Oracle GoldenGate用のMicrosoft Azure EntraIDの構成

認可プロファイルを作成するときに、Oracle GoldenGateではEntra IDセキュリティ・グループを認可用の4つのロール(セキュリティ、管理者、オペレータ、ユーザー)にマップします。グループに属するEntra IDユーザーには、Oracle GoldenGateの対応するマップされたロールがあります。

Microsoft Azure EntraIDポータルで、次のタスクを実行して、Oracle GoldenGateにマップするユーザー・グループを構成します:

1. EntraIDに適切なユーザーおよびセキュリティ・グループを作成します。それぞれのOracle GoldenGateユーザー・ロール(セキュリティ、管理、オペレータ、ユーザー)にマップされる4つのセキュリティ・グループが必要です。グループ名は任意の名前にできます。
   
   

2. 「Overview 」ページで、「Add」、「Enterprise Application」の順に選択します。

   
   
   

3. 「Create your own application」をクリックします。

   
   
   

4. アプリケーションに名前を付け、「Register an application to integrate with Microsoft Entra ID」を選択し、「Create」をクリックします。

   
   
   

5. アプリケーションを登録するには、「Accounts in this organizational directory only (... - Single tenant)」を選択します。

   
   
   

6. Entra IDの「Overview」ページに戻り、「Manage」で「Enterprise applications」を選択し、前に作成したアプリケーション名を検索します。

7. 「Manage」で、「Users and groups」を選択します。ユーザー/グループの追加をクリックします。

   
   
   

8. このアプリケーションに割り当てるグループを検索して選択し、選択したグループが右側のペインに表示されることを確認します。

   
   
   
   
   
9. すべてのグループを選択し、「Select」、「Assign」の順にクリックします。

   ノート:

   前のステップで作成したすべてのEntra IDセキュリティ・グループをこのアプリケーションに割り当ててください。

   
   
   

10. (オプション)次の手順に従って、アプリケーション所有者を割り当てます:

    1. 「Manage」で、「Owners」を選択します。

    2. 「追加」をクリックします。

    3. 所有者を検索して選択します。

    4. 選択した所有者が右側のペインに表示されることを確認します。

11. クライアント・シークレットを作成してアプリケーションを登録します:

    1. Microsoft Entra IDの「Overview」ページに戻ります

    2. 「App registrations」を選択し、「All Applications」を選択します。

       
       
       

    3. ステップ2で作成したアプリケーション名を検索して選択します。

    4. アプリケーションの詳細が表示されます。「Application (client) ID」および「Directory (tenant) ID」をメモします。

       
       
       

       「Client ID」、「Tenant ID」および「Client Secret」の値をメモします。これらの値は、Oracle GoldenGateで認可プロファイルを構成するときに使用します。

       テナントIDは、次の例に示すように、テナント検出URIの作成に使用されます:

       https://login.microsoftonline.com/{tenantID}/v2.0/.well-known/openid-configuration

    5. 「Manage」で、「Certificates & secrets」を選択します

    6. 「Client secrets」を選択し、「New client secret」をクリックします。

       
       
       

    7. 説明を追加し、有効期限を選択します。

    8. 「追加」をクリックします。クライアント・シークレットの「Value」をメモします。

       
       
       

12. OGGアプリケーションのトークン構成を作成します:

    1. ナビゲーション・ペインの「Manage」で、「Token configuration」を選択します。

    2. 「Add groups claim」をクリックし、「Groups assigned to the application (...)」を選択して、「Add」をクリックします。
       
       

13. GoldenGateサービス・アプリケーション・ロールを作成します。

    
    

    

    
    

    1. ナビゲーション・ペインの「Manage」で、「App Roles」を選択します。

    2. 「Create app role」をクリックし、表示名を指定します。

    3. 「Allowed member types」で、「Applications」を選択します。

    4. 「Value」に「urn:ogg:serviceToService」を設定して、説明を入力します。

    5. 「Do you want to enable this app role?」を選択し、「Apply」をクリックします。

14. GoldenGateサービス・アプリケーション・ロールにAPI権限を追加し、管理者の同意を付与します:

    
    

    

    
    

    1. 「Manage」で、「API permissions」を選択します。

    2. 「Add a permission」をクリックします。

    3. 「APIs my organization uses」をクリックします。

    4. ステップ2で作成したアプリケーションを検索します。

    5. 「Application permissions」をクリックします。

    6. 「urn:ogg:serviceToService」を選択し、「Add permissions」をクリックします。

       
       
       

    7. 権限が、「Configured permissions」に表示されます。

       
       
       

    8. 「urn:ogg:serviceToService」をクリックします。

    9. ポップアップで、「Admin consent required」が「Yes」に設定されていることを確認します。

       
       
       

15. 「Microsoft Graph」の「Application.ReadWrite.All」 API権限をアプリケーションに追加し、管理の同意を付与します。

    1. 「Add a permission」をクリックし、ポップアップ・ウィンドウから「Microsoft Graph」を選択します。

       
       
       

    2. 「Application permissions」を選択します。

       
       
       

    3. 「Application.ReadWrite.All」を検索して選択します。

    4. 「Add permissions」をクリックします。

    5. urn:ogg:serviceToServiceに同意を付与したときと同じ手順をApplication.ReadWrite.Allに対して実行します。

16. 「Manifest」でトークン・リクエストのプロパティを手動で更新します。

    次のオプションは他のメニューには表示されないため、次の図に示すように手動で設定する必要があります:

    
    
    
    
    

    「Manifest」でトークン・リクエストを手動で更新します。

    「Manage」で、「Manifest」をクリックします。

    1. JSONの/optionalClaims/accessToken/additionalPropertiesに、値cloud_displaynameを追加します。

    2. JSONの/optionalClaims/idToken/additionalPropertiesに、値cloud_displaynameを追加します。

    3. JSONの/optionalClaims/saml2Token/additionalPropertiesに、値cloud_displaynameを追加します。

    4. JSONの/api/requestedAccessTokenVersionの値を2に設定します。

       
       
       

    5. マニフェストを保存します。

       
       
       

17. (オプション)アプリケーション認証のリダイレクトURLを作成します。

    1. 「Microsoft Entra ID」の「Enterprise applications」で、ステップ2で作成したアプリケーションを選択します。

    2. 「Manage」で、「Properties」をクリックし、「application registration」リンクをクリックします。

       
       
       

    3. 「Manage」で、「Authentication」をクリックし、「Add a platform」をクリックします。

    5. 「Web」をクリックします。
       
       

18. 「Configure Web」ダイアログ・ボックスで、「Redirect URIs」と入力します。

    サービス・マネージャ・デプロイメントの場合は、サービス・マネージャのパス/services/v2/authorizationを追加する必要があります。

    Microservicesデプロイメントごとに、管理サービスのパス/services/v2/authorizationを追加する必要があります。

    
    
    

19. 「Configure」をクリックします。

次のステップでは、Microsoft Azure EntraIDのRootCA証明書をダウンロードし、サービス・マネージャの共有RootCA証明書に追加します。

ルート認証局を設定したら、このトピックで作成した値を使用して、Oracle GoldenGate認可プロファイルを構成できます。「認可プロファイルの作成」を参照してください。

Microsoft EntraID AzureのルートCA証明書の追加

Oracle GoldenGateで認可プロファイルの作成を開始する前に、Azureのルート認証局を追加する必要があります。ルートCA証明書を信頼できる証明書としてOracle GoldenGateデプロイメントに追加します:

1. 次の場所からAzureルートCA証明書をダウンロードします:
   https://learn.microsoft.com/en-us/azure/security/fundamentals/azure-ca-details?tabs=root-and-subordinate-cas-list#root-certificate-authorities

   必要なのはルート認証局のみです。

2. 任意のLinuxオペレーティング・システムまたはMac OSでopensslコマンドを使用して、crtからダウンロードした証明書をpem形式に変換します。

   openssl x509 -in <crt_file> -out <pem_file_name> -outform pem

   たとえば:

   openssl x509 -in DigicertRootGlobalCA.crt -out DigicertRootGlobalCA.pem -outform pem

   Oracle GoldenGateオンプレミスまたはOCI Marketplace GoldenGateイメージを使用している場合、サービス・マネージャのWebインタフェースを介して、これらのルートCA証明書を信頼できる証明書としてアップロードする必要があります。

3. 「Certificate Management」メニューでサービス・マネージャを見つけて、「CA Certificates +」をクリックします。
4. ファイルのアップロード・ボタンをクリックして、変換された.pemファイルをアップロードします。
   
   

   

   
   
5. 一意の名前を指定し、証明書が「Shared」であることを確認して、「Submit」をクリックします。