Identity Cloud ServiceおよびSAML

Identity Cloud ServiceまたはIDCSでは、クラウドでホストされているアイデンティティ管理機能がOracleのお客様に提供されます。これには、次のような機能があります。

• ユーザーとグループの管理

• SAML SPおよびIdPsによるSAML SSO

• SPを使用したOpenID Connect SSO

この記事では、IDCS 17.2.2以降でサポートされるSAML機能について説明します。

SAMLサポート

プロトコル

IDCSでは、次のSAML 2.0プロトコルおよびバインディングがサポートされています。

• SAML 2.0 SSOプロトコル

  • HTTPリダイレクトまたはHTTP- POSTバインディングによるSAML AuthnRequestの送信および受信

  • HTTP- POSTバインディングを介したSAMLアサーションを含むSAMLレスポンスの送信および受信

• SAML 2.0ログアウト・プロトコルによるSAMLの送信と受信

  • HTTPリダイレクトまたはHTTP- POSTバインディングによるLogoutRequest

  • HTTPリダイレクトまたはHTTP- POSTバインディングによるSAML LogoutResponseの送信および受信

• SAML 2.0 Metadata

  • IDCS SAMLサービスでは、フェデレーションSSOに使用されるサービスおよび証明書をリストしたSAML 2.0 Metadataドキュメントを生成できます

  • IDCS SAMLサービスは、フェデレーションの信頼の確立中にSAML 2.0 Metadataを使用することもできます。

暗号化

IDCS SAMLサービスでは、次の暗号化機能がサポートされています。

• 署名ハッシュ・アルゴリズムとしてのSHA-256およびSHA-1

• メッセージがHTTP- POSTバインディングを使用して送信された場合の発信SAMLメッセージにIDCS署名証明書を含める

• IDCSがSAMLアサーション生成中にSAML IdPとして機能している場合:

  • SAMLレスポンスまたはSAMLアサーションが署名されています

  • SAMLアサーションは、AES-128-CBC、AES-192-CBC、AES-256-CBCまたは3DES-CBCを使用して暗号化できます

  • SAMLアサーション消費時にIDCSがSAML SPとして機能している場合:

• SAMLレスポンスまたはSAMLアサーションのいずれかが署名されている必要があります

SAMLアサーション生成

IdPとして、IDCSはSAML 2.0アサーションの発行時に次のことをサポートします

• NameIDフォーマット

  • urn:oasis:names:tc:SAML:1.1:nameidformat:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameidformat:emailAddress

  • urn:oasis:names:tc:SAML:1.1:nameidformat:X509SubjectName

  • urn:oasis:names:tc:SAML:1.1:nameidformat:WindowsDomainQualifiedName

  • urn:oasis:names:tc:SAML:2.0:nameidformat:kerberos

  • urn:oasis:names:tc:SAML:2.0:nameidformat:persistent

  • urn:oasis:names:tc:SAML:2.0:nameidformat:transient

  • カスタムNameIDフォーマット

• NameID値

  • アイデンティティ・ストアに格納されているユーザー名またはプライマリ電子メール・ユーザー属性(urn:oasis:names:tc:SAML:2.0:nameidformat:transientを除く任意のNameID形式)

  • urn:oasis:names:tc:SAML:2.0:nameidformat:transientの場合、1回かぎりのランダム識別子

• SAML属性

  • アイデンティティ・ストアに格納される次のユーザー属性

    • ユーザー名

    • 指定された名前

    • ミドル・ネーム

    • ファミリ名

    • プライマリ電子メール・アドレス

    • 勤務先住所

    • 電話番号(自宅、モバイル、勤務先)

    • タイトル

    • 勤務先住所属性

    • ユーザー・グループ

  • SAML属性名は管理者が設定できます

• SAMLアサーションには、アイデンティティ・ドメイン名を保持する属性が含まれています。

  • 名前: oracle:cloud:identity:domain

  • 値: 顧客のアイデンティティ・ドメイン名

SAMLアサーション消費

SPとして、IDCSは受信SAMLアサーションを検証し、IDCSユーザー・レコードにマップします。このサービスでは、次のことがサポートされます。

• 名前IDフォーマット

  • urn:oasis:names:tc:SAML:1.1:nameidformat:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameidformat:emailAddress

  • urn:oasis:names:tc:SAML:1.1:nameidformat:X509SubjectName

  • urn:oasis:names:tc:SAML:1.1:nameidformat:WindowsDomainQualifiedName

  • urn:oasis:names:tc:SAML:2.0:nameidformat:Kerberos

  • urn:oasis:names:tc:SAML:2.0:nameidformat:persistent

  • urn:oasis:names:tc:SAML:2.0:nameidformat:transient

  • カスタムNameIDフォーマット

• アサーション・マッピング

  • アイデンティティ・ストアのユーザー・レコード属性にマップされる、アサーションに含まれるNameIDに基づきます。

  • または、アイデンティティ・ストアのユーザー・レコード属性にマップされたアサーションに含まれるSAML属性に基づきます。

• SAMLアサーションからの情報は、これらのユーザー・レコード属性のいずれかにマップされます。

  • ユーザー名

  • 表示名

  • 指定された名前

  • ミドル・ネーム

  • ファミリ名

  • プライマリ電子メール・アドレス

  • その他のメールアドレス(自宅、職場、その他、回復用)

エンドポイント

SAML 2.0プロトコルを実装するサービスは、次の場所で公開されます。

• /fed/v1/idp/sso: IdPシングル・サインオン・サービス(SPはSAML AuthnRequestを持つユーザーをIdPにリダイレクトします)

• IdPシングル・ログアウト・サービスの/fed/v1/idp/slo。SPはSAML LogoutRequestまたはLogoutResponseを持つユーザーをIdPにリダイレクトします。

• SPアサーション・コンシューマ・サービスの/fed/v1/SP/sso。IdPは、SAMLアサーションを含むSAMLレスポンスを使用してユーザーをSPにリダイレクトします

• SPシングル・ログアウト・サービスの/fed/v1/SP/slo。IdPは、SAML LogoutRequestまたはLogoutResponseを持つユーザーをSPにリダイレクトします。

• SAML 2.0 Metadataの場合は/fed/v1/metadata

SAMLサービスには、フェデレーションSSO操作を開始するための2つのエンドポイントも用意されており、ユーザーがターゲットSPドメインですでに認証されているかどうかは無視されます。そのため、これらのフローは主に使用しないでください。かわりに、フェデレーションSSOに関連する認証が必要かどうかを決定するターゲットSSOサービスにユーザーを送信する必要があります。SAMLサービス(IdPまたはSP)はどちらもフェデレーションSSOの開始をサポートしています。

• IdP開始されたSSO:

  • エンドポイント: /fed/v1/idp/initiatess

  • 問合せパラメータ(providerid、partnerguidまたはpartnernameのいずれかが必要です。returnurlはオプションです)

    • providerid: SP ProviderID

    • partnername: IDCSに登録されているSPの名前

    • partnerguid: IDCSに登録されているSPの一意のGUID

    • returnurl: フェデレーションSSOの完了後にユーザーをリダイレクトする場所

• SPが開始したSSO:

  • エンドポイント: /fed/v1/sp/initiatess

  • 問合せパラメータ(providerid、partnerguidまたはpartnernameのいずれかが必要です。returnurlはオプションです)

    • providerid: IdP ProviderID

    • partnername: IDCSに登録されているIdPの名前

    • partnerguid: IDCSに登録されているIdPの一意のGUID

    • returnurl: フェデレーションSSOの完了後にユーザーをリダイレクトする場所

その他の学習リソース

docs.oracle.com/learnで他のラボを探すか、Oracle Learning YouTubeチャネルで無料のラーニング・コンテンツにアクセスしてください。また、education.oracle.com/learning-explorerにアクセスしてOracle Learning Explorerになります。

製品ドキュメントについては、Oracle Help Centerを参照してください。

---

タイトルおよび著作権情報

Identity Cloud Service and SAML

F60447-01

September 2022

Copyright © 2022, Oracle and/or its affiliates.