機械翻訳について

シングル・サインオンを使用したOracle Fusion Data Intelligenceへのユーザー・アクセスの設定

シングル・サインオンを使用して、Oracle Fusion Cloud ApplicationsのユーザーがOracle Fusion Data Intelligenceにアクセスする方法を設定できます。 この設定により、ユーザー名とパスワードの管理方法が簡略化されます。 Oracle Fusion Data Intelligenceインスタンスを作成する前に、この設定を完了する必要があります。ただし、Oracle Fusion Data Intelligenceインスタンスの作成後にさらに設定が必要であることが示されている場合を除きます。

トピック:

• シングル・サインオンを使用したOracle Fusion Data Intelligenceへのユーザー・アクセスの設定について
• 単一のクラウド・アカウントの場合のユーザー・アクセスの設定
• 個別のクラウド・アカウントの場合のユーザー・アクセスの設定

シングル・サインオンを使用したOracle Fusion Data Intelligenceへのユーザー・アクセスの設定について

シングル・サインオンを使用すると、アプリケーション間でのユーザー・アクセスの管理が簡素化されます。

Oracle Fusion Data Intelligenceのユーザーは、主にOracle Fusion Cloud Applicationsユーザーであり、アイデンティティ・プロバイダでOracle Fusion Data Intelligence専用に作成するユーザーです。 シングル・サインオンを使用したこれらのユーザーのOracle Fusion Data Intelligenceへのアクセスの設定は、クラウド・アカウントで使用可能なアイデンティティ・ドメインによって異なります。

Oracle Cloudリージョンでは、Oracle Cloud Infrastructure Identity and Access Management (IAM)アイデンティティ・ドメインを使用します。 「アイデンティティ・ドメインの概要」を参照してください。 クラウド・アカウントにアイデンティティ・ドメインが存在することを簡単に判断できます。 Oracle Cloud Infrastructureコンソールで、「アイデンティティ&セキュリティ」に移動します。 「アイデンティティ」で、「ドメイン」を確認します。

次のいずれの場合も、シングル・サインオンを使用して、Oracle Fusion Data Intelligenceへのユーザー・アクセスを設定します:

• Oracle Fusion Cloud ApplicationsとOracle Fusion Data Intelligenceは、同じクラウド・アカウントでアクティブ化されます。これは、Oracle Fusion Data IntelligenceとOracle Fusion Cloud Applicationsの間のセキュリティ統合を設定する際の時間、コストおよび複雑さを節約し、継続的な同期パフォーマンスを向上させるため、強くお薦めします。
• Oracle Fusion Cloud ApplicationsおよびOracle Fusion Data Intelligenceは、異なるクラウド・アカウントでアクティブ化されます。 これにより、Oracle Fusion Data IntelligenceとOracle Fusion Cloud Applicationsの間のセキュリティ統合を設定する際に、追加の時間、コストおよび複雑さが発生し、進行中の同期のパフォーマンスが低下します。

単一のクラウド・アカウントの場合のユーザー・アクセスの設定

Oracle Fusion Cloud ApplicationsとOracle Fusion Data Intelligenceが同じクラウド・アカウントでアクティブ化され、クラウド・アカウントがアイデンティティ・ドメインを提供している場合、シングル・サインオンを使用してOracle Fusion Data Intelligenceへのユーザー・アクセスを設定します。

Oracle Fusion Cloud Applicationsと同じクラウド・アカウントでOracle Fusion Data Intelligenceがアクティブ化されているOracle Fusion Cloud Applicationsの新規ユーザーで、クラウド・アカウントがアイデンティティ・ドメインを提供している場合は、次のステップを実行します:

1. Oracle Fusion Data IntelligenceのJWTベース認証を設定します。
   「JWT認証プロバイダの構成」を参照してください。 「トークン・ベース認証の構成」で、信頼できる発行者としてFAWServiceJWTIssuerを入力していることを確認します。
2. Oracle Cloud Infrastructureコンソールを使用し、次のポリシーを追加して、Oracle Fusion Cloud Applicationsに関連付けられたアイデンティティ・ドメインのユーザーがOracle Fusion Data Intelligenceコンパートメントにアクセスできるようにします:

   Allow group '<DomainName>'/'<GroupName>' to manage analytics-warehouses in 
         tenancy
         Allow group '<DomainName>'/'<GroupName>' to manage
           analytics-instances in 
         tenancy
         Allow group '<DomainName>'/'<GroupName>' to manage
           autonomous-database-family 
         in tenancy
         Allow group '<DomainName>'/'<GroupName>' to manage all-resources
           in 
         compartment <compartment name>

   「ポリシーの管理」の「ポリシーを作成するには」を参照してください。

3. 後で使用するために、Oracle Fusion Cloud ApplicationsインスタンスのURLをテキスト・ファイルにコピーして貼り付けます。 Oracle Fusion Data Intelligenceインスタンスの作成時に、このURLをソースOracle Fusion Cloud Applicationsとして指定します。
4. Oracle Cloud Infrastructureで、クラウド・アカウント管理者資格証明を使用して、Oracle Fusion Cloud ApplicationsサービスとOracle Fusion Data Intelligenceサービスの両方がアクティブ化されているクラウド・アカウントにサインインします。
5. Oracle Cloud Infrastructureサインイン・ページで、Oracle Fusion Data Intelligenceインスタンスの作成時にソースとして指定するOracle Fusion Cloud Applicationsインスタンスに対応するドメインを選択します。
6. Oracle Cloud Infrastructureコンソールで、「ナビゲーション」メニュー・アイコンをクリックし、「アナリティクス & AI」をクリックしてから、Data IntelligenceをクリックしてOracle Fusion Data Intelligenceインスタンスを作成します。
   「Oracle Fusion Data Intelligenceサブスクリプション・インスタンスの作成」を参照してください。

個別のクラウド・アカウントの場合のユーザー・アクセスの設定

Oracle Fusion Cloud ApplicationsとOracle Fusion Data Intelligenceが別々のクラウド・アカウントでアクティブ化され、両方のクラウド・アカウントがアイデンティティ・ドメインを提供している場合、シングル・サインオンを使用してOracle Fusion Data Intelligenceへのユーザー・アクセスを設定します。

アイデンティティ・ドメインを提供する別の新しいクラウド・アカウントでOracle Fusion Data Intelligenceがアクティブ化されたアイデンティティ・ドメインを提供するクラウド・アカウントのOracle Fusion Cloud Applicationsの新しいユーザーの場合、次のステップを実行します:

1. 後で使用するために、Oracle Fusion Cloud ApplicationsインスタンスのURLをテキスト・ファイルにコピーして貼り付けます。
   Oracle Fusion Data Intelligenceインスタンスの作成時に、このURLをソースOracle Fusion Cloud Applicationsとして指定します。
2. Oracle Fusion Data Intelligenceをアクティブ化して、Oracle Fusion Data Intelligenceにサインインできるユーザーの認証および認可を制御するドメインをクラウド・アカウントに作成します。
   Oracle Fusion Data Intelligenceには適用されないため、「無料」ドメイン・タイプを選択しますが、Freeドメイン・タイプに指定された制限は無視してください。 「コンソールの使用」の「アイデンティティ・ドメインの作成」および「アイデンティティ・ドメインの作成」を参照してください。
3. Oracle Fusion Cloud Applicationsインスタンスに関連付けられたアイデンティティ・ドメインからのユーザー、グループおよびグループ・マッピングの同期を有効にするために、Oracle Fusion Data Intelligenceをアクティブ化したクラウド・アカウントで作成したアイデンティティ・ドメインのGenericSCIMテンプレートを構成します。
   GenericSCIMテンプレートの構成時に、「GenericScim - クライアント資格証明」テンプレートを使用し、「プロビジョニング操作の選択」で「認可同期」を選択します。 「接続の構成」セクションで、ホスト名がこのサンプル形式(httpsなし)であることを確認: idcs-123456abcde123.identity.oraclecloud.com. 「汎用SCIMアプリケーション・テンプレートの構成」を参照してください。
4. Oracle Fusion Cloud Applicationsに関連付けられているアイデンティティ・ドメインと、Oracle Fusion Data Intelligenceに関連付けられているアイデンティティ・ドメインとの間にシングル・サインオンを構成します。
   「2つのアイデンティティ・ドメイン間のシングル・サインオンの構成」を参照してください。
5. Oracle Cloud Infrastructureコンソールで、Oracle Cloud Infrastructureポリシーを作成して、ドメイン・ユーザーがOracle Fusion Data Intelligenceインスタンスを作成できるようにします。
   ポリシーの作成時に、Oracle Fusion Data Intelligenceインスタンスを作成するアイデンティティ・ドメインを選択し、次のポリシー・ステートメントを入力します:

   • グループ'<DomainName>'/'<GroupName>'にテナンシ内のアナリティクス・ウェアハウスの管理を許可
   • グループ'<DomainName>'/'<GroupName>'にテナンシ内のアナリティクス・インスタンスの管理を許可
   • グループ'<DomainName>'/'<GroupName>'にテナンシ内のautonomous-database-familyの管理を許可

   「ポリシーを作成するには」を参照してください。

6. Oracle Cloud Infrastructureコンソールで、「ナビゲーション」メニュー・アイコンをクリックしてData Intelligenceに移動し、Oracle Fusion Data Intelligenceインスタンスを作成します。
   「Oracle Fusion Data Intelligenceサブスクリプション・インスタンスの作成」を参照してください。
7. シングル・サインオンのアイデンティティ・プロバイダ・ポリシーを作成して、Oracle Fusion Data Intelligenceサインイン・ページにOracle Fusion Cloud Applications資格証明でサインインするオプションがあることを確認します。

   「コンソールの使用」の「アイデンティティ・プロバイダ・ポリシーの追加」を参照してください。

   「IdPルールの追加」ページの「アイデンティティ・プロバイダの割当て」で、「SAMLアプリケーションの追加」で作成したSAML IDP (FAW-SSO SAMLアイデンティティ・プロバイダなど)を選択します。

8. シングル・サインオンのアイデンティティ・プロバイダ・ポリシーにANALYTICSAPP_<faw-instance-name>およびANALYTICSINST_oax<faw-instance-name>-<id>アナリティクス・アプリケーションを割り当てます。
   これらのアプリケーションを介して認証しようとすると、これらのアプリケーションの「サインイン」ページに表示されるアイデンティティ・プロバイダは、シングル・サインオンのアイデンティティ・プロバイダ・ポリシーに割り当てたプロバイダのみです。 たとえば、FAW-SSO SAMLアイデンティティ・プロバイダです。 これらのアプリケーションは、Oracle Fusion Data Intelligenceインスタンスの作成時に作成されました。 「コンソールの使用」の「ポリシーへのアプリケーションの追加」を参照してください。

2つのアイデンティティ・ドメイン間のシングル・サインオンの構成

Oracle Fusion Cloud Applicationsに関連付けられているアイデンティティ・ドメインと、Oracle Fusion Data Intelligenceに関連付けられているアイデンティティ・ドメインとの間にシングル・サインオンを構成して、ユーザーが既存のOracle Fusion Cloud Applications資格証明でOracle Fusion Data Intelligenceにサインインできるようにします。

Oracle Fusion Cloud Applicationsに関連付けられているアイデンティティ・ドメインとOracle Fusion Data Intelligenceに関連付けられているアイデンティティ・ドメインの間にシングル・サインオンを構成するには、Oracle Cloud Infrastructureコンソールを使用してSecurity Assertion Markup Language (SAML)アプリケーションを作成する必要があります。 次に、このSAMLアプリケーションを、Oracle Fusion Data Intelligenceアイデンティティ・ドメインのメタデータXMLファイルからの詳細で構成します。

トピック:

• SAMLアプリケーションの追加
• アイデンティティ・ドメインのメタデータ・ファイルからの詳細のコピー
• SAMLアプリケーションの構成

SAMLアプリケーションの追加

Oracle Fusion Cloud Applicationsインスタンスに関連付けられたアイデンティティ・ドメインにSecurity Assertion Markup Language (SAML)アプリケーションを追加して、ユーザーを一度認証してからその認証を複数のアプリケーションに通信する方法を提供します。

1. Oracle Fusion Cloud Applicationsに関連付けられたクラウド・アカウントの資格証明を使用して、Oracle Cloud Infrastructureコンソールにサインインします。
2. 「ナビゲータ」メニューで、「アプリケーション」をクリックし、「アプリケーション」ページで「追加」をクリックします。
3. 「アプリケーションの追加」で、「SAMLアプリケーション」を選択します。
4. 「SAMLアプリケーションの追加」ページの「詳細」セクションで、FAW-SSOなどの名前を入力し、「ユーザーはアクセスをリクエストできます」チェック・ボックスを選択してユーザーがアプリケーションにアクセスできるようにします。
5. 「SSO構成」セクションで、「アイデンティティ・プロバイダ・メタデータのダウンロード」をクリックして、Oracle Fusion Cloud Applicationsインスタンスに関連付けられたアイデンティティ・ドメインのメタデータXMLファイルをダウンロードし、メタデータXMLファイルをローカル・マシンに保存します。
6. このSAMLアプリケーションの構成を一時的に保存および一時停止して、Oracle Fusion Data Intelligenceアイデンティティ・ドメインのメタデータXMLファイルから特定の値を収集します。

アイデンティティ・ドメインのメタデータ・ファイルからの詳細のコピー

作成したSAMLアプリケーションの構成時に使用する、Oracle Fusion Data Intelligenceアイデンティティ・ドメインのメタデータXMLファイルからテキスト・ファイルに詳細をコピーします。

1. Oracle Fusion Data Intelligenceサービス管理者の資格証明を使用して、Oracle Cloud Infrastructureコンソールにサインインします。
2. Oracle Cloud Infrastructure 「ナビゲータ」メニューで、「アイデンティティ&セキュリティ」をクリックし、「アイデンティティ」 &「セキュリティ」ペインの「アイデンティティ」で、「ドメイン」をクリックします。
3. 「ドメイン」ページで、このクラウド・アカウントで作成したアイデンティティ・ドメインに移動し、アイデンティティ・ドメインの詳細ページで「セキュリティ」をクリックしてから、「アイデンティティ・プロバイダ」をクリックします。
4. アイデンティティ・ドメイン・ページのアイデンティティ・プロバイダ(IdP)ポリシーで、「IdPの追加」をクリックし、ドロップダウン・リストから「SAML IdPの追加」を選択します。
5. 「Add SAML identity provider」ページの「詳細の追加」セクションで、Fusion SSO Loginなどの「名前」と入力します。
6. 「IdPの構成」セクションで、「アイデンティティ・プロバイダ・メタデータのインポート」ラジオ・ボタンを選択し、前にローカル・マシンにダウンロードしたOracle Fusion Cloud Applicationsインスタンスに関連付けられたアイデンティティ・ドメインのメタデータXMLファイルを選択してインポートします。
7. 「属性のマップ」セクションで、Oracle Fusion Cloud Applicationsインスタンスに関連付けられたアイデンティティ・ドメインの「ユーザー名」が電子メールまたは短縮名である場合は、「未指定」を選択します。 「ユーザー名」が電子メールの場合は、EmailAddressを選択します。
8. 「エクスポート」セクションで、Oracle Fusion Data Intelligenceアイデンティティ・ドメインのメタデータXMLファイルとその署名証明書をダウンロードします。
9. Oracle Fusion Data Intelligenceアイデンティティ・ドメインのメタデータXMLファイルをテキスト・エディタで開き、作成したSAMLアプリケーションの構成時に使用するentityID、AssertionConsumerServiceおよびSingleLogoutServiceの値を別のテキスト・ファイルにコピーします。
10. Oracle Fusion Cloud Applicationsに関連付けられたクラウド・アカウントの資格証明を使用して、以前にサインインしたOracle Cloud InfrastructureコンソールでSAMLアプリケーションの構成に戻ります。

SAMLアプリケーションの構成

Oracle Fusion Data Intelligenceアイデンティティ・ドメインのメタデータXMLファイルからの詳細を使用して、Oracle Fusion Cloud Applicationsインスタンスに関連付けられたアイデンティティ・ドメインで作成したSAMLアプリケーションを構成します。

「SAMLアプリケーションの追加」で一時停止したSAMLアプリケーションの作成に戻ります。

1. 「SAMLアプリケーションの追加」ページで、Oracle Fusion Data Intelligenceアイデンティティ・ドメインのメタデータXMLファイルおよび署名証明書を使用して、「一般」セクションに「エンティティID」および「アサーション・コンシューマURL」の値を入力します。
2. 「署名証明書」で、「アップロード」をクリックして、以前にダウンロードしてアップロードしたOracle Fusion Data Intelligenceアイデンティティ・ドメインの署名証明書を選択します。
3. 「NameID形式」で「未指定」を選択し、「NameID値」で「ユーザー名」を選択します。
4. 「詳細設定」セクションで、「シグネチャにシグネチャ証明書を含める」および「シングル・ログアウトの有効化」を選択します。 Oracle Fusion Data Intelligenceアイデンティティ・ドメインおよび署名証明書のメタデータXMLファイルを使用して、「シングル・ログアウトURL」および「ログアウト・レスポンスURL」の値を入力します。
5. 「認証と認可」セクションを展開し、「権限付与を許可として強制」オプションが選択されていないことを確認します。
6. 「終了」をクリックし、「アクティブ化」をクリックします。
7. Oracle Fusion Data Intelligenceアイデンティティ・ドメインに移動し、作成したSAMLアプリケーションをクリックして編集します。
8. 「SAMLアイデンティティ・プロバイダの編集」で、「テスト・ログイン」をクリックして、正常にログインできることを確認します。