1. Oracle Identity Cloud Serviceをアイデンティティ・プロバイダとしてOracle Access Managerと統合します
  2. 統合の理解

統合の理解

統合が終了すると、Oracle Access Management (OAM)を使用したオンプレミス・アプリケーションの認証フローは変わりません。クラウド・アプリケーションの場合は、認証フローがOracle Identity Cloud Serviceから変更されるのは、OAMからのSAMLアサーションを使用するフローのみです。

Oracle Identity Cloud Serviceのアイデンティティ・プロバイダ(IdP)として機能するようにOAMを構成しても、ユーザーがオンプレミス・アプリケーションにアクセスする方法には影響しません。OAMで保護されたオンプレミス・アプリケーションにアクセスするユーザーは、フォーム・ログインなどの適切な認証スキームにチャレンジされます。OAMはユーザー資格証明を検証し、ユーザー・セッションを生成して、オンプレミス・アプリケーションへのアクセスを許可します。

次の図は、OAMをOracle Identity Cloud ServiceのIdPとして使用する場合のクラウド・アプリケーションのSAML 2.0認証フローを示しています。

図- SAML 2.0認証フロー

図の説明が続きます
「図- SAML 2.0認証フロー」の説明
  1. ユーザーはクラウド・アプリケーションへのアクセスをリクエストします。
  2. クラウド・アプリケーションは、認証のためにユーザー・ブラウザをOracle Identity Cloud Serviceにリダイレクトします。
  3. Oracle Identity Cloud Serviceは、認証のためにユーザー・ブラウザをアイデンティティ・プロバイダ(IdP)としてOAMにリダイレクトします。
  4. OAMは、サインイン・ページをユーザーに提供します。
  5. ユーザーがOAMに資格証明を送信します。
  6. ユーザーがOAMで正常に認証されると、ブラウザは有効なSAMLトークンを使用してOracle Identity Cloud Serviceにリダイレクトされます。
  7. Oracle Identity Cloud Serviceは、SAMLトークンを使用し、ユーザー・セッションを作成し、ブラウザをクラウド・アプリケーションにリダイレクトします。
  8. クラウド・アプリケーションは、独自のユーザー・セッションを作成し、そのユーザーにホーム・ページを表示します。

前提条件の検証

Oracle Access Management (OAM)とOracle Identity Cloud Serviceを統合する前に、次の前提条件を検証します。

  1. OAMのアイデンティティ・ストアとOracle Identity Cloud Service間でユーザーが同期されていることを確認します。

    IdP統合では、OAMアイデンティティ・ストアとOracle Identity Cloud Serviceの両方に同じ一意の属性を持つユーザー・エントリが存在する必要があります。一般的に使用される一意の属性は電子メール・アドレスです。Oracle Identity Cloud Serviceには、継続的かつ自動的にユーザーを同期するメカニズムが用意されています。

    既存のOAMアイデンティティ・ストアとOracle Identity Cloud Service間でユーザーを同期するには、次のオプションを使用できます。
    • REST API
    • CSVファイル
    • OIMコネクタ
    • アイデンティティ・ブリッジ
    これらのオプションの詳細は、Oracle Identity Cloud Serviceのドキュメントおよび自己ペース・チュートリアルを参照してください。

    たとえば、OAMアイデンティティ・ストアにOracle Unified Directory (OUD)を使用すると、ユーザー・エントリを簡単に確認できます。OUDで個々のユーザーの電子メール・アドレスを確認するには、ldapsearchを使用します。OUDでユーザーを取得するには、ターミナルを起動し、次のようにldapsearchコマンドを実行して、環境に応じて属性と値を置き換えます。

    ldapsearch -h oudhost -p 1389 -D "cn=Directory Manager" -s sub -b "dc=example,dc=com" "uid=csaladna" dn mail

    コマンド出力は、次のようにユーザーDNと電子メールを返します。

    dn: uid=csaladna,ou=People,dc=example,dc=com mail: csaladna@example.com

    OUDから返された電子メールを記録します(例: csaladna@example.com)。

    1. Oracle Identity Cloud Serviceコンソールにアクセスし、ナビゲーション・ドロワーを開き、「ユーザー」をクリックします。
    2. OUD Eメールを持つユーザーが存在することを検索して確認します。
    3. ユーザーがOAMのユーザー・ディレクトリと、一致する一意属性を持つOracle Identity Cloud Serviceの両方に存在しない場合、続行できません。

    まず、OAM IdPサービスを使用するすべてのユーザーが、両方のディレクトリで一致する一意の属性を持っていることを確認する必要があります。

  2. OAMのIdentity Federationが有効になっていることを確認します。
    1. OAMコンソールにログインし、「構成」 > 「使用可能なサービス」に移動します。
    2. Identity Federationが有効になっていることを確認します。(無効になっている場合は有効にします)。
    OAMとOracle Identity Cloud Serviceを統合する準備ができました。