SAML 2.0アイデンティティ・プロバイダによるフェデレート

このトピックでは、Security Assertion Markup Language (SAML) 2.0プロトコルをサポートするアイデンティティ・プロバイダとOracle Cloud Infrastructureをフェデレートするための一般的なステップについて説明します。Oracle Identity Cloud ServiceまたはMicrosoft Active Directoryに固有の指示が必要な場合は、Oracle Identity Cloud ServiceのフェデレートまたはMicrosoft Active Directoryのフェデレートを参照してください。

ヒント

次のホワイトペーパーで、IdPに関して詳細な設定ステップを確認します。

フェデレートの手順

次に、管理者がアイデンティティ・プロバイダを設定するために行う一般的なプロセスと各ステップに関する指示を示します。管理者は必要な資格証明とアクセス権を持つOracle Cloud Infrastructureユーザーであると想定されています。

ノート

このトピックのステップを実行する前に、アイデンティティ・プロバイダによるフェデレートを参照し、一般的なフェデレーションの概念を理解しておいてください。

  1. Oracle Cloud Infrastructureコンソールで、アイデンティティ・プロバイダ(IdP)との信頼関係を確立するために必要なフェデレーション・メタデータを取得します。
  2. IdPで、Oracle Cloud Infrastructureをアプリケーションとして構成します(信頼できるリライイング・パーティとも呼ばれます)。
  3. IdPで、新しいOracle Cloud Infrastructureアプリケーションにユーザーおよびグループを割り当てます。
  4. IdPで、Oracle Cloud Infrastructureで必要とされる情報を取得します。
  5. Oracle Cloud Infrastructure:

    1. アイデンティティ・プロバイダをテナンシに追加し、IdPから取得した情報を指定します。
    2. IdPのグループをIAMグループにマップします。
  6. Oracle Cloud Infrastructureで、Oracle Cloud Infrastructureリソースへのユーザーのアクセスを制御できるように、グループにIAMポリシーが設定されていることを確認してください。
  7. Oracle Cloud Infrastructureテナントの名前およびコンソールのURL (https://cloud.oracle.com)をユーザーに通知します。

ステップ1: Oracle Cloud Infrastructureから情報を取得する

サマリー: フェデレーション・メタデータ・ドキュメントをダウンロードします。

フェデレーション・メタデータ・ドキュメントは標準のSAML 2.0ドキュメントで、IdPに提供する必要があるOracle Cloud Infrastructureに関する情報を提供します。プロバイダの設定要件によっては、ドキュメント全体をアップロードする必要がある場合や、ドキュメントから特定のメタデータ値のみを提供するよう求められる場合もあります。

  1. Oracle Cloud Infrastructureコンソールに管理者としてサインインします。
  2. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「フェデレーション」をクリックします。
  3. 「このドキュメントのダウンロード」リンクを右クリックし、ドキュメントを保存します。

ステップ2: Oracle Cloud Infrastructureを信頼できるアプリケーションとして設定する

信頼できるアプリケーションの設定方法については、IdPのドキュメントを参照してください。必要なパラメータについては、ダウンロードしたメタデータ・ドキュメントを参照してください。

ステップ3: 新しいアプリケーションにユーザーおよびグループを割り当てます。

Oracle Cloud Infrastructure用に設定したアプリケーションにユーザーおよびグループを追加するには、IdPの手順に従います。

ステップ4: IdPのメタデータ・ドキュメントをダウンロードします。

IdPには、Oracle Cloud Infrastructureがフェデレーションを完了するために必要な情報を含むSAML 2.0ドキュメントが用意されています。このドキュメントのダウンロード方法は、IdPのドキュメントを参照してください。

ステップ5: Oracle Cloud InfrastructureでIdPをフェデレートする

サマリー: アイデンティティ・プロバイダをテナンシに追加します。グループ・マッピングを同時に設定することも、後で設定することもできます。

詳細:
  1. コンソールに移動し、Oracle Cloud Infrastructureのログインとパスワードを使用してサインインします。
  2. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「フェデレーション」をクリックします。
  3. 「アイデンティティ・プロバイダの追加」をクリックします。
  4. 次を入力します:

    1. 名前:このフェデレーション・トラストの一意の名前。これは、コンソールへのサインイン時に使用するアイデンティティ・プロバイダの選択時にフェデレーテッド・ユーザーに表示される名前であるため、ユーザーがわかりやすい直感的な名前にすることを検討してください。名前は、テナンシに追加するすべてのアイデンティティ・プロバイダで一意である必要があります。これは後で変更できません。
    2. 説明: わかりやすい説明。
    3. タイプ:Microsoft Active Directory Federation Service (ADFS)またはSAML 2.0準拠のアイデンティティ・プロバイダを選択します。
    4. XML:IdPからダウンロードしたmetadata.xmlドキュメントをアップロードします。
    5. アサーションの暗号化:チェックボックスを選択すると、IAMサービスはIdPからの暗号化を認識します。このチェック・ボックスを選択する場合は、IdPでアサーションの暗号化も設定する必要があります。詳細は、一般的な概念のアサーションの暗号化を参照してください。IdPのドキュメントも参照してください。
    6. 強制認証:デフォルトで選択されています。選択すると、ユーザーは、別のセッションにすでにサインインしている場合でも、IdPに資格証明を提供(再認証)する必要があります。
    7. 認証コンテキストのクラス参照:このフィールドは、Government Cloudの顧客に必須です。1つ以上の値が指定されている場合、Oracle Cloud Infrastructure (リライイング・パーティ)は、ユーザーの認証時に、指定された認証メカニズムの1つを使用することをアイデンティティ・プロバイダに要求します。IdPから戻されたSAMLレスポンスには、その認証コンテキストのクラス参照とともに認証ステートメントが含まれている必要があります。SAMLレスポンス認証コンテキストがここで指定された内容と一致しない場合、Oracle Cloud Infrastructure認証サービスは400でSAMLレスポンスを否認します。 メニューには、一般的な認証コンテキストのクラス参照がいくつかリストされています。別のコンテキスト・クラスを使用する場合は、「カスタム」を選択してから、クラス参照を手動で入力します。
    8. リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかがわからない場合は、このオプションをスキップするか、管理者に連絡してください。タグは後で適用できます。
  5. 「続行」をクリックします。
  6. Oracle Cloud Infrastructureで、IdPグループとIAMグループ間のマッピングを設定します。特定のIdPグループをゼロ個、1個または複数のIAMグループにマップすることも、その逆も可能です。ただし、個々のマッピングは、1つのIdPグループと1つのIAMグループの間のみに存在します。グループ・マッピングに対する変更は、通常はホーム・リージョンで数秒以内に有効になりますが、すべてのリージョンに伝播するまで数分かかることがあります。

    ノート

    グループ・マッピングを今設定しない場合は、単純に「作成」をクリックして、マッピングを後で追加しなおすことができます。

    グループ・マッピングを作成するには:

    1. 「アイデンティティ・プロバイダ・グループ」で、IdP内のグループの名前を入力します。名前は、大文字と小文字の区別も含めて正確に入力する必要があります。

      「OCIグループ」の下のリストから、このグループをマップするIAMグループを選択します。

      ヒント

      IAMグループ名の要件:空白なし。許可されている文字:英字、数字、ハイフン、ピリオド、アンダースコアおよびプラス記号(+)。名前は後で変更できません。
    2. 作成するマッピングごとに前述のサブステップを繰り返し、「作成」をクリックします。

これで、アイデンティティ・プロバイダがテナンシに追加され、「フェデレーション」ページのリストに表示されます。アイデンティティ・プロバイダをクリックして、設定したばかりの詳細とグループ・マッピングを表示します。

Oracleはアイデンティティ・プロバイダを割り当て、各グループ・マッピングにOracle Cloud ID (OCID)と呼ばれる一意のIDを割り当てます。詳細は、リソース識別子を参照してください。

今後、グループ・マッピングを編集または追加したり、テナンシからアイデンティティ・プロバイダを削除する場合は、「フェデレーション」ページに移動します。

ステップ6: グループに対するIAMポリシーの設定

まだIAMポリシーを設定していない場合は、組織のOracle Cloud Infrastructureリソースに対するフェデレーテッド・ユーザーのアクセスを制御するために設定します。詳細は、ポリシーの開始および共通ポリシーを参照してください。

ステップ7: フェデレーテッド・ユーザーにテナント名およびサインインするURLを指定

フェデレーテッド・ユーザーには、Oracle Cloud InfrastructureコンソールのURL (https://cloud.oracle.com)とテナントの名前が必要です。コンソールにサインインすると、テナント名の入力を求めるプロンプトが表示されます。

コンソールでのアイデンティティ・プロバイダの管理

アイデンティティ・プロバイダを削除するには

アイデンティティ・プロバイダのすべてのグループ・マッピングも削除されます。

  1. テナンシからアイデンティティ・プロバイダを削除します。

    1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「フェデレーション」をクリックします。

      テナンシのアイデンティティ・プロバイダのリストが表示されます。

    2. アイデンティティ・プロバイダをクリックして詳細を表示します。
    3. 「削除」をクリックします。
    4. プロンプトが表示されたら確認します。
  2. IdPからアプリケーションを削除するには、IdPのドキュメントに従います。
アイデンティティ・プロバイダのグループ・マッピングを追加するには
  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「フェデレーション」をクリックします。

    テナンシのアイデンティティ・プロバイダのリストが表示されます。

  2. アイデンティティ・プロバイダをクリックして詳細を表示します。
  3. 「マッピングの追加」をクリックします。

    1. 「アイデンティティ・プロバイダ・グループ」テキスト・ボックスに、IdPグループ名を正確に入力します。
    2. 「OCIグループ」の下のリストから、このグループをマップするIAMグループを選択します。

    3. さらにマッピングを追加する場合は、「+Anotherマッピング」をクリックします。
    4. 終了したら、「マッピングの追加」をクリックします。

変更は、通常ホーム・リージョン内で数秒以内に有効になります。変更がすべてのリージョンに伝播されるまで数分間待機します

グループ・マッピングを更新するには

グループ・マッピングは更新できませんが、マッピングを削除してから新規のものを追加することはできます。

グループ・マッピングを削除するには
  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「フェデレーション」をクリックします。

    テナンシのアイデンティティ・プロバイダのリストが表示されます。

  2. アイデンティティ・プロバイダをクリックして詳細を表示します。
  3. 削除するマッピングを選択し、「削除」をクリックします。
  4. プロンプトが表示されたら確認します。

変更は、通常ホーム・リージョン内で数秒以内に有効になります。変更がすべてのリージョンに伝播されるまで数分間待機します。

APIでのアイデンティティ・プロバイダの管理

APIの使用およびリクエストの署名の詳細は、REST APIのドキュメントおよびセキュリティ資格証明を参照してください。SDKの詳細は、SDKおよびCLIを参照してください。

次のAPI操作を使用します。

アイデンティティ・プロバイダ: グループ・マッピング: