Microsoft Active Directoryによるフェデレート

多くの企業は、アイデンティティ・プロバイダを使用してユーザー・ログインとパスワードを管理し、セキュアなwebサイト、サービスおよびリソースへのアクセスについてユーザーを認証します。 Oracle Private Cloud Appliance 「サービスWeb UI」にアクセスするには、ユーザーはユーザー名とパスワードを使用してサインインする必要もあります。 管理者は、クラウド・リソースにアクセスして使用するための新しい資格証明を作成するのではなく、各ユーザーが既存のログインとパスワードを使用できるように、サポートされているアイデンティティ・プロバイダで「連邦」できます。

フェデレーションには、アイデンティティ・プロバイダとPrivate Cloud Applianceの間の信頼関係の設定が含まれます。 管理者がこの関係を確立すると、「サービスWeb UI」にアクセスするときに、フェデレーテッド・ユーザーに「シングル・サインオン」のプロンプトが表示されます。

詳細は、「Oracle Private Cloud Appliance概要ガイド」の章「Identity and Access Management概要」「アイデンティティ・プロバイダによるフェデレート」を参照してください。

複数のActive Directory (AD)アカウントをPrivate Cloud Appliance (たとえば、組織の部門ごとに1つ)とフェデレートできますが、設定する各フェデレーション信頼は「全部」 ADアカウント用である必要があります。 信頼を設定するには、Private Cloud Appliance 「サービスWeb UI」でいくつかのタスクを実行し、Active Directory Federation Services (ADFS)でいくつかのタスクを実行します。

連邦政府を始める前に、次の情報がすでにあることを確認してください:

  • 組織のMicrosoft Active Directory Federation Servicesをインストールして構成します。

  • Private Cloud ApplianceのグループにマップするグループをActive Directoryに設定します。

  • Private Cloud Appliance 「サービスWeb UI」にサインインするユーザーをActive Directoryに作成します。

ノート:

フィルタ・ルール(PCA_Administrators、PCA_NetworkAdmins、PCA_InstanceLaunchersなど)を簡単に適用できるように、共通のプレフィクスを使用してPrivate Cloud ApplianceグループにマップするActive Directoryグループの名前を指定することを検討してください。

ADFSからの必須情報の収集

Oracle Private Cloud Applianceとフェデレートするには、SAMLメタデータ・ドキュメントと、Private Cloud ApplianceグループにマップするActive Directory (AD)グループの名前が必要です。

  1. ADFSのSAMLメタデータ・ドキュメントを検索してダウンロードします。デフォルトでは、次の場所にあります:

    https://<yourservername>/FederationMetadata/2007-06/FederationMetadata.xml

    これは、アイデンティティ・プロバイダの作成時にアップロードするドキュメントです。

  2. Private Cloud ApplianceグループにマップするすべてのADグループをノートにとります。

    注意:

    ADをアイデンティティ・プロバイダとして追加する前に、すべてのPrivate Cloud Applianceグループが構成されていることを確認します。

アイデンティティ・プロバイダの自己署名証明書の検証

注意:

ADFS証明書が既知の認証局によって署名されている場合、Private Cloud Appliance証明書バンドルにすでに存在するため、この項をスキップできます。

Oracle Private Cloud Appliance認証局(CA)は、自己署名OpenSSLによって生成されたルートおよび中間x.509証明書です。 これらのCA証明書は、x.509サーバー/クライアント証明書を発行するために使用され、外部の認証局(CA)信頼情報をラックに追加できます。 ADFSに自己署名証明書を使用する場合は、ADFSの外部CA信頼情報をラックの管理ノードに追加する必要があります。

ノート:

metadataUrlプロパティを使用してアイデンティティ・プロバイダを作成または更新する場合は、アイデンティティ・プロバイダwebサーバー証明書チェーンをCAバンドル外のPrivate Cloud Applianceに追加する必要があります。 webサーバー証明書チェーンの検索方法については、アイデンティティ・プロバイダのドキュメントを参照してください。その後、ステップ3-8に従ってください。

外部CA信頼情報を追加するには、次のステップを実行します:

  1. ブラウザから、次のURLを入力し、ADFSのSAMLメタデータ・ドキュメントをダウンロードします(デフォルトは次のとおりです):

    https://<yourservername>/FederationMetadata/2007-06/FederationMetadata.xml

  2. テキスト・エディタまたはXMLエディタでファイルを開き、次のように署名証明書セクションを見つけます:

    <KeyDescriptor use="signing">
<KeyInfo>
<X509Data>
<X509Certificate>
<!--CERTIFICATE IS HERE-->
</X509Certificate>
</X509Data>
</KeyInfo>
</KeyDescriptor>

  3. デフォルト名がpcamn01の管理ノード1にログオンします。

  4. /etc/pca3.0/vaultに移動し、customer_caという名前の新しいディレクトリを作成します。

    ノート:

    このディレクトリは、複数のファイルに使用できます。 たとえば、アイデンティティ・プロバイダ証明書用のファイルと、webサーバー証明書チェーン用のファイルを作成できます。

  5. customer_caディレクトリで、PEM形式で新しいファイルを作成します。

  6. <X509Certificate>タグ内にあるFederationMetadata.xmlファイルから証明書をコピーし、新しいPEMファイルに貼り付けます。 -----BEGIN CERTIFICATE-----および-----END CERTIFICATE-----を必ず含めてください。たとえば: 

    -----BEGIN CERTIFICATE-----
<CERTIFICATE CONTENT>
-----END CERTIFICATE-----

  7. ファイルを保存して閉じます。

  8. 次のコマンドを実行して、すべての管理ノードでca_outside_bundle.crtを更新します: 

    python3 /usr/lib/python3.11/site-packages/pca_foundation/secret_service/cert_generator/cert_generator_app.py -copy_to_mns

アイデンティティ・プロバイダの管理

Oracle Private Cloud Applianceでアイデンティティ・プロバイダとフェデレートするには、「サービスWeb UI」または「サービスCLI」でアイデンティティ・プロバイダを作成し、アカウント・グループをマップします。

アイデンティティ・プロバイダを作成した後、更新が必要な場合があります。 たとえば、メタデータXMLファイルは期限切れになったときに更新する必要があります。 また、すべてのアイデンティティ・プロバイダを表示したり、アイデンティティ・プロバイダの詳細を表示したり、アイデンティティ・プロバイダを削除することもできます。

アイデンティティ・プロバイダとしてのActive Directoryの追加

Oracle Private Cloud ApplianceでActive Directory (AD)とフェデレートするには、アイデンティティ・プロバイダとして追加する必要があります。 同時に、グループ・マッピングを設定することも、後で設定することもできます。

ADをアイデンティティ・プロバイダとして追加するには、「サービスWeb UI」または「サービスCLI」の手順に従います。

「サービスWeb UI」の使用

  1. Private Cloud Applianceログインとパスワードを使用してサインインします。

  2. ナビゲーション・メニューを開き、アイデンティティ・プロバイダをクリックします。

  3. 「アイデンティティ・プロバイダ」ページで、アイデンティティ・プロバイダの作成をクリックします。

  4. 「アイデンティティ・プロバイダ」の作成ページで、次の情報を指定します:

    1. 表示名

      「サービスWeb UI」へのサインインに使用するアイデンティティ・プロバイダを選択するときに、フェデレーテッド・ユーザーに表示される名前。 この名前は、すべてのアイデンティティ・プロバイダで一意である必要があり、変更できません。

    2. 説明

      アイデンティティ・プロバイダのわかりやすい説明。

    3. 認証コンテキスト

      クラス参照の追加をクリックし、リストから認証コンテキストを選択します。

      1つ以上の値を指定した場合、Private Cloud Appliance (リライイング・パーティ)は、ユーザーの認証時に、指定した認証メカニズムのいずれかをアイデンティティ・プロバイダが使用することを想定します。 アイデンティティ・プロバイダから返されたSAMLレスポンスには、その認証コンテキスト・クラス参照を持つ認証文が含まれている必要があります。 SAMLレスポンス認証コンテキストがここで指定したものと一致しない場合、Private Cloud Appliance認証サービスは400でSAMLレスポンスを拒否します。

    4. 「アサーションの暗号化」 (Optional)

      有効にすると、認可サービスはアイデンティティ・プロバイダからの暗号化されたアサーションを想定します。 アサーションを復号化できるのは、認可サービスのみです。 有効にしない場合、認可サービスは、SAMLトークンが暗号化されていないがSSLで保護されていることを想定しています。

    5. 「強制認証」 (Optional)

      有効にすると、ユーザーは、認可サービスによってリダイレクトされたときに、常にアイデンティティ・プロバイダで認証するよう求められます。 有効にしないと、アイデンティティ・プロバイダとのアクティブなログイン・セッションがすでにあるユーザーは再認証を求められません。

    6. メタデータURL

      アイデンティティ・プロバイダからFederationMetadata.xmlドキュメントのURLを入力します。

      デフォルトでは、ADFSのメタデータ・ファイルは次の場所にあります

      https://<yourservername>/FederationMetadata/2007-06/FederationMetadata.xml

  5. Create Identity Providerをクリックします。

    新しいアイデンティティ・プロバイダにはOCIDが割り当てられ、「アイデンティティ・プロバイダ」ページに表示されます

アイデンティティ・プロバイダを追加したら、Private Cloud ApplianceとActive Directoryの間のグループ・マッピングを設定する必要があります。

グループ・マッピングを設定するには、「グループ・マッピングの作成」を参照してください。

アイデンティティ・プロバイダの更新

アイデンティティ・プロバイダを更新するには、「サービスWeb UI」または「サービスCLI」の手順に従います。

「サービスWeb UI」の使用

  1. ナビゲーション・メニューを開き、アイデンティティ・プロバイダをクリックします。

    アイデンティティ・プロバイダのリストが表示されます。

  2. 更新するアイデンティティ・プロバイダについて、アクション・アイコン(3つのドット)をクリックし、編集をクリックします。

  3. 次の情報のいずれかを変更します。ただし、この情報を変更するとフェデレーションに影響を与える可能性があることに注意してください:

    1. 説明

    2. 認証コンテキスト

      クラス参照を追加または削除します。

    3. アサーションの暗号化

      アイデンティティ・プロバイダから暗号化されたアサーションを有効または無効にします。

    4. 強制認証

      アイデンティティ・プロバイダからのリダイレクト認証を有効または無効にします。

    5. メタデータURL

      アイデンティティ・プロバイダの新しいFederationMetadata.xmlドキュメントのURLを入力します。

    詳細は、「アイデンティティ・プロバイダとしてのActive Directoryの追加」のステップ4を参照してください。

  4. アイデンティティ・プロバイダの更新をクリックします。

アイデンティティ・プロバイダの詳細の表示

アイデンティティ・プロバイダの詳細ページには、認証コンテキストなどの一般情報が表示されます。 また、リダイレクトURLを含むアイデンティティ・プロバイダ設定も提供します。

このページから、アイデンティティ・プロバイダを編集し、グループ・マッピングを管理することもできます。

アイデンティティ・プロバイダの詳細を表示するには、「サービスWeb UI」または「サービスCLI」の手順に従います。

「サービスWeb UI」の使用

  1. ナビゲーション・メニューを開き、アイデンティティ・プロバイダをクリックします。

    アイデンティティ・プロバイダのリストが表示されます。

  2. 詳細を表示するアイデンティティ・プロバイダについて、アクション・アイコン(3つのドット)をクリックし、詳細の表示をクリックします。

    アイデンティティ・プロバイダの詳細ページが表示されます。

アイデンティティ・プロバイダのリスト

アイデンティティ・プロバイダをリストするには、「サービスWeb UI」または「サービスCLI」の手順に従います。

「サービスWeb UI」の使用

  1. ナビゲーション・メニューを開き、アイデンティティ・プロバイダをクリックします。

    アイデンティティ・プロバイダのリストが表示されます。

アイデンティティ・プロバイダの削除

フェデレーテッド・ユーザーがPrivate Cloud Applianceにログインするオプションを削除する場合は、アイデンティティ・プロバイダを削除する必要があります。これによって、関連付けられたグループ・マッピングもすべて削除されます。

アイデンティティ・プロバイダを削除するには、「サービスWeb UI」または「サービスCLI」の手順に従います。

「サービスWeb UI」の使用

  1. ナビゲーション・メニューを開き、アイデンティティをクリックしてからフェデレーションをクリックします。

    アイデンティティ・プロバイダのリストが表示されます。

  2. 削除するアイデンティティ・プロバイダについて、アクション・アイコン(3つのドット)をクリックし、削除をクリックします。

  3. Delete Identity Providerプロンプトで、Confirmをクリックします。

アイデンティティ・プロバイダのグループ・マッピングの操作

グループ・マッピングを使用する場合は、次の点に注意してください:

  • 特定のActive Directoryグループが単一のOracle Private Cloud Applianceグループにマップされます。

  • Private Cloud Applianceグループ名にはスペースを含めることはできず、後で変更できません。 使用できる文字は、文字、数字、ハイフン、ピリオド、アンダースコアおよびプラス記号(+)です。

  • グループ・マッピングを更新できませんが、マッピングを削除して新しいマッピングを追加できます。

グループ・マッピングの作成

アイデンティティ・プロバイダを作成したら、ADFSグループからPrivate Cloud Applianceグループへのマッピングを作成する必要があります。

グループ・マッピングを作成するには、「サービスWeb UI」または「サービスCLI」の手順に従います。 マップする各アイデンティティ・プロバイダ・グループに対してステップを繰り返します。

「サービスWeb UI」の使用

  1. ナビゲーション・メニューを開き、IDP Group Mappingsをクリックします。

    アイデンティティ・プロバイダ・グループ・マッピングのリストが表示されます。

  2. グループ・マッピングの作成をクリックします。

    IDPグループ・マッピング・フォームが表示されます

  3. 名前フィールドに、IDPグループ・マッピングの名前を入力します。

  4. 「IDPグループ名」フィールドに、アイデンティティ・プロバイダ・グループの「正確な」名を入力します。

  5. 管理グループ名リストから、アイデンティティ・プロバイダ・グループにマップするPrivate Cloud Applianceグループを選択します。

  6. オプションで、グループの説明を入力します。

  7. Create IDP Group Mappingをクリックします。

    新しいグループ・マッピングがリストに表示されます。

グループ・マッピングの更新

グループ・マッピングを更新するには、「サービスWeb UI」または「サービスCLI」の手順に従います。 マッピングする各グループ・マッピングに対してステップを繰り返します。

「サービスWeb UI」の使用

  1. ナビゲーション・メニューを開き、IDP Group Mappingsをクリックします。

    アイデンティティ・プロバイダ・グループ・マッピングのリストが表示されます。

  2. 更新するグループ・マッピングについて、アクション・アイコン(3つのドット)をクリックし、編集をクリックします。

    IDPグループ・マッピング・フォームが表示されます。

  3. 次のフィールドのいずれかを変更します。ただし、この情報を変更するとフェデレーションに影響を与える可能性があることに注意してください:

    1. 名前

    2. IDPグループ名

    3. 管理グループ名

    4. 説明

  4. IDPグループ・マッピングの変更をクリックします。

    更新されたグループ・マッピングがリストに表示されます。

グループ・マッピングの表示

グループ・マッピングの詳細を表示するには、「サービスWeb UI」または「サービスCLI」の手順に従います。

「サービスWeb UI」の使用

  1. ナビゲーション・メニューを開き、IDP Group Mappingsをクリックします。

    アイデンティティ・プロバイダ・グループ・マッピングのリストが表示されます。

グループ・マッピングの削除

グループ・マッピングを削除するには、「サービスWeb UI」または「サービスCLI」の手順に従います。 削除するアイデンティティ・プロバイダ・グループごとにステップを繰り返します。

「サービスWeb UI」の使用

  1. ナビゲーション・メニューを開き、IDP Group Mappingsをクリックします。

    アイデンティティ・プロバイダ・グループ・マッピングのリストが表示されます。

  2. 削除するグループ・マッピングについて、アクション・アイコン(3つのドット)をクリックし、削除をクリックします。

  3. IDPグループ・マッピングの削除プロンプトで、確認をクリックします。

ADFSでの信頼できるリライイング・パーティとしてのPrivate Cloud Applianceの追加

フェデレーション・プロセスを完了するには、ADFSで信頼できるリライイング・パーティとしてPrivate Cloud Applianceを追加し、関連するリライイング・パーティ要求ルールを追加する必要があります。

ADFSでのリライイング・パーティの追加

  1. 「アイデンティティ・プロバイダ」ページの「サービスWeb UI」で、次のテキスト・ブロックを表示します:

    Microsoft Active Directory Federation Servicesまたは他のSAML 2.0準拠アイデンティティ・プロバイダとの信頼を設定する場合は、Private Cloud ApplianceフェデレーションMetadataドキュメントが必要です。 これは、Private Cloud Applianceエンドポイントおよび証明書情報を説明するXMLドキュメントです。 ここをクリック

  2. 「ここをクリック」をクリックします。

    ブラウザでメタデータXMLファイルが開き、次のようなURLが表示されます:

    https://adminconsole.system-name.domain-name/wsapi/rest/saml/metadata/

  3. メタデータXMLファイルURLをコピーします。

  4. ADFSとともにインストールされたシステムから、ブラウザ・ウィンドウを開き、URLを貼り付けます。

  5. ファイルを保存し、.xml拡張子(my-sp-metadata.xmlなど)を使用してください。

  6. AD FS管理コンソールに移動し、フェデレートするアカウントにサインインします。

  7. 信頼できるリライイング・パーティとしてPrivate Cloud Applianceを追加します。

    1. AD FSで、リライイング・パーティ信頼を右クリックし、リライイング・パーティ信頼の追加を選択します。

    2. 「リライイング・パーティ信頼の追加ウィザードのようこそ」ページで、請求認識を選択し、開始をクリックします。

    3. 「データ・ソースの選択」ページで、「リライイング・パーティに関するデータをファイルからインポート」を選択します。

    4. 参照をクリックしてmy-sp-metadata.xmlにナビゲートし、オープンをクリックします。

    5. 「表示名」の指定ページで、表示名を入力し、リライイング・パーティのオプションのノートを追加し、次をクリックします。

    6. 「アクセス制御ポリシーの選択」ページで、付与するアクセスのタイプを選択し、次へをクリックします。

    7. 追加準備完了「信託」ページで設定を確認し、次をクリックしてリライイング・パーティの信頼情報を保存します。

    8. 「終了」ページで、「このアプリケーションの要求発行ポリシーの構成」を選択し、「閉じる」をクリックします。

      「請求発行ポリシーの編集」ダイアログが表示され、次のセクションで開いたままにできます。

リライイング・パーティ要求ルールの追加

信頼できるリライイング・パーティとしてPrivate Cloud Applianceを追加した後、必要な要素(Name IDおよびグループ)がSAML認証レスポンスに追加されるように要求ルールを追加する必要があります。

名前IDルールを追加するには:

  1. 「請求発行ポリシー」の編集ダイアログで、ルールの追加をクリックします。

    「ルール・テンプレートの選択」ダイアログが表示されます。

  2. 請求ルール・テンプレートの場合、受信請求の変換を選択し、次へをクリックします。

  3. 次のように入力します。

    • 要求ルール名: このルールの名前を入力します(例: nameid)。

    • 受信要求タイプ: Microsoft Windowsアカウント名を選択します。

    • 発信要求タイプ: 氏名IDなどの請求タイプを選択します。

    • 送信名IDフォーマット: Persistent Identifierを選択します。

    • すべての要求値をパススルーを選択し、終了をクリックします。

      ルールがルール・リストに表示されます。

「発行変換ルール」ダイアログに、新しいルールが表示されます。

Active Directoryユーザーが100グループを超えない場合、単にグループ・ルールを追加します。 ただし、Active Directoryユーザーが100を超えるグループに属している場合、これらのユーザーはPrivate Cloud Appliance 「サービスWeb UI」を使用するように認証できません。 これらのグループについては、グループ・ルールにフィルタを適用する必要があります。

グループ・ルールを追加するには:

  1. 「発行変換ルール」ダイアログで、ルールの追加をクリックします。

    「ルール・テンプレートの選択」ダイアログが表示されます。

  2. 請求ルール・テンプレートで、カスタム・ルールを使用した請求の送信を選択し、次へをクリックします。

  3. 変換要求ルールの追加ウィザードで、次を入力します:

    1. 要求ルール名: グループを入力します。

    2. カスタム・ルール: カスタム・ルールを入力します。 

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("https://auth.oraclecloud.com/saml/claims/groupName"), query = ";tokenGroups;{0}", param = c.Value);

    3. 「終了」をクリックします。

「発行変換ルール」ダイアログに、新しいルールが表示されます。

証明書失効チェックの無効化

ADFSがSAMLと連携するには、証明書失効リスト(CRL)チェックを無効にする必要があります。

  1. ADFSシステムでPowershellを開き、次のコマンドを入力します。ここで、TRUST_NAMEはリライイング・パーティの信頼の名前です:
    Get-AdfsRelyingPartyTrust -Name '<TRUST_NAME>' | Set-AdfsRelyingPartyTrust -EncryptionCertificateRevocationCheck None -SigningCertificateRevocationCheck None

フェデレーテッド・ユーザーのサインイン情報の提供

フェデレーテッド・ユーザーがPrivate Cloud Appliance 「サービスWeb UI」にログインするには、そのユーザーにURLを指定する必要があります。 また、グループ・マッピングが構成されていることを確認する必要があり、構成されていない場合、フェデレーテッド・ユーザーはPrivate Cloud Applianceで作業できません。