン/パスワードを管理し、Webサイト、サービス、およびリソースを保護するためにユーザーを認証するために「アイデンティティ・プロバイダ(IdP)」を使用します。

会社の誰かがOracle Cloud Infrastructureリソースをコンソールで使用したいときは、ユーザーのログインとパスワードでサインインする必要があります。 管理者は、各従業員が既存のログインとパスワードを使用でき、Oracle Cloud Infrastructureリソースを使用するための新しいセットを作成する必要がないように、サポートされているIdPをフェデレートすることができます。

フェデレートするために、管理者は短いプロセスを経て、IdPとOracle Cloud Infrastructure (通常は「フェデレーション・トラスト」と呼ばれます)の間の関係を設定します。 管理者がその関係を設定すると、Oracle Cloud Infrastructure コンソールに行く会社の人は、IdPによって提供されたシングル・サインオン・エクスペリエンスを求められます。 ユーザーは、IdPですでに設定したログイン/パスワードでサインインします。 IdPはユーザーを認証し、そのユーザーはOracle Cloud Infrastructureにアクセスできます。

IdPで作業する場合、管理者はグループを定義し、ユーザーが必要とするアクセスのタイプに応じて、各ユーザーを1つ以上のグループに割り当てます。 また、Oracle Cloud Infrastructureは、ユーザーのアクセスのタイプを定義するために、(IAMポリシーと組み合わせて)グループの概念を使用します。 IdPとの関係の設定の一環として、管理者は各IdPグループを同様に定義されたIAMグループにマップすることができます。これにより、企業はOracle Cloud Infrastructureリソースへのユーザー・アクセスを認可するときにIdPグループ定義を再利用できます。 マッピング・プロセスのスクリーンショットを次に示します。

このスクリーンショットは、グループ・マッピング・ダイアログ

参加可能なフェデレーションとグループ・マッピングの数については、「サービス制限」を参照してください。 フェデレートされたユーザーの数に制限はありません。

ノート

50以上のIdPグループに属するユーザーは、Oracle Cloud Infrastructure コンソールを使用するように認証することはできません。

SCIMでの自動ユーザー・プロビジョニングと同期

Oracle Identity Cloud Serviceや「サード・パーティ・プロバイダOkta」を使用した2つのフェデレーテッドでは、「SCIM (クロス・ドメイン・アイデンティティ管理用のシステム)」を利用して、Oracle Cloud Infrastructureでのフェデレーテッド・ユーザーのプロビジョニングを有効にすることもできます。 このプロセスを介してOracle Cloud Infrastructureにプロビジョニングされたフェデレーテッド・ユーザーは、「ユーザー設定」ページで管理されるAPIキーや認証トークンなどの追加のユーザー資格証明を持つことができます。 これにより、フェデレートされたユーザーは、SDKおよびCLIと、追加のユーザー資格証明を必要とするその他の機能を使用できるようになります。 詳細は、「フェデレーテッド・ユーザーのユーザー・プロビジョニング」を参照してください。

一般的な概念

ここでは、慣れ親しんでおく必要がある基本的な概念のリストを示します。

IdP
IdPは、ユーザーの識別情報と認証を提供するサービスである「アイデンティティ・プロバイダ」の略です。
2017年12月18日より後に作成されたテンポスティは、IdPとしてOracle Identity Cloud Serviceと自動的に統合されます。 Oracle Cloud Infrastructureは、セキュリティ・アサーション・マークアップ言語(SAML) 2.0プロトコルをサポートする任意のIdPでフェデレートできます。
サービス・プロバイダ(sp)
IdPを呼び出してユーザーを認証するサービス(アプリケーション、Webサイトなど)。 この場合、Oracle Cloud InfrastructureはSPです。
フェデレーション・トラスト
管理者がIdPとSPの間で構成する関係。 Oracle Cloud Infrastructure コンソールまたはAPIを使用して、その関係を設定することができます。 次に、特定のIdPがそのSPにフェデレートされます。 コンソールとAPIでは、フェデレーションのプロセスは「テナンシにアイデンティティ・プロバイダを追加」と考えられます。
samlメタデータ文書
そのIdPでフェデレートするためにSPに必要な情報を提供するIdP提供のXMLベースのドキュメント。 Oracle Cloud Infrastructureは、IdPとSPの間で必要な情報を共有するためのXMLベースの標準であるSAML 2.0プロトコルをサポートしています。 どのidPにフェデレートするかに応じて、このドキュメントにメタデータURL (下記参照)を提供するか、Oracle Cloud Infrastructureにドキュメントをアップロードする必要があります。
メタデータURL
SPがそのIdPでフェデレートに必要な情報を取得できるIdP提供のURL。 Oracle Cloud Infrastructureは、IdPとSPの間で必要な情報を共有するためのXMLベースの標準であるSAML 2.0プロトコルをサポートしています。 メタデータURLは、SPが必要とするSAMLメタデータ・ドキュメントを指しています。
フェデレートされたユーザー
Oracle Cloud Infrastructure コンソールをフェデレートされたIdPを使用してサインインするユーザー。
ローカル・ユーザー
フェデレートされていないユーザー。 つまり、Oracle Cloud Infrastructure コンソールを使用するためにサインインし、Oracle Cloud Infrastructureで作成されたログインとパスワードを使用している人です。
グループ・マッピング
IdPグループとOracle Cloud Infrastructureグループの間のマッピング。ユーザー認証の目的で使用されます。
SCIM
「SCIM (クロス・ドメイン・アイデンティティ管理用のシステム)」は、アイデンティティ・システム全体でのユーザー・プロビジョニングを可能にするIETF標準プロトコルです。 Oracle Cloud Infrastructureは、フェデレートされたユーザーをOracle Cloud InfrastructureにプロビジョニングするためのSCIMエンドポイントをホストします。 SCIMクライアントを使用してOracle Cloud Infrastructureのユーザーをプロビジョニングすると、Oracle Cloud Infrastructureのユーザーに資格証明を割り当てることができます。
プロビジョニング済(または同期済)ユーザー
IdプロバイダSCIMクライアントによってOracle Cloud Infrastructureにプロビジョニングされたユーザー。 これらのユーザーは、Oracle Cloud Infrastructure コンソール内にリストでき、コンソールパスワード以外のすべてのOracle Cloud Infrastructureユーザー資格証明を含めることができます。

フェデレートされたユーザーのエクスペリエンス

フェデレートされたユーザーはコンソールを使用してOracle Cloud Infrastructureにアクセスできます(ユーザーが属するグループのIAMポリシーに従って)。

Oracle Cloud Infrastructure tenant (たとえば、ABCCorp)の入力を求められます。

次に、2組のサインイン手順のあるページが表示されます: 1つはフェデレートされたユーザー用、もう1つは非フェデレーテッド(Oracle Cloud Infrastructure)ユーザー用です。 次のスクリーンショットを参照してください。

このスクリーンショットは、フェデレートされたユーザーのサインイン・ページを示しています

テナント名が左側に表示されます。 直接下には、フェデレートされたユーザーのサインイン領域があります。 右側には、フェデレートされていないユーザーのサインイン領域があります。

フェデレートされたユーザーは、サインインに使用するアイデンティティ・プロバイダを選択し、認証用のアイデンティティ・プロバイダのサインイン・エクスペリエンスにリダイレクトされます。 ログインとパスワードを入力すると、IdPによって認証され、Oracle Cloud Infrastructureコンソールにリダイレクトされます。

フェデレートされたユーザー(SCIM構成なし)は、コンソールのユーザー設定ページにアクセスできません。 このページでは、ユーザーがコンソールパスワードを変更またはリセットし、「API署名キー」「トークンを認証」などの他のOracle Cloud Infrastructure資格証明を管理できます。

SCIM構成のフェデレートされたユーザーの経験

IdPがSCIMクライアントでも構成されている場合、そのidプロバイダを介してサインインしたユーザーは、「ユーザー設定」ページにアクセスでき、APIキー、認証トークン、その他のユーザー資格証明などのユーザー機能を持ちます。 注意:現在、これはOracle Identity Cloud Serviceおよびoktaのフェデレーションでのみ使用可能です。)

必要なIAMポリシー

テナンシ内でアイデンティティ・プロバイダを追加および管理するには、IAMポリシーによって認可されている必要があります。 「管理者グループ」にいる場合、必要なアクセス権を持っています。

アイデンティティ・プロバイダとグループ・マッピングに関連するリソースのみへのアクセスを制限する、より限定されたポリシーです:

Allow group IdPAdmins to manage identity-providers in tenancy

Allow group IdPAdmins to manage groups in tenancy

新しいポリシーの場合は、「ポリシーの開始」「共通ポリシー」を参照してください。 グループやその他のIAMコンポーネントのポリシーを書くことについて詳しくは、「IAMの詳細」を参照してください。

サポートされているアイデンティティ・プロバイダ

重要

Oracle Cloud Infrastructureテナンシは2017年12月18日以降に作成されたものは、Oracle Identity Cloud Serviceで自動的にフェデレートされます。

テナンシが2017年12月18日より前に作成され、Oracle Identity Cloud Serviceを使用してフェデレーションを設定する場合は、「Oracle Identity Cloud Serviceとの連合」を参照してください。

他のアイデンティティ・プロバイダとのフェデレーションの手順については、次を参照してください:

Microsoft Active Directoryでのフェデレーション

「フェデレーションおよびプロビジョニングのクラウド・インフラストラクチャOkta構成」 (白紙)

SAML 2.0アイデンティティ・プロバイダのフェデレート