Oracle Cloud Infrastructureドキュメント

Microsoft Active Directoryでのフェデレーション

このトピックでは、Microsoft Active Federation Services (AD FS)を使用してMicrosoft Active Directoryとフェデレートする方法について説明します。

ノート

このトピックのステップを実行する前に、「アイデンティティ・プロバイダのフェデレート」を参照して一般的なフェデレーションの概念を理解してください。

Microsoft Active Directoryでのフェデレーションについて

組織は、複数のActive Directoryアカウントを持つことができます(たとえば、組織の部門ごとに1つ)。 Oracle Cloud Infrastructureを使用して複数のActive Directoryアカウントをフェデレートできますが、設定した各フェデレーション・トラストは単一のActive Directoryアカウント用である必要があります。

Active Directoryとフェデレートするには、Active DirectoryとOracle Cloud Infrastructureの間に信頼関係を設定します。 この信頼を設定するには、Oracle Cloud Infrastructure コンソールとActive Directoryフェデレーション・サービスのいくつかのステップでいくつかのステップを実行します。

以下は、管理者がActive Directoryを使用してフェデレーションを設定する一般的なプロセスです。 各ステップの詳細は以下のセクションで説明します。

  1. Active Directoryフェデレーション・サービスから必要な情報を取得します。
  2. Oracle Cloud InfrastructureによるフェデレートActive Directory:

    1. アイデンティティ・プロバイダ(AD FS)をテナンシに追加し、必要な情報を入力します。
    2. Active DirectoryグループをIAMグループにマップします。
  3. Active Directoryフェデレーション・サービスでは、信頼できる信頼関係のある関係者としてOracle Cloud Infrastructureを追加します。
  4. Active Directoryフェデレーション・サービスで、認証レスポンスに必要なクレーム・ルールをOracle Cloud Infrastructureで追加します。
  5. Oracle Cloud InfrastructureにActive Directoryの資格証明でログインして、構成をテストします。

Active Directoryとの連携

前提条件

組織のMicrosoft Active Directoryフェデレーション・サービスをインストールして構成しました。

Active Directory内のグループをOracle Cloud Infrastructureのグループにマッピングするように設定しました。

ヒント

は、共通の接頭辞を持つOracle Cloud Infrastructureグループにマップして、フィルタ・ルールを簡単に適用できるようにする、Active Directoryグループの名前を付けることを検討してください。
たとえば、OCI_Administrators、OCI_NetworkAdmins、OCI_InstanceLaunchersなどです。

ステップ1: Active Directoryフェデレーション・サービスから必要な情報を取得

概要: SAMLメタデータ・ドキュメントと、Oracle Cloud Infrastructure Identity and Access ManagementグループにマップするActive Directoryグループの名前を取得します。

  1. AD FSフェデレーション・サーバーのSAMLメタデータ・ドキュメントを探します。 デフォルトでは、次のURLにあります:

    https://<yourservername>/FederationMetadata/2007-06/FederationMetadata.xml

    このドキュメントをダウンロードし、保存場所を書き留めます。 この文書を次のステップでコンソールにアップロードします。

  2. Oracle Cloud Infrastructure IAMグループにマップするすべてのActive Directoryグループをノートします。 次のステップでコンソールにこれらを入力する必要があります。

ステップ2: Active DirectoryをOracle Cloud Infrastructureのアイデンティティ・プロバイダとして追加

概要: テナンシにアイデンティティ・プロバイダを追加します。 グループ・マッピングを同時に設定することも、あとで設定することもできます。

  1. コンソールに行き、Oracle Cloud Infrastructureのログインとパスワードでサインインします。
  2. 「ナビゲーション・メニュー」を開きます。 ガバナンスと管理の下で、アイデンティティに行き、「フェデレーション」をクリックします。
  3. 「アイデンティティ・プロバイダを追加」をクリックします。
  4. 次のように入力します。

    1. 表示名: このフェデレーション・トラストの一意の名前。 これは、フェデレートされたユーザーがコンソールにサインインするときに使用するアイデンティティ・プロバイダを選択するときに表示される名前です(例:「フェデレートされたユーザーのエクスペリエンス」のスクリーンショットに表示されているABCCorp_ADFS)。 この名前は、テナンシに追加するすべてのアイデンティティ・プロバイダで一意でなければなりません。 これは後で変更することはできません。
    2. 説明: フレンドリな説明。
    3. タイプ: Microsoft Active Directory Federationサービス(ADFS)またはSAML 2.0準拠のアイデンティティ・プロバイダを選択します。
    4. XML: ステップ1でダウンロードしたFederationMetadata.xmlファイルをアップロードします。
    5. 拡張オプションの表示をクリックします。
    6. アサーションの暗号化: チェック・ボックスを選択します。 デフォルトでは、Microsoft AD FSはアサーションを暗号化します。 チェック・ボックスを選択すると、IAMサービスがAD FSからの暗号化を期待できるようになります。 詳細は、「アサーションの暗号化」を参照してください。
    7. オプションで、タグを適用できます。 リソースを作成する権限を持っている場合は、フリーフォーム・タグをそのリソースに適用する権限も持っています。 定義済みタグを適用するには、タグ・ネームスペースを使用する権限が必要です。 タギングの詳細については、「リソース・タグ」を参照してください。 タグを適用する必要があるかどうかわからない場合は、このオプションをスキップしてください(後でタグを適用することもできます)。

  5. 続行をクリックします。
  6. Oracle Cloud InfrastructureのActive DirectoryグループとIAMグループの間のマッピングを設定します。 指定されたActive Directoryグループは、ゼロ、1つまたは複数のIAMグループにマップできます(逆も同様)。 ただし、個々のマッピングは、1つのActive Directoryグループと1つのIAMグループの間のみです。 グループ・マッピングの変更は、通常、ホーム・リージョンで数秒以内に有効になりますが、すべてのリージョンに反映されるまでには数分かかることがあります。

    ノート

    グループ・マッピングを今設定したくない場合は、単に「作成」をクリックして、後でマッピングを追加することができます。

    グループ・マッピングを作成するには:

    1. 「アイデンティティ・プロバイダ・グループ」の下に、Active Directoryグループ名を入力します。 正しい大文字小文字を含め、名前を正確に入力する必要があります。

      「OCIグループ」の下にあるリストから、マップするIAMグループを選択します。 新しいIAMグループを作成する場合は、「新しいOCIグループ」を選択し、新しいグループの名前を「新規OCIグループ名」に入力します。 IAMで新しいグループが自動的に作成され、IdPグループにマップされます。 また、この説明は自動的に与えられますが、変更することはできません: "フェデレーションの間に作成されたグループ"。

      ヒント

      IAMグループ名の要件: スペースは使用できません。
      使用できる文字: 文字、数字、ハイフン、ピリオド、アンダースコア、プラス記号(+)を入力します。 名前は後で変更することはできません。

    2. 作成するマッピングごとに上記のサブ・ステップを繰り返し、「作成」をクリックします。

アイデンティティ・プロバイダがテナンシに追加され、「フェデレーション」ページのリストに表示されます。 アイデンティティ・プロバイダをクリックすると、設定したばかりのグループ・マッピングとその詳細が表示されます。

Oracleでは、アイデンティティ・プロバイダおよび各グループに、Oracle Cloud ID (OCID)という一意のアイデンティティを割り当てます。 詳細は、「リソース識別子」を参照してください。

将来、グループ・マッピングを編集したり、テナンシからアイデンティティ・プロバイダを削除する場合は、「フェデレーション」ページにアクセスしてください。

ステップ3: Oracle Cloud Infrastructureフェデレーション・メタデータ・ドキュメントのURLをコピー

概要: 「フェデレーション」ページには、Oracle Cloud Infrastructureフェデレーション・メタデータ・ドキュメントへのリンクが表示されます。 Active Directoryフェデレーション・サービスの構成に進む前に、URLをコピーする必要があります。

  1. フェデレーション・ページで、「このドキュメントのダウンロード」をクリックします。

  2. URLをコピーします。 URLは次のようになります:

    https://auth.r2.oracleiaas.com/v1/saml/ocid1.tenancy.oc1..aaaaaaaaqdt2tvdmhsa3jmvc5dzulgs3pcv6imfwfgdya4aq/metadata.xml

ステップ4: Active Directoryフェデレーション・サービスで、信頼できる信頼関係者としてOracle Cloud Infrastructureを追加

  1. AD FS管理コンソールに移動し、フェデレートするアカウントにサインインします。
  2. Oracle Cloud Infrastructure信頼される依拠当事者として追加する:

    1. AD FS管理コンソールから、AD FSを右クリックし、「信用党の信頼を加える」を選択します。

    2. 「依存関係の信頼ウィザードを追加」で、「開始」をクリックします。

    3. 「オンラインまたはローカル・ネットワーク上に公開された信頼当事者に関するデータのインポート」を選択します。

      ステップ3でコピーしたOracle Cloud Infrastructureフェデレーション・メタデータURLを貼り付けます。 をクリックします。

      AD FSがURLに接続します。 フェデレーション・メタデータの読み取り中にエラーが発生した場合は、Oracle Cloud Infrastructure Metadata XMLドキュメントをアップロードすることもできます。

      フェデレーション・メタデータ・ドキュメントをアップロードするには
    4. 信頼する関係者(Oracle Cloud Infrastructureなど)の表示名を設定し、「次」をクリックします。

    5. 「現時点では、この信頼関係者の信頼にマルチ・ファクタ認証設定を構成したくありません」を選択します。
    6. 信頼当事者へのすべてのユーザーのアクセスを許可または拒否する適切な発行認可ルールを選択します。 拒否を選択した場合は、あとで認可ルールを追加して、適切なユーザーにアクセスできるようにする必要があります。

      をクリックします。

    7. 設定を確認し、「次」をクリックします。
    8. ウィザードが終了したら、この信頼パート信頼の「クレーム・ルールの編集を開く」ダイアログをチェックし、「閉じる」をクリックします。

ステップ5: Oracle Cloud Infrastructure関係者に依存するクレーム・ルールを追加

概要: Oracle Cloud Infrastructureが必要とする要素(Name IDとグループ)がSAML認証レスポンスに追加されるように、要求ルールを追加します。

名前IDルールを追加します:

  1. 「変換要求ルール・ウィザードを追加」で、「受信クレームを変換」を選択し、「次」をクリックします。
  2. 次のように入力します。

    • クレーム・ルール名: このルールの名前を入力します(例:nameid)。
    • 受信クレーム・タイプ: Windowsアカウント名を選択します。
    • 送信クレーム・タイプ: 名前IDを選択します。
    • 発信名IDの形式: 永続的識別子を選択します。
    • 「すべてのクレーム値を渡す」を選択します。
    • 終了をクリックします。
  3. ルールがルール・リストに表示されます。 ルールの追加をクリックします。

グループ・ルールを追加します:

重要

100を超えるIdPグループに属するユーザーは、Oracle Cloud Infrastructure コンソールの使用を認証できません。
認証を有効にするには、後述のようにグループ・ルールにフィルタを適用します。

Active Directoryのユーザーが100グループ以下の場合
Active Directoryのユーザーが100を超えるグループに属している場合

ステップ6: グループのIAMポリシーを設定

IAMポリシーをまだ設定していない場合は、フェデレートされたユーザーが組織のOracle Cloud Infrastructureリソースに与えるアクセスを制御するように設定します。 詳細は、「ポリシーの開始」および「共通ポリシー」を参照してください。

ステップ7: フェデレートされたユーザーにテナント名とURLをサインイン

フェデレートされたユーザーには、Oracle Cloud Infrastructure コンソールのURL (例:https://console.us-ashburn-1.oraclecloud.com)とテナントの名前が必要です。 コンソールにサインインするときにテナント名を入力するよう求められます。

コンソールのアイデンティティ・プロバイダの管理

警告

Oracle Cloud Infrastructureコンソール、APIまたはCLIを使用してクラウド・リソースに説明、タグまたはわかりやすい名前を割り当てるときは、機密情報を入力しないでください。

アイデンティティ・プロバイダを削除するには
アイデンティティ・プロバイダのグループ・マッピングを追加するには
グループ・マッピングを更新するには
グループ・マッピングを削除するには

APIのアイデンティティ・プロバイダの管理

APIおよび署名リクエストの使用については、REST APIおよび「セキュリティ資格証明」を参照してください。 SDKの詳細は、「ソフトウェア開発キットとコマンドライン・インタフェース」を参照してください。

次のAPI操作を使用します:

アイデンティティ・プロバイダ:

グループ・マッピング: