SAMLおよびSCIMの構成について

アイデンティティ・プロバイダによって管理される既存のログインとパスワードを使用して、アイデンティティ・ドメインと外部アイデンティティ・プロバイダ間のフェデレーテッド・ログインを設定し、サインインしてOCIリソースにアクセスできます。

OktaでのSAMLの設定

OktaをIdPとして設定し、OCI Identity and Access Managementをサービス・プロバイダとして機能させ、Okta認証済ユーザー資格証明を使用してOCI Identity and Access Managementのサービスおよびアプリケーションへのユーザー・アクセスを可能にします。

  1. Oktaで、「管理」をクリックします。
  2. 左側のペインで、「Applications」「Applications」の順にクリックします。
  3. 「アプリケーション」で、「アプリケーション・カタログの参照」をクリックします。
  4. 検索フィールドにsamlと入力し、「SAMLサービス・プロバイダ」を選択します。
  5. 「Add Integration」をクリックします。
  6. 「アプリケーション・ラベル」フィールドに、Okta SAML Providerと入力します。
  7. 「次」をクリックします。
  8. 「デフォルトのリレー状態」フィールドに、https://oc2.cloud.oracle.com/?tenant=yourtenancyname&domain=yourdomainnameと入力します。
    1. OCIで、メイン・メニュー、「アイデンティティとセキュリティ」「アイデンティティ」「ドメイン」の順にクリックします。
    2. テナンシ名およびドメイン名に注意してください。
    3. 必要に応じて、yourtenancynameおよびyourdomainnameを置き換えます。

OCIでのSAMLの設定

Oktaで構成されたSAMLオプションを使用して、OCIでSAML IdP設定を構成します。

この設定では、OCIとOktaを頻繁に切り替えます。
  1. OCIコンソールで、メイン・メニュー、「アイデンティティとセキュリティ」「SAMLアイデンティティ・プロバイダの追加」の順にクリックし、「アイデンティティ・プロバイダ・メタデータの手動入力」を選択します。
  2. Oktaの「SAMLサービス・プロバイダの追加」ページの「メタデータ詳細」で、「詳細」をクリックし、「URLにサインオン」の横にある「コピー」をクリックします。
  3. OCIの「アイデンティティ・プロバイダ発行者のURI」フィールドに、コピーしたテキストを入力します。
  4. Oktaの「サインオン・メソッド」で、「設定手順の表示」をクリックし、「サービス・プロバイダにサインイン」で、「アイデンティティ・プロバイダ発行者URI」のテキストをコピーします。
  5. OCIの各「SSOサービスURL」フィールド、「アイデンティティ・プロバイダ・ログアウト・リクエストURL」フィールドおよび「アイデンティティ・プロバイダ・ログアウト・レスポンスURL」フィールドに、Oktaから保持したサインオンURLを入力します。
  6. 「ログアウト・バインド」で、「POST」を選択します。
  7. 「SAMLメッセージによる署名証明書の送信」を有効にします。
  8. 「次」をクリックします。
  9. 「リクエストされたNameID形式」ドロップダウンで、「電子メール・アドレス」を選択します。
  10. 「IdPの作成」をクリックします。
  11. 「エクスポート」ページの「アサーション・コンシューマ・サービスURL」の横にある「コピー」をクリックします。
  12. Oktaの「アサーション・コンシューマService URL」フィールドに、コピーしたテキストを入力します。
  13. OCIの「エクスポート」ページの「プロバイダID」の横にある「コピー」をクリックします。
  14. Oktaの「サービス・プロバイダ・エンティティID」フィールドに、コピーしたテキストを入力します。
  15. 「完了」をクリックします。
  16. 「Okta SAMLプロバイダ」ページで、「割当て」「ユーザーに割当て」の順にクリックします。
  17. 各割当て先の名前の横にある「割当て」をクリックし、ユーザー名を指定して、「保存して戻る」をクリックします。
  18. 「完了」をクリックします。
  19. OCIで、「次へ」をクリックします。
  20. (オプション)「ログインのテスト」をクリックします。
  21. 「次」をクリックします。
  22. 「アクティブ化」をクリックします。
  23. 「終了」をクリックします。
  24. 「セキュリティ」で、IdPポリシーをクリックします。
  25. デフォルト・アイデンティティ・プロバイダ・ポリシーをクリックします。
  26. 「デフォルトIDPルール」行で、3つのドットをクリックし、「IdPルールの編集」をクリックします。
  27. 「アイデンティティ・プロバイダの割当て」で、「Okta-SAML-Setup」をクリックして選択します。
  28. 「変更の保存」をクリックします。
  29. IdPポリシー・ページに戻り、「サインオン・ポリシー」をクリックします。
  30. 「デフォルトのサインオン・ポリシー」をクリックします。
  31. 「デフォルト・サインオン・ルール」行で、3つのドットをクリックし、「サインオン・ルールの編集」「続行」の順にクリックします。
  32. 「IDプロバイダの割当て」で、「Okta-SAML-Setup」をクリックして選択します。
  33. 「変更の保存」をクリックします。
  34. 「Okta-SAML-Setup」オプションを使用してOracle Cloudテナンシにサインインします。
  35. Oktaにサインインします。
  36. 検証画面で、「プッシュ通知の取得」を選択します。

SCIMのプロビジョニング

SCIMプロビジョニング・プロセスを使用して、クラウド内のユーザー・アイデンティティを管理するためのSSOを設定します。OCI Identity and Access Managementは、OktaとOCI Identity and Access Management間のユーザー・ライフサイクル管理をサポートします。

  1. Oktaで、「管理」をクリックします。
  2. 左側のペインで、「Applications」「Applications」の順にクリックします。
  3. 「アプリケーション統合の作成」をクリックします。
  4. 「SAML 2.0」を選択し、「次へ」をクリックします。
  5. 「アプリケーション名」フィールドにOCI OKTA SCIM Integrationと入力し、「次へ」をクリックします。
  6. OCIで、メニュー、「アイデンティティとセキュリティ」「ドメイン」の順にクリックします。
  7. 「ドメイン」ページで、「デフォルト」をクリックします。
  8. 左ペインで、「セキュリティ」「アイデンティティ・プロバイダ」の順にクリックします。
  9. 「Okta-SAML-Setup」行で、3つのドットをクリックし、「Edit IdP」をクリックします。
  10. 「エクスポートの詳細」「アサーションはサービスURLを消費します」行で、「コピー」をクリックします。
  11. Oktaの「シンル・サインオンURL」フィールドに、コピーしたテキストを入力します。
  12. OCIの「詳細のエクスポート」で、「プロバイダID」行の「コピー」をクリックします。
  13. Oktaの「オーディエンスURI (SPエンティティID)」フィールドに、コピーしたテキストを入力します。
  14. 「デフォルトRelayState」フィールドに、https://oc2.cloud.oracle.com/?tenant=yourtenancyname&domain=domainnameと入力します。
  15. 「次」をクリックします。
  16. 「Are you a customer or partner?」で、「I'm a software vendor...」を選択し、「Finish」をクリックします。
  17. ≪全般タブをクリックします。
  18. 「アプリケーション設定」の横にある「編集」をクリックします。
  19. 「プロビジョニング」の横にある「SCIM」を選択し、「保存」をクリックします。
  20. 「プロビジョニング」タブをクリックします。
  21. 「SCIM接続」の横にある「編集」をクリックします。
  22. ドメインURLの入力:
    1. OCIで、「ドメイン」に移動し、「デフォルト」をクリックします。
    2. 「ドメインURL」の横にある「表示」をクリックし、URLをコピーします。
    3. Oktaの「SCIMコネクタ・ベースURL」フィールドに、コピーしたURLを入力します。
    4. トレーニング:433/admin/v1に置き換えます。
  23. ユーザーの「一意の識別子」フィールドにユーザー名を入力します。
  24. サポートされているプロビジョニング・アクションの横で、次を選択します:
    • 新規ユーザーおよびプロファイル更新のインポート
    • 新規ユーザーのプッシュ
    • プッシュ・プロファイル更新
    • プッシュ・グループ
  25. 「認証モード」ドロップダウンで、「HTTPヘッダー」を選択します。
  26. 認可トークンを入力します。
    1. OCIで、「ドメイン」に移動し、「デフォルト」をクリックします。
    2. 統合アプリケーションアプリケーションの追加の順にクリックします。
    3. 「Confidential Application」を選択し、「Launch workflow」をクリックします。
    4. 「名前」フィールドに、Okta-SCIM-OCIと入力します。
    5. 「認証および認可」で、「権限付与を認可として強制」を有効にし、「次へ」をクリックします。
    6. 「Client configuration」で、「Configure this application as a client now」を選択します。
    7. 「認可」で、「クライアント資格証明」を有効にします。
    8. 下部近くで「アプリケーション・ロールの追加」を有効にし、「ロールの追加」をクリックします。
    9. 「ユーザー管理者」を有効にし、「追加」「次へ」「終了」の順にクリックします。
    10. 「アクティブ化」「アプリケーションのアクティブ化」の順にクリックします。
    11. 「一般情報」で、「Cliet ID」をコピーします。
    12. Base64エンコーダを開き、クライアントIDを入力し、末尾にコロンを追加します。
    13. 「一般情報」「クライアント・シークレット」で、「シークレットの表示」「コピー」の順にクリックします。
    14. Base64エンコーダで、クライアント・シークレットを末尾に追加します。
    15. エンコーダを実行し、エンコードされたテキストをコピーします。
    16. Oktaの「HTTPヘッダー」で、「認証」フィールドにエンコードされたテキストを入力します。
    17. (オプション)「コネクタ構成のテスト」をクリックします。
    18. 「保存」をクリックします。
  27. 「アプリケーションへのプロビジョニング」の横にある「編集」をクリックします。
  28. 有効化:
    • ユーザーの作成
    • ユーザー属性の更新
    • ユーザーの非アクティブ化
  29. 「保存」をクリックします。
  30. 「割当」タブをクリックし、「割当」ドロップダウンを展開して「個人に割当」をクリックし、割当を設定して「完了」をクリックします。
    新しいユーザーは、OCIのデフォルト・ドメインの「ユーザー」リストに表示されます。

OCI SAML IdPの設定

Okta設定オプションを使用して、SAML IdP設定を更新します。

  1. OCIコンソールのIdP SAMLアイデンティティ・プロバイダで、以前に作成したSAML IdP (Oktaなど)を選択します。
  2. アクション・メニュー(3つのドット)をクリックし、「IdPの編集」をクリックします。
  3. 「発行者」をコピーして貼り付け、アイデンティティ・プロバイダの発行者URIを更新します。
  4. サインオンURLをコピーして貼り付け、アイデンティティ・プロバイダのログアウト・リクエストURL、アイデンティティ・プロバイダのログアウト・レスポンスURLおよびSSOサービスURLを更新します。
  5. 「署名証明書」で、以前にダウンロードした署名証明書をアップロードします。
  6. 「保存」をクリックします。
  7. アクション・メニュー(3つのドット)をクリックし、「アクティブ化」をクリックします。
これにより、SCIMプロビジョニングが構成されます。ここからは、Oktaを介したユーザー・プロビジョニングおよびフェデレーションが可能である必要があります。

SCIMプッシュ・グループ・エラーの解決

発生した場合は、SCIMプッシュ・グループ・エラーを解決します。

この修正の一環として、以前のSCIM構成を非アクティブ化および削除する必要があります。

  1. Oktaで、「アプリケーション」「アプリケーション」「アプリケーション・カタログの参照」をクリックします。
  2. 「Oracle Identity Cloud Service」を検索して選択します。
  3. 「統合の追加」をクリックします。
  4. 「サブドメイン」フィールドに、任意の情報(idcs-a1b2c3d4など)を入力します。
  5. 「完了」をクリックします。
  6. 「プロビジョニング」タブをクリックし、「API統合の構成」をクリックします。
  7. 「Enable API integration」をクリックします。
  8. 「ベースURL」フィールドに、保存済ドメインURLを入力します:
    1. OCIで、「アイデンティティ」「ドメイン」に移動します。
    2. 「デフォルト」をクリックします。
    3. 「ドメインURL」フィールドを展開し、「コピー」をクリックします。
    4. Oktaで、「ベースURL」フィールドに貼り付けてから、/admin/v1を追加します
  9. 既存のアプリケーションを削除
    1. OCIで、「アイデンティティ」「ドメイン」「デフォルト・ドメイン」「統合アプリケーション」に移動します。
    2. アプリケーションのメニュー(3つのドット)をクリックし、「非アクティブ化」「アプリケーションの非アクティブ化」をクリックします。
    3. メニューを再度クリックし、「削除」「アプリケーションの削除」をクリックします。
  10. 新規アプリケーションの作成
    1. 「アプリケーションの追加」「機密アプリケーション」「ワークフローの起動」をクリックします。
    2. 「Name」フィールドに、Okta_IDCSと入力し、「Next」をクリックします。
    3. 「クライアント構成」をクリックします。
    4. クライアント資格証明を有効にします。
    5. 「Add app roles」を有効にします。
    6. ロールの追加」をクリックします。
    7. 「ユーザー管理者」を有効にし、「追加」をクリックします。
    8. 「次」「終了」の順にクリックします。
    9. アプリケーション・ページで、「アクティブ化」「アプリケーションのアクティブ化」をクリックします。
  11. トークンを生成します。
    1. アプリケーション・ページの「一般情報」で、「クライアントID」をコピーします。
    2. クライアントIDをbase64トークン・ジェネレータの入力フィールドに貼り付けます。
    3. アプリケーション・ページの「一般情報」で、「シークレットの表示」をクリックし、「コピー」をクリックします。
    4. シークレットをクライアントIDに追加し、APIトークンをエンコードしてコピーします。
    5. Oktaの「APIトークン」フィールドに、APIトークンを貼り付けます。
    6. 「API資格証明のテスト」をクリックし、(成功した場合は)「保存」をクリックします。
  12. プロビジョニングを完了します。
    1. Oktaで、「プロビジョニング」タブの「アプリケーションへのプロビジョニング」の横にある「編集」をクリックします。
    2. 「ユーザーの作成」「ユーザー属性の更新」および「ユーザーの非アクティブ化」を有効にし、「保存」をクリックします。
  13. テスト・グループを作成します。
    1. Oktaで、「プッシュ・グループ」タブをクリックします。
    2. 「グループのプッシュ」「名前によるグループの検索」をクリックします。
    3. 「名前別」フィールドにtest_groupと入力し、「保存」をクリックします。
  14. テスト・グループを割り当てます。
    1. Oktaで、「割当」タブをクリックします。
    2. 「割当て」「ユーザーに割当て」をクリックします。
    3. Test_user_SCIM_Provの横にある「割当て」をクリックします。
    4. 「完了」「保存して戻る」「完了」をクリックします。
    5. 「プッシュ・グループ」タブをクリックします。
    6. 「プッシュ・ステータス」で、ドロップダウンを「今すぐプッシュ」に設定します。
    7. OCIでは、リフレッシュおよびテスト・グループが表示されます。