SAMLおよびSCIMの構成について
アイデンティティ・プロバイダによって管理される既存のログインとパスワードを使用して、アイデンティティ・ドメインと外部アイデンティティ・プロバイダ間のフェデレーテッド・ログインを設定し、サインインしてOCIリソースにアクセスできます。
OktaでのSAMLの設定
OktaをIdPとして設定し、OCI Identity and Access Managementをサービス・プロバイダとして機能させ、Okta認証済ユーザー資格証明を使用してOCI Identity and Access Managementのサービスおよびアプリケーションへのユーザー・アクセスを可能にします。
- Oktaで、「管理」をクリックします。
- 左側のペインで、「Applications」、「Applications」の順にクリックします。
- 「アプリケーション」で、「アプリケーション・カタログの参照」をクリックします。
- 検索フィールドに
saml
と入力し、「SAMLサービス・プロバイダ」を選択します。 - 「Add Integration」をクリックします。
- 「アプリケーション・ラベル」フィールドに、
Okta SAML Provider
と入力します。 - 「次」をクリックします。
- 「デフォルトのリレー状態」フィールドに、
https://oc2.cloud.oracle.com/?tenant=yourtenancyname&domain=yourdomainname
と入力します。- OCIで、メイン・メニュー、「アイデンティティとセキュリティ」、「アイデンティティ」、「ドメイン」の順にクリックします。
- テナンシ名およびドメイン名に注意してください。
- 必要に応じて、
yourtenancyname
およびyourdomainname
を置き換えます。
OCIでのSAMLの設定
Oktaで構成されたSAMLオプションを使用して、OCIでSAML IdP設定を構成します。
この設定では、OCIとOktaを頻繁に切り替えます。
- OCIコンソールで、メイン・メニュー、「アイデンティティとセキュリティ」、「SAMLアイデンティティ・プロバイダの追加」の順にクリックし、「アイデンティティ・プロバイダ・メタデータの手動入力」を選択します。
- Oktaの「SAMLサービス・プロバイダの追加」ページの「メタデータ詳細」で、「詳細」をクリックし、「URLにサインオン」の横にある「コピー」をクリックします。
- OCIの「アイデンティティ・プロバイダ発行者のURI」フィールドに、コピーしたテキストを入力します。
- Oktaの「サインオン・メソッド」で、「設定手順の表示」をクリックし、「サービス・プロバイダにサインイン」で、「アイデンティティ・プロバイダ発行者URI」のテキストをコピーします。
- OCIの各「SSOサービスURL」フィールド、「アイデンティティ・プロバイダ・ログアウト・リクエストURL」フィールドおよび「アイデンティティ・プロバイダ・ログアウト・レスポンスURL」フィールドに、Oktaから保持したサインオンURLを入力します。
- 「ログアウト・バインド」で、「POST」を選択します。
- 「SAMLメッセージによる署名証明書の送信」を有効にします。
- 「次」をクリックします。
- 「リクエストされたNameID形式」ドロップダウンで、「電子メール・アドレス」を選択します。
- 「IdPの作成」をクリックします。
- 「エクスポート」ページの「アサーション・コンシューマ・サービスURL」の横にある「コピー」をクリックします。
- Oktaの「アサーション・コンシューマService URL」フィールドに、コピーしたテキストを入力します。
- OCIの「エクスポート」ページの「プロバイダID」の横にある「コピー」をクリックします。
- Oktaの「サービス・プロバイダ・エンティティID」フィールドに、コピーしたテキストを入力します。
- 「完了」をクリックします。
- 「Okta SAMLプロバイダ」ページで、「割当て」、「ユーザーに割当て」の順にクリックします。
- 各割当て先の名前の横にある「割当て」をクリックし、ユーザー名を指定して、「保存して戻る」をクリックします。
- 「完了」をクリックします。
- OCIで、「次へ」をクリックします。
- (オプション)「ログインのテスト」をクリックします。
- 「次」をクリックします。
- 「アクティブ化」をクリックします。
- 「終了」をクリックします。
- 「セキュリティ」で、IdPポリシーをクリックします。
- デフォルト・アイデンティティ・プロバイダ・ポリシーをクリックします。
- 「デフォルトIDPルール」行で、3つのドットをクリックし、「IdPルールの編集」をクリックします。
- 「アイデンティティ・プロバイダの割当て」で、「Okta-SAML-Setup」をクリックして選択します。
- 「変更の保存」をクリックします。
- IdPポリシー・ページに戻り、「サインオン・ポリシー」をクリックします。
- 「デフォルトのサインオン・ポリシー」をクリックします。
- 「デフォルト・サインオン・ルール」行で、3つのドットをクリックし、「サインオン・ルールの編集」、「続行」の順にクリックします。
- 「IDプロバイダの割当て」で、「Okta-SAML-Setup」をクリックして選択します。
- 「変更の保存」をクリックします。
- 「Okta-SAML-Setup」オプションを使用してOracle Cloudテナンシにサインインします。
- Oktaにサインインします。
- 検証画面で、「プッシュ通知の取得」を選択します。
SCIMのプロビジョニング
SCIMプロビジョニング・プロセスを使用して、クラウド内のユーザー・アイデンティティを管理するためのSSOを設定します。OCI Identity and Access Managementは、OktaとOCI Identity and Access Management間のユーザー・ライフサイクル管理をサポートします。
OCI SAML IdPの設定
Okta設定オプションを使用して、SAML IdP設定を更新します。
- OCIコンソールのIdP SAMLアイデンティティ・プロバイダで、以前に作成したSAML IdP (Oktaなど)を選択します。
- アクション・メニュー(3つのドット)をクリックし、「IdPの編集」をクリックします。
- 「発行者」をコピーして貼り付け、アイデンティティ・プロバイダの発行者URIを更新します。
- サインオンURLをコピーして貼り付け、アイデンティティ・プロバイダのログアウト・リクエストURL、アイデンティティ・プロバイダのログアウト・レスポンスURLおよびSSOサービスURLを更新します。
- 「署名証明書」で、以前にダウンロードした署名証明書をアップロードします。
- 「保存」をクリックします。
- アクション・メニュー(3つのドット)をクリックし、「アクティブ化」をクリックします。
これにより、SCIMプロビジョニングが構成されます。ここからは、Oktaを介したユーザー・プロビジョニングおよびフェデレーションが可能である必要があります。