Oracle Cloud Infrastructureドキュメント

SAML 2.0アイデンティティ・プロバイダのフェデレート

このトピックでは、Security Assertion Markup Language (SAML) 2.0プロトコルをサポートするアイデンティティ・プロバイダを使用してOracle Cloud Infrastructureをフェデレートするための一般的なステップについて説明します。 Oracle Identity Cloud ServiceまたはMicrosoft Active Directoryの特定の手順が必要な場合は、「Oracle Identity Cloud Serviceとのフェデレート」または「Microsoft Active Directoryによるフェデレート」を参照してください。

フェデレーションの手順

次に、管理者がアイデンティティ・プロバイダを設定するための一般的なプロセスを示します。以下は各ステップの手順です。 管理者は、必要な資格証明とアクセス権を持つOracle Cloud Infrastructureユーザーであると想定しています。

ノート

このトピックのステップを実行する前に、「アイデンティティ・プロバイダのフェデレート」を参照して一般的なフェデレーションの概念を理解してください。

  1. Oracle Cloud Infrastructure Consoleで、アイデンティティ・プロバイダ(IdP)との信頼関係を確立するために必要なフェデレーション・メタデータを取得します。
  2. IdPで、Oracle Cloud Infrastructureをアプリケーション(信頼できるリライイング・パーティとも呼ばれる)として構成します。
  3. IdPで、新しいOracle Cloud Infrastructureアプリケーションにユーザーおよびグループを割り当てます。
  4. IdPで、Oracle Cloud Infrastructureで必要な必要な情報を入手します。
  5. Oracle Cloud Infrastructureで:

    1. テナンシにアイデンティティ・プロバイダを追加し、IdPから取得した情報を提供します。
    2. IdPグループをIAMグループにマップします。
  6. Oracle Cloud Infrastructureでは、Oracle Cloud Infrastructureリソースへのユーザー・アクセスを制御できるように、グループにIAMポリシーが設定されていることを確認します。
  7. ユーザーにOracle Cloud Infrastructureテナントの名前とコンソールのURLを通知します(たとえば、https://console.us-ashburn-1.oraclecloud.com)。

ステップ1: Oracle Cloud Infrastructureから情報を取得

概要: フェデレーション・メタデータ・ドキュメントをダウンロードします。

フェデレーション・メタデータ・ドキュメントは、Oracle Cloud Infrastructureに関する情報を提供するためにIdPに提供する必要がある標準のSAML 2.0ドキュメントです。 プロバイダの設定要件によっては、ドキュメント全体をアップロードするか、ドキュメントから特定のメタデータ値のみを指定するように求められる場合があります。

  1. Oracle Cloud Infrastructure Consoleに管理者としてサインインします。
  2. 「ナビゲーション・メニュー」を開きます。 ガバナンスと管理の下で、アイデンティティに行き、「フェデレーション」をクリックします。

  3. 「このドキュメントのダウンロード」リンクを右クリックし、ドキュメントを保存します。

ステップ2: Oracle Cloud Infrastructureを信頼できるアプリケーションとして設定

信頼できるアプリケーションの設定方法は、IdPのドキュメントを参照してください。 必要なパラメータは、ダウンロードしたメタデータ・ドキュメントを参照してください。

ステップ3: 新しいアプリケーションにユーザーおよびグループを割り当てます。

Oracle Cloud Infrastructureで設定したアプリケーションにユーザーおよびグループを追加するには、IdPの手順に従います。

ステップ4: IdPメタデータ・ドキュメントをダウンロードします。

IdPによって、Oracle Cloud Infrastructureがフェデレーションを完了するために必要な情報を含むSAML 2.0ドキュメントが提供されます。 このドキュメントをダウンロードする方法は、IdPのドキュメントを参照してください。

ステップ5: Oracle Cloud Infrastructureを指定してIdPをフェデレートします

概要: テナンシにアイデンティティ・プロバイダを追加します。 グループ・マッピングを同時に設定することも、あとで設定することもできます。

詳細:

ステップ6: グループのIAMポリシーを設定

IAMポリシーをまだ設定していない場合は、フェデレートされたユーザーが組織のOracle Cloud Infrastructureリソースに与えるアクセスを制御するように設定します。 詳細は、「ポリシーの開始」および「共通ポリシー」を参照してください。

ステップ7: フェデレートされたユーザーにテナント名とURLをサインイン

フェデレートされたユーザーには、Oracle Cloud Infrastructure コンソールのURL (例:https://console.us-ashburn-1.oraclecloud.com)とテナントの名前が必要です。 コンソールにサインインするときにテナント名を入力するよう求められます。

コンソールのアイデンティティ・プロバイダの管理

警告

Oracle Cloud Infrastructureコンソール、APIまたはCLIを使用してクラウド・リソースに説明、タグまたはわかりやすい名前を割り当てるときは、機密情報を入力しないでください。

アイデンティティ・プロバイダを削除するには
アイデンティティ・プロバイダのグループ・マッピングを追加するには
グループ・マッピングを更新するには
グループ・マッピングを削除するには

APIのアイデンティティ・プロバイダの管理

APIおよび署名リクエストの使用については、REST APIおよび「セキュリティ資格証明」を参照してください。 SDKの詳細は、「ソフトウェア開発キットとコマンドライン・インタフェース」を参照してください。

次のAPI操作を使用します:

アイデンティティ・プロバイダ:

グループ・マッピング: