機械翻訳について

第3章 管理者アカウント管理

目次

• 3.1 新しい管理者アカウントの作成
• 3.2 管理者アカウントの変更
  • 3.2.1 管理者資格証明の変更
  • 3.2.2 管理者権限の管理
  • 3.2.3 管理者アカウント・プリファレンスの変更
• 3.3 管理者アカウントの削除
• 3.4 Microsoft Active Directoryによるフェデレート
  • 3.4.1 ADFSからの必須情報の収集
  • 3.4.2 アイデンティティ・プロバイダの自己署名証明書の検証
  • 3.4.3 アイデンティティ・プロバイダの管理
  • 3.4.4 アイデンティティ・プロバイダのグループ・マッピングの操作
  • 3.4.5 ADFSでの信頼できるリライイング・パーティとしてのOracle Private Cloud Applianceの追加
  • 3.4.6 フェデレーテッド・ユーザーのサインイン情報の提供

この章では、デフォルト管理者が追加の管理者アカウントを作成する方法と、サービス・エンクレーブが管理者アカウントの権限、プリファレンスおよびパスワードを制御する方法について説明します。

技術的なバックグラウンド情報は、「Oracle Private Cloud Appliance概要ガイド」にあります。 「アプライアンス管理の概要」の章の「管理者アクセス」の項を参照してください。

3.1 新しい管理者アカウントの作成

システムの初期化中に、デフォルトの管理者アカウントが設定されます。 このデフォルト・アカウントは削除できません。 追加の管理者アカウントを作成および管理できるサービス・エンクレーブへのアクセスを提供します。

サービスWeb UIの使用

1. ナビゲーション・メニューを開き、ユーザーをクリックします。

2. ユーザーの作成をクリックして、ユーザーの作成ウィンドウを開きます。

3. 次の詳細を入力します。

   • 名前: この管理者アカウントの名前を入力します。 これはログインに使用される名前です。

   • 承認グループ: 新しい管理者が追加される認可グループを選択します。 この選択によって、管理者アカウントのアクセス権と権限が決まります。

   • パスワード: 新しい管理者アカウントのパスワードを設定します。 確認のために2回入力します。

4. 「ユーザーの作成」をクリックします。 新しい管理者アカウントがユーザー表に表示されます。

サービスCLIの使用

1. 承認グループのリストを表示します。 新しい管理者アカウントを作成する承認グループのIDをコピーします。

   PCA-ADMIN> list AuthorizationGroup
   Command: list AuthorizationGroup
   Status: Success
   Time: 2021-08-25 08:38:58,632 UTC
   Data:
     id                                     name
     --                                     ----
     587fc90d-3312-41d9-8be3-1ce21b8d9b41   MonitorGroup
     c18cc6af-4ef8-4b1c-b85d-ee3b065f503e   DrAdminGroup
     8f03faf2-c321-4455-af21-75cbffc269ef   AdminGroup
     5ac65f5d-1f8c-42ea-a1de-95a1941f009f   Day0ConfigGroup
     365ece7b-0a09-4a04-853c-7a0f6c4789f0   InternalGroup
     7da8be67-758c-4cd6-8255-e9d2900c788e   SuperAdminGroup

2. createUserInGroupコマンドを使用して、新しい管理者アカウントを作成します。

   必須パラメータは、ユーザー名、パスワードおよび認可グループです。

   PCA-ADMIN> createUserInGroup name=testadmin password=************ confirmPassword=************ authGroup=365ece7b-0a09-4a04-853c-7a0f6c4789f0
   Command: createUserInGroup name=testadmin password=***** confirmPassword=***** authGroup=365ece7b-0a09-4a04-853c-7a0f6c4789f0
   Status: Success
   Time: 2021-08-25 08:48:53,138 UTC
   JobId: 6dd5a542-4399-4414-ac3b-636968744f79

3. 新しい管理者アカウントが正しく作成されたことを確認します。 listおよびshowコマンドを使用して、アカウント情報を表示します。

   PCA-ADMIN> list User
   Command: list User
   Status: Success
   Time: 2021-08-25 08:49:01,064 UTC
   Data:
     id                                     name
     --                                     ----
     401fce73-5bee-48b1-b86d-fba1d85e049b   admin
     682ebc19-8493-4e9a-817c-148acea4b1d4   testadmin
   
   PCA-ADMIN> show user name=testadmin
   Command: show User name=testadmin
   Status: Success
   Time: 2021-08-25 08:50:04,245 UTC
   Data:
     Id = 682ebc19-8493-4e9a-817c-148acea4b1d4
     Type = User
     Name = testadmin
     Default User = false
     AuthGroupIds 1 = id:365ece7b-0a09-4a04-853c-7a0f6c4789f0  type:AuthorizationGroup  name:InternalGroup
     UserPreferenceId = id:1321249c-0651-49dc-938d-7764b9638ea9  type:UserPreference  name:

3.2 管理者アカウントの変更

• 3.2.1 管理者資格証明の変更
• 3.2.2 管理者権限の管理
• 3.2.3 管理者アカウント・プリファレンスの変更

このセクションでは、変更可能な管理者アカウント設定とその変更方法について説明します。

3.2.1 管理者資格証明の変更

管理者パスワードは、アカウントの作成時に設定されます。 自分のアカウントのパスワードは、いつでも変更できます。 権限によっては、別の管理者のパスワードを変更する権限もあります。

サービスWeb UIの使用

1. ナビゲーション・メニューを開き、ユーザーをクリックします。

2. パスワードを変更する管理者アカウントをクリックします。 ユーザーの詳細ページが表示されます。

   または、ユーザーの詳細ページを表示するには、ページの右上隅にある自分の名前をクリックし、My Profile(自分のプロファイル)を選択します。

3. 「パスワードの変更」をクリックすると、「パスワードの変更」ウィンドウがオープンします。

4. 新しいアカウントのパスワードを入力します。 確認のために2回入力します。 Save Changesをクリックして新しいパスワードを適用します。

サービスCLIの使用

1. 管理者アカウントのリストを表示します。 パスワードを変更するアカウントのIDをコピーします。

   PCA-ADMIN> list User
   Command: list User
   Status: Success
   Time: 2021-08-25 09:22:01,064 UTC
   Data:
     id                                     name
     --                                     ----
     401fce73-5bee-48b1-b86d-fba1d85e049b   admin
     682ebc19-8493-4e9a-817c-148acea4b1d4   testadmin

2. changePasswordコマンドを使用して、選択した管理者アカウントの新しいパスワードを設定します。

   PCA-ADMIN> changePassword id=682ebc19-8493-4e9a-817c-148acea4b1d4 password=************ confirmPassword=************
   Command: changePassword id=682ebc19-8493-4e9a-817c-148acea4b1d4 password=***** confirmPassword=*****
   Status: Success
   Time: 2021-08-25 09:22:55,188 UTC
   JobId: 35710cd9-26ac-4be9-8b73-c4cf634cc121

3.2.2 管理者権限の管理

管理者アカウントに関連付けられた権限は、認可グループのメンバーシップによって異なります。 詳細は、Oracle Private Cloud Appliance概要ガイドを参照してください: アプライアンス管理の概要の章の管理者アクセスの項を参照してください。 アカウントの作成時に認可グループが指定されますが、サービスCLIでは管理者が属する認可グループを変更できます。

サービスCLIの使用

1. 変更する管理者アカウントのIDと、構成の変更に関与する承認グループを収集します。

   PCA-ADMIN> list User
   Command: list User
   Status: Success
   Time: 2021-08-25 09:22:01,064 UTC
   Data:
     id                                     name
     --                                     ----
     401fce73-5bee-48b1-b86d-fba1d85e049b   admin
     682ebc19-8493-4e9a-817c-148acea4b1d4   testadmin
   
   PCA-ADMIN> list AuthorizationGroup
   Command: list AuthorizationGroup
   Status: Success
   Time: 2021-08-25 08:38:58,632 UTC
   Data:
     id                                     name
     --                                     ----
     587fc90d-3312-41d9-8be3-1ce21b8d9b41   MonitorGroup
     c18cc6af-4ef8-4b1c-b85d-ee3b065f503e   DrAdminGroup
     8f03faf2-c321-4455-af21-75cbffc269ef   AdminGroup
     5ac65f5d-1f8c-42ea-a1de-95a1941f009f   Day0ConfigGroup
     365ece7b-0a09-4a04-853c-7a0f6c4789f0   InternalGroup
     7da8be67-758c-4cd6-8255-e9d2900c788e   SuperAdminGroup

2. 管理者を認可グループに追加するには、add Userコマンドを使用します。

   PCA-ADMIN> add User id=682ebc19-8493-4e9a-817c-148acea4b1d4 to AuthorizationGroup id=587fc90d-3312-41d9-8be3-1ce21b8d9b41
   Command: add User id=682ebc19-8493-4e9a-817c-148acea4b1d4 to AuthorizationGroup id=587fc90d-3312-41d9-8be3-1ce21b8d9b41
   Status: Success
   Time: 2021-08-25 08:49:54,062 UTC
   JobId: 3facde6d-acb6-4fc4-84dc-93de88eea25c

3. 管理者アカウント詳細を表示して、行った変更を確認します。

   PCA-ADMIN> show User name=testadmin
   Command: show User name=testadmin
   Status: Success
   Time: 2021-08-25 08:50:04,245 UTC
   Data:
     Id = 682ebc19-8493-4e9a-817c-148acea4b1d4
     Type = User
     Name = testadmin
     Default User = false
     AuthGroupIds 1 = id:365ece7b-0a09-4a04-853c-7a0f6c4789f0  type:AuthorizationGroup  name:InternalGroup
     AuthGroupIds 2 = id:587fc90d-3312-41d9-8be3-1ce21b8d9b41  type:AuthorizationGroup  name:MonitorGroup
     UserPreferenceId = id:1321249c-0651-49dc-938d-7764b9638ea9  type:UserPreference  name:

4. 認可グループから管理者を削除するには、remove Userコマンドを使用します。

   PCA-ADMIN> remove User name=testadmin from AuthorizationGroup id=587fc90d-3312-41d9-8be3-1ce21b8d9b41
   Command: remove User name=testadmin from AuthorizationGroup id=587fc90d-3312-41d9-8be3-1ce21b8d9b41
   Status: Success
   Time: 2021-08-25 09:10:39,249 UTC
   JobId: 44110d28-70af-4a42-8eb7-7d59a3bc8295

3.2.3 管理者アカウント・プリファレンスの変更

サービスCLIにログインすると、独自の管理者アカウントの特定の設定を変更できます。 これらの変更はすぐに有効になり、将来のすべてのCLI接続に対して維持されます。

ただし、現在のCLIセッションだけの設定を一時的に変更することもできます。 これを行うには、次のコマンド例でオブジェクトUserPreferenceをCliSessionに置き換えます。

設定	オプション	説明
alphabetizeMode	はい、いいえ	すべての管理対象オブジェクト属性をアルファベット順に表示するには、この設定を有効にします。 デフォルト設定はいいえです。
attributeDisplay	表示名、属性名	この設定を使用して、各オブジェクト属性の名前を表示するかどうかを制御します。 デフォルト設定は"displayName"です。
endLineCharsDisplayValue	CRLF, CR, LF	CLI出力が複数の行で構成されている場合に使用される行の終わり文字を指定します。 デフォルト設定は「CRLF」です。
outputMode	VERBOSE, SPARSE, XML	CLI出力形式を指定します。 デフォルト設定は「疎」です。
wsCallMode	SYNCHRONOUS, ASYNCHRONOUS	この設定を使用して、コマンドからのCLI出力を同期的に呼び出すか、非同期で呼び出すかを決定します。 デフォルト設定は「非同期」です。
wsTimeoutInSeconds	<value>	CLIが「同期」コール・モードに設定されている場合、この設定を使用して、操作によって返されたジョブが完了するまでCLIが待機する秒数を決定します。

サービスCLIの使用

1. 現在のアカウント・プリファレンスを表示します。

   PCA-ADMIN> show UserPreference
   Command: show UserPreference
   Status: Success
   Time: 2021-08-25 12:23:41,265 UTC
   Data:
     Id = ec433c0f-4208-4e92-859e-498218d0f5c9
     Type = UserPreference
     WS Call Mode = Asynchronous
     Alphabetize Mode = No
     Attribute Display = Display Name
     End Line Characters Display Value = CRLF
     Output Mode = Verbose
     Command Wait Timeout In Seconds = 240
     UserId = id:401fce73-5bee-48b1-b86d-fba1d85e049b  type:User  name:admin

2. edit userPreferenceコマンドを使用して、選択した設定を変更します。

   PCA-ADMIN> edit UserPreference outputMode=XML
   Command: edit UserPreference outputMode=XML
   Status: Success
   Time: 2021-08-25 12:32:02,102 UTC
   JobId: 9d312d9b-6169-47cb-97d4-6a8984237fa0

3. 変更する他の設定に対して同じコマンドを実行します。

4. 現在のアカウント・プリファレンスを再度表示して、行った変更を確認します。

   PCA-ADMIN> show UserPreference
   Command: show UserPreference
   Status: Success
   Time: 2021-08-25 12:32:40,664 UTC
   Data:
     Id = ec433c0f-4208-4e92-859e-498218d0f5c9
     Type = UserPreference
     WS Call Mode = Asynchronous
     Alphabetize Mode = No
     Attribute Display = Display Name
     End Line Characters Display Value = CRLF
     Output Mode = Xml
     Command Wait Timeout In Seconds = 180
     UserId = id:401fce73-5bee-48b1-b86d-fba1d85e049b  type:User  name:admin

3.3 管理者アカウントの削除

このセクションでは、管理者アカウントを削除する方法について説明します。

サービスWeb UIの使用

1. ナビゲーション・メニューを開き、ユーザーをクリックします。

2. 削除する管理者アカウントをクリックします。 ユーザーの詳細ページが表示されます。

3. 「削除」をクリックします。 プロンプトが表示されたら、操作を確認します。

サービスCLIの使用

1. 削除する管理者アカウントの名前およびIDを検索します。

   PCA-ADMIN> list User
   Command: list User
   Status: Success
   Time: 2021-08-25 08:49:01,064 UTC
   Data:
     id                                     name
     --                                     ----
     401fce73-5bee-48b1-b86d-fba1d85e049b   admin
     682ebc19-8493-4e9a-817c-148acea4b1d4   testadmin

2. 管理者アカウントを削除するには、delete Userコマンドに続けてアカウント名またはIDを指定します。

   PCA-ADMIN> delete User name=testadmin
   Command: delete user name=testadmin
   Status: Success
   Time: 2021-08-25 09:20:09,249 UTC
   JobId: 56e9dfcb-6b64-4f9d-b137-171f538029d3

3. 削除されたアカウントがユーザー・リストに表示されなくなったことを確認します。

   PCA-ADMIN> list User
   Command: list User
   Status: Success
   Time: 2021-08-25 09:22:07,743 UTC
   Data:
     id                                     name
     --                                     ----
     401fce73-5bee-48b1-b86d-fba1d85e049b   admin

3.4 Microsoft Active Directoryによるフェデレート

• 3.4.1 ADFSからの必須情報の収集
• 3.4.2 アイデンティティ・プロバイダの自己署名証明書の検証
• 3.4.3 アイデンティティ・プロバイダの管理
• 3.4.4 アイデンティティ・プロバイダのグループ・マッピングの操作
• 3.4.5 ADFSでの信頼できるリライイング・パーティとしてのOracle Private Cloud Applianceの追加
• 3.4.6 フェデレーテッド・ユーザーのサインイン情報の提供

多くの企業は、アイデンティティ・プロバイダを使用してユーザー・ログインとパスワードを管理し、セキュアなwebサイト、サービスおよびリソースへのアクセスについてユーザーを認証します。 Oracle Private Cloud ApplianceサービスWeb UIにアクセスするには、ユーザーはユーザー名とパスワードを使用してサインインする必要もあります。 管理者は、クラウド・リソースにアクセスして使用するための新しい資格証明を作成するのではなく、各ユーザーが既存のログインとパスワードを使用できるように、サポートされているアイデンティティ・プロバイダで「連邦」できます。

フェデレーションには、アイデンティティ・プロバイダとOracle Private Cloud Applianceの間の信頼関係の設定が含まれます。 管理者がこの関係を確立すると、フェデレーテッド・ユーザーは、サービスWeb UIにアクセスするときに「シングル・サインオン」を求められます。

詳細は、「Oracle Private Cloud Appliance概要ガイド」の「アイデンティティ・プロバイダによるフェデレート」を参照してください。

複数のActive Directory (AD)アカウントをOracle Private Cloud Appliance (組織の部門ごとに1つなど)とフェデレートできますが、設定する各フェデレーション・トラストは、「全部」 ADアカウント用である必要があります。 信頼を設定するには、Oracle Private Cloud ApplianceサービスWeb UIおよびActive Directory Federation Services (ADFS)の一部のタスクを実行します。

連邦政府を始める前に、次の情報がすでにあることを確認してください:

• 組織のMicrosoft Active Directory Federation Servicesをインストールして構成します。

• Active Directoryで、Oracle Private Cloud Applianceのグループにマップするグループを設定します。

• Oracle Private Cloud ApplianceサービスWeb UIにサインインするユーザーがActive Directoryに作成されました。

ノート

PCA_Administrators、PCA_NetworkAdmins、PCA_InstanceLaunchersなどのフィルタ・ルールを簡単に適用できるように、共通のプレフィクスを使用してOracle Private Cloud ApplianceグループにマップするActive Directoryグループに名前を付けることを検討してください。

3.4.1 ADFSからの必須情報の収集

Oracle Private Cloud Applianceとフェデレートするには、SAMLメタデータ・ドキュメントと、Oracle Private Cloud ApplianceグループにマップするActive Directory (AD)グループの名前が必要です。

1. ADFSのSAMLメタデータ・ドキュメントを検索してダウンロードします。デフォルトでは、次の場所にあります:

   https://<yourservername>/FederationMetadata/2007-06/FederationMetadata.xml

   これは、アイデンティティ・プロバイダの作成時にアップロードするドキュメントです。

2. Oracle Private Cloud ApplianceグループにマップするすべてのADグループをノートにとります。

   重要

   ADをアイデンティティ・プロバイダとして追加する前に、すべてのOracle Private Cloud Applianceグループが構成されていることを確認します。

3.4.2 アイデンティティ・プロバイダの自己署名証明書の検証

重要

ADFS証明書がOracle Private Cloud Appliance証明書バンドルにすでに存在するため、既知の認証局によって署名されている場合、この項をスキップできます。

Oracle Private Cloud Appliance認証局(CA)は、自己署名付きopensslで生成されたルートおよび中間x.509証明書です。 これらのCA証明書は、x.509サーバー/クライアント証明書を発行するために使用され、外部の認証局(CA)信頼情報をラックに追加できます。 ADFSに自己署名証明書を使用する場合は、ADFSの外部CA信頼情報をラックの管理ノードに追加する必要があります。

ノート

metadataUrlプロパティを使用してアイデンティティ・プロバイダを作成または更新する場合は、アイデンティティ・プロバイダのwebサーバー証明書チェーンをCAバンドル外部のOracle Private Cloud Applianceに追加する必要があります。 webサーバー証明書チェーンの検索方法については、アイデンティティ・プロバイダのドキュメントを参照してください。その後、ステップ3-8に従ってください。

外部CA信頼情報を追加するには、次のステップを実行します:

1. ブラウザから、次のURLを入力し、ADFSのSAMLメタデータ・ドキュメントをダウンロードします(デフォルトは次のとおりです):

   https://<yourservername>/FederationMetadata/2007-06/FederationMetadata.xml

2. テキスト・エディタまたはXMLエディタでファイルを開き、次のように署名証明書セクションを見つけます:

   <KeyDescriptor use="signing">
   <KeyInfo>
   <X509Data>
   <X509Certificate>
   <!--CERTIFICATE IS HERE-->
   </X509Certificate>
   </X509Data>
   </KeyInfo>
   </KeyDescriptor>

3. デフォルト名がpcamn01の管理ノード1にログオンします。

4. /etc/pca3.0/vaultに移動し、customer_caという名前の新しいディレクトリを作成します。

   ノート

   このディレクトリは、複数のファイルに使用できます。 たとえば、アイデンティティ・プロバイダ証明書用のファイルと、webサーバー証明書チェーン用のファイルを作成できます。

5. customer_caディレクトリで、PEM形式で新しいファイルを作成します。

6. <X509Certificate>タグと</X509Certificate>タグ・セットの間にあるFederationMetadata.xmlファイルから証明書をコピーし、新しいPEMファイルに貼り付けます。 -----BEGIN CERTIFICATE-----および-----END CERTIFICATE-----を必ず含めてください。次に例を示します:

   -----BEGIN CERTIFICATE-----
   <CERTIFICATE CONTENT>
   -----END CERTIFICATE-----

7. ファイルを保存して閉じます。

8. 次のコマンドを実行して、すべての管理ノードでca_outside_bundle.crtを更新します:

   python3 /usr/lib/python3.6/site-packages/pca_foundation/secret_service/cert_generator/cert_generator_app.py -copy_to_mns

3.4.3 アイデンティティ・プロバイダの管理

• 3.4.3.1 アイデンティティ・プロバイダとしてのActive Directoryの追加
• 3.4.3.2 アイデンティティ・プロバイダの更新
• 3.4.3.3 アイデンティティ・プロバイダの詳細の表示
• 3.4.3.4 アイデンティティ・プロバイダのリスト
• 3.4.3.5 アイデンティティ・プロバイダの削除

Oracle Private Cloud Applianceでアイデンティティ・プロバイダとフェデレートするには、サービスWeb UIまたはサービスCLIで作成し、アカウント・グループをマップします。

アイデンティティ・プロバイダを作成した後、更新が必要な場合があります。 たとえば、メタデータXMLファイルは期限切れになったときに更新する必要があります。 また、すべてのアイデンティティ・プロバイダを表示したり、アイデンティティ・プロバイダの詳細を表示したり、アイデンティティ・プロバイダを削除することもできます。

3.4.3.1 アイデンティティ・プロバイダとしてのActive Directoryの追加

Oracle Private Cloud ApplianceでActive Directoryとフェデレートするには、それをアイデンティティ・プロバイダとして追加する必要があります。 同時に、グループ・マッピングを設定することも、後で設定することもできます。

ADをアイデンティティ・プロバイダとして追加するには、サービスWeb UIまたはサービスCLIのいずれかの手順に従います。

サービスWeb UIの使用

1. Oracle Private Cloud Applianceログインとパスワードを使用してサインインします。

2. ナビゲーション・メニューを開き、アイデンティティ・プロバイダをクリックします。

3. 「アイデンティティ・プロバイダ」ページで、アイデンティティ・プロバイダの作成をクリックします。

4. 「アイデンティティ・プロバイダ」の作成ページで、次の情報を指定します:

   1. 表示名

      フェデレーテッド・ユーザーがサービスWeb UIへのサインインに使用するアイデンティティ・プロバイダを選択するときに表示される名前。 この名前は、すべてのアイデンティティ・プロバイダで一意である必要があり、変更できません。

   2. 摘要

      アイデンティティ・プロバイダのわかりやすい説明。

   3. 認証コンテキスト

      クラス参照の追加をクリックし、リストから認証コンテキストを選択します。

      1つ以上の値が指定されている場合、Oracle Private Cloud Appliance (リライイング・パーティ)は、ユーザーの認証時に、指定された認証メカニズムのいずれかをアイデンティティ・プロバイダが使用することを想定しています。 アイデンティティ・プロバイダから返されたSAMLレスポンスには、その認証コンテキスト・クラス参照を持つ認証文が含まれている必要があります。 SAMLレスポンス認証コンテキストがここで指定された内容と一致しない場合、Oracle Private Cloud Appliance認証サービスは400でSAMLレスポンスを拒否します。

   4. アサーションの暗号化(オプション)

      有効にすると、認可サービスはアイデンティティ・プロバイダからの暗号化されたアサーションを想定します。 アサーションを復号化できるのは、認可サービスのみです。 有効にしない場合、認可サービスは、SAMLトークンが暗号化されていないがSSLで保護されていることを想定しています。

   5. 強制認証(オプション)

      有効にすると、ユーザーは、認可サービスによってリダイレクトされたときに、常にアイデンティティ・プロバイダで認証するよう求められます。 有効にしないと、アイデンティティ・プロバイダとのアクティブなログイン・セッションがすでにあるユーザーは再認証を求められません。

   6. メタデータURL

      アイデンティティ・プロバイダからFederationMetadata.xmlドキュメントのURLを入力します。

      デフォルトでは、ADFSのmetadatファイルは次の場所にあります

      https://<yourservername>/FederationMetadata/2007-06/FederationMetadata.xml

5. Create Identity Providerをクリックします。

   新しいアイデンティティ・プロバイダにはOCIDが割り当てられ、「アイデンティティ・プロバイダ」ページに表示されます

アイデンティティ・プロバイダの追加後、Oracle Private Cloud ApplianceとActive Directoryの間のグループ・マッピングを設定する必要があります。

グループ・マッピングを設定するには、第3.4.4.1項、「グループ・マッピングの作成」を参照してください。

3.4.3.2 アイデンティティ・プロバイダの更新

アイデンティティ・プロバイダを更新するには、サービスWeb UIまたはサービスCLIのいずれかの手順に従います。

サービスWeb UIの使用

1. ナビゲーション・メニューを開き、アイデンティティ・プロバイダをクリックします。

   アイデンティティ・プロバイダのリストが表示されます。

2. 更新するアイデンティティ・プロバイダについて、アクション・アイコン(3つのドット)をクリックし、編集をクリックします。

3. 次の情報のいずれかを変更します。ただし、この情報を変更するとフェデレーションに影響を与える可能性があることに注意してください:

   1. 摘要

   2. 認証コンテキスト

      クラス参照を追加または削除します。

   3. アサーションの暗号化

      アイデンティティ・プロバイダから暗号化されたアサーションを有効または無効にします。

   4. 強制認証

      アイデンティティ・プロバイダからのリダイレクト認証を有効または無効にします。

   5. メタデータURL

      アイデンティティ・プロバイダの新しいFederationMetadata.xmlドキュメントのURLを入力します。

   詳細は、第3.4.3.1項、「アイデンティティ・プロバイダとしてのActive Directoryの追加」のステップ4を参照してください。

4. アイデンティティ・プロバイダの更新をクリックします。

3.4.3.3 アイデンティティ・プロバイダの詳細の表示

アイデンティティ・プロバイダの詳細ページには、認証コンテキストなどの一般情報が表示されます。 また、リダイレクトURLを含むアイデンティティ・プロバイダ設定も提供します。

このページから、アイデンティティ・プロバイダを編集し、グループ・マッピングを管理することもできます。

アイデンティティ・プロバイダの詳細を表示するには、サービスWeb UIまたはサービスCLIのいずれかの手順に従います。

サービスWeb UIの使用

1. ナビゲーション・メニューを開き、アイデンティティ・プロバイダをクリックします。

   アイデンティティ・プロバイダのリストが表示されます。

2. 詳細を表示するアイデンティティ・プロバイダについて、アクション・アイコン(3つのドット)をクリックし、詳細の表示をクリックします。

   アイデンティティ・プロバイダの詳細ページが表示されます。

3.4.3.4 アイデンティティ・プロバイダのリスト

アイデンティティ・プロバイダをリストするには、サービスWeb UIまたはサービスCLIの手順に従います。

サービスWeb UIの使用

1. ナビゲーション・メニューを開き、アイデンティティ・プロバイダをクリックします。

   アイデンティティ・プロバイダのリストが表示されます。

3.4.3.5 アイデンティティ・プロバイダの削除

フェデレーテッド・ユーザーがOracle Private Cloud Applianceにログインするためのオプションを削除する場合は、アイデンティティ・プロバイダを削除する必要があります。これにより、関連付けられたすべてのグループ・マッピングも削除されます。

アイデンティティ・プロバイダを削除するには、サービスWeb UIまたはサービスCLIの手順に従います。

サービスWeb UIの使用

1. ナビゲーション・メニューを開き、アイデンティティをクリックしてからフェデレーションをクリックします。

   アイデンティティ・プロバイダのリストが表示されます。

2. 削除するアイデンティティ・プロバイダについて、アクション・アイコン(3つのドット)をクリックし、削除をクリックします。

3. Delete Identity Providerプロンプトで、Confirmをクリックします。

3.4.4 アイデンティティ・プロバイダのグループ・マッピングの操作

• 3.4.4.1 グループ・マッピングの作成
• 3.4.4.2 グループ・マッピングの更新
• 3.4.4.3 グループ・マッピングの表示
• 3.4.4.4 グループ・マッピングの削除

グループ・マッピングを使用する場合は、次の点に注意してください:

• 指定されたActive Directoryグループは、単一のOracle Private Cloud Applianceグループにマップされます。

• Oracle Private Cloud Applianceグループ名にスペースを含めることはできません。後で変更できません。 使用できる文字は、文字、数字、ハイフン、ピリオド、アンダースコアおよびプラス記号(+)です。

• グループ・マッピングを更新できませんが、マッピングを削除して新しいマッピングを追加できます。

3.4.4.1 グループ・マッピングの作成

アイデンティティ・プロバイダを作成したら、ADFSグループからOracle Private Cloud Applianceグループへのマッピングを作成する必要があります。

グループ・マッピングを作成するには、サービスWeb UIまたはサービスCLIのいずれかの手順に従います。 マップする各アイデンティティ・プロバイダ・グループに対してステップを繰り返します。

サービスWeb UIの使用

1. ナビゲーション・メニューを開き、IDP Group Mappingsをクリックします。

   アイデンティティ・プロバイダ・グループ・マッピングのリストが表示されます。

2. グループ・マッピングの作成をクリックします。

   IDPグループ・マッピング・フォームが表示されます

3. 名前フィールドに、IDPグループ・マッピングの名前を入力します。

4. 「IDPグループ名」フィールドに、アイデンティティ・プロバイダ・グループの「正確な」名を入力します。

5. 管理グループ名リストから、アイデンティティ・プロバイダ・グループにマップするOracle Private Cloud Applianceグループを選択します。

6. オプションで、グループの説明を入力します。

7. Create IDP Group Mappingをクリックします。

   新しいグループ・マッピングがリストに表示されます。

3.4.4.2 グループ・マッピングの更新

グループ・マッピングを更新するには、サービスWeb UIまたはサービスCLIのいずれかの手順に従います。 マッピングする各グループ・マッピングに対してステップを繰り返します。

サービスWeb UIの使用

1. ナビゲーション・メニューを開き、IDP Group Mappingsをクリックします。

   アイデンティティ・プロバイダ・グループ・マッピングのリストが表示されます。

2. 更新するグループ・マッピングについて、アクション・アイコン(3つのドット)をクリックし、編集をクリックします。

   IDPグループ・マッピング・フォームが表示されます。

3. 次のフィールドのいずれかを変更します。ただし、この情報を変更するとフェデレーションに影響を与える可能性があることに注意してください:

   1. 名前

   2. IDPグループ名

   3. 管理グループ名

   4. 摘要

4. IDPグループ・マッピングの変更をクリックします。

   更新されたグループ・マッピングがリストに表示されます。

3.4.4.3 グループ・マッピングの表示

グループ・マッピングの詳細を表示するには、サービスWeb UIまたはサービスCLIのいずれかの手順に従います。

サービスWeb UIの使用

1. ナビゲーション・メニューを開き、IDP Group Mappingsをクリックします。

   アイデンティティ・プロバイダ・グループ・マッピングのリストが表示されます。

3.4.4.4 グループ・マッピングの削除

グループ・マッピングを削除するには、サービスWeb UIまたはサービスCLIのいずれかの手順に従います。 削除するアイデンティティ・プロバイダ・グループごとにステップを繰り返します。

サービスWeb UIの使用

1. ナビゲーション・メニューを開き、IDP Group Mappingsをクリックします。

   アイデンティティ・プロバイダ・グループ・マッピングのリストが表示されます。

2. 削除するグループ・マッピングについて、アクション・アイコン(3つのドット)をクリックし、削除をクリックします。

3. IDPグループ・マッピングの削除プロンプトで、確認をクリックします。

3.4.5 ADFSでの信頼できるリライイング・パーティとしてのOracle Private Cloud Applianceの追加

重要

ADFSがOracle Private Cloud Appliance証明書を信頼できるように、Oracle Private Cloud Appliance証明書バンドルをActive Directoryに追加する必要があります。 これを行わない場合、ユーザー・ログインは失敗します。 Oracle Private Cloud Appliance証明書バンドルの詳細は、「Oracle Private Cloud Applianceユーザーズ・ガイド」の「認証局バンドルの取得」を参照してください。

フェデレーション・プロセスを完了するには、ADFSで信頼できるリライイング・パーティとしてOracle Private Cloud Applianceを追加し、関連するリライイング・パーティ請求ルールを追加する必要があります。

1. 「アイデンティティ・プロバイダ」ページのサービスWeb UIで、次のテキスト・ブロックを表示します:

   Microsoft Active Directory Federation Servicesまたは他のSAML 2.0準拠アイデンティティ・プロバイダとの信頼を設定する場合は、Private Cloud Applianceフェデレーション・メタデータ・ドキュメントが必要です。 これは、Private Cloud Applianceエンドポイントおよび証明書情報を説明するXMLドキュメントです。 ここをクリック

2. 「ここをクリック」をクリックします。

   ブラウザでメタデータXMLファイルが開き、次のようなURLが表示されます:

   https://adminconsole.system-name.domain-name/wsapi/rest/saml/metadata/

3. メタデータXMLファイルURLをコピーします。

4. ADFSとともにインストールされたシステムから、ブラウザ・ウィンドウを開き、URLを貼り付けます。

5. .xml拡張子を必ず使用するようにファイルを保存します(例: my-sp-metadata.xml)。

6. AD FS管理コンソールに移動し、フェデレートするアカウントにサインインします。

7. 信頼できるリライイング・パーティとしてOracle Private Cloud Applianceを追加します。

   1. AD FSで、リライイング・パーティ信頼を右クリックし、リライイング・パーティ信頼の追加を選択します。

   2. 「リライイング・パーティ信頼の追加ウィザードのようこそ」ページで、請求認識を選択し、開始をクリックします。

   3. 「データ・ソースの選択」ページで、「リライイング・パーティに関するデータをファイルからインポート」を選択します。

   4. 参照をクリックしてmy-sp-metadata.xmlに移動し、開くをクリックします。

   5. 「表示名」の指定ページで、表示名を入力し、リライイング・パーティのオプションのノートを追加し、次をクリックします。

   6. 「アクセス制御ポリシーの選択」ページで、付与するアクセスのタイプを選択し、次へをクリックします。

   7. 追加準備完了「信託」ページで設定を確認し、次をクリックしてリライイング・パーティの信頼情報を保存します。

   8. 「終了」ページで、「このアプリケーションの要求発行ポリシーの構成」を選択し、「閉じる」をクリックします。

      「請求発行ポリシーの編集」ダイアログが表示され、次のセクションで開いたままにできます。

リライイング・パーティ要求ルールの追加

Oracle Private Cloud Applianceを信頼できるリライイング・パーティとして追加した後、必要な要素(名前IDおよびグループ)がSAML認証レスポンスに追加されるように要求ルールを追加する必要があります。

名前IDルールを追加するには:

1. 「請求発行ポリシー」の編集ダイアログで、ルールの追加をクリックします。

   「ルール・テンプレートの選択」ダイアログが表示されます。

2. 請求ルール・テンプレートの場合、受信請求の変換を選択し、次へをクリックします。

3. 次のように入力します。

   • 要求ルール名: このルールの名前を入力します(例: nameid)。

   • 受信要求タイプ: Windowsアカウント名を選択します。

   • 発信要求タイプ: 氏名IDなどの請求タイプを選択します。

   • 送信名IDフォーマット: Persistent Identifierを選択します。

   • すべての要求値をパススルーを選択し、終了をクリックします。

     ルールがルール・リストに表示されます。

「発行変換ルール」ダイアログに、新しいルールが表示されます。

Active Directoryユーザーが100グループを超えない場合、単にグループ・ルールを追加します。 ただし、Active Directoryユーザーが100グループを超える場合、それらのユーザーはOracle Private Cloud ApplianceサービスWeb UIを使用するように認証できません。 これらのグループについては、グループ・ルールにフィルタを適用する必要があります。

グループ・ルールを追加するには:

1. 「発行変換ルール」ダイアログで、ルールの追加をクリックします。

   「ルール・テンプレートの選択」ダイアログが表示されます。

2. 請求ルール・テンプレートで、カスタム・ルールを使用した請求の送信を選択し、次へをクリックします。

3. 変換要求ルールの追加ウィザードで、次を入力します:

   1. 要求ルール名: グループを入力します。

   2. カスタム・ルール: カスタム・ルールを入力します。

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("https://auth.oraclecloud.com/saml/claims/groupName"), query = ";tokenGroups;{0}", param = c.Value);

   3. 「終了」をクリックします。

「発行変換ルール」ダイアログに、新しいルールが表示されます。

3.4.6 フェデレーテッド・ユーザーのサインイン情報の提供

フェデレーテッド・ユーザーがOracle Private Cloud ApplianceサービスWeb UIにログインする前に、URLを指定する必要があります。 また、グループ・マッピングを構成したことを確認する必要があります。そうしないと、フェデレーテッド・ユーザーはOracle Private Cloud Applianceで作業できません。

Copyright © 2013, 2022, Oracle and/or its affiliates.