機械翻訳について

Microsoft Entra ID (旧Azure Active Directory)との統合

前提条件

Microsoft Entra IDオーケストレーション・システムをインストールして構成する前に、次の前提条件およびタスクを考慮する必要があります。

動作保証済コンポーネント

「Microsoft Entra ID」システムには、次のいずれかを指定できます:

表 - 動作保証されたコンポーネント

コンポーネント・タイプ	コンポーネント
システム	Microsoft Entra ID Microsoft Entra ID (Business-to-Consumer (B2C)対応テナントあり)
システムAPIバージョン	Microsoft Entra ID Microsoft Graph API v1.0 Microsoft認証APIバージョンv2.0 (OAuth 2.0)

サポートされているモード

Microsoft Entra IDオーケストレーション・システムでは、次のモードがサポートされています:

• 「認可ソース」
• 「管理対象システム」

サポートされる操作

Microsoft Entra ID オーケストレーション・システムでは、Microsoft Entra IDに対する次の操作がサポートされます:

• ユーザーの作成
• ユーザーの削除
• パスワードのリセット
• ユーザーへのロールの割当
• ユーザーからのロールの取消
• ユーザーへのライセンスの割当て
• ユーザーからのライセンスの削除
• ユーザーへのSecurityGroupの割当て
• ユーザーからのSecurityGroupの削除
• ユーザーへのOfficeGroupの割当て
• ユーザーからのOfficeGroupの削除

デフォルトのサポート属性

Microsoft Entra IDオーケストレーション・システムでは、次のデフォルト属性がサポートされます。 これらの属性は、接続の方向に応じてマップされます。次に例を示します:

• Microsoft Entra IDからOracle Access Governanceによって取り込まれているデータ: User.givenNameはIdentity.firstNameにマップされます
• Oracle Access GovernanceからMicrosoft Entra IDにプロビジョニングされるデータ: account.lastNameは User.surnameにマップされます

表 - デフォルトの属性 - 「認可ソース」

Microsoft Entra ID/Microsoft Entra ID B2C対応のテナント・エンティティ	「管理対象システム」の属性名	Oracle Access Governanceアイデンティティ属性名	Oracle Access Governanceアイデンティティ属性の表示名
ユーザー	id	uid	Unique Id
	mailNickname	name	従業員ユーザー名
	userPrincipalName	email	電子メール
	givenName	firstName	名
	surname	lastName	姓
	displayName	displayName	名前
	usageLocation	usageLocation	地域名
	manager	managerLogin	マネージャ
	preferredLanguage	preferredLanguage	希望言語
	accountEnabled	status	ステータス
B2C対応テナントの追加属性	identities	identities.issuerAssignedId	identities
	identities	identities.signInType	サインイン・タイプ
	identities	identities.issuer	Issuer
	passwordPolicies	passwordPolicy	Password policy

表 - デフォルトの属性 - 「管理対象システム」

Microsoft Entra ID/Microsoft Entra ID B2C対応のテナント・エンティティ	「管理対象システム」の属性名	Oracle Access Governanceアカウント属性名	Oracle Access Governanceアカウント属性表示名
ユーザー	id	uid	Unique Id
	userPrincipalName	name	ユーザー・ログイン
	givenName	firstName	名
	surname	lastName	姓
	displayName	displayName	名前
	mailNickname	mailNickname	メール・ニックネーム
	mail	email	電子メール
	usageLocation	usageLocation	使用場所
	city	city	市町村
	country	country	国
	manager	managerLogin	マネージャ
	passwordProfile.forceChangePasswordNextSignIn	forceChangePasswordNextSignIn	次のログオン時にパスワードを変更
	preferredLanguage	preferredLanguage	希望言語
	userType	userType	従業員タイプ
	accountEnabled	status	ステータス
	password	password	パスワード
B2C対応テナントの追加属性
	identities.issuerAssignedId	issuerAssignedId	発行者の割当てID
	identities.signInType	signInType	ログイン・タイプ
	identities.issuer	issuer	Issuer
	passwordPolicies	passwordPolicy	パスワード・ポリシー
免許		権限としてのライセンス

Microsoftエンタープライズ・アプリケーションの構成および設定

接続を確立する前に、エンタープライズ・アプリケーションの「Microsoft Entra ID」管理センターで次のタスクを実行する必要があります:

1. Oracle Access Governanceと統合するエンタープライズ・アプリケーションを作成して登録します。 詳細は、「Microsoftドキュメント」を参照してください。
2. アプリケーションのクライアント・シークレットを生成
3. Microsoft Graph APIに対して、次の委任権限およびアプリケーション権限を付与します:

   委任された権限

   • Directory.ReadWrite.All
   • Group.ReadWrite.All
   • GroupMember.ReadWrite.All
   • User.Read
   • User.ReadWrite

   アプリケーション権限

   • Directory.ReadWrite.All
   • Group.ReadWrite.All
   • GroupMember.ReadWrite.All
   • User.ReadWrite.All
   • RoleManagement.ReadWrite.Directory
4. 「Grant Admin Consent」ボタンをクリックして、ディレクトリ全体の完全な権限を提供し、統合システムに関連するAPIタスクを実行

詳細は、「Microsoftドキュメント」を参照してください。

デフォルト照合ルール

Oracle Access Governanceのアイデンティティにアカウントをマップするには、Microsoft Entra IDオーケストレート済システムのオーケストレート済system.Theデフォルト一致ルールごとに一致ルールが必要です:

表 - デフォルト照合ルール

モード	デフォルト照合ルール
認可ソース アイデンティティ照合では、受信アイデンティティが既存のアイデンティティと一致するか、新しいアイデンティティであるかがチェックされます。	Microsoft Entra ID/Microsoft Entra ID B2C対応テナントの場合: 画面値: User login = Email 属性名: Account.userPrincipalName = Identity.name
管理対象システム アカウント照合では、受信アカウントが既存のアイデンティティと一致するかどうかがチェックされます。	Microsoft Entra IDの場合: 画面値: User login = Email 属性名: Account.userPrincipalName = Identity.name Microsoft Entra ID B2C対応テナントの場合: 画面値: Email = Email 属性名: Account.mail = Identity.email

構成

接続の詳細を入力して、「Microsoft Entra ID (以前のAzure Active Directory)」とOracle Access Governanceの間の接続を確立できます。 これを実現するには、Oracle Access Governanceコンソールで使用可能な「オーケストレーション・システム」機能を使用します。

「オーケストレーションされたシステム」ページにナビゲート

次のステップに従って、Oracle Access Governanceコンソールの「オーケストレーションされたシステム」ページにナビゲートします:

1. Oracle Access Governanceナビゲーション・メニュー・アイコンから、「サービス管理」→ 「オーケストレーションされたシステム」を選択します。
2. 「オーケストレーション・システム」の追加ボタンをクリックして、ワークフローを開始します。

システムの選択

ワークフローの「システムの選択」ステップでは、オンボードするシステムのタイプを指定できます。 「検索」フィールドを使用して、必要なシステムを名前で検索できます。

1. 「Microsoft Entra ID」を選択します。
2. 「次へ」をクリックします。

詳細の入力

ワークフローの詳細の追加ステップで、オーケストレーション・システムの詳細を入力します:

1. 「名前」フィールドに、接続先のシステムの名前を入力します。
2. 「説明」フィールドにシステムの説明を入力します。
3. この「オーケストレーション・システム」が認可ソースかどうか、およびOracle Access Governanceが次のチェック・ボックスを設定して権限を管理できるかどうかを確認します。
   • これは私のアイデンティティの認証ソースです
   • このシステムの権限を管理します
   各ケースのデフォルト値は「未選択」です。
4. 「次へ」をクリックします。

ノート:

Microsoft Entra ID 「オーケストレーション・システム」では、この「オーケストレーション・システム」のアイデンティティ・コレクションを管理オプションを使用してMicrosoft Entra ID内のグループを管理できます。 選択すると、このチェック・ボックスを使用して、Oracle Access Governance内からMicrosoft Entra IDグループを管理できます。 Microsoft Entra IDグループに加えられた変更は、Oracle Access Governanceと「オーケストレーション・システム」の間で調整されます。 同様に、Microsoft Entra IDで行った変更は、Oracle Access Governanceに反映されます

所有者の追加

プライマリ所有者と追加の所有者を追加して、リソース所有権を関連付けることができます。 これにより、所有者が所有するリソースを管理(読取り、更新または削除)できるため、セルフサービスが促進されます。 デフォルトでは、リソース作成者はリソース所有者として指定されます。 リソースには、1つのプライマリ所有者と最大20人の追加所有者を割り当てることができます。

ノート:

サービス・インスタンスに対して最初のオーケストレーション・システムを設定する場合、所有者を割り当てるのは、「アイデンティティの管理」セクションからアイデンティティを有効にした後のみです。

所有者を追加するには:

1. 「プライマリ所有者は誰ですか。」フィールドで、Oracle Access Governanceアクティブ・ユーザーをプライマリ所有者として選択します。
2. 「他に誰がそれを所有しているのか。」リストで1つ以上の追加所有者を選択します。 リソースに最大20人の所有者を追加できます。

リストで「プライマリ所有者」を表示できます。 すべての所有者は、所有しているリソースを表示および管理できます。

アカウント設定

ワークフローのアカウント設定ステップで、管理対象システムとして構成されている場合、Oracle Access Governanceを使用してアカウントを管理する方法の詳細を入力します:

1. アカウントがまだ存在しない場合は、権限がリクエストされたときにOracle Access Governanceが新しいアカウントを作成できるようにする場合に選択します。 デフォルトでは、このオプションが選択されています。これは、アカウントが存在しない場合、権限がリクエストされたときにアカウントが作成されることを意味します。 このオプションを選択解除すると、アカウントが「オーケストレーション・システム」にすでに存在する場合にのみ、権限をプロビジョニングできます。 ユーザーが存在しない場合、権限がリクエストされると、プロビジョニング操作は失敗します。
2. アカウントの作成時に通知電子メールを送信する場所と送信者を選択します。 デフォルト設定は「ユーザー」です。 これらのオプションのいずれか、両方、またはいずれも選択できません。 オプションを選択しない場合、アカウントの作成時に通知は送信されません。

   • ユーザー
   • ユーザー・マネージャ
3. アイデンティティが企業を離れるときは、そのアカウントへのアクセスを削除する必要があります。 この場合のアカウントの処理を選択できます。 次のオプションのいずれかを選択します。
   • 削除
   • 無効化
   • アクションなし

   ノート:

   前述のオプションが表示されるのは、構成する「オーケストレーション・システム」タイプでサポートされている場合のみです。 たとえば、「削除」がサポートされていない場合、「無効化」および「アクションなし」オプションのみが表示されます。
4. アカウントに対するすべての権限が削除された場合(たとえば、ある部門から別の部門に移動する場合)、アイデンティティがアクセス権を持つアカウントの調整が必要になる場合があります。 この場合のアカウントの処理を選択できます。 次のオプションのいずれかを選択します。
   • 削除
   • 無効化
   • アクションなし

   ノート:

   前述のオプションが表示されるのは、構成する「オーケストレーション・システム」タイプでサポートされている場合のみです。 たとえば、「削除」がサポートされていない場合、「無効化」および「アクションなし」オプションのみが表示されます。
5. Oracle Access Governanceで「オーケストレーション・システム」で直接作成されたアカウントを管理する場合は、「アクセス・ガバナンスによって作成されないアカウントの管理」オプションを選択できます。 これにより、管理対象システムに作成されたアカウントが調整され、Oracle Access Governanceからアカウントを管理できるようになります。

ノート:

システムを「管理対象システム」として構成しない場合は、ワークフローのこのステップが表示されますが、有効になっていません。 この場合、ワークフローの「統合設定」ステップに直接進みます。

ノート:

「汎用REST」および「データベース・アプリケーション表」統合と同様に、「オーケストレーション・システム」で動的スキーマ検出が必要な場合は、「オーケストレーション・システム」の作成時に通知電子メールの宛先(ユーザー、Usermanager)のみを設定できます。 ムーバーおよびリーバーの無効化/削除ルールは設定できません。 これを行うには、「オーケストレーション・システム」を作成し、「オーケストレーション・システム・アカウント設定の構成」の説明に従ってアカウント設定を更新する必要があります。

統合設定

ワークフローの「統合設定」ステップで、Oracle Access GovernanceによるMicrosoft Entra IDへの接続を許可するために必要な構成の詳細を入力します。

1. 「ホスト」フィールドに、「管理対象システム」をホストするマシンのホスト名を入力します。 たとえば、Microsoft Graph APIの場合は、graph.microsoft.comと入力
2. 「ポート」フィールドに、システムにアクセス可能なポート番号を入力します。 デフォルトでは、「Microsoft Entra ID」はポート443を使用します。
3. 「認証サーバーUrl」フィールドに、「管理対象システム」のクライアントIDおよびクライアント・シークレットを検証する認証サーバーのURLを入力します。 たとえば、OAuth 2.0 APIを使用してアプリケーションを認証するには、次の構文を入力

   https://login.microsoftonline.com/<Primary Domain or Directory(tenant ID)>/oauth2/v2.0/token

   プライマリ・ドメインまたはテナントIDのフェッチ方法については、「Microsoftドキュメント」を参照してください。
4. 登録プロセス中に認可サーバーによってクライアント・システムに発行されるクライアント識別子(一意の文字列)を「クライアントID」フィールドに入力します。 アプリケーションIDとも呼ばれるクライアントIDは、「Microsoft Entra ID」にアプリケーションを登録するときに取得されます。 この値は、Microsoftアイデンティティ・プラットフォームでアプリケーションを識別します。 詳細は、「Microsoftドキュメント」を参照してください。
5. 「クライアントの秘密」フィールドに、システムのアイデンティティを認証するためのシークレットID値を入力します。 システムに新しいクライアント・シークレットを作成し、このフィールドに値を入力する必要があります。 認証に秘密キーを使用していない場合にのみ、この値を使用します。

   ノート:

   このクライアント・シークレット値は、ページから移動するとアクセスまたは表示できないため、ノートまたはコピーする必要があります。
   詳細は、「Microsoftドキュメント」を参照してください。
6. 認証にクライアント・シークレットを使用していない場合にのみ、「秘密キー」フィールドにPEM秘密キーを入力します。

   テスト目的でのみ、次のステップを使用して自己署名証明書を生成できます:

   1. Entra IDインスタンスにロードする暗号化された秘密キーを作成します。

      openssl req -x509 -newkey rsa:2048 -keyout encrypted_key.pem -out cert.cer -sha256 -days 365

   2. 秘密キーを復号化して、Oracle Access Governanceの構成時に「秘密キー」の値として入力できる.pem (この例ではdecrypted_key.pem)ファイルを作成します。

      openssl rsa -in encrypted_key.pem -out decrypted_key.pem

   3. オプションで、秘密キーがPKCS1形式の場合は、Oracle Access GovernanceでサポートされているPKCS8形式の復号化されたキーを変換します。

      openssl pkcs8 -topk8 -inform PEM -outform PEM -nocrypt -in decrypted_key.pem -out pkcs8.key

7. 認証にクライアント・シークレットを使用していない場合にのみ、「証明書の指紋」に証明書フィンガープリント(X509)の値を入力します。

   証明書フィンガープリントを取得するには、次のステップを使用します:

   1. 証明書のサム・プリントの16進値をバイナリに変換します。

      echo -n "***353DB6DF03567473E299DB5E7F4C***" | xxd -r -p > thumbprint.bin

   2. バイナリ・サムプリントを「証明書の指紋」フィールドで使用できるbase64に変換します。

      openssl base64 -in thumbprint.bin -out thumbprint_base64.txt

8. 「このB2Cテナントが有効な環境ですか。」チェック・ボックスをクリックして、Microsoft Entra ID B2Cが有効になっているテナントであることを示します。
9. 「リクエスト・タイムアウトとは何ですか。」フィールドに、サーバーがリクエストに応答するまで待機する最大時間を入力します。
10. 「追加」をクリックして、「オーケストレーション・システム」を作成します。

完了

最後に、データ・ロードを実行する前に「オーケストレーション・システム」をさらに構成するか、デフォルト構成を受け入れてデータ・ロードを開始するかを選択できます。 次のいずれかを選択します:

• システムでデータ・ロードを有効化する前にカスタマイズします
• 指定されたデフォルトで、データ・ロードのアクティブ化と準備を行います

構成後処理

「Microsoft Entra ID」システムに関連付けられたインストール後のステップはありません。

---

タイトルおよび著作権情報

Copyright ©2024,2025,

Oracle and/or its affiliates.

ドキュメントのアクセシビリティについて

オラクルのアクセシビリティについての詳細情報は、Oracle Accessibility ProgramのWebサイト(http://www.oracle.com/pls/topic/lookup?ctx=acc&id=docacc)を参照してください。

Oracle Supportへのアクセス

サポートをご契約のお客様には、My Oracle Supportを通して電子支援サービスを提供しています。 詳細情報はhttp://www.oracle.com/pls/topic/lookup?ctx=acc&id=infoか、聴覚に障害のあるお客様はhttp://www.oracle.com/pls/topic/lookup?ctx=acc&id=trsを参照してください。