Microsoft Active Directoryによるフェデレート
フェデレートを使用すると、会社のユーザーは、会社の他のログインですでに使用しているPrivate Cloud Appliance 「コンピュートWeb UI」と同じログイン資格証明を使用できます。 「連邦」に、管理者は既存のアイデンティティ・プロバイダとOracle Private Cloud Applianceの間に信頼関係を作成します。 この関係が確立されると、「コンピュートWeb UI」にアクセスするときに、フェデレーテッド・ユーザーに「シングル・サインオン」のプロンプトが表示されます。
詳細は、「Oracle Private Cloud Applianceコンセプト・ガイド」の「Identity and Access Management概要」の「アイデンティティ・プロバイダによるフェデレート」を参照してください。
複数のActive Directory (AD)アカウントをOracle Private Cloud Applianceとフェデレートできます。 各フェデレーションの信頼は、単一のADアカウント用です。 信頼を作成するには、Oracle Private Cloud Appliance 「コンピュートWeb UI」でいくつかのタスクを実行し、Active Directory Federation Services (ADFS)でいくつかのタスクを実行します。
フェデレーションを開始する前に、次のタスクを完了していることを確認してください:
-
組織用にインストールおよび構成されたMicrosoft ADFS。
-
Oracle Private Cloud ApplianceのグループにマップされるグループをADに作成します。
-
Oracle Private Cloud Appliance 「コンピュートWeb UI」にサインインするユーザーをADに作成します。
ノート:
Oracle Private Cloud ApplianceにマップするADグループに共通プレフィクスを使用することを検討してください。 たとえば、PCA_Administrators、PCA_NetworkAdmins、PCA_InstanceLaunchersなどのADグループ名を使用します。
ADFSからの必須情報の収集
Private Cloud Applianceとフェデレートするには、SAMLメタデータ・ドキュメントと、Private Cloud ApplianceグループにマップするADグループの名前が必要です。
-
ADFSのSAMLメタデータ・ドキュメントを見つけてダウンロードします。 デフォルトの場所は次のとおりです。
https://your_hostname/FederationMetadata/2007-06/FederationMetadata.xml
このドキュメントは、アイデンティティ・プロバイダの作成時にアップロードします。
-
Private Cloud ApplianceグループにマップするすべてのADグループをノートにとります。
重要:
ADをアイデンティティ・プロバイダとして追加する前に、すべてのPrivate Cloud Applianceグループが構成されていることを確認します。
アイデンティティ・プロバイダの自己署名証明書の検証
重要:
ADFS証明書が既知の認証局によって署名されている場合は、この検証ステップをスキップできます。 既知の認証局によって署名されたADFS証明書は、Private Cloud Appliance証明書バンドルにすでに存在している必要があります。
Private Cloud Appliance認証局(CA)は、自己署名OpenSSLによって生成されたルートおよび中間x.509証明書です。 このCA証明書は、x.509サーバー/クライアント証明書を発行するために使用され、外部CA信頼情報をラックに追加できます。 ADFSに自己署名証明書を使用する場合は、ADFSの外部CA信頼情報をラックの管理ノードに追加する必要があります。
ノート:
metadataUrl
プロパティを使用してアイデンティティ・プロバイダを作成または更新する場合は、アイデンティティ・プロバイダwebサーバー証明書チェーンをCAバンドル外のPrivate Cloud Applianceに追加する必要があります。 webサーバー証明書チェーンを検索し、次の手順のステップ3-8を実行する方法については、アイデンティティ・プロバイダのドキュメントを参照してください。
外部CA信託情報の追加
-
ブラウザから、「ADFSからの必須情報の収集」の説明に従って、ADFSのSAMLメタデータ・ドキュメントをダウンロード
-
テキストまたはXMLエディタでファイルを開き、署名証明書セクションを見つけます。 たとえば:
<KeyDescriptor use="signing"> <KeyInfo> <X509Data> <X509Certificate> <!--CERTIFICATE IS HERE--> </X509Certificate> </X509Data> </KeyInfo> </KeyDescriptor>
-
管理ノード1にログオンします。 デフォルトでは、管理ノード1の名前は
pcamn01
です。 -
/etc/pca3.0/vault
に移動し、customer_ca
という名前の新しいディレクトリを作成します。ノート:
このディレクトリは、複数のファイルに使用できます。 たとえば、アイデンティティ・プロバイダ証明書とwebサーバー証明書チェーンのファイルを作成できます。
-
customer_ca
ディレクトリに、拡張子が.pem
の新しいファイルを作成します。 -
<X509Certificate>
タグ・セットと</X509Certificate>
タグ・セットの間にあるFederationMetadata.xmlファイルから証明書をコピーし、その証明書を新しい.pem
ファイルに貼り付けます。 必ず-----BEGIN CERTIFICATE-----
および-----END CERTIFICATE-----
行を含めてください。 たとえば:-----BEGIN CERTIFICATE----- CERTIFICATE CONTENT -----END CERTIFICATE-----
-
保存してファイルを閉じます。
-
次のコマンドを実行して、すべての管理ノードで
ca_outside_bundle.crt
を更新します:python3 /usr/lib/python3.6/site-packages/pca_foundation/secret_service/cert_generator/cert_generator_app.py -copy_to_mns
アイデンティティ・プロバイダの管理
この項では、アイデンティティ・プロバイダの更新方法(期限切れのときにメタデータXMLファイルを更新するなど)と、すべてのアイデンティティ・プロバイダの表示方法、アイデンティティ・プロバイダの詳細の表示方法、アイデンティティ・プロバイダの削除方法についても説明します。
アイデンティティ・プロバイダとしてのActive Directoryの追加
Private Cloud ApplianceでADとフェデレートするには、アイデンティティ・プロバイダとしてADを追加します。 ADをアイデンティティ・プロバイダとして追加するときにアカウント・グループをマップすることも、後でアカウント・グループをマップすることもできます。
重要:
ADをアイデンティティ・プロバイダとして追加する前に、すべてのPrivate Cloud Applianceグループが構成されていることを確認します。
「コンピュートWeb UI」の使用
-
Private Cloud Applianceログインとパスワードを使用してサインインします。
-
ナビゲーション・メニューを開き、アイデンティティ、フェデレーションの順にクリックします。
-
フェデレーション・ページで、アイデンティティ・プロバイダの作成ボタンをクリックします。
-
「アイデンティティ・プロバイダの作成」ダイアログで、次の情報を指定します:
-
表示名
フェデレーテッド・ユーザーが「コンピュートWeb UI」へのサインインに使用するアイデンティティ・プロバイダを選択したときに表示される名前。 この名前は、テナンシに追加するすべてのアイデンティティ・プロバイダで一意である必要があり、変更できません。
-
説明
アイデンティティ・プロバイダのわかりやすい説明。
-
認証コンテキスト
クラス参照の追加をクリックし、リストから認証コンテキストを選択します。
1つ以上の値を指定した場合、Private Cloud Appliance (リライイング・パーティ)は、ユーザーの認証時に、指定した認証メカニズムのいずれかをアイデンティティ・プロバイダが使用することを想定します。 アイデンティティ・プロバイダから返されたSAMLレスポンスには、その認証コンテキスト・クラス参照を持つ認証文が含まれている必要があります。 SAMLレスポンス認証コンテキストがここで指定したものと一致しない場合、Private Cloud Appliance認証サービスはレスポンス・コード400でSAMLレスポンスを拒否します。
-
アサーションの暗号化(オプション)
有効にすると、認可サービスはアイデンティティ・プロバイダからの暗号化されたアサーションを想定します。 アサーションを復号化できるのは、認可サービスのみです。 有効にしない場合、認可サービスは、SAMLトークンが暗号化されていないがSSLで保護されていることを想定しています。
-
強制認証(オプション)
有効にすると、ユーザーは、認可サービスによってリダイレクトされたときに、常にアイデンティティ・プロバイダで認証するよう求められます。 有効にしないと、アイデンティティ・プロバイダとのアクティブなログイン・セッションがすでにあるユーザーは再認証を求められません。
-
メタデータ
SAML 2.0準拠のアイデンティティ・プロバイダから
FederationMetadata.xml
ドキュメントをアップロードします。 ファイルをドラッグ・アンド・ドロップするか、XMLコンテンツを貼り付けることができます。 -
タグ付け(オプション)
「リソース作成時のタグの追加」の説明に従って、フリー・フォームまたは定義済のタグを追加します。 タグは後で適用することもできます。
-
-
アイデンティティ・プロバイダの作成ボタンをクリックします。
新しいアイデンティティ・プロバイダにOCIDが割り当てられ、フェデレーション・ページに表示されます。
アイデンティティ・プロバイダをテナンシに追加したら、「グループ・マッピングの作成」の説明に従って、Private Cloud ApplianceとActive Directoryの間のグループ・マッピングを作成します。
アイデンティティ・プロバイダのリスト
テナンシのすべてのアイデンティティ・プロバイダをリストするには、この手順を使用します。
「コンピュートWeb UI」の使用
-
ナビゲーション・メニューを開き、アイデンティティをクリックしてからフェデレーションをクリックします。
「フェデレーション」ページが開き、このテナンシで構成されているすべてのアイデンティティ・プロバイダのリストが表示されます。
OCI CLIの使用
-
次の情報を取得します:
-
テナンシのOCID (
oci iam compartment list -include-root
) -
フェデレーションに使用されるプロトコル(
SAML2
)
-
-
アイデンティティ・プロバイダ・リスト・コマンドを実行します。
$ oci iam identity-provider list -c ocid1.tenancy.unique_ID \ --protocol SAML2
アイデンティティ・プロバイダの詳細の表示
特定のアイデンティティ・プロバイダの詳細情報を表示するには、この手順を使用します。
アイデンティティ・プロバイダに表示される詳細には、OCID、認証コンテキストおよびリダイレクトURLなどの設定が含まれます。
「コンピュートWeb UI」の使用
-
ナビゲーション・メニューを開き、アイデンティティをクリックしてからフェデレーションをクリックします。
このテナンシで構成されているアイデンティティ・プロバイダがリストされます。
-
詳細を表示するアイデンティティ・プロバイダについて、アクション・メニューをクリックし、詳細の表示をクリックします。
そのアイデンティティ・プロバイダの詳細ページが表示されます。
OCI CLIの使用
-
アイデンティティ・プロバイダのOCIDを取得します(
oci iam identity-provider list
) -
アイデンティティ・プロバイダgetコマンドを実行します。
$ oci iam identity-provider get --identity-provider-id ocid1.identityprovider.unique_ID
アイデンティティ・プロバイダの更新
「コンピュートWeb UI」の使用
-
ナビゲーション・メニューを開き、アイデンティティをクリックしてからフェデレーションをクリックします。
このテナンシで構成されているアイデンティティ・プロバイダがリストされます。
-
更新するアイデンティティ・プロバイダに対して、アクション・メニューをクリックし、編集をクリックします。
-
次のいずれかの情報を変更できます。 詳細は、「アイデンティティ・プロバイダとしてのActive Directoryの追加」のステップ4を参照してください。 これらの変更の一部がフェデレーションに与える影響を考慮してください。
-
説明
-
認証コンテキスト
クラス参照を追加または削除します。
-
アサーションの暗号化
アイデンティティ・プロバイダから暗号化されたアサーションを有効または無効にします。
-
強制認証
アイデンティティ・プロバイダからのリダイレクト認証を有効または無効にします。
-
メタデータ
アイデンティティ・プロバイダから新しいFederationMetadata.xmlドキュメントをアップロードします。
-
タグ付け
フリー・フォームまたは定義済タグを追加または削除します。
-
-
アイデンティティ・プロバイダの更新ボタンをクリックします。
アイデンティティ・プロバイダの削除
フェデレーテッド・ユーザーがPrivate Cloud Applianceにログインするためのオプションを削除する場合は、アイデンティティ・プロバイダを削除する必要があります。 アイデンティティ・プロバイダを削除すると、関連するすべてのグループ・マッピングも削除されます。
「コンピュートWeb UI」の使用
-
ナビゲーション・メニューを開き、アイデンティティをクリックしてからフェデレーションをクリックします。
このテナンシで構成されているアイデンティティ・プロバイダがリストされます。
-
削除するアイデンティティ・プロバイダに対して、アクション・メニューをクリックし、削除をクリックします。
-
Delete Identity Providerプロンプトで、Confirmをクリックします。
成功ポップアップが一時的に表示され、アイデンティティ・プロバイダはフェデレーション・リストに表示されなくなります。
アイデンティティ・プロバイダのグループ・マッピングの操作
グループ・マッピングを使用する場合は、次の点に注意してください:
-
特定のADグループが単一のPrivate Cloud Applianceグループにマップされます。
-
Private Cloud Applianceグループ名にはスペースを含めることはできず、後で変更できません。 使用できる文字は、文字、数字、ハイフン、ピリオド、アンダースコアおよびプラス記号(+)です。
-
グループ・マッピングは更新できません。 マッピングを削除し、新しいマッピングを追加できます。
グループ・マッピングの作成
アイデンティティ・プロバイダを作成したら、ADFSグループからPrivate Cloud Applianceグループへのマッピングを作成する必要があります。
マップするアイデンティティ・プロバイダ・グループごとに、次の手順を繰り返します。
「コンピュートWeb UI」の使用
-
ナビゲーション・メニューを開き、アイデンティティをクリックしてからフェデレーションをクリックします。
このテナンシで構成されているアイデンティティ・プロバイダがリストされます。
-
グループ・マッピングを作成するアイデンティティ・プロバイダをクリックします。
そのアイデンティティ・プロバイダの詳細ページが表示されます。
-
リソース・セクションまでスクロールし、グループ・マッピングをクリックします。
このアイデンティティ・プロバイダのグループ・マッピングがリストされます。
-
マッピングの追加ボタンをクリックします。
「IDPグループ・マッピングの作成」ダイアログが表示されます。
-
名前フィールドに、アイデンティティ・プロバイダ・グループの「正確な」名を入力します。
-
グループ・リストから、アイデンティティ・プロバイダ・グループにマップするPrivate Cloud Applianceグループを選択します。
-
Create IDP Group Mappingをクリックします。
新しいグループ・マッピングがリストに表示されます。
グループ・マッピングの表示
「コンピュートWeb UI」の使用
-
ナビゲーション・メニューを開き、アイデンティティをクリックしてからフェデレーションをクリックします。
このテナンシで構成されているアイデンティティ・プロバイダがリストされます。
-
アイデンティティ・プロバイダの名前をクリックします。
そのアイデンティティ・プロバイダの詳細ページが表示されます。
-
リソース・セクションまでスクロールし、グループ・マッピングをクリックします。
このアイデンティティ・プロバイダのグループ・マッピングがリストされます。
グループ・マッピングの削除
削除するアイデンティティ・プロバイダ・グループごとに、次の手順を繰り返します。
「コンピュートWeb UI」の使用
-
ナビゲーション・メニューを開き、アイデンティティをクリックしてからフェデレーションをクリックします。
このテナンシで構成されているアイデンティティ・プロバイダがリストされます。
-
グループ・マッピングを削除するアイデンティティ・プロバイダをクリックします。
そのアイデンティティ・プロバイダの詳細ページが表示されます。
-
リソース・セクションまでスクロールし、グループ・マッピングをクリックします。
このアイデンティティ・プロバイダのグループ・マッピングがリストされます。
-
削除するグループ・マッピングについて、処理メニューをクリックし、削除をクリックします。
-
プロンプトが表示されたら、確認をクリックします。
成功ポップアップが簡潔に表示され、アイデンティティ・プロバイダ・グループ・マッピングがグループ・マッピング・リストに表示されなくなります。
ADFSでの信頼できるリライイング・パーティとしてのOracle Private Cloud Applianceの追加
フェデレーション・プロセスを完了するには、ADFSで信頼できるリライイング・パーティとしてPrivate Cloud Applianceを追加し、関連するリライイング・パーティ要求ルールを追加する必要があります。
-
フェデレーション・ページの「コンピュートWeb UI」で、次のテキスト・ブロックを表示します:
Microsoft Active Directory Federation Servicesまたは他のSAML 2.0準拠アイデンティティ・プロバイダとの信頼を設定する場合は、Private Cloud Applianceフェデレーション・メタデータ・ドキュメントが必要です。 これは、Private Cloud Applianceエンドポイントおよび証明書情報を説明するXMLドキュメントです。 ここをクリック
-
"Click Here"をクリックします。
ブラウザでメタデータXMLファイルが開き、次のようなURLが表示されます:
https://console.system-name.domain-name/wsapi/rest/saml/metadata/ocid1.tenancy.unique_ID
-
メタデータXMLファイルURLをコピーします。
-
ADFSとともにインストールされたシステムから、ブラウザ・ウィンドウを開き、URLを貼り付けます。
-
ファイルを保存し、
.xml
拡張子を使用してください。 たとえば、my-sp-metadata.xml
です。 -
AD FS管理コンソールに移動し、フェデレートするアカウントにサインインします。
-
信頼できるリライイング・パーティとしてPrivate Cloud Applianceを追加します。
-
AD FSで、リライイング・パーティ信頼を右クリックし、リライイング・パーティ信頼の追加を選択します。
-
「リライイング・パーティ信頼の追加ウィザードのようこそ」ページで、請求認識を選択し、開始をクリックします。
-
「データ・ソースの選択」ページで、「リライイング・パーティに関するデータをファイルからインポート」を選択します。
-
参照をクリックして
my-sp-metadata.xml
ファイルに移動し、開くをクリックします。 -
「表示名」の指定ページで、表示名を入力し、リライイング・パーティのオプションのノートを追加し、次をクリックします。
-
「アクセス制御ポリシーの選択」ページで、付与するアクセスのタイプを選択し、次へをクリックします。
-
追加準備完了「信託」ページで設定を確認し、次をクリックしてリライイング・パーティの信頼情報を保存します。
-
終了ページで、「このアプリケーションの要求発行ポリシーを構成」を選択し、閉じるをクリックします。
「請求発行ポリシーの編集」ダイアログが表示され、次のセクションで開いたままにできます。
-
リライイング・パーティ要求ルールの追加
信頼できるリライイング・パーティとしてPrivate Cloud Applianceを追加した後、必要な要素(Name IDおよびグループ)がSAML認証レスポンスに追加されるように要求ルールを追加する必要があります。
名前IDルールを追加するには:
-
「請求発行ポリシー」の編集ダイアログで、ルールの追加をクリックします。
「ルール・テンプレートの選択」ダイアログが表示されます。
-
請求ルール・テンプレートの場合、受信請求の変換を選択し、次へをクリックします。
-
次のように入力します。
-
要求ルール名: このルールの名前を入力します。 たとえば、
nameid
です。 -
受信要求タイプ: Microsoft Windowsアカウント名を選択します。
-
発信要求タイプ: 氏名IDなどの請求タイプを選択します。
-
送信名IDフォーマット: Persistent Identifierを選択します。
-
すべての要求値をパススルーを選択し、終了をクリックします。
ルールがルール・リストに表示されます。
-
「発行変換ルール」ダイアログに、新しいルールが表示されます。
ADユーザーが100グループ以下の場合は、グループ・ルールを追加します。 ただし、ADユーザーが100を超えるグループに属している場合、これらのユーザーはPrivate Cloud Appliance 「コンピュートWeb UI」を使用するように認証できません。 これらのグループについては、グループ・ルールにフィルタを適用する必要があります。
グループ・ルールを追加するには:
-
「発行変換ルール」ダイアログで、ルールの追加をクリックします。
「ルール・テンプレートの選択」ダイアログが表示されます。
-
請求ルール・テンプレートで、カスタム・ルールを使用した請求の送信を選択し、次へをクリックします。
-
変換要求ルールの追加ウィザードで、次を入力します:
-
要求ルール名: グループを入力します。
-
カスタム・ルール: カスタム・ルールを入力します。
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("https://auth.oraclecloud.com/saml/claims/groupName"), query = ";tokenGroups;{0}", param = c.Value);
-
「終了」をクリックします。
-
「発行変換ルール」ダイアログに、新しいルールが表示されます。
証明書失効チェックの無効化
ADFSがSAMLと連携するには、証明書失効リスト(CRL)チェックを無効にする必要があります。
- ADFSシステムでPowershellを開き、次のコマンドを入力します。ここで、
TRUST_NAME
はリライイング・パーティの信頼の名前です:Get-AdfsRelyingPartyTrust -Name '<TRUST_NAME>' | Set-AdfsRelyingPartyTrust -EncryptionCertificateRevocationCheck None -SigningCertificateRevocationCheck None
グループのポリシーの設定
フェデレーテッド・ユーザーがPrivate Cloud Applianceリソースに対して持つアクセスを制御するポリシーを構成します。 ポリシーの一般情報は、「Oracle Private Cloud Applianceコンセプト・ガイド」の「Identity and Access Management概要」の「ポリシーの仕組み」を参照してください。 詳細については、「ポリシーの管理」を参照してください。