タスク6: Identity Federationの設定(オプション)

Oracle Database@Google Cloudのアイデンティティ・フェデレーションを設定する方法について学習します。

Oracle Database@Google Cloudのアイデンティティ・フェデレーションの設定はオプションです。フェデレーションを使用すると、ユーザーはGoogle Cloud IAMおよび管理資格証明を使用して、サービスに関連付けられたOCIテナンシにサインインできます。ほとんどの日々のデータベース操作はGoogle Cloud環境で実行され、OCIコンソールを使用する必要はありませんが、一部のデータベース管理タスクではOCIにサインインする必要があります。

次の手順を使用して、Google Cloud IAMおよび管理者にOCIテナンシの識別プロバイダを作成します。

1. OCIコンソールで、「アイデンティティとセキュリティ」に移動し、「ドメイン」を選択します。

   

2. 「ドメイン」リスト・ビューで、デフォルト・ドメインの名前をクリックして、ドメインの詳細ページを開きます。オプションで、別のドメインを選択して、そのドメインのシングル・サインオン(SSO)を構成できます。

   

3. アイデンティティ・ドメインの「概要」ページのナビゲーション・メニューで「セキュリティ」をクリックします。

   

4. ドメインの「セキュリティ」ページで、ナビゲーション・メニューの「アイデンティティ・プロバイダ」をクリックします。

   

5. 「アイデンティティ・プロバイダ」ページで、「IdPの追加」、「SAML IdPの追加」の順に選択します。

   

6. シングル・サインオン(SSO)を使用してOCIコンソールにアクセスするときにOCIログイン・ページに表示する「名前」を入力します。オプションで、「説明」を追加できます。「次」をクリックして続行します。

   Google Cloud管理コンソールを必要とする次のステップの実行中は、このウィンドウまたはタブを開いたままにします。

   

7. Webブラウザから別のタブまたはウィンドウを開き、Google Cloud管理コンソール(https://admin.google.com/ac/apps/unified)に移動します。

   

8. 「アプリケーションの追加」メニューから「カスタムSAMLアプリケーションの追加」を選択します。

   
9. 次の詳細を入力して「続行」をクリックします。
   • アプリケーション名: OracleCloudFederation
   • 説明: Oracle Database@Google Cloudで使用するために、Google CloudとOracle Cloudの間のアイデンティティ・フェデレーションを構成します。
   

10. Option1: IdPメタデータのダウンロードで、「DOWNLOAD METADATA」をクリックします。

    

    「CONTINUE」をクリックします。OCIコンソールで次のステップを実行するときは、このウィンドウまたはタブを開いたままにします。

    

11. OCIコンソールが表示されたウィンドウまたはタブに戻ります。「IdPメタデータのインポート」の「メタデータXMLファイルのアップロード」をクリックします。「アイデンティティ・プロバイダ・メタデータのアップロード」セクションで、「1つを選択...」をクリックし、前のステップでダウンロードしたXMLファイルにGoogle Cloud管理コンソールから移動してファイルをアップロードします。

    

12. 「SAMLメタデータのエクスポート」をクリックします。

    

13. 「SAMLメタデータのエクスポート」ダイアログで、「手動エクスポート」をクリックします。「プロバイダID」および「アサーション・コンシューマ・サービスURL」の値をローカル・マシンのノートパッド・ファイルにコピーします。Google Cloud管理コンソールを必要とする次のステップの実行中は、このウィンドウまたはタブを開いたままにします。

    

14. Google Cloud管理コンソールが表示されているタブまたはウィンドウに戻ります。「サービス・プロバイダ詳細」ページで、次を入力します:

    • ACS URL:前のステップでOCIコンソールからコピーした「アサーション・コンシューマ・サービスURL」値を入力します。
    • エンティティID:前のステップでOCIコンソールからコピーした「プロバイダID」値を入力します。

    「CONTINUE」をクリックします。

    

15. 「属性マッピング」ページで、「MAPPINGの追加」をクリックします。

    

16. 次の属性マッピングを追加します。

    • 名→ FirstName
    • 姓→ LastName
    • プライマリ電子メール→ PrimaryEmail

    たとえば、「基本情報」属性「名」に、「アプリケーション属性」FirstNameを入力します。

    

17. 「属性マッピング」ページの「グループ・メンバーシップ」セクションで、ロール・ベースのアクセス制御(RBAC)用に作成された次のグループを追加します。グループのApp属性はMemberOfです。続行するには、「終了」をクリックしてください。

    • odbg-exa-infra管理者
    • odbg-vm-cluster-administrator
    • odbg-exa-cdb-administrators
    • odbg-exa-pdb-administrators
    • odbg-dbmgmt-administrators
    • odbg-adbs-db-administrators
    • odbg-db-family-administrators
    • odbg-network-administrators
    • odbg-costmgmt-administrators
    • odbg-db-family-readers
    • odbg-network-readers
    • odbg-metrics-readers
    

18. Google Cloud管理コンソールは、作成したSAMLアプリケーションの詳細ページに自動的にリダイレクトします。「ユーザー・アクセス」セクションを開きます。

    

19. 「サービス・ステータス」セクションで、「すべてのユーザーに対してON」を選択し、「保存」をクリックします。

    

20. OCIコンソールが表示されたウィンドウまたはタブに戻ります。「SAMLアイデンティティ・プロバイダの追加」ページで、「ユーザー・アイデンティティのマップ」を選択します。次の値を入力します:

    • リクエストされたName IDフォーマット:「電子メール・アドレス」を選択します。
    • アイデンティティ・プロバイダ・ユーザー属性:「SAMLアサーションName ID」を選択します。
    • アイデンティティ・ドメイン・ユーザー属性:「ユーザー名」を選択します
    

21. 「SAMLアイデンティティ・プロバイダの追加」ページで、「確認および作成」を選択します。

    SAMLアイデンティティ・プロバイダの詳細を確認し、「IdPの作成」をクリックします。

    

22. 「Activate」をクリックして、アイデンティティ・プロバイダ(IdP)をアクティブ化します。

    

23. アイデンティティ・プロバイダがアクティブ化されているという確認メッセージが表示されたら、アイデンティティ・プロバイダがアクティブ化され、「IdPポリシーに追加」をクリックします。

    

24. 「アイデンティティ・プロバイダ(IdP)ポリシー」ページで、ポリシーのリストの「名前」列で「デフォルト・アイデンティティ・プロバイダ・ポリシー」をクリックします。

    

25. 「デフォルト・アイデンティティ・プロバイダ・ポリシー」ポリシーの詳細ページの「アイデンティティ・プローバ・ルール」セクションで、「IdPルールの編集」をクリックします。

    

26. 「アイデンティティ・プロバイダ・ルールの編集」ページで、「アイデンティティ・プロバイダの割当て」フィールドを見つけます。フィールドに「Username-Password」と表示されます。「Google Cloud Federation」を追加し、「変更の保存」をクリックします。

    

    「Google Cloud Federation」を追加すると、次のようになります。

    

27. Google Cloud Federationアイデンティティ・プロバイダの詳細ページで、「JITの構成」をクリックします。

    

28. 「ジャストインタイム(JIT)プロビジョニングの構成」ページで、トグル・スイッチを使用して「ジャストインタイム(JIT)」プロビジョニングを有効にします。次の数ステップで、このページに留まります。

    

29. 「ジャストインタイム(JIT)プロビジョニングの構成」ページで、「新規アイデンティティ・ドメイン・ユーザーの作成」および「既存のアイデンティティ・ドメイン・ユーザーの更新」を選択します。

    

30. 「ジャストインタイム(JIT)プロビジョニングの構成」ページで、次のようにユーザー属性をマップします。

    IdPユーザー属性タイプ	IdPユーザー属性名	マップ先	アイデンティティ・ドメイン・ユーザー属性
    NameID	NameID値	→	userName
    属性	LastName	→	familyName
    属性	PrimaryEmail	→	primaryEmailAddress
    属性	FirstName	→	firstName

    

31. 「ジャストインタイム(JIT)プロビジョニングの構成」ページで、「グループ・マッピングの割当て」スイッチを切り替えて、構成したグループ・マッピングを有効にします。「グループ・マッピングの割当て」セクションが展開され、グループ・マッピング構成オプション(次のステップを参照)が表示されます。

    

32. 「ジャストインタイム(JIT)プロビジョニングの構成」ページで、次の値を選択または入力します:

    • グループ・メンバーシップ属性名: MemberOf
    • 暗黙的グループ・メンバーシップの割当て:このオプションを有効にするには、ラジオ・ボタンを選択します
    • グループ・メンバーシップを割り当てる場合: 既存のグループ・メンバーシップとマージ
    • グループが見つからない場合...: 存在しないグループを無視

    値を選択して入力した後、「変更の保存」をクリックします。

    

33. これで、OCIとGoogle Cloudの間でアイデンティティ・フェデレーションを構成するために必要なステップが完了しました。SSOをテストするには:

    1. OCIコンソールでのサイン・アウト
    2. ログイン画面の「Or sign in with」セクションで、「Google Cloud Federation」をクリックします。
    

次の手順?

追加のユーザーにMy Oracle Support (MOS)サービス・リクエストのオープンを許可する場合は、タスク4: My Oracle Cloud Supportへの登録の手順を参照してください。フェデレーションでは、My Oracle Supportへのアクセスはユーザーに自動的に付与されません。