SAMLアイデンティティ・プロバイダの管理

コンソールを使用してSAML 2.0アイデンティティ・プロバイダ(IdP)をアイデンティティ・ドメインに追加し、IdPから認証されたユーザーがOracle Cloud Infrastructureにアクセスできるようにすることで、リソースおよびクラウド・アプリケーションにアクセスできます。

一般的な用語

アイデンティティ・プロバイダ(IdP): IdPは、ユーザーの資格証明と認証を識別するサービスです。
サービス・プロバイダ(SP): IdPをコールしてユーザーを認証するサービス(アプリケーション、Webサイトなど)。

次のステップを使用して、SAML 2.0 IdPを作成します。

SAML JITプロビジョニングの構成

SAML JITプロビジョニングは、コンソールまたは/admin/v1/IdentityProviders REST APIエンドポイントを使用して構成できます。SAML JITプロビジョニングを構成するには、次のリファレンスを参照してください:

SAMLアイデンティティ・プロバイダの追加

アイデンティティ・プロバイダのSAML詳細の入力。

「ドメイン」リスト・ページで、変更するドメインを選択します。ドメインのリスト・ページの検索に関するヘルプが必要な場合は、アイデンティティ・ドメインのリストを参照してください。
詳細ページで、表示されるオプションに応じて、次のいずれかを実行します。
- 「フェデレーション」を選択します。
- 「セキュリティ」を選択し、「アイデンティティ・プロバイダ」を選択します。ドメイン内のアイデンティティ・プロバイダのリストが表示されます。
表示されるオプションに応じて、次のいずれかを実行します。
- アイデンティティ・プロバイダの「アクション」メニューを使用して、「SAMLの追加」IdPを選択するか、
- IdPの追加を選択し、「SAMLの追加」IdPを選択します。
次の情報を入力します:
- 名前: IdPの名前を入力します。
- (オプション)説明: IdPの説明を入力します。
- (オプション)「アイデンティティ・プロバイダ」アイコン: サポートされているイメージをドラッグ・アンド・ドロップするか、「1つを選択」をクリックしてイメージを参照します。
「次へ」を選択します。
「メタデータの交換」画面で、「SAMLメタデータのエクスポート」ボタンを選択して、SAMLメタデータをアイデンティティ・プロバイダに送信します。次のいずれかを行います。
- IdPメタデータのインポート: IdPからエクスポートされたXMLファイルがある場合は、このオプションを選択します。XMLファイルをドラッグ・アンド・ドロップしてメタデータをアップロードするか、「1つを選択」を選択してメタデータ・ファイルを参照します。
- IdPメタデータの入力: IdPメタデータを手動で入力する場合は、このオプションを選択します。次の詳細を入力します。
  - アイデンティティ・プロバイダの発行者URI
  - SSOサービスURI
  - SSOサービス・バインド
  - アイデンティティ・プロバイダ署名証明書のアップロード
  - グローバル・ログアウトの有効化
- IdP URLのインポート: IdPメタデータのURLを入力します。
次の項目を選択する場合は、「拡張オプションの表示」を選択します。
- 署名ハッシュ・アルゴリズム: 「SHA-256」または「SHA-1」を選択します
- 暗号化されたアサーションが必要: アイデンティティ・ドメイン認可で、IdPからの暗号化されたアサーションが必要なことを示します。
- 強制認証: セッションがまだ有効であっても、ユーザーにIdPでの認証を求める場合は、このオプションを選択します。
- リクエストされた認証コンテキスト: 認証コンテンツ・クラス参照を選択します。
- Holder-of-Keyのサブジェクト確認が必要です: Holder-of-Key (HOK)でサポートされている有効なメタデータ・ファイルをアップロードすると使用可能になります。
- SAMLメッセージによる署名証明書の送信: ご使用のアイデンティティ・ドメインから送信されるSAMLメッセージに、アイデンティティ・ドメインの署名証明書を含める場合は、これを選択します。一部のSAMLプロバイダでは、SAMLパートナ構成の検索に署名証明書が必要です。
「次へ」を選択します。
「SAMLアイデンティティ・プロバイダの追加」画面で、次を実行します:
1. 「リクエストされたName ID形式」を選択します。
IdPから受信したユーザーのアイデンティティ属性をOracle Cloud Infrastructureアイデンティティ・ドメインにマップします。
マッピング・オプションは、アイデンティティ・プロバイダによって異なります。IdP値をOracle Cloud Infrastructureアイデンティティ・ドメイン値に、直接割り当てることが可能です。たとえば、NameIDは UserNameにマップできます。SAMLアサーション属性をソースとして選択する場合は、アサーション属性名を選択し、Oracle Cloud Infrastructureアイデンティティ・ドメインを入力します。
「発行」を選択します。
「確認およびの作成」画面で、SAMLアイデンティティ・プロバイダの設定を確認します。設定が正しい場合は、「作成」を選択します。設定を変更する必要がある場合は、設定のセットの隣にある「編集」を選択します。
SAMLアイデンティティ・プロバイダが作成されると、コンソールでメッセージが表示されます。概要ページでは、次のことを実行できます。
- 「テスト」を選択して、SAML SSO接続が正しく機能していることを確認します。
- IdPをアクティブ化すると、アイデンティティ・ドメインでの使用が可能になります。「アクティブ化」を選択します。
- 「IdPポリシー・ルールに割当て」を選択すると、このSAMLアイデンティティ・プロバイダを、作成した既存のポリシー・ルールに割り当てます。
「閉じる」を選択します。

SAMLアイデンティティ・プロバイダのメタデータのインポート

アイデンティティ・プロバイダのSAMLメタデータをインポートします。

「ドメイン」リスト・ページで、変更するドメインを選択します。ドメインのリスト・ページの検索に関するヘルプが必要な場合は、アイデンティティ・ドメインのリストを参照してください。
詳細ページで、表示されるオプションに応じて、次のいずれかを実行します。
- 「フェデレーション」を選択します。
- 「セキュリティ」を選択し、「アイデンティティ・プロバイダ」を選択します。ドメイン内のアイデンティティ・プロバイダのリストが表示されます。
表示されるオプションに応じて、次のいずれかを実行します。
- アイデンティティ・プロバイダの「アクション」メニューを使用して、「SAMLの追加」IdPを選択するか、
- 「IdPの追加」を選択し、「SAMLの追加」IdPを選択します。

IdPの詳細を入力します:


フィールド	説明
名前	IdPの名前を入力します。
説明	IdPの説明情報を入力します。
アイコン	IdPを表すアイコンを参照して選択するか、ドラッグ・アンド・ドロップします。アイコンのサイズは95 x 95ピクセルで、背景は透明にする必要があります。サポートされるファイル形式は、.png、.fig、.jpg、.jpegです。

「次へ」を選択します。構成の詳細を入力します:


フィールド	説明
アイデンティティ・プロバイダ・メタデータのインポート	IdPのメタデータをインポートするには、このオプションを選択します。
アイデンティティ・プロバイダ・メタデータ	インポートするIdPのメタデータを含むXMLファイルを選択します。ノート:アイデンティティ・ドメインでは、特定の発行者ID(プロバイダ識別子またはエンティティIDとも呼ばれる)を持つIdPを1つのみ定義できます。エンティティID属性はIdPメタデータの一部であるため、指定したメタデータ・ファイルで作成できるIdPは1つのみです。さらに、IdPは新しいメタデータで更新できますが、その発行者IDは変更できません。
SAMLメッセージによる署名証明書の送信	IdPに送信されるSAMLメッセージとともにアイデンティティ・ドメインの署名証明書を含めるには、このチェックボックスを選択します。署名証明書は、IdPのメッセージの署名を検証するために使用します。これは通常は必要ありませんが、IdPによっては署名検証プロセスの一環として必要になります。
署名ハッシュ・アルゴリズム	IdPに送信されるメッセージに署名するために使用するセキュア・ハッシュ・アルゴリズムを選択します。 SHA-256がデフォルトです。 IDPでSHA-256がサポートされていない場合は、SHA-1を選択します。

「次へ」を選択します。IdPとアイデンティティ・ドメイン・ユーザー属性間のマッピングを構成します:


フィールド	説明
アイデンティティ・プロバイダ・ユーザー属性	ユーザーを一意に識別するために使用できる、IdPから受け取ったユーザー属性値を選択します。アサーションName IDのいずれかを指定できます。または、「アサーション属性」テキスト・ボックスに入力することで、アサーションの別のSAML属性を指定できます。
アイデンティティ・ドメイン・ユーザー属性	IdPから受け取った属性をマップするアイデンティティ・ドメインの属性を選択します。ユーザー名または別の属性(ユーザーの表示名、プライマリまたはリカバリ電子メール・アドレス、外部IDなど)を指定できます。外部IDは、IdPから受け取った属性を、プロバイダに関連付けられた特別なIDにマップする場合に使用します。
リクエストされたNameID形式	SAML認証リクエストがIdPに送信される場合、リクエストで名前ID形式を指定できます。 IdPがリクエストでこれを必要としない場合は、「<リクエストなし>」を選択します。

「IdPの作成」を選択します。アイデンティティ・ドメインのSAMLメタデータをエクスポートします:


タスク	説明
サービス・プロバイダ・メタデータ	アイデンティティ・ドメインのメタデータをエクスポートするには、「ダウンロード」を選択します。次に、このメタデータをIdPにインポートします。IdPでSAMLメタデータXMLドキュメントのインポートがサポートされていない場合は、次の情報を使用してIdPを手動で構成します。アイデンティティ・ドメイン・メタデータのインポート先のフェデレーション・パートナが、このボタンでエクスポートされたメタデータを使用するかわりにCRL検証を実行する場合(たとえば、AD FSはCRL検証を実行します)、`https://[instancename.idcs.internal.oracle.com:port]/fed/v1/metadata?adfsmode=true`からメタデータをダウンロードします「デフォルト設定」の「署名証明書へのアクセス」でスイッチをオンにして、クライアントがアイデンティティ・ドメインにログインせずにメタデータにアクセスできるようにします。
自己署名証明書を含むサービス・プロバイダ・メタデータ	アイデンティティ・ドメインのメタデータを自己署名証明書とともにエクスポートするには、「ダウンロード」を選択します。次に、このメタデータをIdPにインポートします。IdPでSAMLメタデータXMLドキュメントのインポートがサポートされていない場合は、次の情報を使用してIdPを手動で構成します。アイデンティティ・ドメイン・メタデータのインポート先のフェデレーション・パートナが、このボタンでエクスポートされたメタデータを使用するかわりにCRL検証を実行する場合(たとえば、AD FSはCRL検証を実行します)、`https://[instancename.idcs.internal.oracle.com:port]/fed/v1/metadata?adfsmode=true`からメタデータをダウンロードします「デフォルト設定」の「署名証明書へのアクセス」でスイッチをオンにして、クライアントがアイデンティティ・ドメインにログインせずにメタデータにアクセスできるようにします。
プロバイダID	アイデンティティ・ドメインを一意に識別するUniform Resource Identifier (URI)。プロバイダIDは、発行者IDまたはエンティティIDとも呼ばれます。
アサーション・コンシューマ・サービスURL	IdPからアサーションを受信して処理するアイデンティティ・ドメイン・サービス・エンドポイントのUniform Resource Locator (URL)。
ログアウト・サービス・エンドポイントURL	IdPからログアウト・リクエストを受信して処理するアイデンティティ・ドメイン・サービス・エンドポイントのURL。
ログアウト・サービス戻りURL	IdPからログアウト・レスポンスを受信して処理するアイデンティティ・ドメイン・サービス・エンドポイントのURL。
サービス・プロバイダ署名証明書	アイデンティティ・ドメインの署名証明書をエクスポートするには、「ダウンロード」を選択します。署名証明書が含まれるファイルを選択します。この証明書は、アイデンティティ・ドメインによってIdPに送信されるSAMLリクエストおよびレスポンスの署名を検証するために、IdPで使用されます。
サービス・プロバイダ暗号化証明書	アイデンティティ・ドメインの暗号化証明書をエクスポートするには、「ダウンロード」を選択します。暗号化証明書が含まれるファイルを選択します。この証明書は、アイデンティティ・ドメインに送信するSAMLアサーションを暗号化するために、IdPで使用されます。これは、暗号化されたアサーションをIdPがサポートしている場合にのみ必要です。

発行元のアイデンティティ・ドメイン・ルート証明書を取得するには、ルートCA証明書の取得を参照してください。

「次へ」を選択します。
「IdPのテスト」ページで、「ログインのテスト」をクリックしてIdPの構成設定をテストします。(構成設定をテストするには、IdPを構成したアイデンティティ・ドメインにログインする必要があります。)
「次へ」を選択します。
「IdPのアクティブ化」ページで、「アクティブ化」を選択してIdPをアクティブ化します。
「終了」を選択します。

SAMLメタデータのエクスポート

IAMのアイデンティティ・ドメインのSAMLメタデータのエクスポート。

「ドメイン」リスト・ページで、変更するドメインを選択します。ドメインのリスト・ページの検索に関するヘルプが必要な場合は、アイデンティティ・ドメインのリストを参照してください。
詳細ページで、表示されるオプションに応じて、次のいずれかを実行します。
- 「フェデレーション」を選択します。
- 「セキュリティ」を選択し、「アイデンティティ・プライダ」を選択します。ドメイン内のアイデンティティ・プロバイダのリストが表示されます。
アイデンティティ・プロバイダを開きます。
「SAMLメタデータのエクスポート」を選択します。
次のいずれかを選択します:
- メタデータ・ファイル: SAML XMLメタデータ・ファイルのダウンロードを選択するか、SAML XMLメタデータを自己署名証明書とともにダウンロードします。
- 手動エクスポート: メタデータを手動でエクスポートすると、エンティティIDやログアウト・レスポンスURLなど、複数のSAMLオプションから選択できます。エクスポート・ファイルをコピーした後、サービス・プロバイダ署名証明書またはサービス・プロバイダ暗号化証明書をダウンロードできます。
- メタデータURL: IdPでSAMLメタデータの直接ダウンロードがサポートされている場合。「署名証明書へのアクセス」を選択して、クライアントがIdPにログインせずに署名証明書にアクセスできるようにします。

IdPメタデータの構成

IdPメタデータ詳細を手動で入力するか、メタデータ・ファイルをインポートします。

次のいずれかを選択します:
- IdPメタデータのインポート: IdPからエクスポートされたXMLファイルがある場合は、このオプションを選択します。XMLファイルをドラッグ・アンド・ドロップしてメタデータをアップロードするか、「1つを選択」を選択してメタデータ・ファイルを参照します。
- IdPメタデータの入力: IdPメタデータを手動で入力する場合は、このオプションを選択します。次の詳細を入力します。
  - アイデンティティ・プロバイダの発行者URI:
  - SSOサービスURI
  - SSOサービス・バインド
  - アイデンティティ・プロバイダ署名証明書のアップロード
  - アイデンティティ・プロバイダ暗号化証明書のアップロード
  - グローバル・ログアウトの有効化
  - アイデンティティ・プロバイダ・ログアウト・リクエストURL
  - アイデンティティ・プロバイダ・ログアウト・レスポンスURL
  - ログアウト・バインド
「署名ハッシュ・アルゴリズム」メソッドを選択します。
SAMLメッセージ付き署名証明書を使用するかどうかを選択します。
「次へ」を選択します。

ユーザー属性のマップ

IdPユーザー属性とアイデンティティ・ドメイン・ユーザー属性の関係をマップします。

「リクエストされたName IDフォーマット」フィールドで、マッピング・オプションを選択します。

マッピング・オプションは、アイデンティティ・プロバイダによって異なります。IdP値をOracle Cloud Infrastructureアイデンティティ・ドメイン値に、直接割り当てることが可能な場合もあります。たとえば、NameIDは UserNameにマップできます。SAMLアサーション属性をソースとして選択する場合は、アサーション属性名を選択し、Oracle Cloud Infrastructureアイデンティティ・ドメインを入力します。

「カスタム」を選択した場合は、「カスタムName ID形式」フィールドに詳細を入力します。
「アイデンティティ・プロバイダ・ユーザー属性」でフィールドを選択し、「アイデンティティ・ドメイン・ユーザー属性」で対応するフィールドを選択します。
「次へ」を選択します。

IdPの確認と作成

IdPオプションが正確であることを確認してから、IdPを作成します。

「ログインのテスト」を選択して、IdPサインイン画面を開きます。
「IdPの作成」を選択します。

ノート

IdPを作成した後に編集するには、「アイデンティティ・プロバイダ」リストに移動し、IdPを選択してIdPを編集します。

Oracle Cloud Infrastructureドキュメント