管理者アカウント用のMicrosoft Active Directoryを使用したIdentity Federation
管理者は、Private Cloud ApplianceとMicrosoft Active Directoryの間でアイデンティティ・フェデレーションを構成できます。Private Cloud Applianceの認証は、アイデンティティ・プロバイダ(Active Directory)に委任され、ユーザーは既存のアカウントでサインインできます。
多くの組織では、ユーザーのログインとパスワードの管理、およびセキュアなWebサイト、サービス、およびリソースにアクセスするためのユーザーの認証にアイデンティティ・プロバイダを使用します。フェデレーションでは、アイデンティティ・プロバイダとPrivate Cloud Applianceの間の信頼関係を設定します。管理者がこの関係を確立すると、フェデレーテッド・ユーザーは、サービスWeb UIへのアクセス時にシングル・サインオンを求められます。
Microsoft Active Directoryをリファレンス実装として文書化していますが、Private Cloud Applianceは、Oracle Access Managerを含む他のSAML 2.0準拠のアイデンティティ・プロバイダと連携しています。詳細および手順は、Oracle Access Managerを使用したサインオンを参照してください。
複数のMicrosoft Active Directory (AD)アカウントをPrivate Cloud Appliance (組織の各部門に1つなど)とフェデレートできますが、設定する各フェデレーション信頼は単一のADアカウント用である必要があります。信頼を設定するには、サービスWeb UIでいくつかのタスクを実行し、Active Directory Federation Services (ADFS)でいくつかのタスクを実行します。
フェデレーションを開始する前に、次のものがあることを確認してください。
-
組織のMicrosoft Active Directory Federation Servicesがインストールおよび構成されています。
-
Private Cloud ApplianceのグループにマップするグループをActive Directoryで設定します。
-
サービスWeb UIにサインインするユーザーをActive Directoryで作成します。
フィルタ・ルールを簡単に適用できるように、共通の接頭辞を使用してプライベート・クラウド・アプライアンス・グループにマップするActive Directoryグループに名前を付けることを検討してください(PCA_Administrators、PCA_NetworkAdmins、PCA_InstanceLaunchers)。
フェデレーテッド・アイデンティティ・プロバイダを設定するには、次の手順に従います。