Oracle Fusion Applicationsアイデンティティ・ドメインを使用したOAuth認可コード資格証明セキュリティ・ポリシーの設定

Oracle Fusion Applicationsリソースを表すリソース・アプリケーションを作成し、OAuth認可コード資格証明セキュリティ・ポリシーを使用するには、Oracle Integrationのクライアント・アプリケーションを作成する必要があります。これらのタスクが完了したら、接続ページで接続を正常に構成できます。 Oracle Fusion Applicationsにアップロードするために、JWT署名証明書を作成する必要はありません。

Oracle Fusion Applicationsリソースを表すアイデンティティ・ドメイン・リソース・アプリケーションの作成

Oracle Fusion Applicationsリソースを表すアイデンティティ・ドメイン・リソース・アプリケーションを作成します。
1. ドメイン管理者としてアイデンティティ・ドメインにログインします。
2. メニュー・バーで、「アイデンティティ&セキュリティ」をクリックします。
3. 「ドメイン」をクリックします。
4. コンパートメントを選択します。
5. アイデンティティ・ドメインをクリックします。
6. メニュー・バーで、「統合アプリケーション」をクリックします。
  これは、権限付与タイプのクライアント・アプリケーションを作成するロケーションです。
7. 「Add application」をクリックします。
8. 「機密アプリケーション」を選択し、「ワークフローの起動」をクリックします。
1. 名前(FA Resourceなど)を指定し、「送信」をクリックします。
2. 「OAuth構成」タブをクリックし、次に「OAuth構成の編集」サブタブをクリックします。
3. 「リソース・サーバー構成」セクションで、「このアプリケーションをリソース・サーバーとして今すぐ構成」を選択します。
4. (オプション)「OAuthを保護する必要があるアプリケーションAPIの構成」セクションで、「アクセス・トークンの有効期限(秒)」リストから値を選択します。
5. 「トークンの更新を許可」トグルをクリックします。
6. 「リフレッシュ・トークンの有効期限」(秒)リストで、値を選択します。
7. 「プライマリ・オーディエンス」フィールドに、Oracle Fusion Applications URLおよびポートを追加します。これは、トークンが処理されるプライマリ受信者です。
```
https://FA_URL:443
```
8. 「スコープの追加」トグルをクリックし、「追加」をクリックします。
9. 「スコープ」フィールドに/と入力します。
10. 「説明」フィールドに「すべて」と入力します。
11. 「ユーザーの同意が必要」を選択します。
12. 「追加」をクリックし、「送信」をクリックします。
13. 上部の「アクション」メニューから、「アクティブ化」、「アプリケーションのアクティブ化」の順に選択して、使用するアプリケーションをアクティブ化します。リソースを表すリソース・サーバーがアクティブになりました。

Oracle Integrationの機密クライアント・アプリケーションの作成

アイデンティティ・ドメイン管理者としてOracle Cloudコンソールにサインインします。
メニュー・バーで、「アイデンティティ&セキュリティ」をクリックします。
「ドメイン」をクリックします。
コンパートメントを選択します。
アイデンティティ・ドメインをクリックします。
メニュー・バーで、「統合アプリケーション」をクリックします。
「Add application」をクリックします。
「機密アプリケーション」を選択し、「ワークフローの起動」をクリックします。
名前を入力します。このページの残りのフィールドはオプションであり、無視してかまいません。
「送信」をクリックします。
「OAuth構成」タブをクリックし、次に「OAuth構成の編集」サブタブをクリックします。
「クライアント構成」パネルで、「このアプリケーションをクライアントとして今すぐ構成」を選択します。
認可コードの場合は、「許可された付与タイプ」セクションで「トークンのリフレッシュ」および「認証コード」を選択します。

「リダイレクトURL」フィールドに、クライアント・アプリケーションのリダイレクトURLを入力します。ユーザー・ログイン後、このURLは認可コードでリダイレクトされます。複数のリダイレクトURLを指定できます。これは、複数のインスタンスがあるが、ライセンスの問題が原因でクライアント・アプリケーションが1つのみである開発環境に役立ちます。たとえば:

ノート:

次の情報がわからない場合は、管理者に確認してください:

インスタンスが新規であるか、Oracle Integration Generation 2からOracle Integration 3にアップグレードされた場合。
リージョンを含む完全なインスタンスURL (新しいインスタンスで必要)。

接続用… リダイレクトURLの一部としてリージョンを含めますか。指定するリダイレクトURLの例…

接続用…	リダイレクトURLの一部としてリージョンを含めますか。	指定するリダイレクトURLの例…
新しいOracle Integration 3インスタンスで作成されます	はい	`https://OIC_instance_URL.region.ocp.oraclecloud.com/icsapis/agent/oauth/callback`
Oracle Integration Generation 2からOracle Integration 3にアップグレードされたインスタンスで作成されます	番号このことは両方とも該当します: アップグレード後に作成された新しい接続アップグレードの一部であった既存の接続	`https://OIC_instance_URL.ocp.oraclecloud.com/icsapis/agent/oauth/callback`

新しいOracle Integration 3インスタンスで作成されます

はい

https://OIC_instance_URL.region.ocp.oraclecloud.com/icsapis/agent/oauth/callback

Oracle Integration Generation 2からOracle Integration 3にアップグレードされたインスタンスで作成されます

番号

このことは両方とも該当します:

アップグレード後に作成された新しい接続
アップグレードの一部であった既存の接続

https://OIC_instance_URL.ocp.oraclecloud.com/icsapis/agent/oauth/callback

OAuth認可コードを動作させるには、リダイレクトURIが正しく設定されている必要があります。

「リソースの追加」トグルをクリックします。
「スコープの追加」をクリックして、適切なスコープを追加します。
Oracle Fusion Applicationsインスタンスがアイデンティティ・ドメインとフェデレートされている場合、Oracle Integrationクラウド・サービス・アプリケーションが、選択するリソースの中でリストされます。これにより、クライアント・アプリケーションがOracle Integrationにアクセスできるようになります。
「Oracle Fusion Applicationsリソースを表すアイデンティティ・ドメイン・リソース・アプリケーションの作成」で作成されたOracle Fusion Applicationsリソース・アプリケーションを検索します。
リソースを検索して展開します。
スコープを選択し、「追加」をクリックします。
「送信」をクリックします。
「詳細」ページには、クライアントIDおよびクライアント・シークレットの値が「一般情報」セクションに表示されます。

これらの値をコピーして保存します。この情報は、接続ページでOAuth認可コード資格証明セキュリティ・ポリシーの接続を作成するときに必要です。

接続ページでアカウントを正常に認証するには、次の詳細に注意してください。

その場合...	結果
Oracle Integrationを保護するアイデンティティ・ドメインとOracle Fusion Applicationsリソース・アプリケーションは同じです。	前に作成したローカルOracle Fusion Applicationsユーザーを使用して、Oracle Integrationにログインします。認証が成功するには、接続を作成し、接続ページで「承諾の指定」をクリックする必要があります。
Oracle Integrationを保護するアイデンティティ・ドメインとOracle Fusion Applicationsリソース・アプリケーションは異なります。	一般的なOracle Integration開発者アカウントを使用してOracle Integrationにログインし、接続を作成し、接続ページで「承諾の指定」をクリックします。前に作成したローカルのOracle Fusion Applicationsユーザー・アカウントを使用して、Oracle Fusion Applicationsリソース・アイデンティティ・ドメイン・アプリケーションにログインする必要があります。

その場合...

結果

Oracle Integrationを保護するアイデンティティ・ドメインとOracle Fusion Applicationsリソース・アプリケーションは同じです。

前に作成したローカルOracle Fusion Applicationsユーザーを使用して、Oracle Integrationにログインします。認証が成功するには、接続を作成し、接続ページで「承諾の指定」をクリックする必要があります。

Oracle Integrationを保護するアイデンティティ・ドメインとOracle Fusion Applicationsリソース・アプリケーションは異なります。

一般的なOracle Integration開発者アカウントを使用してOracle Integrationにログインし、接続を作成し、接続ページで「承諾の指定」をクリックします。前に作成したローカルのOracle Fusion Applicationsユーザー・アカウントを使用して、Oracle Fusion Applicationsリソース・アイデンティティ・ドメイン・アプリケーションにログインする必要があります。

上部の「アクション」メニューから、「アクティブ化」、「アプリケーションのアクティブ化」の順に選択して、使用するクライアント・アプリケーションをアクティブ化します。

「同意」をクリックしたときに発生するエラーの解決

接続ページでOAuth認可コード資格証明セキュリティ・ポリシーを構成した後、接続をテストする必要があります。

Oracle Integrationユーザー・アカウントを使用してOracle Integrationにログインし、「承諾の指定」をクリックしてOAuthフローをテストすると、同意は成功します。ただし、接続をテストすると、Unauthorized 401エラーで失敗します。

このエラーは、ログインしたOracle Integrationユーザー・アカウントがOracle Fusion Applicationsの一部ではないために発生します。

Oracle Integrationからログアウトし、Oracle Fusion Applicationsに存在するユーザー・アカウントで再度ログインします。
接続ページに戻り、接続を再テストします。
今回は接続に成功しました。