Oracle Fusion Applications以外のアイデンティティ・ドメインを使用したOAuth認可コード資格証明セキュリティ・ポリシーの設定

Oracle Fusion Applicationsとアイデンティティ・ドメインの間に信頼を設定し、OAuth認可コード資格証明セキュリティ・ポリシーを使用するには、Oracle Integrationのクライアント・アプリケーションを作成する必要があります。これらのタスクが完了したら、接続ページで接続を正常に構成できます。このオプションは、Oracle Fusion Applications以外のアイデンティティ・ドメイン(Oracle Integrationアイデンティティ・ドメインなど)と統合する場合に使用します。

ノート:

Oracle Fusion Applications以外のアイデンティティ・ドメインの使用は廃止されています。このアイデンティティ・ドメインを使用している顧客は移行中です。 Identity Upgrade Overviewを参照してください。

Oracle Fusion Applicationsとアイデンティティ・ドメイン間の信頼の設定

Oracle Integrationのアイデンティティ・ドメインからJWK署名証明書を取得します。
1. 署名証明書エンドポイントを付与するアイデンティティ・ドメイン・エンドポイントのREST APIを取得します。たとえば:
```
/admin/v1/SigningCert/jwk
```
  「アイデンティティ・ドメインREST APIの開始」を参照してください。
2. エンドポイントをコピーします。
3. Oracle CloudコンソールまたはOracle Integrationの「情報」メニューからアイデンティティ・ドメインURLを取得します。
4. そのURLを署名証明書の前面に追加し、ツール(postmanなど)を使用してREST APIを起動します。たとえば:
```
https://identity_domain_URL.identity.oraclecloud.com/admin/v1/SigningCert/jwk
```
5. GETコールを実行して、署名キーのペイロードを取得します。ペイロードには2つのセクションがあります:
  - アイデンティティ・ドメイン署名キー
  - 認証局(CA)署名キー
  受信したレスポンスのタイプの例が提供されています。「テナント署名証明書をJWK形式で取得」を参照してください。
6. 両方の署名キー・セクションを個別のファイルにコピーします。ファイルのヘッダーおよびフッターは、Oracle Fusion Applicationsに正常にアップロードするために、次の正確な形式である必要があります:
```
-----BEGIN CERTIFICATE-----
 content_of_signing_key
. . .
. . .
-----END CERTIFICATE-----
```
  コンテンツを検証できます。たとえば:
```
openssl x509 -in identity.cert -noout -text
```
次の詳細を含むOracle Fusion Applicationsサポートを使用して、サービス・リクエスト(SR)を提出します:
- SR要約: Oracle Fusion ApplicationsとOCIアイデンティティ・ドメイン間の信頼の設定
- カテゴリ: ログイン、ログアウトおよびSSO
アップロードする証明書を添付します。証明書を自分でアップロードすることはできません。
Oracle Fusion Applicationsリソースを表すリソース・アプリケーションをOracle Integrationアイデンティティ・ドメインに作成します。
1. ドメイン管理者としてアイデンティティ・ドメインにログインします。
2. ナビゲーション・ペインで、「アイデンティティ&セキュリティ」をクリックします。
3. 「ドメイン」をクリックします。
4. コンパートメントを選択します。
5. アイデンティティ・ドメインをクリックします。
6. ナビゲーション・ペインで、「統合アプリケーション」をクリックします。
7. 「Add application」をクリックします。
8. 「機密アプリケーション」を選択し、「ワークフローの起動」をクリックします。
9. 名前(FA Resourceなど)を指定し、「送信」をクリックします。
10. 「OAuth構成」タブをクリックし、次に「OAuth構成の編集」サブタブをクリックします。
11. 「リソース・サーバー構成」セクションで、「このアプリケーションをリソース・サーバーとして今すぐ構成」をクリックします。
12. (オプション)「OAuthを保護する必要があるアプリケーションAPIの構成」セクションで、「アクセス・トークンの有効期限(秒)」リストから値を選択します。
13. 「トークンの更新を許可」トグルをクリックします。
14. 「リフレッシュ・トークンの有効期限」(秒)リストで、値を選択します。
15. 「主な読者」フィールドに、Oracle Fusion Applications URLおよびポートを追加します。これは、トークンが処理されるプライマリ受信者です。
```
https://FA_URL:443
```
16. 「スコープの追加」トグルをクリックし、「追加」をクリックします。
17. 「スコープ」フィールドに/と入力します。
18. 「説明」フィールドに「すべて」と入力します。
19. 「ユーザーの同意が必要」を選択します。
20. 「追加」をクリックし、「送信」をクリックします。
21. 上部の「アクション」メニューから、「アクティブ化」、「アプリケーションのアクティブ化」の順に選択して、使用するクライアント・アプリケーションをアクティブ化します。

(オプション)ローカル・ユーザーの作成

ノート:

Oracle Fusion Applicationsユーザーがアイデンティティ・ドメインまたは使用しているアイデンティティ・プロバイダとフェデレートされていない場合は、次のステップが必要です。

アイデンティティ・ドメインのローカル・ユーザーを作成します。「慎重」次の表を参照して、すでにローカル・ユーザーが存在するかどうかを確認します。

シナリオ	ローカル・ユーザーを作成する必要がありますか。
Oracle Integrationを保護しているアイデンティティ・ドメインとフェデレートされたOracle Fusion Applicationsユーザーがいます。	番号ローカル・アイデンティティ・ドメインのOracle Fusion Applicationsユーザーを作成する必要はありません。これは、アイデンティティ・ドメインがリポジトリにすでにOracle Fusion Applicationsユーザーを持っているためです。
Oracle Fusion Applicationsと、Oracle Integrationを保護しているアイデンティティ・ドメインとの間にフェデレーションがありません。	はい Oracle IntegrationのOAuth設定で使用するローカル・アイデンティティ・ドメインOracle Fusion Applicationsユーザーを作成する必要があります。

アイデンティティ・ドメイン管理者は、Oracle Fusion Applicationsのユーザーと一致する非フェデレーテッド・ローカル・ユーザー名をアイデンティティ・ドメインに作成する必要があります。 Oracle Fusion Applications RESTエンドポイントをすでに使用および起動している場合は、Oracle Fusion ApplicationsのRESTエンドポイントを起動するために必要なロールおよびアクセス権を持つユーザーをすでに作成している可能性があります。このユーザーは、アイデンティティ・ドメインに作成され、ローカル・ユーザー・パスワードを持っている必要があります。

Oracle Integrationの機密クライアント・アプリケーションの作成

アイデンティティ・ドメイン管理者としてOracle Cloudコンソールにサインインします。
ナビゲーション・ペインで、「アイデンティティ&セキュリティ」をクリックします。
「ドメイン」をクリックします。
コンパートメントを選択します。
アイデンティティ・ドメインをクリックします。
ナビゲーション・ペインで、「統合アプリケーション」をクリックします。
「Add application」をクリックします。
「機密アプリケーション」を選択し、「ワークフローの起動」をクリックします。
名前を入力します。このページの残りのフィールドはオプションであり、無視してかまいません。
「送信」をクリックします。
「OAuth構成」タブをクリックし、次に「OAuth構成の編集」サブタブをクリックします。
「クライアント構成」ボックスで、「このアプリケーションをクライアントとして構成」を選択します。
認可コードの場合は、「許可された付与タイプ」セクションで「トークンのリフレッシュ」および「認証コード」を選択します。

「リダイレクトURL」フィールドに、クライアント・アプリケーションのリダイレクトURLを入力します。ユーザー・ログイン後、このURLは認可コードでリダイレクトされます。複数のリダイレクトURLを指定できます。これは、複数のインスタンスがあるが、ライセンスの問題が原因でクライアント・アプリケーションが1つのみである開発環境に役立ちます。たとえば:

ノート:

次の情報がわからない場合は、管理者に確認してください:

インスタンスが新規であるか、Oracle Integration Generation 2からOracle Integration 3にアップグレードされた場合。
リージョンを含む完全なインスタンスURL (新しいインスタンスで必要)。

接続用… リダイレクトURLの一部としてリージョンを含めますか。指定するリダイレクトURLの例…

接続用…	リダイレクトURLの一部としてリージョンを含めますか。	指定するリダイレクトURLの例…
新しいOracle Integration 3インスタンスで作成されます	はい	`https://OIC_instance_URL.region.ocp.oraclecloud.com/icsapis/agent/oauth/callback`
Oracle Integration Generation 2からOracle Integration 3にアップグレードされたインスタンスで作成されます	番号このことは両方とも該当します: アップグレード後に作成された新しい接続アップグレードの一部であった既存の接続	`https://OIC_instance_URL.ocp.oraclecloud.com/icsapis/agent/oauth/callback`

新しいOracle Integration 3インスタンスで作成されます

はい

https://OIC_instance_URL.region.ocp.oraclecloud.com/icsapis/agent/oauth/callback

Oracle Integration Generation 2からOracle Integration 3にアップグレードされたインスタンスで作成されます

番号

このことは両方とも該当します:

アップグレード後に作成された新しい接続
アップグレードの一部であった既存の接続

https://OIC_instance_URL.ocp.oraclecloud.com/icsapis/agent/oauth/callback

OAuth認可コードを動作させるには、リダイレクトURIが正しく設定されている必要があります。

「スコープの追加」トグルをクリックし、「追加」をクリックします。
Oracle Fusion Applicationsインスタンスがアイデンティティ・ドメインとフェデレートされている場合、Oracle Integrationクラウド・サービス・アプリケーションが、選択するリソースの中でリストされます。これにより、クライアント・アプリケーションがOracle Integrationにアクセスできるようになります。
「Oracle Fusion Applicationsとアイデンティティ・ドメイン間の信頼の設定」で作成されたOracle Fusion Applicationsリソース・アプリケーションを検索します。
リソースを検索して展開します。
スコープを選択し、「追加」をクリックします。
「送信」をクリックします。
詳細ページには、クライアントIDおよびクライアント・シークレットの値が表示されます。

これらの値をコピーして保存します。この情報は、接続ページでOAuth認可コード資格証明セキュリティ・ポリシーの接続を作成するときに必要です。

接続ページでアカウントを正常に認証するには、次の詳細に注意してください。

その場合...	結果
Oracle Integrationを保護するアイデンティティ・ドメインとOracle Fusion Applicationsリソース・アプリケーションは同じです。	前に作成したローカルOracle Fusion Applicationsユーザーを使用して、Oracle Integrationにログインします。認証が成功するには、接続を作成し、接続ページで「承諾の指定」をクリックする必要があります。
Oracle Integrationを保護するアイデンティティ・ドメインとOracle Fusion Applicationsリソース・アプリケーションは異なります。	一般的なOracle Integration開発者アカウントを使用してOracle Integrationにログインし、接続を作成し、接続ページで「承諾の指定」をクリックします。前に作成したローカルのOracle Fusion Applicationsユーザー・アカウントを使用して、Oracle Fusion Applicationsリソース・アイデンティティ・ドメイン・アプリケーションにログインする必要があります。

その場合...

結果

Oracle Integrationを保護するアイデンティティ・ドメインとOracle Fusion Applicationsリソース・アプリケーションは同じです。

前に作成したローカルOracle Fusion Applicationsユーザーを使用して、Oracle Integrationにログインします。認証が成功するには、接続を作成し、接続ページで「承諾の指定」をクリックする必要があります。

Oracle Integrationを保護するアイデンティティ・ドメインとOracle Fusion Applicationsリソース・アプリケーションは異なります。

一般的なOracle Integration開発者アカウントを使用してOracle Integrationにログインし、接続を作成し、接続ページで「承諾の指定」をクリックします。前に作成したローカルのOracle Fusion Applicationsユーザー・アカウントを使用して、Oracle Fusion Applicationsリソース・アイデンティティ・ドメイン・アプリケーションにログインする必要があります。

上部の「アクション」メニューから、「アクティブ化」、「アプリケーションのアクティブ化」の順に選択して、使用するクライアント・アプリケーションをアクティブ化します。

非フェデレーテッド・ユーザー・アカウントで接続をテストする際の潜在的なエラーの回避

接続ページでOAuth認可コード資格証明セキュリティ・ポリシーを構成した後、接続をテストする必要があります。

Oracle Integrationユーザー・アカウントを使用してOracle Integrationにログインし、「承諾の指定」をクリックしてOAuthフローをテストすると、同意は成功します。ただし、接続をテストすると、Unauthorized 401エラーで失敗します。

このエラーは、ログインしたOracle Integrationユーザー・アカウントがOracle Fusion Applicationsの一部ではないために発生します。

Oracle Integrationからログアウトし、Oracle Fusion Applicationsに存在するユーザー・アカウントで再度ログインします。
接続ページに戻り、接続を再テストします。
今回は接続に成功しました。