Oracle Cloud Infrastructureドキュメント

Entra IDからOCI IAMへのJITプロビジョニング

このチュートリアルでは、Entra IDをIdPとして使用して、OCIコンソールとEntra IDの間のJust-In-Time (JIT)プロビジョニングを構成します。

JITプロビジョニングを設定して、ターゲット・システムへのアクセスをリクエストするときと同様に、実行時にターゲット・システムにアイデンティティを作成できるようにすることができます。

このチュートリアルでは、次のステップについて説明します。

  1. OCI IAMでJIT用にEntra ID IdPを構成します。
  2. Entra IDでOCI IAMアプリケーション構成を更新します。
  3. Entra IDからOCI IAMにプロビジョニングできることをテストします。
ノート

このチュートリアルは、アイデンティティ・ドメインのあるIAMに固有です。
開始する前に

このチュートリアルを実行するには、次のものが必要です:

  • 有料Oracle Cloud Infrastructure (OCI)アカウントまたはOCIトライアル・アカウント。Oracle Cloud Infrastructure Free Tierを参照してください。

  • OCI IAMアイデンティティ・ドメインのアイデンティティ・ドメイン管理者ロール。管理者ロールの理解を参照してください。
  • 次のいずれかのEntra IDロールを持つEntra IDアカウント:
    • グローバル管理者
    • クラウド・アプリケーション管理者
    • アプリケーション管理者

また、チュートリアル「OCIとMicrosoft Entra ID間のSSO」を完了し、JITプロビジョニングに使用するグループのオブジェクトIDを収集しておく必要があります。

1.Entra IDによって送信されたSAML属性の構成

JITプロビジョニングが機能するには、Entra IDによってSAMLアサーションでOCI IAMに送信される、適切で必要なSAML属性を構成する必要があります。

  1. ブラウザで、次のURLを使用してMicrosoft Entra IDにサインインします。
    https://entra.microsoft.com
  2. 「エンタープライズ・アプリケーション」にナビゲートします。
  3. Oracle Cloud Infrastructure Consoleアプリケーションを選択します。
    ノート

    これは、OCIとMicrosoft Entra ID間のSSOの一部として作成したアプリケーションです。
  4. 左側のメニューで、「Single sign-on」を選択します。
  5. 「属性と要求」セクションで、「編集」を選択します。
  6. 属性が正しく構成されていることを確認します。
    • NameID
    • Email Address
    • First Name
    • Last Name

    新しい請求が必要な場合は、追加します。

  7. 構成されているすべての要求名をノートにとります。たとえば

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

    First Nameのクレーム名です。

    属性とクレーム

  8. 「グループ」に移動します。Entra IDで使用可能なすべてのグループが表示されます。
  9. OCI IAMに送信するSAMLの一部にするグループのオブジェクトIDをノートにとります。

    Entra IDのグループ詳細

追加のEntra ID構成

Entra IDでは、グループ名(sAMAccountName)属性に基づいてグループをフィルタできます。

たとえば、SAMLを使用してAdministratorsグループのみを送信する必要があるとします。

  1. グループ請求を選択します。
  2. 「グループ要求」で、「拡張オプション」を展開します。
  3. 「フィルタ・グループ」を選択します。
    • 「一致する属性」で、Display Nameを選択します。
    • 「次と一致」で、containsを選択します。
    • 「文字列」に、グループの名前(Administratorsなど)を指定します。

    グループのフィルタ

このオプションを使用すると、管理者グループのユーザーが他のグループの一部であっても、Entra IDはSAMLの管理者グループのみを送信します。
ノート

これにより、組織はEntra IDからOCI IAMに必要なグループのみを送信できます。
2.OCI IAMでのJIT属性の構成

OCI IAMで、JITのEntra ID IdPを更新します。

  1. サポートされているブラウザ を開き、コンソールURLを入力します:

    https://cloud.oracle.com

  2. クラウド・アカウント名(テナンシ名とも呼ばれる)を入力し、「次」を選択します。
  3. SSOの構成に使用するアイデンティティ・ドメインを選択します。
  4. ユーザー名とパスワードでサインインします。
  5. ナビゲーション・メニューを開き、「アイデンティティおよびセキュリティ」を選択します。
  6. 「アイデンティティ」で、「ドメイン」を選択します。
  7. Entra IDをIdPとして構成済のアイデンティティ・ドメインを選択します。
  8. 左側のメニューから「セキュリティ」「アイデンティティ・プロバイダ」の順に選択します。
  9. Entra ID IdPを選択します。
    ノート

    これは、OCIとMicrosoft Entra ID間のSSOの一部として作成したEntra ID IdPです。
  10. Entra IDのIdPページで、「Configure JIT」を選択します。

    IAMのEntra IDアイデンティティ・プロバイダの構成ページ

  11. 「ジャストインタイム(JIT)プロビジョニングの構成」ページで、次の手順を実行します。
    • Just-In-Time (JIT)プロビジョニングを選択します。
    • 「新しいアイデンティティ・ドメイン・ユーザーの作成」を選択します。
    • 「既存のアイデンティティ・ドメイン・ユーザーの更新」を選択します。

    Just in Timeプロビジョニングの有効化

  12. 「ユーザー属性のマップ」で:
    1. NameIDの最初の行は変更しないままにします。
    2. その他の属性については、IdPユーザー属性Attributeを選択します。
    3. IdPユーザー属性名を次のように指定します。
      • familyName: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
      • primaryEmailAddress: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    4. 「行の追加」を選択し、http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givennameと入力します。

      アイデンティティ・ドメイン・ユーザー属性の場合は、First nameを選択します。

      ノート

      完全修飾表示名(FQDN)は1からのものです。Entra IDによって送信されるSAML属性を構成します

    この図は、OCI IAMのユーザー属性(右側)と、Entra IDとOCI IAM間のユーザー属性のマッピングを示しています。

    Entra IDとOCI IAM間のユーザー属性のマッピング

  13. 「グループ・マッピングの割当て」を選択します。
  14. 「グループ・メンバーシップ属性名」http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsと入力します。
  15. 「明示的なグループ・メンバーシップ・マッピングの定義」を選択します。
  16. IdP Group nameで、前のステップのEntra IDにグループのオブジェクトIDを指定します。
  17. アイデンティティ・ドメイン・グループ名で、Entra IDグループをマップするOCI IAMのグループを選択します。

    グループ・マッピングの割当て

    この図は、OCI IAMのグループ属性(右側)と、Entra IDとOCI IAMの間のグループ属性のマッピングを示しています。

    Entra IDとOCI IAM間のグループ属性のマッピング

  18. 「割当ルール」で、次を選択します。
    1. グループ・メンバーシップを割り当てる場合: 既存のグループ・メンバーシップとマージします
    2. グループが見つからない場合: 存在しないグループを無視します

    割当ルールの設定

    ノート

    組織の要件に基づいてオプションを選択します。
  19. 「Save changes」を選択します。
3.Entra IDとOCI間のJITプロビジョニングのテスト
この項では、JITプロビジョニングがEntra IDとOCI IAMの間で機能することをテストできます。
  1. Entra IDコンソールで、OCI IAMに存在しない電子メールIDで新しいユーザーを作成します。

  2. 必要なグループにユーザーを割り当てます。

    グループへのユーザーの割当て

  3. ブラウザで、OCIコンソールを開きます。
  4. JIT構成が有効になっているアイデンティティ・ドメインを選択します。
  5. 「次」を選択します。
  6. サインオン・オプションから、「Entra ID」を選択します。
  7. Microsoftのログイン・ページで、新しく作成したユーザーIDを入力します。

    Microsoftログイン・ページ

  8. Microsoftからの認証に成功した場合:
    • ユーザー・アカウントはOCI IAMで作成されます。
    • ユーザーはOCIコンソールにログインしています。

    ユーザーのOCI IAMのマイ・プロファイル

  9. ナビゲーション・メニューで、「プロファイル」メニュー「プロファイル」メニュー・アイコンを選択し、表示されるオプションに応じて「ユーザー設定」または「自分のプロファイル」を選択します。電子メールID、名、姓、関連グループなどのユーザー・プロパティを確認します。

    OCI IAMのユーザー・プロパティの確認

次の手順

完了しました。Entra IDとOCI IAMの間でJITプロビジョニングを正常に設定しました。

Oracle製品を使用した開発の詳細を確認するには、次のサイトを参照してください: