Oracle Cloud Infrastructureドキュメント

タスク8: Identity Federationの設定(オプション)

Oracle Database@Azureのアイデンティティ・フェデレーションを設定する方法を学習します。

Oracle Database@Azureのアイデンティティ・フェデレーションの設定はオプションです。フェデレーションにより、ユーザーはAzure Entra ID資格証明を使用して、サービスに関連付けられたOCIテナンシにサインインできます。ほとんどの日々のデータベース操作はAzure環境で実行され、OCIコンソールを使用する必要はありませんが、一部のデータベース管理タスクではOCIにサインインする必要があります。

次の手順を使用して、Azure Entra IDをOCIテナンシの識別プロバイダにします。

  1. Azureポータル(https://portal.azure.com/)にサインインします。

  2. 「Microsoft Entra ID」を検索し、検索結果で「Microsoft Entra ID」を選択して「Entra ID」「Overview」ページにナビゲートします。

  3. 「管理」で、「エンタープライズ・アプリケーション」を選択します。

    Entra ID Enterpriseアプリケーション・ページが表示されたAzureポータルのイメージです。

  4. 「すべてのアプリケーション」ページで、「新規アプリケーション」を選択します。

    Entra IDサービスの「すべてのアプリケーション」ページが表示されたAzureポータルのイメージです。

  5. 「Oracle Cloud Infrastructure Console」を検索し、検索結果を選択してアプリケーションのページに移動します。

    Entra ID Enterpriseアプリケーションの検索結果が表示されているAzureポータルのイメージです。

  6. Oracle Cloud Infrastructure Consoleパネルで、Azure環境内のアプリケーションの表示名の名前を入力します。たとえば、「Oracle Cloud Infrastructure Console」、「OCI Console」、「OCI Console Contoso Sales」などです。次に、「作成」を選択して続行します。

    Entra IDの新しいエンタープライズ・アプリケーションのネーミングを示すAzureポータルのイメージです

  7. 新しいアプリケーションの「概要」ページで、「シングル・サインオンの設定」を選択します。

    OCIコンソール・エンタープライズ・アプリケーションで「シングル・サインオンの設定」を選択するユーザーを示すAzureポータルのイメージです。

  8. シングル・サインオン・ページで、「SAML」を選択し、Security Assertion Markup Language (SAML)プロトコルを選択します。

    シンゲル・サインオン用のSAMLプロトコルの選択を示すAzureポータルのイメージです。

    ポータルは、SAMLベースのサインオン・ページにリダイレクトされます。OCIコンソールで次の一連のステップを実行する間は、このブラウザ・ウィンドウをコンピュータで開いたままにします。OCIコンソールで、SAMLメタデータXMLファイルをエクスポートします。Azureに戻ってXMLファイルをアップロードし、シングル・サインオン構成を続行します。

    SAMLサインオン構成ページが表示されたAzureポータルのイメージです。

  9. OCIコンソールで、「アイデンティティとセキュリティ」に移動し、「ドメイン」を選択します。

    OCIコンソールの「アイデンティティとセキュリティ」ページを示すイメージです。

  10. 「ドメイン」リスト・ビューで、デフォルト・ドメインの名前を選択して、ドメインの詳細ページを開きます。オプションで、別のドメインを選択して、そのドメインのシングル・サインオン(SSO)を構成できます。

    アイデンティティ・ドメインのOCIコンソール・リスト・ビューのイメージです。

  11. アイデンティティ・ドメインの「概要」ページのナビゲーション・メニューで「セキュリティ」を選択します。

    ユーザーが「セキュリティ」リンクにマウス・ポインタを重ねたOCIコンソールのアイデンティティ・ドメインの概要ページを示すイメージです。

  12. ドメインの「セキュリティ」ページで、ナビゲーション・メニューで「アイデンティティ・プロバイダ」を選択します。

    ユーザーがアイデンティティ・プロバイダ・リンクにマウス・ポインタを重ねたOCIコンソールの「ドメイン・セキュリティ」ページのイメージです。

  13. 「アイデンティティ・プロバイダ」ページで、「IdPの追加」「SAML IdPの追加」の順に選択します。

    アイデンティティ・プロバイダ・ページとSAMLの追加IdP操作の選択が表示されたOCIコンソールのイメージです。

  14. 「詳細の追加」ページで、シングル・サインオン(SSO)中にOCIログイン・ページに表示する名前を入力します。オプションで、説明を追加します。たとえば:

    名前: EntraID

    説明: Woodgrove Bank Azure Microsoft EntraID

    「次」をクリックして続行します。

    IdPファイルの名前および説明フィールドを示すOCIコンソールのイメージです。

  15. メタデータの交換ページで、「SAMLメタデータのエクスポート」をクリックします。

    「メタデータの交換」ページおよび「SAMLメタデータのエクスポート」ボタンが表示されたOCIコンソールのイメージです。

  16. 「SAMLメタデータのエクスポート」パネルで、「メタデータ・ファイル」セクションを検索し、「XMLのダウンロード」を選択します。次の一連のステップを完了している間は、ブラウザ・ウィンドウを開いたままにしておきます。

    「SAMLメタデータのエクスポート」パネルが表示されたOCIコンソールのイメージです。

  17. AzureポータルのSAMLベースのサインオン・ページが表示されたブラウザ・ウィンドウに戻り、「メタデータ・ファイルのアップロード」を選択します。

    SAMLベースのサインオン・ページにメタデータ・ファイルのアップロード・ボタンが表示されているAzureポータルのイメージです。

  18. 「メタデータ・ファイルのアップロード」ポップアップ・ウィンドウで、フォルダ・ロゴを選択して、OCIコンソールからエクスポートしたSAML XMLメタデータ・ファイルを選択します。「追加」を選択して続行します。

    SAML XMLメタデータ・ファイルのアップロードを示すAzureポータルのイメージです。

  19. 「基本的なSAML構成」パネルで、「返信URL (アサーション・コンシューマService URL)」フィールドを見つけます。このフィールドの値をコンピュータのクリップボードにコピーします。その他の入力フィールドは編集しないでください。

    「基本SAML構成」パネルが表示されたAzureポータルのイメージです。

  20. /fed/v1//ui/v1/myconsoleに置き換えて、コピーした「返信URL (アサーション・コンシューマService URL)」の値を編集します。次に、編集したURLを「サインオンURL」フィールドに貼り付け、「保存」をクリックして続行します。

    たとえば、「返信URL (アサーション・コンシューマService URL)」フィールドに次の値がある場合:

    https://idcs-123a4b56example1de45fgh6i789j012.identity.oraclecloud.com/fed/v1/

    次に、次の例に示すように、編集したバージョンのURLを貼り付けます。

    https://idcs-123a4b56example1de45fgh6i789j012.identity.oraclecloud.com/ui/v1/myconsole
    「サインオンURR」フィールドに値が貼り付けられた「基本SAML構成」パネルが表示されたAzureポータルのイメージです。

  21. 「Oracle Cloud Infrastructure Consoleでのシングル・サインオンのテスト」ポップアップ・ウィンドウで、「いいえ、後でテストします」を選択します。

    サインオンのテストを提供する「基本SAML構成」ポップアップ・ウィンドウが表示されたAzureポータルのイメージです。

  22. 「属性と要求」セクションで、「編集」を選択します。

    SAMLベースのサインオン設定ページの「属性とクレーム」セクションが表示されたAzureポータルのイメージです。

  23. 「必須要求」セクションで、「一意のユーザー識別子(Name ID)」要求を選択します。

    SAMLベースのサインオン設定ワークフローの属性および要求ページが表示されたAzureポータルのイメージです。

  24. 「ソース属性」フィールドで、組織に適した一意のユーザー識別子を選択します。

    • user.mail:組織のユーザー・アカウントが一意の識別子として電子メール・アドレスを使用する場合、この値を選択します。
    • user.userprincipalname:組織のユーザー・アカウントで一意の識別子としてUserPrincipalNameが使用されている場合は、この値を選択します。このオプションを使用する場合は、ユーザー・アカウントで電子メール・アドレスを必要とするようにOCIアイデンティティ・ドメインが構成されていないことを確認してください。電子メール・アドレスなしで新規ユーザーを作成できるようにアイデンティティ・ドメインを構成する方法の詳細は、アカウント作成のためのユーザーの電子メール・アドレスの要求を参照してください。

    「保存」を選択し、「X」を選択して「要求の管理」ダイアログを閉じ、「SAMLベースのサインオン」ページに戻ります。

    SAMLベースのサインオン設定ワークフローの「要求の管理」ダイアログが表示されたAzureポータルのイメージです。

  25. 「SAMLベースのサインオン」ページの「SAML証明書」セクションで、「フェデレーション・メタデータXML」フィールドを見つけて「ダウンロード」を選択します。OCIコンソールで次の一連のステップを実行する間は、このブラウザ・ウィンドウをコンピュータで開いたままにします。

    Entra IDのSAMLベースのサインオン・ワークフローのフェデレーション・メタデータXMLダウンロード・リンクを示すAzureポータルのイメージです。

  26. OCIコンソールの「SAMLアイデンティティ・プロバイダの追加」ページに戻ります。「IdPメタデータのインポート(メタデータXMLファイルのアップロード)」を選択します。「アイデンティティ・プロバイダ・メタデータのアップロード」セクションで、「1つを選択...」リンクを選択して、前のステップで「フェデレーション・メタデータXML」ダウンロード・リンクからダウンロードしたIdPメタデータXMLファイルを選択します。

    「SAMLアイデンティティ・プロバイダの追加」ページが表示されたOCIコンソールのイメージです。

  27. XMLファイルをアップロードすると、「識別プロバイダのアップロード」セクションの下にファイル名が表示されます。「Next」を選択して続行します。

    ページにアップロードされたファイルが表示された「SAMLアイデンティティ・プロバイダの追加」ページが表示されたOCIコンソールのイメージです。

  28. 「ユーザー・アイデンティティのマップ」ページで、次を選択し、「次」を選択して続行します。

    • リクエストされたName ID形式:ステップ24で指定した一意の識別子(電子メール・アドレスまたはUserPrincipalName)を選択します。
    • アイデンティティ・プロバイダ・ユーザー属性: SAMLアサーションName ID
    • アイデンティティ・ドメイン・ユーザー属性:ステップ24で構成したプライマリ電子メール・アドレスまたはユーザー名を指定します。
    「SAMLアイデンティティ・プロバイダの追加」ワークフローの「ユーザー・アイデンティティのマップ」ページが表示されたOCIコンソールのイメージです。

  29. 「SAMLアイデンティティ・プロバイダの追加」ワークフローの「確認および作成」ページで、表示された情報を確認し、「IdPの作成」を選択します。

    「SAMLアイデンティティ・プロバイダの追加」ワークフローのレビューおよび作成ページを示すOCIコンソールのイメージです。

  30. 「SAMLアイデンティティ・プロバイダの追加」ワークフローの「次へ」ページで、「アクティブ化」を選択してIdPをアクティブ化します。続行する前に、ページに「EntraID IDプロバイダがアクティブ化されました」というメッセージが表示されるのを待ちます。

    「SAMLアイデンティティ・プロバイダの追加」ワークフローの「次は何?」ページが表示されたOCIコンソールのイメージです。
  31. 「SAMLアイデンティティ・プロバイダの追加」ワークフローの「次へ」ページで、「IdPポリシーに追加」を選択します。

  32. 「アイデンティティ・プロバイダ(IdP)ポリシー」ページで、「デフォルト・アイデンティティ・プロバイダ・ポリシー」を選択します。

    アイデンティティ・プロバイダ(IdP)のポリシー・ページが表示されたOCIコンソールのイメージです。

  33. 「デフォルト・アイデンティティ・プロバイダ・ポリシー」ポリシーの詳細ページの「アイデンティティ・プローバ・ルール」セクションで、「IdPルールの編集」を選択します。

    デフォルトのアイデンティティ・プロバイダ・ポリシーの詳細ページが表示されたOCIコンソールのイメージです。

  34. 「アイデンティティ・プロバイダ・ルールの編集」パネルの「アイデンティティ・プロバイダの割当て」フィールドに、EntraID値を入力します。デフォルトでは、フィールドに「Username-Password」と表示されます。

    「変更の保存」を選択して続行します。

    アイデンティティ・プロバイダの編集パネルが表示されたOCIコンソールのイメージです。
  35. 重要

    次のステップでは、OCIのEntraIDユーザーをプロビジョニングするOCI機密アプリケーションを構成します。すべてのユーザーが次のフィールド値を含む必要があることに注意してください。そうしないと、OCIでのユーザーのプロビジョニングが失敗します。

    • 表示名
    • 電子メール・アドレス(OCIアイデンティティ・ドメインに電子メール・アドレスが必要な場合)

    OCIアイデンティティ・ドメインで新規ユーザーを作成するために電子メール・アドレスが必要かどうかを確認するには、アカウント作成のためのユーザーの電子メール・アドレスの必須を参照してください。Azureユーザーの一意の識別子の構成の詳細は、このタスクのステップ24を参照してください。

    ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」を選択します。「アイデンティティ」で、「ドメイン」を選択します。
  36. 「既定のドメイン」を選択します。次に、「統合アプリケーション」を選択します。
  37. 「アプリケーションの追加」を選択します。

  38. 「アプリケーションの追加」ウィンドウで、「機密アプリケーション」「ワークフローの起動」の順に選択します。

    アプリケーションの追加ワークフローを示すOCIコンソールのイメージです。

  39. 「機密アプリケーションの追加」ワークフローの「アプリケーション詳細の追加」ページで、次のように入力します:

    • 名前:機密アプリケーションの名前を入力します。最大125文字を入力できます。
    • 説明:機密アプリケーションの説明を入力します。最大250文字を入力できます。

    オプションの設定を確認し、「次へ」を選択します。

    機密アプリケーションの追加ワークフローのアプリケーション詳細の追加ページが表示されたOCIコンソールのイメージです。

  40. 「OAuthの構成」ページの「クライアント構成」セクションで、「このアプリケーションをクライアントとして今すぐ構成します」を選択します。

    機密アプリケーションの追加ワークフローの「OAuthの構成」ページを示すOCIコンソールのイメージです。

  41. 「OAuthの構成」ページの「クライアント構成」セクションで、「クライアント資格証明」を選択します

    「クライアント構成」セクション・オプションが表示された「機密アプリケーションの追加」ワークフローの「OAuthの構成」ページが表示されたOCIコンソールのイメージです。

  42. 「OAuthの構成」ページで、下にスクロールして「トークン発行ポリシー」セクションを見つけます。「認可されたリソース」で、「特定」「アプリケーション・ロールの追加」の順に選択して、ワークフローの「アプリケーション・ロール」セクションを開きます。

    「ロールの追加」セクションが表示された「機密アプリケーションの追加」ワークフローの「OAuthの構成」ページが表示されたOCIコンソールのイメージです。

  43. 「アプリケーション・ロール」セクションで、「ロールの追加」を選択し、「ユーザー管理者」を検索します。検索結果のリストから、「ユーザー管理者」「追加」の順に選択します。

    「アプリケーション・ロールの追加」パネルが表示された「機密アプリケーションの追加」ワークフローの「OAuthの構成」ページが表示されたOCIコンソールのイメージです。

  44. 「アプリケーション・ロール」リストに「ユーザー管理者ロール」が表示されている状態で、「次」を選択します。

    アプリケーション・ロール「ユーザー管理者」が表示された「機密アプリケーションの追加」ワークフローの「OAuthの構成」ページが表示されたOCIコンソールのイメージです。

  45. 「ポリシーの構成」ページで、デフォルトの選択を確認し、「終了」を選択します。

    機密アプリケーションの追加ワークフローの「ポリシーの構成」ページが表示されたOCIコンソールのイメージです。

  46. 「デフォルト」ドメイン詳細ページの「統合アプリケーション」タブで、作成したEntra IDアプリケーションの名前を選択して、アプリケーションの詳細ページを開きます。

    OCIアイデンティティ・ドメイン内の統合アプリケーションのリスト・ビューを示すOCIコンソールのイメージです。

  47. 詳細ページで「アクティブ化」を選択します。

    「アクティブ化」ボタンを含むアプリケーション詳細ページが表示されたOCIコンソールのイメージです。

    アプリケーション・ステータスが「アクティブ」であることを確認します。

    「アクティブ」状態のアプリケーションを示すOCIコンソールのイメージです。

  48. Entra IDアプリケーションの詳細ページの「一般情報」セクションを探します。このセクションで、次を実行します。

    • 「クライアントID」の値を、次のステップで説明するCLIコマンドで使用するために、コンピュータ上のノートパッドまたはその他の場所にコピーします。
    • 「シークレットの表示」を選択し、クライアントIDを使用してクライアント・シークレットをファイルにコピーします。
    次に示すOCIコンソールのイメージ

    シークレットをコピーした後、「クライアント・シークレット」ダイアログを閉じて続行します。

    「クライアント・シークレット」ダイアログが表示されたOCIコンソールのイメージです。

  49. 次のコマンドを作成するには、クライアントIDおよびクライアント・シークレットの値を使用します。

    echo -n <clientID>:<clientsecret> | base64 --wrap=0

    たとえば:

    echo -n 7a5715example8b7429cdexample74a:63n8765exmaple49asbcs56abc235784 | base64 --wrap=0

  50. OCI Cloud Shell (CLI)でコマンドを実行します。OCIコンソール・ヘッダーのクラウド・シェル・アイコンを選択し、「クラウド・シェル」を選択して、ブラウザ・ウィンドウでCLIインタフェースを開きます。コマンドを CLIに貼り付けてから、コマンドを実行します。

    詳細は次のトピックを参照してください:

    「クラウド・シェル」アイコンが選択されたOCIコンソール・ヘッダーのイメージです。
  51. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」を選択します。「アイデンティティ」で、「ドメイン」を選択します。
  52. 「デフォルト・ドメイン」を選択して、デフォルト・ドメインの詳細ページを開きます。

  53. ドメインの「概要」ページで、「ドメインURL」をコンピュータ上のノートパッドまたはその他の場所にコピーします。

    たとえば:

    https://idcs-638a9b18aexampleb77becf0f123d691.identity.oraclecloud.com:443

    「デフォルト」ドメインの詳細ページが表示されたOCIコンソールのイメージです。

  54. ステップ25に示すSAMLベースのサインオンの詳細が表示されたAzureポータルの「エンタープライズ・アプリケーション」ページに戻ります。「管理」セクションで「プロビジョニング」を選択します。

    SAMLベースのサインオン詳細ページが表示されたAzureポータルのイメージです。

  55. 「プロビジョニング」ページで次のように入力します:

    • プロビジョニング・モード:自動

    • テナントURL:ステップ53からコピーしたURLを次のように編集します。

      • URLの最後に":443"を削除
      • URLの最後に"/admin/v1"を追加します

      たとえば:

      https://idcs-638a9b18aexampleb77becf0f123d691.identity.oraclecloud.com/admin/v1

      URLを編集したら、「テナントURL」フィールドに貼り付けます。

    • シークレット・トークン:ステップ49でOCIコンソールからコピーしたbase64暗号化シークレットを貼り付けます。

    「接続のテスト」を選択し、「保存」を選択して続行します。

    SAMLベースのサインオン・プロビジョニング・ページが表示されたAzureポータルのイメージです。
    重要

    接続が成功したことを確認するメッセージを待機します。メッセージはページの右上隅に表示されます。

  56. 「プロビジョニング」ページで、「マッピング」セクションの「Microsoft Entra IDユーザーのプロビジョニング」を選択します。

    SAMLベースのサインオン・プロビジョニング・ページが表示されたAzureポータルのイメージです。

  57. 「属性マッピング」ページで、「マッピング」セクションを検索し、「新規マッピングの追加」を選択します。

    SAMLベースのサインオン属性マッピング・ページが表示されたAzureポータルのイメージです。

  58. 「属性の編集」ページで、次のように入力します:

    • マッピング・タイプ:
    • 式: CBool("true")

    • ターゲット属性: ":isFederatedUser"で終わる文字列を選択します。たとえば:

      urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:isFederateUser

    OK」を選択して続行します。

    SAMLベースのサインオンによる「属性の編集」ページが表示されたAzureポータルのイメージです。

  59. 「属性マッピング」ページで、「新規マッピングの追加」を再度選択して2番目のマッピングを追加します。

  60. 「属性の編集」ページで、次のように入力します:

    • マッピング・タイプ:
    • 式: CBool("true")

    • ターゲット属性: ":bypassNotification"で終わる文字列を選択します。たとえば:

      urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:bypassNotification

    OK」を選択して続行します。

    SAMLベースのサインオンによる「属性の編集」ページが表示されたAzureポータルのイメージです。

  61. このタスクのステップ3から6で作成したアプリケーションのAzureの「エンタープライズ・アプリケーション概要」ページにナビゲートし、「ユーザーとグループの割当て」を選択します。

    ステップ3から6で作成したアプリケーションの「エンタープライズ・アプリケーション概要」ページが表示されたAzureポータルのイメージです。
    重要

    すべてのユーザーに次のフィールド値が含まれている必要があります。含まれていない場合、OCIでのユーザー割当てが失敗します。

    • 表示名
    • 電子メール・アドレス(OCIアイデンティティ・ドメインに電子メール・アドレスが必要な場合)

    OCIアイデンティティ・ドメインで新規ユーザーを作成するために電子メール・アドレスが必要かどうかを確認するには、アカウント作成のためのユーザーの電子メール・アドレスの必須を参照してください。Azureユーザーの一意の識別子の構成の詳細は、このタスクのステップ24を参照してください。

  62. 「ユーザー/グループの追加」を選択し、アイデンティティ・フェデレーションに含めるユーザーおよびグループを追加します。ユーザーおよびグループを入力すると、それらはOCIアカウントと同期されます。

    ステップ3から6で作成したアプリケーションの「ユーザー/グループの追加」ページが表示されたAzureポータルのイメージです。

次の手順?

Oracle Database@Azureのオンボーディングが完了しました。サービスの使用およびクラウド・アカウントの構成に関する提案は、オンボーディング後の内容を参照してください。