1. Oracle Identity Cloud Serviceをアイデンティティ・プロバイダとしてOracle Access Managerと統合します
  2. Identity Cloud ServiceとAccess Manager間のフェデレーションの設定について

Identity Cloud ServiceとAccess Manager間のフェデレーションの設定について

Oracle Access Management (OAM)を使用してオンプレミス・アプリケーションにシングル・サインオン(SSO)を提供することで、Oracle Identity Cloud Serviceで保護されたアプリケーションを組み込むこともできます。

既存のオンプレミス・アクセス管理システムは、オンプレミス・エンタープライズ・アプリケーションへのシングル・サインオンをユーザーに提供します。クラウド・ベースのアプリケーションを企業に追加すると、関連するユーザー・パスワードを使用して別のユーザー・ディレクトリを管理するという課題が生じます。

クラウド・ベースのシングル・サインオン・ソリューションにOracle Identity Cloud Serviceを使用する場合、外部アイデンティティ・プロバイダを追加することもできます。Oracle Identity Cloud Serviceのアイデンティティ・プロバイダ(IdP)としてOAM環境を構成すると、パスワードを1箇所で管理できます。

IdPとして機能するようにOAMを構成すると、Oracle Identity Cloud ServiceはOAMとフェデレートされます。フェデレーション契約は、ユーザーがOracle Identity Cloud Serviceによって保護されているアプリケーションにアクセスしようとすると、認証がOAMに外部委託されることです。フェデレーション契約では、OAMを信頼できるリライイング・パートナとして指定します。

Oracle Identity Cloud Serviceは、SAML 2.0準拠のIdPsとあらかじめ統合されています。

Oracle Identity Cloud Service SAML 2.0 IdP機能:

  • Oracle Access ManagementなどのSAML 2.0と互換性のあるフェデレーテッドSSOソリューションと連携します。
  • ユーザーは、IdPの資格証明を使用してOracle Identity Cloud Serviceにログインできます。
  • すべてのユーザーに対してIdP認証を強制するか、ログイン・チューザ・オプションとしてIdP認証を提供できます。

オンプレミスOAMシステムとOracle Identity Cloud Service間のSSOの確立は、クラウドへの移行における重要なステップです。Oracle Identity Cloud ServiceをOAMとフェデレートすると、ユーザーのログイン画面や認証フローを変更する必要がないため、移行プロセスがユーザーに対して透過的になります。

アーキテクチャ

オンプレミスのOracle Access Management実装は、ログイン資格証明の認可ソースです。SAML 2.0フェデレーションを構成すると、Oracle Identity Cloud ServiceOracle Access Managementからの資格証明を引き続き利用できます。

ロードマップの第2段階では、環境をオンプレミス・アクセス管理システムからOracle Identity Cloud Serviceに移行し、フェデレーテッド・シングル・サインオンを確立します。

次の図は、このステージの主要なアーキテクチャ・コンポーネントを示しています。

図- Oracle Identity Cloud ServiceのIdPとしてのOracle Access Manager

図の説明が続きます
「図- Oracle Identity Cloud ServiceのIdPとしてのOracle Access Manager」の説明

このアーキテクチャ図では、オンプレミス・アクセス管理システムはレガシー認証メカニズムを表し、Oracle Identity Cloud Serviceはクラウドベースの認証メカニズムを表します。企業ユーザーの信頼できるソースは、エンタープライズLightweight Directory Access Protocol (LDAP)サーバーによって表されます。エンタープライズLDAPサーバーのユーザーは、ブリッジによってOracle Identity Cloud Serviceに同期されます。

開始する前に

Oracle Identity Cloud ServiceとOracle Access Management (OAM)のフェデレートに関する考慮事項を次に示します。

OAM環境をOracle Identity Cloud Serviceに移行する場合は、移行ロードマップに従ってオンプレミス・アプリケーションをOracle Identity Cloud Serviceと統合し、これらのアプリケーションがクラウド・アプリケーションと同じシングル・サインオン(SSO)を利用するようにできます。このロードマップについて学習するには、オンプレミス・アクセス管理からOracle Identity Cloud Serviceへの移行について学習を参照してください。

Oracle Identity Cloud ServiceをOracle Access Managementとフェデレートするには、次のものが必要です:

  • アイデンティティ・プロバイダを管理するための認可を持つOracle Identity Cloud Serviceへのアクセス。
  • フェデレーション・サービスが有効になっているOAM環境。
  • OAMアイデンティティ・ストアとOracle Identity Cloud Service間で同期されたユーザー。これは、Microsoft Active Directoryブリッジまたはプロビジョニング・ブリッジのいずれかで実行できます。
  • 電子メール・アドレスなどの共有一意属性が存在し、Oracle Identity Cloud ServiceとOAMのディレクトリの両方に移入されている必要があります。
  • 各サービスが実行される同期サーバー・クロック。SAMLアサーションは、その有効な時間ウィンドウ内で処理する必要があります。
  • OAMでユーザー・パスワードを管理するための既存のプロセスを保守するには、ログイン資格証明の認可ソースです。

必須サービスおよびロールについて

このソリューションには、次のサービスが必要です。

  • Oracle Identity Cloud Service
  • Oracle Access Management

各サービスに必要なロールは次のとおりです。

サービス名: ロール 必須...
Oracle Identity Cloud Service: Security Administrator アイデンティティ・プロバイダの管理
Oracle Access Management: System Administrator Oracle Access Managementコンソールにアクセスし、フェデレーション設定を変更します。

必要なものを得るには、Oracle製品、ソリューションおよびサービスを参照してください。