Oracle Cloud Infrastructureドキュメント

フェデレーション信頼関係の有効化

アイデンティティ・フェデレーションには、Private Cloud Applianceとそのアイデンティティ・プロバイダであるMicrosoft Active Directory間の信頼関係が必要です。ユーザー認証用のデータを交換できるように、この相互信頼を確立するには、フェデレーション・パートナ・システムからの具体的な詳細が必要です。

必要なADFSメタデータの収集

アイデンティティ・フェデレーションには、アイデンティティ・プロバイダからの次の情報が必要です。

  • Active Directory Federation Services (ADFS)のSAMLメタデータ・ドキュメント

    デフォルトの場所はhttps://<id-provider-name>/FederationMetadata/2007-06/FederationMetadata.xmlです。

  • Private Cloud ApplianceグループにマップするActive Directory (AD)グループの名前

    マッピングが必要なすべてのADグループをノートにとります。

    注意

    ADをアイデンティティ・プロバイダとして追加する前に、すべてのPrivate Cloud Applianceグループが構成されていることを確認します。

アイデンティティ・プロバイダ証明書の検証

注意

ADFS証明書が既知の認証局によって署名されている場合は、プライベート・クラウド・アプライアンス証明書バンドルにすでに存在している必要があります。その場合は、この項をスキップできます。

Private Cloud Appliance認証局(CA)は、自己署名されたOpenSSLによって生成されたルートおよび中間x.509証明書に基づいています。これらのCA証明書は、x.509サーバー/クライアント証明書の発行に使用され、外部のCA信頼情報をアプライアンスに追加できます。ADFSに自己署名証明書を使用する場合は、外部CAの信頼情報をADFSから管理ノードに追加する必要があります。

ノート

metadataUrlプロパティを使用してアイデンティティ・プロバイダを作成または更新する場合は、CAバンドルの外部にあるプライベート・クラウド・アプライアンスにアイデンティティ・プロバイダのWebサーバー証明書チェーンを追加する必要があります。Webサーバー証明書チェーンの検索方法については、アイデンティティ・プロバイダのドキュメントを参照し、ステップ3から8を実行します。

外部CA信頼情報を追加するには、次の手順に従います。

  1. ADFS用のSAMLメタデータ・ドキュメントをダウンロードします。このドキュメントは、次の場所でデフォルトで使用できます。

    https://<id-provider-name>/FederationMetadata/2007-06/FederationMetadata.xml

  2. テキストまたはXMLエディタでファイルを開き、署名証明書セクションを見つけます。たとえば:

    <KeyDescriptor use="signing">
<KeyInfo>
<X509Data>
<X509Certificate>
<!--CERTIFICATE IS HERE-->
</X509Certificate>
</X509Data>
</KeyInfo>
</KeyDescriptor>

  3. 管理ノード1 (pcamn01)にログオンします。

  4. /etc/pca3.0/vaultに移動し、customer_caという名前の新しいディレクトリを作成します。

    ノート

    このディレクトリは、複数のファイルに使用できます。たとえば、アイデンティティ・プロバイダ証明書用のファイルと、Webサーバー証明書チェーン用のファイルを作成できます。

  5. customer_caディレクトリに、新しいファイルをPEM形式で作成します。

  6. <X509Certificate>タグ内にあるFederationMetadata.xmlファイルから証明書をコピーし、新しいPEMファイルに貼り付けます。次のように、-----BEGIN CERTIFICATE-----および-----END CERTIFICATE-----を含めてください。

    -----BEGIN CERTIFICATE-----
<CERTIFICATE CONTENT>
-----END CERTIFICATE-----

  7. ファイルを保存して閉じます。

  8. 次のコマンドを実行して、すべての管理ノードでca_outside_bundle.crtを更新します。

    python3 /usr/lib/python3.11/site-packages/pca_foundation/secret_service/cert_generator/cert_generator_app.py -copy_to_mns

ADFSでの信頼できるリライイング・パーティとしてのプライベート・クラウド・アプライアンスの追加

フェデレーション・プロセスを完了するには、Microsoft Active Directory Federation Services (ADFS)で信頼できるリライイング・パーティとしてPrivate Cloud Applianceを追加し、関連するリライイング・パーティ要求ルールを追加する必要があります。

ADFSでのリライイング・パーティの追加

  1. 「アイデンティティ・プロバイダ」ページのサービスWeb UIで、次のテキスト・ブロックを表示します。

    Microsoft Active Directory Federation Servicesまたは他のSAML 2.0準拠アイデンティティ・プロバイダとの信頼を設定する場合は、プライベート・クラウド・アプライアンス・フェデレーション・メタデータ・ドキュメントする必要があります。これは、Private Cloud Applianceエンドポイントおよび証明書情報を説明するXMLドキュメントです。ここをクリック

  2. 「ここをクリック」をクリックします。

    ブラウザでメタデータXMLファイルが開き、次のようなURLが表示されます。

    https://adminconsole.system-name.domain-name/wsapi/rest/saml/metadata/

  3. メタデータXMLファイルのURLをコピーします。

  4. ADFSとともにインストールされたシステムから、ブラウザ・ウィンドウを開き、URLを貼り付けます。

  5. ファイルを保存し、.xml拡張子(my-sp-metadata.xmlなど)を使用してください。

  6. AD FS管理コンソールに移動し、フェデレートするアカウントにサインインします。

  7. Private Cloud Applianceを信頼できるリライイング・パーティとして追加します。

    1. 「AD FS」で、「Relying Party Trusts」を右クリックし、「Add Relying Party Trust」を選択します。

    2. リライイング・パーティ信頼の追加ウィザードの「ようこそ」ページで、「要求対応」を選択し、「開始」をクリックします。

    3. 「データ・ソースの選択」ページで、「ファイルからリライイング・パーティのデータをインポート」を選択します。

    4. 「参照」をクリックしてmy-sp-metadata.xmlに移動し、「開く」をクリックします。

    5. 「表示名の指定」ページで、表示名を入力し、リライイング・パーティのオプションのノートを追加し、「次」をクリックします。

    6. 「アクセス制御ポリシーの選択」ページで、付与するアクセスのタイプを選択し、「次へ」をクリックします。

    7. 「信頼の追加準備完了」ページで、設定を確認し、「次」をクリックしてリライイング・パーティの信頼情報を保存します。

    8. 「終了」ページで、「このアプリケーションの要求発行ポリシーの構成」を選択し、「クローズ」をクリックします。

      「要求発行ポリシーの編集」ダイアログが表示され、次の手順のために開いたままにできます。

リライイング・パーティ要求ルールの追加

Private Cloud Applianceを信頼できるリライイング・パーティとして追加した後、必要な要素(Name IDおよびグループ)がSAML認証レスポンスに追加されるように、要求ルールを追加する必要があります。

Name IDルールを追加するには、次のように進めます。

  1. 「要求発行ポリシーの編集」ダイアログで、「ルールの追加」をクリックします。

    「ルール・テンプレートの選択」ダイアログが表示されます。

  2. 要求ルール・テンプレートで、「着信要求の変換」を選択し、「次へ」をクリックします。

  3. 次の情報を入力します。

    • 要求ルール名: このルールの名前(例: nameid)を入力します。

    • 入力方向の要求タイプ: Microsoft Windowsアカウント名を選択します。

    • 送信要求タイプ: 要求タイプ(Name IDなど)を選択します。

    • 出力方向の名前ID形式: 永続的識別子を選択します。

    • すべての要求値をパススルーし、「終了」をクリックします。

      規則が規則リストに表示されます。

「発行変換ルール」ダイアログに新しいルールが表示されます。

Active Directoryユーザーが100グループ以内の場合、グループ・ルールを追加するだけです。ただし、Active Directoryユーザーが100を超えるグループに属している場合、それらのユーザーはサービスWeb UIを使用するように認証できません。これらのグループに対して、グループ・ルールにフィルタを適用する必要があります。

グループ・ルールを追加するには、次のように進めます。

  1. 「発行変換ルール」ダイアログで、「ルールの追加」をクリックします。

    「ルール・テンプレートの選択」ダイアログが表示されます。

  2. 要求規則テンプレートに対して、「カスタム規則を使用して要求を送信」を選択し、「次へ」をクリックします。

  3. 「変換要求規則の追加」ウィザードで、次のように入力します。

    • 要求規則名: グループを入力します。

    • カスタム規則: カスタム規則を入力します。

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("https://auth.oraclecloud.com/saml/claims/groupName"), query = ";tokenGroups;{0}", param = c.Value);

    • 「終了」をクリックします。

    「発行変換ルール」ダイアログに新しいルールが表示されます。

証明書失効チェックの無効化

ADFSでSAMLを使用するには、証明書失効リスト(CRL)チェックを無効にする必要があります。ADFSシステムでPowershellを開き、次のコマンドを入力します。ここで、TRUST_NAMEはリライイング・パーティ信頼の名前です。

Get-AdfsRelyingPartyTrust -Name '<TRUST_NAME>' | Set-AdfsRelyingPartyTrust -EncryptionCertificateRevocationCheck None -SigningCertificateRevocationCheck None