Oracle Cloud Infrastructureドキュメント

Oracle Identity Cloud Serviceのフェデレート

このトピックでは、テナンシをアクティブ化した時期に応じて、Oracle Identity Cloud ServiceOracle Cloud Infrastructureをフェデレートするための適切なトピックを示します。

2018年12月21日以降に作成されたテナンシ

これらのテナンシは、Oracle Identity Cloud Serviceで自動的にフェデレートされ、フェデレートされたユーザーをOracle Cloud Infrastructureでプロビジョニングするように構成されています。

フェデレートされたユーザーおよびグループを管理するには、「Oracle Cloud InfrastructureコンソールでのOracle Identity Cloud Serviceユーザーおよびグループの管理」を参照してください。

フェデレーションの詳細は、「Oracle Identity Cloud Serviceフェデレーション・ユーザーのよく寄せられる質問」を参照してください。

2017年12月18日から2018年12月20日の間に作成されたテナンシ

これらのテナンシはOracle Identity Cloud Serviceで自動的にフェデレーテッドされますが、Oracle Cloud Infrastructureでフェデレートされたユーザーをプロビジョニングして、これらのユーザーが追加の資格証明(APIキー、認証トークンなど)を持つことができるように構成されていません。

ユーザーに対してこの機能を使用可能にするには、1回かぎりのアップグレードを実行する必要があります。を参照してください: フェデレーテッド・ユーザーのユーザー・プロビジョニング

このアップグレードを実行した後は、「Oracle Cloud InfrastructureコンソールでのOracle Identity Cloud Serviceユーザーおよびグループの管理」を参照して、フェデレートされたユーザーおよびグループを管理します。

2017年12月18日以前に作成されたテナンシ

これらのテナンシは、Oracle Identity Cloud Serviceで手動でフェデレートする必要があります。 後述の「Oracle Identity Cloud Serviceとの連合」を参照してください。

Oracle Identity Cloud Serviceを使用した手動のフェデレート

組織は複数のOracle Identity Cloud Serviceアカウントを持つことができます(たとえば、組織の各部門ごとに1つ)。 Oracle Cloud Infrastructureで複数のIdentity Cloud Serviceアカウントをフェデレートできますが、設定する各フェデレーション・トラストは単一のIdentity Cloud Serviceアカウント用でなければなりません。

ノート

このトピックのステップを実行する前に、「アイデンティティ・プロバイダのフェデレート」を参照して一般的なフェデレーションの概念を理解してください。

Webアプリケーションとクライアントの資格証明

信頼ごとに、Oracle Identity Cloud Serviceに「アプリケーション」 (「信頼できるアプリケーション」とも呼ばれる)を設定し、「Oracle Identity Cloud Serviceを使用したフェデレートの手順」に手順を含める必要があります。 結果として得られるアプリケーションには、クライアント資格証明(クライアントIDとクライアント・シークレット)のセットがあります。 Identity Cloud ServiceアカウントをOracle Cloud Infrastructureとフェデレートさせる場合は、これらの資格証明を提供する必要があります。

COMPUTEBAREMETALアプリケーション

Oracle Identity Cloud Service内の「信頼できるアプリケーション」。Identity Cloud ServiceアカウントをOracle Cloud Infrastructureでフェデレートするときに指定する必要があるクライアント資格証明(クライアントIDとクライアント・シークレット)のセットが含まれています。

必要なURL

Oracle Identity Cloud Serviceを使用してフェデレートする最も簡単な方法は、Oracle Cloud Infrastructure コンソールを使用する方法ですが、APIを使用してプログラムで実行することもできます。 コンソールを使用している場合は、メタデータURLの代わりに「ベースURL」を指定するよう求められます。 ベースURLは、Identity Cloud Serviceコンソールにサインインしたときのブラウザ・ウィンドウのURLの一番左側の部分です:

  • ベースURL: <Identity Cloud Service account name>.identity.oraclecloud.com

APIを使用してフェデレートする場合は、メタデータURL (/fed/v1/metadataを追加したベースURL)を次のように指定する必要があります:

  • メタデータURL: <Identity Cloud Service account name>.identity.oraclecloud.com/fed/v1/metadata

メタデータURLは、フェデレートに必要なIdP提供のXMLに直接リンクします。 APIを使用している場合は、フェデレーション時にメタデータURLとメタデータ自体の両方を指定する必要があります。 詳細は、「APIのアイデンティティ・プロバイダの管理」を参照してください。

OCI-V2-<tenancy_name>アプリケーション

Oracle Cloud Infrastructureを使用してOracle Identity Cloud Serviceアカウントを手動でフェデレートすると、OCI-V2-<tenancy_name>という新しいSAMLアプリケーションがそのOracle Identity Cloud Serviceアカウント内に自動的に作成されます。 後でOracle Cloud InfrastructureテナンシからOracle Identity Cloud Service idプロバイダを削除する必要がある場合は、必ずOracle Identity Cloud ServiceからOCI-V2-<tenancy_name>を削除してください。 そうしない場合に、同じOracle Identity Cloud Serviceアカウントを後でフェデレートしようとすると、同じ名前のアプリケーション(つまり、OCI-V2-<tenancy_name>)がすでに存在することを示す409エラーが表示されます。

プロビジョニングされたユーザー
プロビジョニングされたユーザーは、Oracle Cloud InfrastructureではOracle Identity Cloud Serviceによってプロビジョニングされ、Oracle Identity Cloud Serviceで管理されるフェデレートされたユーザーに同期されます。 プロビジョニングされたユーザーは、プログラムによるアクセスを可能にするために、APIキーや認証トークンなどの特別なOracle Cloud Infrastructure資格証明を持つことができます。 プロビジョニングされたユーザーはコンソールパスワードを持つことはできません。

Oracle Identity Cloud Serviceを使用したフェデレートの手順

次に、管理者がアイデンティティ・プロバイダを設定するための一般的なプロセスを示します。以下は各ステップの手順です。 管理者は、必要な資格証明とアクセス権を持つOracle Cloud Infrastructureユーザーであると想定しています。

  1. Oracle Identity Cloud Serviceで、Oracle Cloud Infrastructureの設定ステップを実行するために必要な情報を入手します。
  2. Oracle Cloud Infrastructureで、フェデレーションを設定します。

    1. Oracle Identity Cloud Serviceをidプロバイダとして設定します。
    2. Oracle Identity Cloud ServiceグループをIAMグループにマップします。
  3. Oracle Cloud Infrastructureで、IAMグループのIAMポリシーを設定して、マップされたグループのメンバーに付与するアクセス権を定義します。
  4. ユーザーにOracle Cloud Infrastructureテナントの名前とコンソールのURLを通知します(たとえば、https://console.us-ashburn-1.oraclecloud.com)。
ステップ1: Oracle Identity Cloud Serviceから必要な情報を取得
ステップ2: Oracle Identity Cloud ServiceをidプロバイダとしてOracle Cloud Infrastructureに追加します
ステップ3: グループのIAMポリシーを設定します
ステップ4: フェデレートされたユーザーにテナント名とURLをサインイン

コンソールのアイデンティティ・プロバイダの管理

アイデンティティ・プロバイダを削除するには
Oracle Identity Cloud Serviceのグループ・マッピングを追加するには
グループ・マッピングを更新または削除するには

APIのアイデンティティ・プロバイダの管理

APIおよび署名リクエストの使用については、REST APIおよび「セキュリティ資格証明」を参照してください。 SDKの詳細は、「ソフトウェア開発キットとコマンドライン・インタフェース」を参照してください。

次のAPI操作を使用します:

アイデンティティ・プロバイダ:

グループ・マッピング: