Oracle Cloud Infrastructureドキュメント

OCIとMicrosoft Entra ID間のSSO

このチュートリアルでは、アイデンティティ・プロバイダ(IdP)としてEntra IDを使用して、OCI IAMとMicrosoft Entra IDの間にSSOを構成します。

この30分間のチュートリアルでは、サービス・プロバイダ(SP)として機能するOCI IAMを、IdPとして機能するEntra IDと統合する方法を示します。Entra IDとOCI IAM間のフェデレーションを設定することで、Entra IDが認証するユーザー資格証明を使用して、OCIのサービスおよびアプリケーションへのユーザーのアクセスが可能になります。

このチュートリアルでは、OCI IAMのIdPとしてEntra IDを設定する方法について説明します。

  1. まず、OCI IAMアイデンティティ・ドメインからメタデータをダウンロードします。
  2. 次のいくつかのステップでは、Entra IDでアプリケーションを作成および構成します。
  3. Entra IDで、メタデータを使用してOCI IAMでSSOを設定します。
  4. 「Entra ID」で、属性および要求を編集して、Eメール名がユーザーの識別子として使用されるようにします。
  5. 「Entra ID」で、ユーザーをアプリケーションに追加します。
  6. 次のステップでは、アイデンティティ・ドメインに戻って設定を完了し、configuration.In OCI IAMで、デフォルトのIdPポリシーを更新してEntra IDを追加します。
  7. フェデレーテッド認証がOCI IAMとEntra ID間で機能することをテストすること。
ノート

このチュートリアルは、アイデンティティ・ドメインのあるIAMに固有です。
開始する前に

このチュートリアルを実行するには、次のものが必要です:

  • 有料Oracle Cloud Infrastructure (OCI)アカウントまたはOCIトライアル・アカウント。Oracle Cloud Infrastructure Free Tierを参照してください。

  • OCI IAMアイデンティティ・ドメインのアイデンティティ・ドメイン管理者ロール。管理者ロールの理解を参照してください。
  • 次のいずれかのEntra IDロールを持つEntra IDアカウント:
    • グローバル管理者
    • クラウド・アプリケーション管理者
    • アプリケーション管理者
ノート

シングル・サインオン(SSO)に使用されるユーザーは、SSOが機能するように、OCI IAMとEntra IDの両方に存在する必要があります。このSSOチュートリアルを完了すると、OCI IAMとEntra ID間のアイデンティティ・ライフサイクル管理という別のチュートリアルがあります。この他のチュートリアルでは、Entra IDからOCI IAMまたはOCI IAMからEntra IDへのユーザー・アカウントのプロビジョニング方法を順を追って説明します。
1. OCI IAMからのサービス・プロバイダ・メタデータの取得

作成したSAML Entra IDアプリケーションにインポートするには、OCI IAMアイデンティティ・ドメインのSPメタデータが必要です。OCI IAMには、使用しているアイデンティティ・ドメインのメタデータをダウンロードするためのダイレクトURLが用意されています。メタデータをダウンロードするには、これらのステップに従います。

  1. サポートされているブラウザを開き、コンソールURLを入力します:

    https://cloud.oracle.com

  2. クラウド・アカウント名(テナンシ名とも呼ばれる)を入力し、「次」を選択します。
  3. サインインするアイデンティティ・ドメインを選択します。これは、SSOの構成に使用されるアイデンティティ・ドメインです(Defaultなど)。
  4. ユーザー名とパスワードでサインインします。
  5. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」を選択します。「アイデンティティ」で、「ドメイン」を選択します。
  6. 作業するアイデンティティ・ドメインの名前をクリックします。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。次に、「設定」「ドメイン設定」の順にクリックします。
  7. 「署名証明書へのアクセス」で、「クライアント・アクセスの構成」を選択します。

    これにより、クライアントは、ドメインにサインインせずにアイデンティティ・ドメインの署名証明書にアクセスできます。

  8. 「Save changes」を選択します。

    「ドメイン設定」ページでのクライアント・アクセスの構成

  9. ブレッドクラム・ナビゲーション証跡でアイデンティティ・ドメイン名を選択して、アイデンティティ・ドメインの概要に戻ります。ドメイン情報の「ドメインURL」の横にある「コピー」を選択し、URLを編集可能なアプリケーションに保存します。

    ドメインURL情報がどこにあるかを示すドメイン情報。

  10. 新しいブラウザ・タブで、コピーしたURLを貼り付け、最後に/fed/v1/metadataを追加します。

    例:

    https://idcs-<unique_ID>.identity.oraclecloud.com:443/fed/v1/metadata
  11. アイデンティティ・ドメインのメタデータがブラウザに表示されます。OCIMetadata.xmlという名前のXMLファイルとして保存します。
2.Entra IDエンタープライズ・アプリケーションの作成

次のいくつかのステップでは、Entra IDで作業します。

Entra IDにSAMLエンタープライズ・アプリケーションを作成します。

  1. ブラウザで、次のURLを使用してMicrosoft Entraにサインインします。
    https://entra.microsoft.com
  2. 「アイデンティティ」「アプリケーション」の順に選択します。
  3. 「エンタープライズ・アプリケーション」「新規アプリケーション」を選択します。
  4. 「アプリケーションの検索」に、Oracle Cloud Infrastructure Consoleと入力します。
  5. 「Oracle CorporationによるOracle Cloud Infrastructure Console」タイルを選択します。
  6. アプリケーションの名前(Oracle IAMなど)を入力し、「Create」を選択します。

    企業アプリケーションはEntra IDで作成されます。

3.Entra IDエンタープライズ・アプリケーションのシングル・サインオンの設定

Entra ID SAMLアプリケーションのSSOを設定し、Entra ID SAMLメタデータをダウンロードします。In this section, you use the OCI IAM SP metadata file you saved in 1. Get the Service Provider Metadata from OCI IAM.

  1. 「スタート・ガイド」ページで、「シングル・サインオンの設定」「スタート・ガイド」を選択します。
  2. 「SAML」を選択し、「メタデータ・ファイルのアップロード」(ページ上部のボタン)を選択します。OCIアイデンティティ・ドメイン・メタデータOCIMetadata.xmlを含むXMLファイルを参照します。
  3. サインオンURLを指定します。たとえば 
    https://idcs-<domain_ID>.identity.oraclecloud.com/ui/v1/myconsole
  4. 「保存」を選択します。
  5. 右上のXで、メタデータ・ファイルのアップロード・ページを閉じます。アプリケーションを今すぐテストするかどうかを尋ねられた場合は、このチュートリアルの後半でアプリケーションをテストするため、テストしないことを選択してください。
  6. 「SAMLを使用したシングル・サインオンの設定」ページで下にスクロールし、「SAML署名証明書」で、「フェデレーション・メタデータXML」の横にある「ダウンロード」を選択します。
  7. プロンプトが表示されたら、「Save File」を選択します。メタデータは、デフォルトのファイル名<your_enterprise_app_name>.xmlで自動的に保存されます。たとえば、OracleIAM.xmlです。

    Entra ID SAMLベースのSSOページ

4. 属性およびクレームの編集

新しいEntra ID SAMLアプリケーションで属性および要求を編集して、ユーザーのEメール・アドレスがユーザー名として使用されるようにします。

  1. エンタープライズ・アプリケーションで、左側のメニューから「シングル・サインオン」を選択します。
  2. 「Attributes and Claims」で、「Edit」を選択します。
  3. 必要な請求を選択します。 
    Unique User Identifier (Name ID) = user.mail [nameid-format:emailAddress]
  4. 「Manage claim」ページで、「Source」属性をuser.userprinciplenameからuser.mailに変更します。

    Entra ID属性および要求

  5. 「保存」を選択します。

追加のEntra ID構成

Entra IDでは、グループ名(sAMAccountName)属性に基づいてグループをフィルタできます。

たとえば、SAMLを使用してAdministratorsグループのみを送信する必要があるとします。

  1. グループ請求を選択します。
  2. 「グループ要求」で、「拡張オプション」を展開します。
  3. 「フィルタ・グループ」を選択します。
    • 「一致する属性」で、Display Nameを選択します。
    • 「次と一致」で、containsを選択します。
    • 「文字列」に、グループの名前(Administratorsなど)を指定します。

    グループのフィルタ

このオプションを使用すると、管理者グループのユーザーが他のグループの一部であっても、Entra IDはSAMLの管理者グループのみを送信します。
ノート

これにより、組織はEntra IDからOCI IAMに必要なグループのみを送信できます。
5.Entra IDアプリケーションへのテスト・ユーザーの追加

Entra IDアプリケーションのテスト・ユーザーを作成します。このユーザーは、後でEntra ID資格証明を使用してOCIコンソールにサインインできます。

  1. Microsoft Entra管理センターで、「アイデンティティ」「ユーザー」「すべてのユーザー」の順に選択します。
  2. 「New user」「Create new user」の順に選択し、ユーザーを作成して電子メールIDを入力します。
    ノート

    OCI IAMに存在する、同じ電子メールIDを持つユーザーの詳細を使用していることを確認してください。
  3. エンタープライズ・アプリケーション・メニューに戻ります。「Getting Started」で、「Assign user and groups」を選択します。または、左側のメニューで「Manage」の下から「Users」を選択します。
  4. 「ユーザー/グループの追加」を選択し、次のページの「ユーザー」で「選択なし」を選択します。
  5. 「Users」ページで、作成したテスト・ユーザーを選択します。選択すると、「Selected Items」の下にユーザーが表示されます。「選択」を選択します。
  6. 「Add Assignment」ページに戻り、「Assign」を選択します。
6.OCI IAMのEntra IDをIdPとして有効化

次のステップでは、OCI IAMで作業します。

OCI IAMのIdPとしてEntra IDを追加します。In this section, you use the Entra ID metadata file you saved in 3. Set Up Single Sign-On for the Entra ID Enterprise App, for example, Oracle IAM.xml.

  1. 作業中のドメインのOCIコンソールで、「セキュリティ」「アイデンティティ・プロバイダ」の順に選択します。
  2. 「IdPの追加」「SAML IdPの追加」の順に選択します。
  3. SAML IdPの名前(Entra IDなど)を入力します。「次」を選択します。
  4. 「アイデンティティ・プロバイダ・メタデータのインポート」を選択し、Entra IDメタデータXMLファイルOracle IAM.xmlを参照して選択するか、アイデンティティ・プロバイダ・メタデータにドラッグ・アンド・ドロップします。これは、3.で作業したときに保存したメタデータ・ファイルですEntra IDエンタープライズ・アプリケーションのシングル・サインオンの設定「次」を選択します。
  5. Mapユーザー・アイデンティティで、次のように設定します。
    • 「リクエストされたNameID形式」で、Email addressを選択します。
    • 「アイデンティティ・プロバイダ・ユーザー属性」で、SAML assertion Name IDを選択します。
    • 「アイデンティティ・ドメイン・ユーザー属性」で、Primary email addressを選択します。

    SAMLアイデンティティ・プロバイダ属性

  6. 「次」を選択します。
  7. 「確認および作成」で、構成を確認し、「IdPの作成」を選択します。
  8. 「アクティブ化」を選択します。
  9. 「IdPポリシー・ルールに追加」を選択します。

  10. 「デフォルト・アイデンティティ・プロバイダ・ポリシー」を選択して開き、「アクション」メニュー(3つのドット)を選択し、「IdPルールの編集」を選択します。

    「IdPルールの編集」が表示されているコンテキスト・メニュー

  11. 「アイデンティティ・プロバイダの割当て」を選択し、「Entra ID」を選択してリストに追加します。

    デフォルトのIdPルールでのアイデンティティ・プロバイダとしてのEntra IDの追加

  12. 「Save Changes」を選択します。
7.Entra IDとOCI間のSSOのテスト
この項では、フェデレーテッド認証がOCI IAMとEntra ID間で機能することをテストできます。
ノート

これが機能するように、SSOに使用されるユーザーはOCI IAMとEntra IDの両方に存在する必要があります。また、Entra IDで作成されたOCI IAMアプリケーションにユーザーが割り当てられている必要があります。

これには2つの方法があります:

  • OCI IAMとEntra IDの両方で、テスト・ユーザーを手動で作成できます。
  • ただし、リアルタイム・ユーザーでテストする場合は、チュートリアルのOCI IAMとEntra ID間のアイデンティティ・ライフサイクル管理のステップに従って、Entra IDとOCI IAMの間のプロビジョニングを設定する必要があります。
このチュートリアルをテストするようにユーザーを設定していない場合は、次のエラーが表示されます
Sorry, but we're having trouble signing you in.
AADSTS50105: Your administrator has configured 
the application application-name ('<unique_ID>')
to block users unless they are specifically granted
('assigned') access to the application.

SPが開始するSSOをテストします。

  1. サポートされているブラウザを開き、OCIコンソールURLを入力します:

    https://cloud.oracle.com

  2. クラウド・アカウント名(テナンシ名とも呼ばれる)を入力し、「次」を選択します。
  3. Entra IDフェデレーションが構成されているアイデンティティ・ドメインを選択します。
  4. ログイン・ページに、Entra IDでサインインするオプションが表示されます。

    OCI IAMサインイン・ページ

  5. 「Entra ID」を選択します。Microsoftのログイン・ページにリダイレクトされます。
  6. Entra ID資格証明を指定します。
  7. 認証が成功すると、OCIコンソールにログインします。
次の手順

完了しました。Entra IDとOCI IAMの間にSSOが正常に設定されました。

Entra IDで作成され、OCI IAMにプロビジョニングされたアプリケーションがすでに割り当てられている場合は、OCI IAMとEntra ID間でフェデレーション認証が機能することをテストできました。そのようなユーザーがいない場合は、OCI IAMとEntra ID間のアイデンティティ・ライフサイクル管理のチュートリアルのいずれかに従って作成できます。

Oracle製品を使用した開発の詳細を確認するには、次のサイトを参照してください: