1. Oracle Identity Cloud Serviceをアイデンティティ・プロバイダとしてOracle Access Managerと統合します
  2. アイデンティティ・プロバイダとしてのOracle Access Managementの構成

アイデンティティ・プロバイダとしてのOracle Access Managementの構成

Oracle Access Management (OAM)をOracle Identity Cloud Serviceのアイデンティティ・プロバイダ(IdP)として構成し、クラウド・アプリケーション・ユーザーにシームレスなSSOを提供します。Oracle Identity Cloud Serviceで保護されたクラウド・アプリケーションのユーザーは、オンプレミスのOAM資格証明を使用して認証できます。

SAML 2.0フェデレーション・アグリーメントの作成では、メタデータ・ファイルを交換して、Oracle Identity Cloud ServiceのIdPとOAMのサービス・プロバイダの構成を支援します。次に、接続をテストし、IdPをデフォルトのアイデンティティ・プロバイダ・ポリシーに追加します。

フェデレーション・アグリーメントの作成後、統合をテストし、ユーザーをフェデレーテッドとしてマークします。

OAMからのSAML 2.0メタデータのエクスポート

OAMからSAML 2.0メタデータをエクスポートします。このメタデータは、後でOracle Identity Cloud ServiceでIdPを追加するために使用されます。

  1. OAMコンソールで、「構成」「設定」「表示」「フェデレーション」にナビゲートします。
  2. 「SAML 2.0メタデータのエクスポート」をクリックし、idp_metadata.xmlファイルを保存します。
    このファイルを使用して、Oracle Identity Cloud ServiceでOAMをIdPとして登録します。または、OAMメタデータ・ファイル(https://oamhost:port/oamfed/idp/metadata)に直接アクセスできます。
  3. idp_metadata.xmlファイルを保存します。

Oracle Identity Cloud Serviceでのアイデンティティ・プロバイダの追加

OAMからエクスポートしたメタデータ・ファイルを使用して、Oracle Identity Cloud Serviceにアイデンティティ・プロバイダを追加します。これらのステップでは、一意のユーザー属性にEメール・アドレスを使用していることを前提としています。

  1. 「Identity Cloud Service」コンソールで、ナビゲーション・ドロワーを開き、「セキュリティ」を開き、アイデンティティ・プロバイダをクリックします。
  2. 「SAML IDPの追加」をクリックします。
  3. アイデンティティ・プロバイダの名前説明を入力し、「次」をクリックします。
    IdP認証のユーザーが簡単に識別できる名前と説明を使用します。オプションで、OAM IdPを表すアイコンをアップロードできます。
  4. 「Import Identity Provider metadata」を選択します。
  5. 「アップロード」をクリックし、OAMから取得したメタデータ・ファイルidp_metadata.xmlを選択して、「開く」をクリックします。
  6. デフォルトの署名ハッシュ・アルゴリズムを受け入れて、「次へ」をクリックします。
  7. 「アイデンティティ・プロバイダ・ユーザー属性」のデフォルト値の「Name ID」を受け入れます。
  8. 「プライマリ電子メール・アドレス」「Oracle Identity Cloud Serviceユーザー属性」を選択します。
  9. 「電子メール・アドレス」「リクエストされたNameIDフォーマット」を選択し、「次へ」をクリックします。
    「属性のマップ」ページで、OAM間のユーザー属性マッピングをアイデンティティ・プロバイダおよびOracle Identity Cloud Serviceとして定義します。
  10. 「サービス・プロバイダ・メタデータ」フィールドで、「ダウンロード」をクリックします。Metadata.xmlファイルを保存します。
  11. 「次」をクリックします。
  12. 「終了」をクリックします。
このIdPは、OAMでサービス・プロバイダを構成した後にテストします。

信頼できるリライイング・パーティとしてOracle Identity Cloud Serviceを登録します

Oracle Access Management (OAM)に新しいサービス・プロバイダ・パートナを追加して、Oracle Identity Cloud Serviceを信頼できるリライイング・パーティにします。

  1. OAMコンソールで、「フェデレーション」「アイデンティティ・プロバイダ管理」に移動します。
  2. 「アイデンティティ・プロバイダ管理」ウィンドウで、「サービス・プロバイダ・パートナの作成」をクリックします。
  3. サービス・プロバイダ・パートナの意味のある「名前」を入力します(Oracle Identity Cloud Serviceなど)。
  4. 「参照」をクリックし、Oracle Identity Cloud Serviceから保存したMetadata.xmlファイルを開きます。
  5. 「NameID値」で、「ユーザーIDストア属性」を選択し、属性値にmailなどの一意の属性を入力します。
    ユーザーの一意の属性を使用して、OAMユーザーをOracle Identity Cloud Serviceの対応するユーザーにマップします。
  6. 「保存」をクリックします。

アイデンティティ・プロバイダ接続のテスト

Oracle Identity Cloud ServiceでSAML IdP構成をテストします。

  1. 管理者としてOracle Identity Cloud Serviceコンソールにログインします。
  2. ナビゲーション・ドロワーを展開し、「セキュリティ」をクリックして、「アイデンティティ・プロバイダ」をクリックします。
  3. 作成したOAMアイデンティティ・プロバイダのドロップダウン・メニューから「テスト」を選択します。
  4. 有効なOAMユーザーとしてログインします。このユーザーには、Oracle Identity Cloud Serviceの一意属性に一致する対応するユーザーが必要です。
    テストが成功すると、「接続に成功しました」というメッセージが表示されます。
  5. テスト結果メッセージが表示された新しいウィンドウを閉じます。

アイデンティティ・プロバイダの有効化

Oracle Identity Cloud ServiceでOAMアイデンティティ・プロバイダを有効にします。

  1. 管理者としてOracle Identity Cloud Serviceコンソールにログインします。
  2. 「アイデンティティ・プロバイダ」ページで、作成したOAMアイデンティティ・プロバイダのドロップダウン・メニューから「アクティブ化」を選択します。
  3. 「アクティブ化」をクリックして確認します。
  4. 「ログイン・ページに表示」アイコンが表示されない場合は、OAMアイデンティティ・プロバイダのドロップダウン・メニューから「ログイン・ページに表示」を選択します。
  5. 「表示」をクリックして確定します。

デフォルトのアイデンティティ・プロバイダ・ポリシーへのアイデンティティ・プロバイダの追加

アイデンティティ・プロバイダをOracle Identity Cloud Serviceのデフォルト・アイデンティティ・プロバイダ・ポリシーに追加します。

  1. Oracle Identity Cloud Serviceコンソールで、ナビゲーション・ドロワーを開き、「セキュリティ」をクリックして、「IDPポリシー」をクリックします。
  2. デフォルト・アイデンティティ・プロバイダ・ポリシーをクリックします。
  3. 「アイデンティティ・プロバイダ」タブを選択し、「割当て」をクリックして、新しいアイデンティティ・プロバイダをこのポリシーに追加します。
  4. 「アイデンティティ・プロバイダの割当て」ダイアログで、割り当てるアイデンティティ・プロバイダを選択し、「OK」をクリックします。
    アイデンティティ・プロバイダがデフォルトのアイデンティティ・プロバイダの「ポリシー」ページに表示されます。