Oracle US Government Cloud向けのアイデンティティ・ドメインとMicrosoft Azure Active Directoryを使用したフェデレーション
Oracle US Government Cloudでアイデンティティ・ドメインとMicrosoft Azure Active Directoryを使用してフェデレートする方法について学習します。
企業組織は通常、ユーザーのログインとパスワードを管理し、セキュアなWebサイト、サービス、およびリソースにアクセスするユーザーを認証するために、アイデンティティ・プロバイダ(IdP)を使用します。詳細は、アイデンティティ・プロバイダによるフェデレートを参照してください。Azure Active Directory (AD)、Okta、その他のIdPsなど、希望するIdPを使用し、FedRAMP High Joint Authorization Board認可を受けてOracle Cloud Infrastructureにフェデレートできます。
US Government Cloudでフェデレートするプロセスは、商用クラウドでフェデレートするプロセスと似ています。ただし、いくつかのステップを実行する順序が異なります。商用クラウドでのフェデレーション・プロセスの詳細は、Microsoft Active Directoryとのフェデレーションを参照してください。
Identity and Access Management (IAM) uses identity domains to provide identity and access management features such as authentication, single sign-on (SSO), and identity life cycle management for Oracle Cloud Infrastructure and for Oracle and non-Oracle applications, whether SaaS, cloud-hosted, or on-premises.開発や本番など、個別の環境用に複数のアイデンティティ・ドメインを作成できます。コンシューマ向けアプリケーションのアイデンティティ・ドメインを使用し、コンシューマ・ユーザーが自己登録およびソーシャル・サインインを実行できるようにすることもできます。
前提条件
アイデンティティ・ドメインを含むUS政府クラウド・テナンシ。
ユーザーおよびグループを含むAzure ADアカウント。
タスク1: Microsoft Azureポータル
Azureポータルから「Enterprise Applications」をクリックし、「New Application」を選択します。
「Oracle Cloud」を選択し、「Oracle Cloud Infrastructure Console」を指定します。
名前を指定し、「Create」をクリックします。
「Getting Started」ページで、「Set up Single sign on」、「SAML」の順に選択します。これにより、SAMLを使用したシングル・サインオンを設定するページが開きます。
「SAML Certificates」セクションで、「Edit」をクリックします。
ノート
Oracle serviceプロバイダ・メタデータは、デフォルトではUS Government CloudでAzureにアップロードできません。Azure IdPで使用可能な既存のSAML証明書を使用する必要があります。-
次のスクリーン・ショットに示すように、をクリックし、フェデレーテッド証明書XMLのダウンロードを選択します。
Azureポータルのシングル・サインオン・ページの「Oracle」セクションで、サービス・プロバイダのメタデータを生成してから次のステップに進みます。
メタデータの生成後、次のスクリーンショットに示すように「Upload metadata file」を選択し、「Add」をクリックします。
メタデータをアップロードしたら、「Basic SAML Configuration」を選択し、コンソールのサインインURLを入力します。たとえば、米国政府東部(アッシュバーン)リージョンのコンソール・サインインURLはhttps://console.us-langley-1.oraclegovcloud.com/です。詳細は、コンソールのサインインURLを参照してください。「保存」をクリックします
「AML certificates」セクションで、フェデレーション・メタデータXMLをダウンロードして保存します。
タスク2: Oracle Cloud Infrastructureコンソール
コンソールでナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
ユーザーがAzure ADからフェデレートするアイデンティティ・ドメインの名前(「デフォルト」など)をクリックします。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。
「セキュリティ」、「アイデンティティ・プロバイダ」の順に選択します。
「IdPの追加」、「SAML IdPの追加」の順にクリックします。
名前、説明およびアイデンティティ・プロバイダ・アイコンを入力します。次に、「次」をクリックします
「IdPの構成」ページで、XMLファイルをドラッグしてメタデータをアップロードするか、「1つ選択」をクリックしてタスク1: Microsoft Azureポータルのステップ6でダウンロードしたメタデータ・ファイルを参照します。「次へ」をクリックします。
「属性のマップ」セクションは、IdPから受信したユーザーのアイデンティティ属性をアイデンティティ・ドメインにマップします。これはオプションです。これらのオプションは、IdPによって異なります。
「IdPの作成」をクリックします。
ノート
サービス・プロバイダ・メタデータを使用してAzure IdPをすでに作成している場合は、ステップ8から10をスキップし、ステップ11に進みます。次のスクリーン・ショットに示すように、「Add SAML Identity Provider」セクションで、「Service Provider Metadata」の「Download」をクリックします。これは、Azure ADへのインポートに使用するメタデータです。
IdPを削除し、ステップ1から8で説明したプロセスを使用して正しいAzureメタデータXMLファイルで再作成するため、この時点ではIdPをテストまたはアクティブ化してください。「取消」をクリックして設定プロセスを終了し、「アクション」メニュー(3つのドット)をクリックします。「非アクティブ化」をクリックしてIdPを非アクティブ化し、「削除」をクリックします。
タスク1: Microsoft Azureポータルのステップ8に移動し、この手順のステップ8で生成したサービス・プロバイダの正しいメタデータを使用してIdP設定を完了します。
「エクスポート」ページで、「次」をクリックし、「SAMLアイデンティティ・プロバイダの追加」ページの「次」を再度クリックします。
次のスクリーン・ショットに示すように、「アクティブ化」をクリックしてIdPをアクティブ化し、「終了」をクリックします。
アイデンティティ・プロバイダのデフォルト・ページで、次のスクリーン・ショットに示すようにIdPポリシーをクリックして、ポリシーを割り当てます。
IdPを割り当てるIdPポリシーの名前(「デフォルトのIdPポリシー」など)を選択します。
「リソース」で、「アイデンティティ・プロバイダ・ルール」をクリックします。
次のスクリーン・ショットに示すように、IdPを割り当てるルールの「アクション」メニュー(3つのドット)をクリックし、「IdPルールの編集」をクリックして、作成したIdPプロバイダを割り当てます。
フェデレーション・プロセスは完了です。ログアウトして再度サインインすると、次のスクリーン・ショットに示すように、アイデンティティ・プロバイダ名(この場合はAzure-AD)が表示されます。名前をクリックしてフェデレーテッド・サインイン・ページに進みます。
リソース
US Government Cloudは、これらのリージョンで利用可能なすべてのOCIおよびPlatform-as-a-Service (PaaS)サービスと同様に、FedRAMP High JAB P-ATO認定を取得しています。
詳細は、次を参照してください: