アイデンティティ・プロバイダの管理

アイデンティティ・プロバイダおよびサービス・プロバイダについて

認証局とも呼ばれるアイデンティティ・プロバイダは、外部プロバイダの資格証明を使用してアイデンティティ・ドメインにサインインするユーザーに対して外部認証を提供します。アイデンティティ・ドメインは、サードパーティのサービス・プロバイダに対するアイデンティティ・プロバイダとして機能できますが、アイデンティティ・ドメインにアクセスするユーザーを認証するためにアイデンティティ・プロバイダに依存するというこのコンテキストでは、アイデンティティ・ドメインはサービス・プロバイダです。より一般的に、Oracle Cloud Infrastructureは、ユーザーがアクセスする必要があるサービスおよびリソースを提供するため、サービス・プロバイダと考えることもできます。

たとえば、Microsoft Active Directory Federation Services (AD FS)の資格証明を使用して組織のユーザーがOracle Cloudサービスにサインインおよびアクセスするとします。この場合、Microsoft AD FSはアイデンティティ・プロバイダ(IdP)として機能し、アイデンティティ・ドメインはサービス・プロバイダ(SP)として機能します。MS AD FSは、ユーザーを認証し、アイデンティティおよび認証情報を含むトークンをアイデンティティ・ドメインに返します(ユーザー名やユーザーの電子メール・アドレスなど)。このセキュリティ・トークンは、IdPによってデジタル署名されています。SPは、トークンの署名を検証してから、アイデンティティ情報を使用してユーザーの認証済セッションを確立します。これはフェデレーテッド・シングル・サインオンと呼ばれ、ユーザーはあるドメインで資格証明を要求され、別のドメインへのアクセス権を付与されます。

Microsoft Active Directoryブリッジをフェデレートするには、Microsoft Active Directory (AD)ブリッジの設定を参照してください。

デジタル証明書は、電子パスポートのように、個人、コンピュータまたは組織が公開キー暗号化を使用してインターネット経由で情報をセキュアに交換するのを支援します。デジタル証明書は、公開キー証明書とも呼ばれます。

パスポートのように、デジタル証明書は、識別情報を提供し、改ざんに強く、正式な信頼できる機関によって発行されるため検証が可能です。証明書には、証明書保有者の名前、シリアル番号、有効期限、証明書保有者の公開キーのコピー(メッセージの暗号化およびデジタル署名の検証に使用)、および証明書発行機関(CA)のデジタル署名が含まれているため、受信者はその証明書が本物であることを確認できます。

外部アイデンティティ・プロバイダの署名を検証するために、サービス・プロバイダには署名証明書のコピーが格納されます。サービス・プロバイダがアイデンティティ・プロバイダから署名付きメッセージを受信する場合、格納された証明書を使用して署名を検証する前に、証明書が有効であることを検証する必要があります。証明書の検証には、証明書が期限切れになっていないかどうかの検証が含まれます。証明書が検証された後、その証明書を使用してメッセージの署名が検証されます。

この操作が成功するには、証明書に埋め込まれた公開キーが、アイデンティティ・プロバイダによってメッセージの署名に使用された秘密キーと一致している必要があります。

SAMLジャストインタイム(JIT)プロビジョニングでは、ユーザーが最初にSSOを実行しようとしたときに、ユーザーがまだアイデンティティ・ドメインに存在しない場合、ユーザー・アカウントの作成が自動化されます。JITでは、自動ユーザー作成に加えて、プロビジョニングの一環としてグループ・メンバーシップの付与および取消しが可能です。JITは、サービス・プロバイダ(SP)ストア内のユーザーの属性をアイデンティティ・プロバイダ(IdP)のユーザー・ストア属性と同期できるように、プロビジョニングされたユーザーを更新するように構成できます。