3.3.1 アイデンティティ・プロバイダとしてのOracle IAMの使用

Oracle IAMをアイデンティティ・プロバイダとして使用し、アプリケーションへのアクセスを管理できます。

1. Oracle Cloud Infrastructureコンソールで、アプリケーションを機密アプリケーションとして追加します。Oracle Cloud Infrastructureドキュメントの機密アプリケーションの追加を参照してください。
   

   機密アプリケーションを追加する際に、次のタスクを実行します:

   1. 「OAuthの構成」ペインの「リソース・サーバー構成」で、「後にスキップ」をクリックします。
   2. 「OAuthの構成」ペインで、「このアプリケーションをクライアントとして今すぐ構成します」をクリックし、次のオプションを選択します:
      • リソース所有者
      • クライアント資格証明
      • JWTアサーション
      • リフレッシュ・トークン
      • 認可コード
      • HTTPSのURLを許可: オプション。HTTPSなしのリダイレクトURLを追加する場合のみ、このオプションを選択します。このオプションを選択しない場合、HTTPS URLのみがサポートされます。
      • リダイレクトURLの追加: 認証後にユーザーがリダイレクトされるアプリケーションURLを入力します。
   3. Web層のポリシー構成はスキップします。
   アプリケーションが作成されます。
2. 「アクティブ化」をクリックして、アプリケーションをアクティブ化します。
3. 「一般情報」の「クライアントID」および「クライアント・シークレット」の値を書き留めます。
4. 「ユーザー」をクリックし、アプリケーションにユーザーを割り当てます。Oracle Cloud Infrastructureドキュメントのカスタム・アプリケーションへのユーザーの割当てを参照してください。
5. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。作業するアイデンティティ・ドメインを選択します。
   アイデンティティ・ドメインの「ドメイン情報」タブが表示されます。
6. このタブから、「ドメインURL」をコピーします。たとえば、https://idcs-a83e4de370ea4db1b8c703a0b742ce74.identity.oraclecloud.comです。検出URLを実行する際にこの情報が必要になります。
7. 署名証明書のクライアント・アクセスを有効にします。デフォルトでは、アクセスはサインイン・ユーザーのみに制限されています。Docker、KubernetesおよびIstioでこの証明書にアクセスするには、クライアント・アクセスを有効にする必要があります。
   1. 作業するアイデンティティ・ドメインを選択し、「設定」、「ドメイン設定」の順にクリックします。
   2. 「署名証明書へのアクセス」のスイッチをオンにして、クライアントがIAMにログインせずにテナントの署名証明書にアクセスできるようにします。
   3. 「保存」をクリックしてデフォルト設定を保存します。
   4. ログインせずに証明書にアクセスできるかどうかを確認するには、新しいブラウザ・ウィンドウで次のリンクを入力します。

      https://<yourtenant>.identity.oraclecloud.com/admin/v1/SigningCert/jwk

      ここで、<yourtenant>はOracle Cloud Infrastructureテナンシの詳細です。

      Oracle Cloud Infrastructureにログインせずにリンクを開くことができるはずです。