Oracle Cloud Infrastructureドキュメント

Microsoft Azure Active Directoryによるフェデレート

このトピックでは、Microsoft Azure Active Directory (AD)でフェデレートする方法について説明します。

ノート

このトピックのステップを実行する前に、「アイデンティティ・プロバイダのフェデレート」を参照して一般的なフェデレーションの概念を理解してください。

Azure ADでのフェデレートについて

Azure ADでフェデレートするには、Azure ADでOracle Cloud Infrastructureを基本的なSAMLシングル・サインオン・アプリケーションとして設定します。 このアプリケーションを設定するには、Oracle Cloud Infrastructure コンソールでいくつかのステップを実行し、Azure ADではいくつかのステップを実行します。

次に、管理者がフェデレーションを設定するために行う一般的なプロセスを示します。 各ステップの詳細は、次のセクションを参照してください。

  1. Oracle Cloud Infrastructureで、フェデレーション・メタデータ・ドキュメントをダウンロードします。
  2. Azure ADで、Oracle Cloud Infrastructureコンソールをエンタープライズ・アプリケーションとして設定します。

  3. Azure ADで、シングル・サインオンのOracle Cloud Infrastructureエンタープライズ・アプリケーションを構成します。
  4. Azure ADで、ユーザー属性および要求を設定します。
  5. Azure ADで、Azure AD SAMLメタデータ・ドキュメントをダウンロードします。
  6. Azure ADで、ユーザー・グループをアプリケーションに割り当てます。
  7. Oracle Cloud Infrastructureで、idプロバイダとしてAzure ADを設定します。
  8. Oracle Cloud Infrastructureで、Azure ADグループをOracle Cloud Infrastructureグループにマップします。
  9. Oracle Cloud Infrastructureで、Azure ADグループのアクセスを管理するIAMポリシーを設定します。
  10. Oracle Cloud InfrastructureのサインインURLをユーザーと共有します。

Azure ADを使用したフェデレートのステップ

前提条件

グループおよびユーザーがAzure ADに設定されているAzureテナンシがあります。

ステップ1: Oracle Cloud Infrastructureで、フェデレーション・メタデータ・ドキュメントをダウンロード

概要: Oracle Cloud Infrastructureコンソール・フェデレーション・ページに、Oracle Cloud Infrastructureフェデレーション・メタデータ・ドキュメントへのリンクが表示されます。 Azure ADでアプリケーションを設定する前に、ドキュメントをダウンロードする必要があります。

  1. 「フェデレーション」ページに移動: 「ナビゲーション・メニュー」を開きます。 ガバナンスと管理の下で、アイデンティティに行き、「フェデレーション」をクリックします。

  2. フェデレーション・ページで、「このドキュメントのダウンロード」をクリックします。

    「コンソールのフェデレーション」ページのダウンロード・リンク

    リンクをクリックすると、ブラウザ・ウィンドウにmetadata.xmlドキュメントが開きます。 ブラウザの「ページの別名保存」コマンドを使用して、後でアクセス可能なxmlドキュメントをローカルに保存します。

ステップ2: Azure ADで、エンタープライズ・アプリケーションとしてOracle Cloud Infrastructureを追加

  1. Azureポータルの左側のナビゲーション・パネルで、Azure Active Directoryを選択します。

  2. Azure Active Directoryペインで、「エンタープライズ・アプリケーション」を選択します。 Azure ADテナントにアプリケーションのサンプルが表示されます。

  3. 「すべてのアプリケーション」ペインの上部で、「新規アプリケーション」をクリックします。
  4. 「ギャラリから追加」リージョンで、検索ボックスに「Oracle Cloud Infrastructureコンソール」と入力します。
  5. 結果からOracle Cloud Infrastructure コンソール・アプリケーションを選択し、「追加」を選択します。

  6. アプリケーション固有のフォームで、アプリケーションに関する情報を編集できます。 たとえば、アプリケーションの名前を編集できます。

  7. プロパティを編集したら、「追加」を選択します。

    開始ページが表示され、組織のアプリケーションを構成するためのオプションが表示されます。

ステップ3: Azure ADで、エンタープライズ・アプリケーションとしてOracle Cloud Infrastructureを構成

  1. 「管理」セクションで、「シングル・サインオン」を選択します。

    Azure ADシングル・サインオン・オプション
  2. SAMLを選択して、シングル・サインオンを構成します。 「SAMLでのシングル・サインオンの設定 - プレビュー」ページが表示されます。

  3. ページ上部の「メタデータ・ファイルのアップロード」をクリックします。

    Azure ADのアップロード・メタデータ・リンク
  4. ステップ1でOracle Cloud Infrastructureからダウンロードしたフェデレーション・メタデータ・ファイル(metadata.xml)を検索し、ここにアップロードします。 ファイルをアップロードすると、次の「基本的なSAML構成」フィールドが自動的に移入されます:

    • 識別子(エンティティID)
    • 返信URL (アサーション・コンシューマ・サービスURL)
  5. 「基本的なSAML構成」セクションで、「編集」をクリックします。 「基本的なSAML構成」ペインで、次の必須フィールドに入力します:

    • サイン・オンURL: URLを次の形式で入力します:

      https://console.<oci_home_region>.oraclecloud.com

      oci_home_regionはテナンシ・ホーム・リージョンです。 たとえば、ホーム・リージョンがアッシュバーンの場合は、次のように入力します:

      https://console.us-ashburn-1.oraclecloud.com

       ホーム・リージョンは何ですか?

      Azureの「AD基本SAML構成」パネル
  6. 「保存」をクリックします

ステップ4。 ユーザー属性&請求の構成

Oracle Cloud Infrastructureコンソール・エンタープライズ・アプリケーション・テンプレートが必要な属性でシードされているため、追加する必要はありません。 ただし、次のカスタマイズを行う必要があります:

  1. 「ユーザー属性&請求」セクションで、右上隅の「編集」をクリックします。 「ユーザー請求の管理」パネルが表示されます。
  2. 「名前識別子の値」フィールドの横にある「編集」をクリックします。

    • 「名前識別子フォーマットの選択」で、「永続」を選択します。
    • 「ソース」の場合は、「属性」を選択します。
    • 「ソース属性」の場合は、user.userprincipalnameを選択します。

      Azureの「ADユーザー請求の管理」パネル
    • 「保存」をクリックします

  3. 「要求でグループが返されました」フィールドの横にある「編集」をクリックします。
  4. 「グループ請求(プレビュー)」パネルで、次を構成します:

    • 「セキュリティ・グループ」を選択します。
    • ソース属性: グループIDを選択します。
    • 「拡張オプション」で、「グループ要求の名前のカスタマイズ」を選択します。
    • 名前フィールドで、次のように入力: groupName

      スペルと大/小文字の区別を指定されたとおりにgroupNameを入力してください。

    • ネームスペースフィールドで、次のように入力 : https://auth.oraclecloud.com/saml/claims

      Azureの「ADグループの請求」パネル
    • 「保存」をクリックします

ステップ5: SAMLメタデータ・ドキュメントのダウンロード

  1. 「SAML署名証明書」セクションで、「フェデレーション・メタデータXML」の横にあるダウンロード・リンクをクリックします。

    Azure ADダウンロード・フェデレーション・メタデータxmlリンク
  2. このドキュメントをダウンロードし、保存場所を書き留めます。 この文書を次のステップでコンソールにアップロードします。

ステップ6 アプリケーションへのユーザー・グループの割当て

Azure ADユーザーがOracle Cloud Infrastructureにサインインできるようにするには、適切なユーザー・グループを新規エンタープライズ・アプリケーションに割り当てる必要があります。

  1. 左側のナビゲーション・ペインの「管理」の下で、「ユーザーとグループ」を選択します。
  2. 「ユーザーとグループ」リストの上部にある「追加」をクリックして、「割当ての追加」ペインを開きます。
  3. 「ユーザーとグループ」セレクタをクリックします。

  4. 「名前または電子メール・アドレスで検索」の検索ボックスに、アプリケーションに割り当てるグループの名前を入力します。

  5. 結果リスト内のグループの上にカーソルを置くと、チェック・ボックスが表示されます。 「選択済」リストにグループを追加するには、チェック・ボックスを選択します。

  6. グループの選択が完了したら、「選択」をクリックして、アプリケーションに割り当てるユーザーおよびグループのリストに追加します。

  7. 「割当て」をクリックして、選択したグループにアプリケーションを割り当てます。

「ステップ7: Oracle Cloud InfrastructureでidプロバイダとしてAzure ADを追加」

概要: テナンシにアイデンティティ・プロバイダを追加します。 グループ・マッピングを同時に設定することも、あとで設定することもできます。

  1. コンソールに移動し、Oracle Cloud Infrastructureのユーザー名とパスワードでサイン・インします。
  2. 「ナビゲーション・メニュー」を開きます。 ガバナンスと管理の下で、アイデンティティに行き、「フェデレーション」をクリックします。
  3. 「アイデンティティ・プロバイダを追加」をクリックします。
  4. 次のように入力します。

    1. 表示名: このフェデレーション・トラストの一意の名前。 これは、フェデレートされたユーザーがコンソールにサインインするときに使用するアイデンティティ・プロバイダを選択するときに表示される名前です。 この名前は、テナンシに追加するすべてのアイデンティティ・プロバイダで一意でなければなりません。 これは後で変更することはできません。
    2. 説明: フレンドリな説明。
    3. タイプ: Microsoft Active Directory Federationサービス(ADFS)またはSAML 2.0準拠のアイデンティティ・プロバイダを選択します。
    4. XML: Azure ADからダウンロードしたFederationMetadata.xmlファイルをアップロードします。
    5. 拡張オプションの表示をクリックします。
    6. アサーションの暗号化: チェック・ボックスを選択すると、IAMサービスがIdPからの暗号化を期待できるようになります。 Azure ADでアサーション暗号化を有効にしていないかぎり、このチェック・ボックスは選択しないでください。

      Azure ADでこのシングル・サインオン・アプリケーションのアサーション暗号化を有効にするには、Azure ADでSAML署名証明書を設定し、SAMLレスポンスおよびアサーションに署名します。 詳細は、「Azure ADのドキュメント」を参照してください。

    7. オプションで、タグを適用できます。 リソースを作成する権限を持っている場合は、フリーフォーム・タグをそのリソースに適用する権限も持っています。 定義済みタグを適用するには、タグ・ネームスペースを使用する権限が必要です。 タギングの詳細については、「リソース・タグ」を参照してください。 タグを適用する必要があるかどうかわからない場合は、このオプションをスキップしてください(後でタグを適用することもできます)。

  5. 続行をクリックします。

    ノート

    グループ・マッピングを今設定したくない場合は、単に「作成」をクリックして、後でマッピングを追加することができます。

ステップ8。 グループ・マッピングの追加

サマリー: Oracle Cloud InfrastructureでAzure ADグループとIAMグループの間のマッピングを設定します。 指定されたAzure ADグループは、0(ゼロ)、1つまたは複数のIAMグループ(あるいはその逆)にマップできます。 ただし、個々のマッピングは、単一のAzure ADグループと単一のIAMグループの間のみに行われます。 グループ・マッピングの変更は、通常、ホーム・リージョンで数秒以内に有効になりますが、すべてのリージョンに反映されるまでには数分かかることがあります。 マップするように選択するAzure ADグループは、Azure ADでエンタープライズ・アプリケーションにも割り当てる必要があることに注意してください。 「ステップ6.アプリケーションへのユーザー・グループの割当て」も参照してください。

始める前に: Azure ADグループのページを開きます。 Azureダッシュボードの「管理」の下で、「グループ」を選択します。 グループのリストから、Oracle Cloud Infrastructureグループにマップするグループを選択します。 グループ詳細ページで、グループのオブジェクトIDの横にある「コピー」アイコンをクリックします。

グループ・マッピングを作成するには:

  1. 「アイデンティティ・プロバイダ・グループ」の場合は、「カスタム・グループ」を選択します。 Azure ADグループのオブジェクトIDを入力(または貼り付け)します。 正しい大/小文字も含めて、オブジェクトIDを正確に入力する必要があります。 オブジェクトIDの例のような表示: aa0e7d64-5b2c-623g-at32-65058526179c

    Azure ADグループのOCIグループへのマッピング
  2. 「OCIグループ」の下にあるリストから、マップするIAMグループを選択します。 新しいIAMグループを作成する場合は、「新しいOCIグループ」を選択し、新しいグループの名前を「新規OCIグループ名」に入力します。 IAMで新しいグループが自動的に作成され、IdPグループにマップされます。 また、この説明は自動的に与えられますが、変更することはできません: "フェデレーションの間に作成されたグループ"。

  3. 作成するマッピングごとに前のステップを繰り返し、「作成」をクリックします。

ヒント

IAMグループ名の要件: スペースは使用できません。
使用できる文字: 文字、数字、ハイフン、ピリオド、アンダースコア、プラス記号(+)を入力します。 名前は後で変更することはできません。

アイデンティティ・プロバイダがテナンシに追加され、「フェデレーション」ページのリストに表示されます。 アイデンティティ・プロバイダをクリックすると、設定したばかりのグループ・マッピングとその詳細が表示されます。

Oracleでは、アイデンティティ・プロバイダおよび各グループに、Oracle Cloud ID (OCID)という一意のアイデンティティを割り当てます。 詳細は、「リソース識別子」を参照してください。

将来、グループ・マッピングを編集したり、テナンシからアイデンティティ・プロバイダを削除する場合は、「フェデレーション」ページにアクセスしてください。

ステップ9: グループのIAMポリシーを設定

IAMポリシーをまだ設定していない場合は、フェデレートされたユーザーが組織のOracle Cloud Infrastructureリソースに与えるアクセスを制御するように設定します。 詳細は、「ポリシーの開始」および「共通ポリシー」を参照してください。

ステップ10: フェデレーション・ユーザーにテナント名とURLをサインイン

フェデレートされたユーザーには、Oracle Cloud Infrastructure コンソールのURL (例:https://console.us-ashburn-1.oraclecloud.com)とテナントの名前が必要です。 コンソールにサインインするときにテナント名を入力するよう求められます。

コンソールのアイデンティティ・プロバイダの管理

アイデンティティ・プロバイダを削除するには
アイデンティティ・プロバイダのグループ・マッピングを追加するには
グループ・マッピングを更新するには
グループ・マッピングを削除するには

APIのアイデンティティ・プロバイダの管理

APIおよび署名リクエストの使用については、REST APIおよび「セキュリティ資格証明」を参照してください。 SDKの詳細は、「ソフトウェア開発キットとコマンドライン・インタフェース」を参照してください。

次のAPI操作を使用します:

アイデンティティ・プロバイダ:

グループ・マッピング: