フェデレーション(オプション)

Oracle Database@Google Cloudのアイデンティティ・フェデレーションを設定する方法について学習します。

Oracle Database@Google Cloudのアイデンティティ・フェデレーションの設定はオプションです。フェデレーションでは、ユーザーはGoogle Cloud IAMおよび管理資格証明を使用して、サービスに関連付けられたOCIテナンシにサインインできます。ほとんどの日々のデータベース操作はGoogle Cloud環境で実行され、Oracle Cloudコンソールを使用する必要はありませんが、一部のデータベース管理タスクではOCIへのサインインが必要です。

次の手順を使用して、Google Cloud IAMおよび管理をOCIテナンシの識別プロバイダにします。

1. Oracle Cloudコンソールで、「アイデンティティとセキュリティ」に移動し、「ドメイン」を選択します。

   

2. 「ドメイン」リスト・ビューで、「デフォルト」ドメインの名前を選択して、ドメインの詳細ページを開きます。オプションで、別のドメインを選択して、そのドメインのシングル・サインオン(SSO)を構成できます。

   

3. アイデンティティ・ドメインの「概要」ページの左側のナビゲーション・メニューで「セキュリティ」を選択します。

   

4. ドメインの「セキュリティ」ページで、左側のナビゲーション・メニューで「アイデンティティ・プロバイダ」を選択します。

   

5. 「アイデンティティ・プロバイダ」ページで、「IdPの追加」を選択し、「SAMLの追加」IdPを選択します。

   

6. シングル・サインオン(SSO)を使用してOracle Cloudコンソールにアクセスするときに、OCIログイン・ページに表示する名前を入力します。オプションで、「説明」を追加できます。「次へ」を選択して続行します。

   このウィンドウまたはタブは開いたままにしておき、Google Cloud管理コンソールを必要とする次のステップを実行してください。

   

7. Webブラウザから、別のタブまたはウィンドウを開き、Google Cloud管理コンソール(https://admin.google.com/ac/apps/unified)に移動します。

   

8. 「アプリケーションの追加」メニューから「カスタムSAMLアプリケーションの追加」を選択します。

   
9. 次の詳細を入力し、「続行」を選択します。
   • アプリケーション名: OracleCloudFederation
   • 説明: Google CloudとOracle Cloudの間でOracle Database@Google Cloudを使用するためのアイデンティティ・フェデレーションを構成します。
   

10. Option1: IdPメタデータのダウンロードで、「DOWNLOAD METADATA」を選択します。

    

    「CONTINUE」を選択します。Oracle Cloudコンソールで次のステップを実行するときは、このウィンドウまたはタブを開いたままにします。

    

11. Oracle Cloudコンソールを表示するウィンドウまたはタブに戻ります。「IdPメタデータのインポート」「メタデータのアップロードXMLファイル」を選択します。「アイデンティティ・プロバイダ・メタデータのアップロード」セクションで、「1つを選択...」を選択し、前のステップでGoogle Cloud管理コンソールからダウンロードしたXMLファイルに移動して、ファイルをアップロードします。

    

12. 「SAMLメタデータのエクスポート」を選択します。

    

13. 「SAMLメタデータのエクスポート」ダイアログで、「手動エクスポート」を選択します。「プロバイダID」および「アサーション・コンシューマ・サービスURL」の値をローカル・マシンのノートパッド・ファイルにコピーします。このウィンドウまたはタブは開いたままにしておき、Google Cloud管理コンソールを必要とする次のステップを実行します。

    

14. Google Cloud管理コンソールが表示されているタブまたはウィンドウに戻ります。「サービス・プロバイダ詳細」ページで、次を入力します:

    • ACS URL:前のステップでOracle Cloudコンソールからコピーしたアサーション・コンシューマ・サービスURL値を入力します。
    • エンティティID:前のステップでOracle Cloudコンソールからコピーした「プロバイダID」値を入力します。

    「CONTINUE」を選択します。

    

15. 「属性マッピング」ページで、「MAPPINGの追加」を選択します。

    

16. 次の属性マッピングを追加します。

    • 名→ FirstName
    • 姓→ LastName
    • プライマリ電子メール→ PrimaryEmail

    たとえば、「基本情報」属性「名」に、アプリケーション属性FirstNameを入力します。

    

17. 「属性マッピング」ページの「グループ・メンバーシップ」セクションで、ロールベースのアクセス制御(RBAC)用に作成された次のグループを追加します。グループのApp属性はMemberOfです。「終了」を選択して続行します。

    • odbg-exa-infra管理者
    • odbg-vm-cluster-administrator
    • odbg-exa-cdb管理者
    • odbg-exa-pdb管理者
    • odbg-dbmgmt- 管理者
    • odbg-adbs-db-administrators
    • odbg-db-family-administrators
    • odbgネットワーク管理者
    • odbg-costmgmt- 管理者
    • odbg-db-family-readers
    • odbgネットワーク・リーダー
    • odbg-metrics-readers
    

    Google Cloud管理コンソールは、作成したSAMLアプリケーションの詳細ページに自動的にリダイレクトされます。

18. 「ユーザー・アクセス」セクションを展開します。

    

19. 「サービス・ステータス」セクションで、「すべてのユーザーに対してON」を選択し、「SAVE」を選択します。

    

20. Oracle Cloudコンソールを表示するウィンドウまたはタブに戻ります。「SAMLアイデンティティ・プロバイダの追加」ページで、「ユーザー・アイデンティティのマップ」を選択します。次の値を入力します:

    • リクエストされたName ID形式:「電子メール・アドレス」を選択します。
    • アイデンティティ・プロバイダのユーザー属性:「SAMLアサーションName ID」を選択します。
    • アイデンティティ・ドメイン・ユーザー属性:「ユーザー名」を選択します。
    

21. 「SAMLアイデンティティ・プロバイダの追加」ページで、「レビューおよび作成」を選択します。

    SAMLアイデンティティ・プロバイダの詳細を確認し、「IdPの作成」を選択します。

    

22. アイデンティティ・プロバイダ(IdP)をアクティブ化するには、「アクティブ化」を選択します。

    

    アイデンティティ・プロバイダがアクティブ化されているという確認メッセージが表示されたら、アイデンティティ・プロバイダがアクティブ化されます。

23. 「IdPポリシーに追加」を選択します。

    

24. 「アイデンティティ・プロバイダ(IdP)ポリシー」ページで、ポリシーのリストの「名前」列で「デフォルトのアイデンティティ・プロバイダ・ポリシー」を選択します。

    

25. 「デフォルト・アイデンティティ・プロバイダ・ポリシー」ポリシーの詳細ページの「アイデンティティ・プロバー・ルール」セクションで、「IdPルールの編集」を選択します。

    

26. 「アイデンティティ・プロバイダ・ルールの編集」ページで、「アイデンティティ・プロバイダの割当て」フィールドを見つけます。このフィールドには「Username-Password」と表示されます。「Google Cloud Federation」を追加し、「変更の保存」を選択します。

    

    「Google Cloud Federation」を追加した後:

    

27. Google Cloud Federationアイデンティティ・プロバイダの詳細ページで、「JITの構成」を選択します。

    

28. 「ジャストインタイム(JIT)プロビジョニングの構成」ページで、トグル・スイッチを使用してジャストインタイム(JIT)プロビジョニングを有効にします。次のいくつかのステップについては、このページに留まります。

    

29. ジャストインタイム(JIT)プロビジョニングの構成ページで、「新規アイデンティティ・ドメイン・ユーザーの作成」および「既存のアイデンティティ・ドメイン・ユーザーの更新」を選択します。

    

30. 「ジャストインタイム(JIT)プロビジョニングの構成」ページで、次のようにユーザー属性をマップします。

    IdPユーザー属性タイプ	IdPユーザー属性名	マップ先	アイデンティティ・ドメイン・ユーザー属性
    NameID	NameID値	→	userName
    属性	LastName	→	familyName
    属性	PrimaryEmail	→	primaryEmailAddress
    属性	FirstName	→	firstName

    

31. 「ジャストインタイム(JIT)プロビジョニングの構成」ページで、「グループ・マッピングの割当て」スイッチを切り替えて、構成したグループ・マッピングを有効にします。「グループ・マッピングの割当て」セクションが展開され、グループ・マッピング構成オプション(次のステップを参照)が表示されます。

    

32. 「ジャストインタイム(JIT)プロビジョニングの構成」ページで、次の値を選択または入力します:

    • グループ・メンバーシップ属性名: MemberOf
    • 暗黙的グループ・メンバーシップの割当て:このオプションを有効にするには、ラジオ・ボタンを選択します
    • グループ・メンバーシップを割り当てる場合...: 既存のグループ・メンバーシップとマージ
    • グループが見つからない場合...: 欠落しているグループを無視します

    値を選択して入力した後、「変更の保存」を選択します。

    

    OCIとGoogle Cloudの間のアイデンティティ・フェデレーションを構成するために必要なステップを完了しました。

33. SSOをテストするには:

    1. Oracle Cloudコンソールでのサイン・アウト
    2. ログイン画面の「またはサインイン」セクションで、「Google Cloud Federation」を選択します。