Microsoft Entra ID (旧Azure Active Directory)との統合
前提条件
Microsoft Entra IDオーケストレーション・システムをインストールして構成する前に、次の前提条件およびタスクを考慮する必要があります。
動作保証済コンポーネント
「Microsoft Entra ID」システムには、次のいずれかを指定できます:
表 - 動作保証されたコンポーネント
| コンポーネント・タイプ | コンポーネント |
|---|---|
| システム | Microsoft Entra ID |
| システムAPIバージョン |
|
サポートされているモード
Microsoft Entra IDオーケストレーション・システムでは、次のモードがサポートされています:
- 「認可ソース」
- 「管理対象システム」
サポートされる操作
Microsoft Entra ID オーケストレーション・システムでは、Microsoft Entra IDに対する次の操作がサポートされます:
- ユーザーの作成
- ユーザーの削除
- パスワードのリセット
- ユーザーへのロールの割当
- ユーザーからのロールの取消
- ユーザーへのライセンスの割当て
- ユーザーからのライセンスの削除
- ユーザーへのSecurityGroupの割当て
- ユーザーからのSecurityGroupの削除
- ユーザーへのOfficeGroupの割当て
- ユーザーからのOfficeGroupの削除
デフォルトのサポート属性
Microsoft Entra IDオーケストレーション・システムでは、次のデフォルト属性がサポートされます。 これらの属性は、接続の方向に応じてマップされます。次に例を示します:
- Microsoft Entra IDからOracle Access Governanceによって取り込まれているデータ:
User.givenNameはIdentity.firstNameにマップされます - Oracle Access GovernanceからMicrosoft Entra IDにプロビジョニングされるデータ:
account.lastNameはUser.surnameにマップされます
表 - デフォルトの属性 - 「認可ソース」
| 「Microsoft Entra ID」エンティティ | 「管理対象システム」の属性名 | Oracle Access Governanceアイデンティティ属性名 | Oracle Access Governanceアイデンティティ属性の表示名 |
|---|---|---|---|
| ユーザー | id | uid | Unique Id |
| mailNickname | name | 従業員ユーザー名 | |
| userPrincipalName | 電子メール | ||
| givenName | firstName | 名 | |
| surname | lastName | 姓 | |
| displayName | displayName | 名前 | |
| usageLocation | usageLocation | 地域名 | |
| manager | managerLogin | マネージャ | |
| preferredLanguage | preferredLanguage | 希望言語 | |
| accountEnabled | status | ステータス |
表 - デフォルトの属性 - 「管理対象システム」
| 「Microsoft Entra ID」エンティティ | 「管理対象システム」の属性名 | Oracle Access Governanceアカウント属性名 | Oracle Access Governanceアカウント属性表示名 |
|---|---|---|---|
| ユーザー | id | uid | Unique Id |
| userPrincipalName | name | ユーザー・ログイン | |
| givenName | firstName | 名 | |
| surname | lastName | 姓 | |
| displayName | displayName | 名前 | |
| mailNickname | mailNickname | メール・ニックネーム | |
| usageLocation | usageLocation | 使用場所 | |
| city | city | 市町村 | |
| country | country | 国 | |
| manager | managerLogin | マネージャ | |
| passwordProfile.forceChangePasswordNextSignIn | forceChangePasswordNextSignIn | 次のログオン時にパスワードを変更 | |
| preferredLanguage | preferredLanguage | 希望言語 | |
| userType | userType | 従業員タイプ | |
| accountEnabled | status | ステータス | |
| password | password | パスワード |
Microsoftエンタープライズ・アプリケーションの構成および設定
接続を確立する前に、エンタープライズ・アプリケーションの「Microsoft Entra ID」管理センターで次のタスクを実行する必要があります:
- Oracle Access Governanceと統合するエンタープライズ・アプリケーションを作成して登録します。 詳細は、「Microsoftドキュメント」を参照してください。
- アプリケーションのクライアント・シークレットを生成
- Microsoft Graph APIに対して、次の委任権限およびアプリケーション権限を付与します:
委任された権限
- Directory.ReadWrite.All
- Group.ReadWrite.All
- GroupMember.ReadWrite.All
- User.Read
- User.ReadWrite
アプリケーション権限
- Directory.ReadWrite.All
- Group.ReadWrite.All
- GroupMember.ReadWrite.All
- User.ReadWrite.All
- RoleManagement.ReadWrite.Directory
- 「Grant Admin Consent」ボタンをクリックして、ディレクトリ全体の完全な権限を提供し、統合システムに関連するAPIタスクを実行
詳細は、「Microsoftドキュメント」を参照してください。
構成
接続の詳細を入力して、「Microsoft Entra ID (以前のAzure Active Directory)」とOracle Access Governanceの間の接続を確立できます。 これを実現するには、Oracle Access Governanceコンソールで使用可能な「オーケストレーション・システム」機能を使用します。
「オーケストレーションされたシステム」ページにナビゲート
次のステップに従って、Oracle Access Governanceコンソールの「オーケストレーションされたシステム」ページにナビゲートします:
- Oracle Access Governanceナビゲーション・メニュー・アイコン
から、「サービス管理」→ 「オーケストレーションされたシステム」を選択します。
- 「オーケストレーション・システム」の追加ボタンをクリックして、ワークフローを開始します。
システムの選択
ワークフローの「システムの選択」ステップでは、オンボードするシステムのタイプを指定できます。 「検索」フィールドを使用して、必要なシステムを名前で検索できます。
- 「Microsoft Entra ID」を選択します。
- 「次へ」をクリックします。
詳細の入力
ワークフローの詳細の入力ステップで、オーケストレーション・システムの詳細を入力します:
- 「このシステムを何と呼びますか。」フィールドに、接続先のシステムの名前を入力します。
- 「このシステムをどのように記述しますか。」フィールドにシステムの説明を入力します。
- この「オーケストレーション・システム」が認可ソースかどうか、およびOracle Access Governanceが次のチェック・ボックスを設定して権限を管理できるかどうかを確認します。
- これは私のアイデンティティの認証ソースです
- このシステムの権限を管理します
- 「次へ」をクリックします。
ノート:
Microsoft Entra ID 「オーケストレーション・システム」では、この「オーケストレーション・システム」のアイデンティティ・コレクションを管理オプションを使用してMicrosoft Entra ID内のグループを管理できます。 選択すると、このチェック・ボックスを使用して、Oracle Access Governance内からMicrosoft Entra IDグループを管理できます。 Microsoft Entra IDグループに加えられた変更は、Oracle Access Governanceと「オーケストレーション・システム」の間で調整されます。 同様に、Microsoft Entra IDで行った変更は、Oracle Access Governanceに反映されます所有者の追加
プライマリ所有者と追加の所有者を追加して、リソース所有権を関連付けることができます。 これにより、所有者が所有するリソースを管理(読取り、更新または削除)できるため、セルフサービスが促進されます。 デフォルトでは、リソース作成者はリソース所有者として指定されます。 リソースには、1つのプライマリ所有者と最大20人の追加所有者を割り当てることができます。
所有者を追加するには:
ノート:
サービス・インスタンスに対して最初のオーケストレーション・システムを設定する場合、所有者を割り当てるのは、「アイデンティティの管理」セクションからアイデンティティを有効にした後のみです。- 「プライマリ所有者は誰ですか。」フィールドで、Oracle Access Governanceアクティブ・ユーザーをプライマリ所有者として選択します。
- 「他に誰がそれを所有しているのか。」リストで1つ以上の追加所有者を選択します。 リソースに最大20人の所有者を追加できます。
アカウント設定
ワークフローのアカウント設定ステップで、管理対象システムとして構成されている場合、Oracle Access Governanceを使用してアカウントを管理する方法の詳細を入力します:
-
アカウントの作成時に通知電子メールを送信する場所を選択します。 デフォルト設定は「ユーザー」です。 これらのオプションのいずれか、両方、またはいずれも選択できません。 オプションを選択しない場合、アカウントの作成時に通知は送信されません。
- ユーザー
- ユーザー・マネージャ
- たとえば、ある部門から別の部門に移動する場合などに、アイデンティティが企業内で移動する場合は、そのアイデンティティがアクセスできるアカウントを調整する必要がある場合があります。 場合によっては、アイデンティティが企業内の新しいロールに関連しない特定のアカウントを必要としなくなります。 この場合のアカウントの処理を選択できます。 次のオプションのいずれかを選択します。
- 無効化
- 削除
- アイデンティティが企業を離れるときは、そのアカウントへのアクセスを削除する必要があります。 この場合のアカウントの処理を選択できます。 次のオプションのいずれかを選択します。
- 無効化
- 削除
ノート:
システムを「管理対象システム」として構成しない場合は、ワークフローのこのステップが表示されますが、有効になっていません。 この場合、ワークフローの「統合設定」ステップに直接進みます。ノート:
「汎用REST」および「データベース・アプリケーション表(Oracle)」統合と同様に、「オーケストレーション・システム」で動的スキーマ検出が必要な場合は、「オーケストレーション・システム」の作成時に通知電子メールの宛先(ユーザー、Usermanager)のみを設定できます。 ムーバーおよびリーバーの無効化/削除ルールは設定できません。 これを行うには、「オーケストレーション・システム」を作成し、「オーケストレーション・システム・アカウント設定の構成」の説明に従ってアカウント設定を更新する必要があります。統合設定
ワークフローの「統合設定」ステップで、Oracle Access GovernanceによるMicrosoft Entra IDへの接続を許可するために必要な構成の詳細を入力します。
- 「ホスト」フィールドに、「管理対象システム」をホストするマシンのホスト名を入力します。 たとえば、Microsoft Graph APIの場合は、graph.microsoft.comと入力
- 「ポート」フィールドに、システムにアクセス可能なポート番号を入力します。 デフォルトでは、「Microsoft Entra ID」はポート443を使用します。
- 「認証サーバーUrl」フィールドに、「管理対象システム」のクライアントIDおよびクライアント・シークレットを検証する認証サーバーのURLを入力します。 たとえば、OAuth 2.0 APIを使用してアプリケーションを認証するには、次の構文を入力
プライマリ・ドメインまたはテナントIDのフェッチ方法については、「Microsoftドキュメント」を参照してください。https://login.microsoftonline.com/<Primary Domain or Directory(tenant ID)>/oauth2/v2.0/token - 登録プロセス中に認可サーバーによってクライアント・システムに発行されるクライアント識別子(一意の文字列)を「クライアントID」フィールドに入力します。 アプリケーションIDとも呼ばれるクライアントIDは、「Microsoft Entra ID」にアプリケーションを登録するときに取得されます。 この値は、Microsoftアイデンティティ・プラットフォームでアプリケーションを識別します。 詳細は、「Microsoftドキュメント」を参照してください。
- 「クライアントの秘密」フィールドに、システムのアイデンティティを認証するためのシークレットID値を入力します。 システムに新しいクライアント・シークレットを作成し、このフィールドに値を入力する必要があります。 認証に秘密キーを使用していない場合にのみ、この値を使用します。
詳細は、「Microsoftドキュメント」を参照してください。
ノート:
このクライアント・シークレット値は、ページから移動するとアクセスまたは表示できないため、ノートまたはコピーする必要があります。 - 認証にクライアント・シークレットを使用していない場合にのみ、「秘密キー」フィールドにPEM秘密キーを入力します。
テスト目的でのみ、次のステップを使用して自己署名証明書を生成できます:
- Entra IDインスタンスにロードする暗号化された秘密キーを作成します。
openssl req -x509 -newkey rsa:2048 -keyout encrypted_key.pem -out cert.cer -sha256 -days 365 - 秘密キーを復号化して、Oracle Access Governanceの構成時に「秘密キー」の値として入力できる.pem (この例ではdecrypted_key.pem)ファイルを作成します。
openssl rsa -in encrypted_key.pem -out decrypted_key.pem - オプションで、秘密キーがPKCS1形式の場合は、Oracle Access GovernanceでサポートされているPKCS8形式の復号化されたキーを変換します。
openssl pkcs8 -topk8 -inform PEM -outform PEM -nocrypt -in decrypted_key.pem -out pkcs8.key
- Entra IDインスタンスにロードする暗号化された秘密キーを作成します。
- 認証にクライアント・シークレットを使用していない場合にのみ、「証明書の指紋」に証明書フィンガープリント(X509)の値を入力します。
証明書フィンガープリントを取得するには、次のステップを使用します:
- 証明書のサム・プリントの16進値をバイナリに変換します。
echo -n "***353DB6DF03567473E299DB5E7F4C***" | xxd -r -p > thumbprint.bin - バイナリ・サムプリントを「証明書の指紋」フィールドで使用できるbase64に変換します。
openssl base64 -in thumbprint.bin -out thumbprint_base64.txt
- 証明書のサム・プリントの16進値をバイナリに変換します。
- 「追加」をクリックして、「オーケストレーション・システム」を作成します。
完了
最後に、データ・ロードを実行する前に「オーケストレーション・システム」をさらに構成するか、デフォルト構成を受け入れてデータ・ロードを開始するかを選択できます。 次のいずれかを選択します:
- システムでデータ・ロードを有効化する前にカスタマイズします
- 指定されたデフォルトで、データ・ロードのアクティブ化と準備を行います
オラクルのアクセシビリティについての詳細情報は、Oracle Accessibility ProgramのWebサイト(http://www.oracle.com/pls/topic/lookup?ctx=acc&id=docacc)を参照してください。
Oracle Supportへのアクセス
サポートをご契約のお客様には、My Oracle Supportを通して電子支援サービスを提供しています。 詳細情報はhttp://www.oracle.com/pls/topic/lookup?ctx=acc&id=infoか、聴覚に障害のあるお客様はhttp://www.oracle.com/pls/topic/lookup?ctx=acc&id=trsを参照してください。