7 Oracle Key Vaultでのシングル・サインオンの構成

アイデンティティ・プロバイダおよびサービス・プロバイダでの構成が完了したら、シングル・サインオン(SSO)用にOracle Key Vaultを構成できます。

• Oracle Key Vaultでのシングル・サインオン認証について
  Oracle Key Vaultは、SAMLベースのシングル・サインオン(SSO)認証をサポートしています。シングル・サインオン(SSO)は、ユーザーが単一のIDで複数の関連する独立したソフトウェア・システムにログインできるようにする認証スキームです。SSO機能を使用すると、SSOをサポートするシステムでOracle Key Vaultを結合できます。
• SAMLシングル・サインオン(SSO)認証の構成
  SSOは、ユーザーが一度認証すればSSOシステムに接続されているすべてのエンタープライズ・リソースにアクセスできるようにするアクセス制御ソリューションです。Oracle Key Vault SAML SSOでは、必要に応じて、アイデンティティ・プロバイダ(IDP)でサポートされているマルチファクタ認証を利用できます。
• Oracle Key Vaultでのシングル・サインオンの管理
  SSO構成は、Oracle Key Vault管理コンソールを使用して簡単に管理できます。
• Oracle Key VaultおよびAzure Active Directoryのシングル・サインオンの構成
  SAMLベースのシングル・サインオン(SSO)用にOracle Key VaultおよびAzure Active Directoryを構成できます。
• Oracle Key VaultおよびADFSのシングル・サインオンの構成
  Oracle Key Vaultは、自己ホスト型プラットフォームのActive Directory Federation Service (ADFS)サーバーでSSOをサポートしています。
• シングル・サインオン構成の管理のガイドライン
  SSO構成の管理に関するこれらのOracle Key Vaultガイドラインを検討してください。

7.1 Oracle Key Vaultでのシングル・サインオン認証について

Oracle Key Vaultは、SAMLベースのシングル・サインオン(SSO)認証をサポートしています。シングル・サインオン(SSO)は、ユーザーが単一のIDで複数の関連する独立したソフトウェア・システムにログインできるようにする認証スキームです。SSO機能を使用すると、SSOをサポートするシステムでOracle Key Vaultを結合できます。

SSO機能のためにアイデンティティ・プロバイダおよびOracle Key Vaultを構成する必要があります。Oracle Key Vault SSOには、次の機能があります。

• SSO認証は、策定された規制に準拠し、効果的なアクセス・レポートを確保するのに役立ちます。
• SSOは、各アプリケーションに必要なログイン回数を減らすことで、ユーザー資格証明データを保護する上で役立ちます。
• IDPでサポートされているSSOにより、マルチファクタ認証(MFA)が提供されます。この場合、ユーザーはアイデンティティ・プロバイダの構成方法を理解する必要があります。

7.2 SAMLシングル・サインオン(SSO)認証の構成

SSOは、ユーザーが一度認証すれば、SSOシステムに接続されているすべてのエンタープライズ・リソースにアクセスできるようにするアクセス制御ソリューションです。Oracle Key Vault SAML SSOでは、必要に応じて、アイデンティティ・プロバイダ(IDP)でサポートされているマルチファクタ認証を利用できます。

• SAMLシングル・サインオン認証の構成について
  ユーザーがアイデンティティ・プロバイダ(IDP)資格証明を使用してOracle Key Vaultにログインできるように、Oracle Key Vaultでシングル・サインオン(SSO)を構成できます。
• Oracle Key Vaultのシングル・サインオン用のアイデンティティ・プロバイダの構成
  Oracle Key VaultとIDP間の接続を構成して、Oracle Key Vaultでシングル・サインオン(SSO)を有効にできます。
• シングル・サインオン(SSO)用のOracle Key Vaultの構成
  IDPで作成された構成は、Oracle Key Vaultで構成する必要があります。
• SSOユーザーとしてのOracle Key Vaultへのログイン
  Oracle Key Vaultで構成されているSSOユーザーは、Oracle Key Vault管理コンソールにログインできます。

7.2.1 SAMLシングル・サインオン認証の構成について

ユーザーがアイデンティティ・プロバイダ(IDP)資格証明を使用してOracle Key Vaultにログインできるように、Oracle Key Vaultでシングル・サインオン(SSO)を構成できます。

システム管理者は、SAMLベースのSSOを使用する前に、Oracle Key VaultでIDPを構成する必要があります。Oracle Key Vaultでは、次のIDPがサポートされています。

1. Active Directory Federation Services (ADFS)
2. Microsoft Azure Active Directory
3. その他

ユーザーは、Oracle Key VaultでSSOユーザー・タイプとしてプロビジョニングされている必要があります。マルチマスター・クラスタ環境では、SSOを有効にするために各ノードを構成する必要があります。

7.2.2 Oracle Key Vaultのシングル・サインオンのアイデンティティ・プロバイダの構成

Oracle Key VaultとIDP間の接続を構成して、Oracle Key Vaultでシングル・サインオン(SSO)を有効にできます。

Oracle Key Vaultは、SAMLベースのSSO認証をサポートしています。複数回ログインしなくても、1つのアプリケーションで認証を行い、異なる場所でサービス・プロバイダにアクセスできます。

• SAML SSO構成
  Oracle Key VaultでSSO構成を開始する前に、アイデンティティ・プロバイダ(IDP)を構成する必要があります。
• SAML署名証明書
  SSOユーザー認証にはSAML署名証明書が必要です。
• ユーザー・プロビジョニングおよび認可
  アイデンティティ・プロバイダ(IDP)は、ユーザー資格証明をサービス・プロバイダ(SP)に提供するためのユーザー・プロビジョニングおよび認可を実行します。
• SAMLリクエスト署名
  ユーザー署名認証には、SAMLリクエスト署名が必要です。

7.2.2.1 SAML SSO構成

Oracle Key VaultでSSO構成を開始する前に、アイデンティティ・プロバイダ(IDP)を構成する必要があります。

IDPは、Oracle Key Vaultからリクエストを受信した後、SAML認証をOracle Key Vaultと共有します。SAMLリクエスト認証の場合、IDPはOracle Key Vaultから受信した公開証明書を使用して署名を検証します。

7.2.2.2 SAML署名証明書

SSOユーザー認証にはSAML署名証明書が必要です。

SAML署名証明書は、IDPによるSSO構成中の重要なステップの1つです。SAML証明書は、SSO機能を使用するためにユーザー・データをサービス・プロバイダに渡すためにIDPを認証します。

7.2.2.3 ユーザー・プロビジョニングおよび認可

アイデンティティ・プロバイダ(IDP)は、ユーザー資格証明をサービス・プロバイダ(SP)に提供するためのユーザー・プロビジョニングおよび認可を実行します。

SAMLベースのSSOを使用する前に、IDPユーザーをOracle Key VaultでSSOユーザー・タイプとしてプロビジョニングする必要があり、適切なロールまたは権限を追加する必要があります。

7.2.2.4 SAMLリクエストの署名

ユーザー署名認証には、SAMLリクエスト署名が必要です。

SAMLリクエスト署名は、署名付きリクエストで受信した署名を認証します。

7.2.3 シングル・サインオン(SSO)用のOracle Key Vaultの構成

IDPで作成された構成は、Oracle Key Vaultで構成する必要があります。

• Oracle Key Vault SAML SSO構成
  アイデンティティ・プロバイダ(IDP)でSSO構成が完了すると、Oracle Key Vault SAML SSO構成が次のステップになります。
• シングル・サインオン構成の追加
  IDPで作成された構成をOracle Key Vaultに追加する必要があります。
• シングル・サインオン・ユーザーの作成
  アイデンティティ・プロバイダ(IDP)から提供されたユーザー名を使用して、Oracle Key VaultでSSOユーザーを作成する必要があります。
• シングル・サインオン(SSO)ユーザーの認証
  SSO機能を使用する前にOracle Key Vaultシングル・サインオン・ユーザーを検証する必要があります。

7.2.3.1 Oracle Key Vault SAML SSO構成

アイデンティティ・プロバイダ(IDP)でSSO構成が完了すると、Oracle Key Vault SAML SSO構成が次のステップになります。

Oracle Key Vaultは、IDPの公開証明書を使用して、受信するSAMLレスポンスの署名を検証します。Oracle Key VaultはSAMLレスポンスを受け入れ、レスポンスをOracle Key Vault管理コンソールにリダイレクトします。

7.2.3.2 シングル・サインオン構成の追加

IDPで作成された構成は、Oracle Key Vaultに追加する必要があります。

SSO機能を使用する前に、Oracle Key VaultにSSO構成を追加する必要があります。IDPを構成したら、次のステップを実行してOracle Key Vaultを構成します。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Systems」タブを選択し、「Single Sign-On Configuration」ナビゲーション・バーを選択します。
3. 「Manage Sign-On Configuration」ページで、「Add」をクリックします。「Add Sign-On Configuration」ページが表示されます。
   
   
   図216_add_sso.pngの説明
   
   
4. 「Identity Provider」フィールドにSSO構成を保存するアイデンティティ・プロバイダ名を入力します。
5. 「Provider Type」ドロップダウン・リストから、サービス・プロバイダを選択します。
6. 「Protocol」ドロップダウンから「SAML 2.0」を選択します。
7. 「SAML Sign in URL」、「SAML Sign Out URL」および「Identity Provider Issuer」に情報を入力します。
8. 「Choose File」をクリックし、アイデンティティ・プロバイダによって発行された署名証明書を「Identity Provider Signing Certificate」フィールドにアップロードします。

   ノート:

   「SAML Sign in URL」、「SAML Sign Out URL」、「Identity Provider Issuer」および「Identity Provider Signing Certificate」フィールドに必要な情報は、IDPから取得されます。詳細は、「Oracle Key VaultおよびAzure Active Directoryのシングル・サインオンの構成」または「Oracle Key VaultおよびADFSのシングル・サインオンの構成」を参照してください。
9. 「Add」をクリックして、指定された情報を保存します。

   ノート:

   既存のシングル・サインオン構成を編集すると、「Edit Sign-On Configuration」ページが表示されます。既存の情報を更新した後、「Save」をクリックする必要があります。

7.2.3.3 シングル・サインオン・ユーザーの作成

アイデンティティ・プロバイダ(IDP)から提供されたユーザー名を使用して、Oracle Key VaultでSSOユーザーを作成する必要があります。

Oracle Key Vaultでは、SAMLレスポンスから抽出されたユーザー・プリンシパルを検証するためにSSOユーザー情報が必要です。Oracle Key VaultでSSOユーザーを作成するには、次のステップを実行します。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Users」タブを選択し、左側のナビゲーション・バーで「Manage Users」を選択します。
3. 「Create」をクリックします。「Create User」ページが表示されます。
   
   
   図216_create_user_sso.pngの説明
   
   
4. 「User Type」ドロップダウン・リストから、「SSO」を選択します。

   ノート:

   ユーザーの作成で「User Type」を表示するには、最初にSSO構成を有効にする必要があります。
5. 「User Name」フィールドにユーザー名を入力します。

   ノート:

   必ずドメイン名とともにユーザー名を入力してください。このユーザー名は、ドメイン名とともにActive Directory (AD)のユーザーと一致する必要があります。
6. 「Full Name」を入力します。
7. 「Save」をクリックします。

7.2.3.4 シングル・サインオン(SSO)ユーザーの認証

SSO機能を使用する前にOracle Key Vaultシングル・サインオン・ユーザーを検証する必要があります。

システム管理者は、要件に基づいて様々なロールおよび権限をSSOユーザーに割り当てます。デフォルトでは、すべてのSSOタイプのユーザーにロールまたは権限が割り当てられていません。

Oracle Key VaultでSSOユーザーを認証するには、次のステップを実行します。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Users」タブを選択し、左側のナビゲーション・バーで「Manage Users」を選択します。
3. 「User Type」ドロップダウン・リストを選択し、「SSO」を選択します。
4. 「User Name」フィールドにユーザー名を入力します。

   ノート:

   SSOの場合のユーザー名は、IDPで作成されたユーザー名である必要があります。Oracle Key Vaultのユーザー・タイプがSAMLベースのSSOである場合、SSOユーザー名は電子メール・アドレスです。
5. 「Full Name」を入力します。
6. 「Save」をクリックします。

7.2.4 SSOユーザーとしてのOracle Key Vaultへのログイン

Oracle Key Vaultで構成されているSSOユーザーは、Oracle Key Vault管理コンソールにログインできます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします
2. 「Systems」タブを選択し、左側のナビゲーション・バーから「Single Sign-On Configuration」を選択します。
3. 「Manage Sign-On Configuration」ページで、「Add」をクリックします。「Add Sign-On Configuration」ページが表示されます。
4. 「Select Provider」から、SSOログインのために有効にするアイデンティティ・プロバイダを選択します。
   
   

   
   図216_manage_sso.pngの説明

   
   
5. Oracle Key Vault管理コンソールからログアウトします。

   SSOがユーザーに対して有効になっている場合、Oracle Key Vaultのログイン画面に「Login with SSO」ボタンが表示されます。

   
   

   
   図216_sso_login.pngの説明

   
   
6. 「Login with SSO」を選択します。IDPのログイン画面にリダイレクトされます。
7. IDPのログイン画面に資格証明を入力します。

7.3 Oracle Key Vaultでのシングル・サインオンの管理

SSO構成は、Oracle Key Vault管理コンソールを使用して簡単に管理できます。

• Oracle Key Vaultシングル・サインオン(SSO)証明書のダウンロード
  サービス・プロバイダとのSSO構成を完了するには、Oracle Key Vault管理コンソールからSSO証明書をダウンロードする必要があります。
• Oracle Key Vaultでのシングル・サインオン(SSO)構成の追加
  Oracle Key Vaultでは、IDPで作成された構成を追加する必要があります。
• シングル・サインオン(SSO)構成の有効化
  SSO構成が完了したら、Oracle Key VaultでSSOを有効にする必要があります。
• シングル・サインオン(SSO)構成の無効化
  無効化機能を使用して、既存のSSO機能を非アクティブ化できます。
• シングル・サインオン構成の削除
  削除機能を使用して、Oracle Key Vault管理コンソールから既存のSSO機能を完全に削除できます。

7.3.1 Oracle Key Vaultシングル・サインオン(SSO)証明書のダウンロード

サービス・プロバイダとのSSO構成を完了するには、Oracle Key Vault管理コンソールからSSO証明書をダウンロードする必要があります。

サービス・プロバイダは、Oracle Key Vaultでの構成を完了するためにSSO証明書を必要とします。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Systems」タブを選択し、「Single Sign-On Configuration」ナビゲーション・バーを選択します。
   「Manage Single Sign-On Configuration」ページが表示されます。
   

   
   図216_manage_sso.pngの説明

   
   
3. 「Manage Single Sign-On Configuration」ページで、「Download Certificate」をクリックしてマシンに証明書をダウンロードします。
4. ダウンロードする場所を選択し、マシン上の証明書を保存します。
5. 「Save」をクリックします。
   指定した場所に証明書がダウンロードされます。

7.3.2 Oracle Key Vaultでのシングル・サインオン(SSO)構成の追加

Oracle Key Vaultでは、IDPで作成された構成を追加する必要があります。

SSO機能を使用する前に、Oracle Key VaultにSSO構成を追加する必要があります。IDPを構成したら、次のステップを実行してOracle Key Vaultを構成します。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Systems」タブを選択し、「Single Sign-On Configuration」ナビゲーション・バーを選択します。
3. 「Manage Single Sign-On Configuration」ページで、「Add」をクリックします。「Add Single Sign-On Configuration」ページが表示されます。
   
   
   図216_add_sso.pngの説明
   
   
4. 「Identity Provider」フィールドにSSO構成を保存するアイデンティティ・プロバイダ名を入力します。
5. 「Provider Type」ドロップダウン・リストから、サービス・プロバイダを選択します。
6. 「SAML Sign in URL」、「SAML Sign Out URL」および「Identity Provider Issuers」に情報を入力します。
7. 「Identity Provider Domain」のURLを入力します。
8. 「Choose File」をクリックし、アイデンティティ・プロバイダによって発行された署名証明書を「Identity Provider Signing Certificate」フィールドにアップロードまたは貼り付けします。

   ノート:

   「SAML Sign in URL」、「SAML Sign Out URL」、「Identity Provider Issuers」および「Identity Provider Signing Certificate」フィールドに必要な情報は、IDPから取得されます。詳細は、「Oracle Key VaultおよびAzure Active Directoryのシングル・サインオンの構成」または「Oracle Key VaultおよびADFSのシングル・サインオンの構成」を参照してください。
9. 「Add」をクリックして、指定された情報を保存します。

   ノート:

   SSO構成を有効にするには、構成を保存した後に有効化機能を実行する必要があります。

7.3.3 シングル・サインオン(SSO)構成の有効化

SSO構成が完了したら、Oracle Key VaultでSSOを有効にする必要があります。

有効化または無効化を使用する前に、SSO機能をOracle Key Vaultで構成する必要があります。

1. 「Manage Single Sign-On Configuration」ページから有効にする「Service Provider」を選択します。
2. 「Enable」をクリックします。
3. 表示されたダイアログ・ボックスで「OK」をクリックします。
4. Oracle Key Vault管理コンソールからログアウトします。
5. Oracle Key Vaultのログイン画面で、「Login with SSO」をクリックします。これにより、サービス・プロバイダのログイン画面が開きます。
6. シングル・サインオン資格証明を使用してログインします。詳細は、「Oracle Key VaultおよびAzure Active Directoryのシングル・サインオンの構成」または「Oracle Key VaultおよびADFSのシングル・サインオンの構成」を参照してください。
   ログインに成功すると、選択したサービス・プロバイダのSSO構成がOracle Key Vaultで有効になります。

7.3.4 シングル・サインオン(SSO)構成の無効化

無効化機能を使用して、既存のSSO機能を非アクティブ化できます。

SSO構成は、無効化機能を使用する前にOracle Key Vaultで有効になります。

1. 「Manage Single Sign-On Configuration」ページから無効にする「Service Provider」を選択します。
2. 「Disable」をクリックします。
3. 表示されたダイアログ・ボックスで「OK」をクリックします。
   選択したサービス・プロバイダのSSO構成がOracle Key Vaultで無効になります。

7.3.5 シングル・サインオン構成の削除

削除機能を使用して、Oracle Key Vault管理コンソールから既存のSSO機能を完全に削除できます。

SSO構成は、削除機能を使用する前に、Oracle Key Vaultの「Manage Single Sign-On Configuration」ページに存在します。

1. 「Manage Single Sign-On Configuration」ページから削除する「Service Provider」を選択します。
2. 「Delete」をクリックします。
3. 表示されたダイアログ・ボックスで「OK」をクリックします。
   選択したサービス・プロバイダのSSO構成がOracle Key Vault管理コンソールから削除されます。

7.4 Oracle Key VaultおよびAzure Active Directoryのシングル・サインオンの構成

SAMLベースのシングル・サインオン(SSO)用にOracle Key VaultおよびAzure Active Directoryを構成できます。

1. Azureポータルで、左側のナビゲーション・ペインで「Azure Active Directory」を選択します
2. Azure Active Directoryで「Enterprise applications」を選択します。
   「Enterprise applications」ページが表示されます。
3. メニュー・バーから「New application」を選択します。「Browse Azure AD Gallery」ページが表示されます。
4. 「Create your own application」を選択します。
5. Oracle Key Vaultのアプリケーション名を指定し、「Integrate any other application you don't find in the gallery (Non-gallery)」を選択します。
6. シングル・サインオンを構成するアプリケーションを選択します
7. 「Getting Started」の「Set up single sign on」に移動します。
8. シングル・サインオンの方法として「SAML」を選択します。
9. 「Set up Single Sign-On with SAML」プレビュー・ページで、「Basic SAML Configuration」セクションに移動します。
10. 「Basic SAML Configuration」の「Edit」をクリックします。
11. APEXサーバーからapex_authentication.saml_metadataに基づいて次の値を入力します。
    • Identifier (Entity ID): https://<okv IP address>/ords/apex_authentication.saml_callback
    • Reply URL: https://<okv IP address>/ords/apex_authentication.saml_callback Logout
    • URL: https://<okv IP address>/ords/apex_authentication.saml_callback
12. 「Save」をクリックします。
13. 「SAML Signing Certificate」の「Edit」をクリックします。
14. 「SAML Singing Certificate」でAzureがレスポンスとアサーションの両方に署名していることを確認します。
15. 変更を保存します。

    ノート:

    後で署名オプションを変更する必要がある場合(たとえば、この手順を忘れた場合)は、必ず証明書を確認してください。このオプションを変更すると、Azureが別のサービスを提供する可能性があります。
16. 「Certificate (Base64)」の「Download」をクリックします。Oracle Key Vaultでは、「Identity Provider Signing Certificate」にこれを使用します。
17. 「Login URL」、「Azure AD Identifier」および「Logout URL」をコピーして、Oracle Key VaultでSAML SSOを構成します。
18. Oracle Key Vault管理コンソールで、「System」、「Setting」、「Single Sign-on」の順に移動します。
19. SAML構成を保存し、SAML認証を有効にします。「SAML Sign In URL」、「SAML Sign Out URL」、「Identity Provider Issuer」およびAzureからダウンロードした「Identity Provider Signing Certificate」が必要です。

• Azure Active Directory (AD)でのOracle Key Vaultのユーザーの追加
  Oracle Key Vaultでシングル・サインオンを使用する前に、ユーザーをAzure ADに追加する必要があります。

7.4.1 Azure Active Directory (AD)でのOracle Key Vaultのユーザーの追加

Oracle Key Vaultでシングル・サインオンを使用する前に、ユーザーをAzure ADに追加する必要があります。

1. Azure資格証明を使用してAzureポータルにログインします。
2. 「Azure Active Directory」をクリックします。
3. 左側のペインで、「Enterprise applications」をクリックします。
4. 「+ New Application」を選択します。
5. 「+ Create your own application」を選択します。
6. 名前フィールドにアプリケーションの名前を指定します。たとえば、「Oracle Key Vault Service」です。
7. 「Integrate any other application you don't find in the galley (Non-gallery)」を選択します。
8. 「Create」をクリックします。アプリケーションの作成に数分かかります。
9. アプリケーションの概要ページで、左側のペインの「Manage」の下にある「Single Sign-On」をクリックします。
10. シングル・サインオンの方法として「SAML」を選択します。
11. 「Set up Single Sign-On with SAML」ページで、「Basic SAML Configuration」セクションに移動します。
12. 「Edit」をクリックします。APEXサーバーからapex_authentication.saml_metadataに基づいて次の値を入力します。
    • Identifier (Entity ID): https://<okv IP address>/ords/apex_authentication.saml_callback
    • Reply URL: https://<okv IP address>/ords/apex_authentication.saml_callback
    • Logout Url: https://<okv IP address>/ords/apex_authentication.saml_callback
13. 「Save」をクリックします。
14. 「SAML Signing Certificate」の「Edit」をクリックします。
15. 「SAML Singing Certificate」で「Signing Option」フィールドに「Sign SAML response and assertion」と表示されていることを確認します。
16. 「Save」をクリックします。

    ノート:

    後で「Signing Option」を変更する場合は必ず証明書を確認してください。このオプションを変更した後、新しい証明書が生成されます。
17. 「Certificate (Base64)」オプションで「Download」をクリックします。この証明書は、Oracle Key Vaultで使用される「Identity Provider Signing Certificate」です。
    オプションとして、「Verification certificates(optional)」の「Edit」をクリックし、Oracle Key Vault管理コンソールのSSO構成ページからダウンロードした証明書をアップロードします。「Require verification certificates」を選択し、「Save」を選択します。
18. 「Set up Node Name」ページで、「Login URL」、「Azure AD Identifier」、「Logout URL」をコピーします。この情報は、Oracle Key VaultでSAML SSOを構成する際に使用できます。

    ノート:

    Oracle Key Vaultに移動して、SAML SSO構成を作成、保存および有効化します。 「SAMLシングル・サインオン(SSO)認証の構成」を参照してください

    。
19. 「Enterprise Application」で、Oracle Key Vaultに移動します。
20. 「Assign users and groups」を選択します。
21. 左側のペインで、「Users and Groups」を選択します。
22. 「+ Add user/group」をクリックします。
23. 「Add Assignment」ペインで、「Users and groups」または「Users」の「None Selected」を選択します。
24. 「Save」をクリックします。
25. 右側の「Users」ペインから、ユーザーを選択します。
26. 「Add Assignment」ペインで、選択したユーザーをOracle Key Vaultエンタープライズ・アプリケーションに割り当てます。
27. ペインの下部にある「Assign」を選択します。
28. 「User and groups」オプションに移動します。
29. 「User and Groups」ページには、Oracle Key Vaultアプリケーションへのアクセス権を持つ割当て済ユーザー情報が表示されます。

7.5 Oracle Key VaultおよびADFSのシングル・サインオンの構成

Oracle Key Vaultは、自己ホスト型プラットフォームのActive Directory Federation Service (ADFS)サーバーでSSOをサポートしています。

Oracle Key VaultでSSOを使用するにはADFSを構成する必要があります。

1. ウィンドウ・メニューから、「Server Manager」をクリックします。
2. 「Tools」メニューの「AD FS Management」をクリックします。
3. 「Service」フォルダから、「Certificates」を選択します。
4. 「Certificates」ウィンドウ・ペインで「Token-signing」オプションをダブルクリックします。
5. 「Certificates」から、「Details」タブを選択します。
6. 「Copy to File...」を選択します。「certificate Export Wizard」ページが表示されます。
7. 「Base-64 encoded X.509 (.CER)」を選択します。
8. 「Next」をクリックし、証明書をadfs_for_okv.cerとして保存します。
9. もう一度「Service」フォルダに移動し、「Relying Party Trust」フォルダを選択します。
10. 右クリックしてメニュー・オプションを開き、「Add Relying Party Trust」を選択します。
11. 「Add Relaing Party Trust Wizard」で、「Claims aware」を選択します。
    
    
    図216_add_relaying_party_trust_wizards.pngの説明
    
    
12. 左側の「Select Data Source」オプションに移動します。
13. 「Enter data about the replying party manually」を選択します。
14. 「Specify Display Name」オプションには、リライイング・パーティの名前を入力します。

    ノート:

    リライイング・パーティ名は、ADFSコマンドでターゲット名として使用されます。
15. 「Configure Certificate」で、「Next」をクリックします。
16. 「Configure URL」で、「Enable support for the SAML 2.0 Web SSO protocol」を選択します。
17. Relying party SAML 2.0 SSO service URL:にhttps://<OKV IP address>/ords/apex_authentication.saml_callbackと入力します。
18. 「Configure Identifier」で、「Relying party trust identifier:」に「https://<OKV IP address>/ords/apex_authentication.saml_callback」と入力します。

    ノート:

    これは、指定されたADFSの一意の識別子である必要があります。
19. 「Choose Access Control Policy」で、「Choose the access control policy」フィールドから必要なアクセス・ポリシーを選択します。
20. 「Ready Add Trust」で、「Next」をクリックします。
21. 「Finish」オプションで、「Configure claim insurance policy for the application」が選択されていることを確認します。
22. 「Close」をクリックします。
    「Edit Claim Issuance Policy」ウィンドウが表示されます。
23. 「Issuance Transform Rules」で、「Add Rule」をクリックします。
24. 「Add transform Claim Rule Wizard」の「Claim Rule Template」で、「Send LDAP Attribute as Claims」を選択します。
25. 「Next」をクリックします。
26. 「Configure Claim Rule」で、「Claim rule name:」に名前を指定し、「Attribute Store」ドロップダウンから「Active Directory」を選択します。
27. 「Mapping of LDAP attributes to outgoing claim types」で、「LDAP Attribute」の「E-Mail-Address」を選択し、「Outgoing Claim Type」の「Name ID」を選択します。
28. 「Add Rule」をクリックして、別のルールを追加します。
29. 再度「Add Transform Claim Rule Wizard」から、「Claim rule template」で「Transform an Incoming Claim」を選択します。
30. 「Next」をクリックします。
31. 「Claim rule name:」の「Configure Claim Rule」で、要求ルール名を指定します。
32. 「Incoming claim type」ドロップダウンから「E-mail Address」を選択します。
33. 「Outgoing claim type」ドロップダウンから「Name ID」を選択します。
34. 「Outgoing name ID format」ドロップダウンから「Email」を選択します。
35. 「Pass through all claim values」を選択します。
36. 「Finish」をクリックします。

    ノート:

    続行する前に、構成したルールが追加され、使用可能であることを確認してください。
37. 「Apply」をクリックします。
38. 「Server Manager」で、「Tools」メニューから「AD FS」管理を選択します。
39. 「Relying Party Trusts」に移動します。
40. 新しく追加したリライイング・パーティの信頼をダブルクリックします。
41. 表示された「Properties」ウィンドウから、「Signature」タブを選択します。
42. 「Add」をクリックして、Oracle Key Vault管理コンソールからダウンロードしたサーバー証明書をアップロードします。
43. 「OK」をクリックします
44. 「Endpoints」タブを選択し、「Add SAML...」をクリックします。
45. 「Endpoint type:」ドロップダウンから「SAML Logout」を選択します。
46. 「Binding」ドロップダウンから「Redirect」を選択します。
47. 「Trusted URL」フィールドに「https://<OKV IP address>/ords/f?p=7700:LOGIN」と入力します。
48. 「OK」、「Apply」の順に選択します。
49. 表示されるWindows PowerShellで、次のコマンドを実行します。
    <target name>.Set-ADFSRelyingPartyTrust -TargetName <target name> -SigningCertificateRevocationCheck None Set-AdfsRelyingPartyTrust -targetname <target name>-SamlResponseSignature MessageAndAssertion

    target nameは、「Specify Display Name」オプションで表示名として指定された名前です。

50. Oracle Key Vaultでは、必ずNTPサーバーを指定し、SAML構成を移入して、SAML認証を有効にします。
51. ログアウトURLはADFSに必要です。

7.6 シングル・サインオン構成の管理に関するガイドライン

SSO構成の管理に関するこれらのOracle Key Vaultガイドラインを検討してください。

Microsoft Azure Active Directory /Active Directory Federation Servicesのガイドライン

• ユーザーは、Oracle Key VaultでSSOユーザー・タイプとしてプロビジョニングされている必要があります。
• マルチマスター・クラスタ環境では、各ノードに独自のSSO構成があります。ログインまたはログアウトのURLとSALメタデータのIPアドレスが異なるため、各ノードには独自のエンタープライズ・アプリケーション(Azure)またはターゲット(ADFS)が必要です。
• マルチマスター・クラスタ環境では、各ノードに独自のSSO構成があります。ログインまたはログアウトのURLとSALメタデータのIPアドレスが異なるため、各ノードには独自のエンタープライズ・アプリケーション(Azure)またはターゲット(ADFS)が必要です。