1. フェデレーションとプロビジョニングにOCI Government Okta構成を使用
  2. SAMLおよびSCIMの構成について

SAMLおよびSCIMの構成について

アイデンティティ・プロバイダによって管理される既存のログインとパスワードを使用して、アイデンティティ・ドメインと外部アイデンティティ・プロバイダ間のフェデレーテッド・ログインを設定し、サインインしてOCIリソースにアクセスできます。

OktaでのSAMLの設定

OktaをIdPとして設定し、OCI Identity and Access Managementをサービス・プロバイダとして機能させ、Okta認証済ユーザー資格証明を使用してOCI Identity and Access Managementのサービスおよびアプリケーションへのユーザー・アクセスを可能にします。

  1. Oktaで、「管理」をクリックします。
  2. 左側のペインで、「Applications」「Applications」の順にクリックします。
  3. 「アプリケーション」で、「アプリケーション・カタログの参照」をクリックします。
  4. 検索フィールドにsamlと入力し、「SAMLサービス・プロバイダ」を選択します。
  5. 「Add Integration」をクリックします。
  6. 「アプリケーション・ラベル」フィールドに、Okta SAML Providerと入力します。
  7. 「次」をクリックします。
  8. 「デフォルトのリレー状態」フィールドに、https://oc2.cloud.oracle.com/?tenant=yourtenancyname&domain=yourdomainnameと入力します。
    1. OCIで、メイン・メニュー、「アイデンティティとセキュリティ」「アイデンティティ」「ドメイン」の順にクリックします。
    2. テナンシ名およびドメイン名に注意してください。
    3. 必要に応じて、yourtenancynameおよびyourdomainnameを置き換えます。

OCIでのSAMLの設定

Oktaで構成されたSAMLオプションを使用して、OCIでSAML IdP設定を構成します。

この設定では、OCIとOktaを頻繁に切り替えます。
  1. OCIコンソールで、メイン・メニュー、「アイデンティティとセキュリティ」「SAMLアイデンティティ・プロバイダの追加」の順にクリックし、「アイデンティティ・プロバイダ・メタデータの手動入力」を選択します。
  2. Oktaの「SAMLサービス・プロバイダの追加」ページの「メタデータ詳細」で、「詳細」をクリックし、「URLにサインオン」の横にある「コピー」をクリックします。
  3. OCIの「アイデンティティ・プロバイダ発行者のURI」フィールドに、コピーしたテキストを入力します。
  4. Oktaの「サインオン・メソッド」で、「設定手順の表示」をクリックし、「サービス・プロバイダにサインイン」で、「アイデンティティ・プロバイダ発行者URI」のテキストをコピーします。
  5. OCIの各「SSOサービスURL」フィールド、「アイデンティティ・プロバイダ・ログアウト・リクエストURL」フィールドおよび「アイデンティティ・プロバイダ・ログアウト・レスポンスURL」フィールドに、Oktaから保持したサインオンURLを入力します。
  6. 「ログアウト・バインド」で、「POST」を選択します。
  7. 「SAMLメッセージによる署名証明書の送信」を有効にします。
  8. 「次」をクリックします。
  9. 「リクエストされたNameID形式」ドロップダウンで、「電子メール・アドレス」を選択します。
  10. 「IdPの作成」をクリックします。
  11. 「エクスポート」ページの「アサーション・コンシューマ・サービスURL」の横にある「コピー」をクリックします。
  12. Oktaの「アサーション・コンシューマService URL」フィールドに、コピーしたテキストを入力します。
  13. OCIの「エクスポート」ページの「プロバイダID」の横にある「コピー」をクリックします。
  14. Oktaの「サービス・プロバイダ・エンティティID」フィールドに、コピーしたテキストを入力します。
  15. 「完了」をクリックします。
  16. 「Okta SAMLプロバイダ」ページで、「割当て」「ユーザーに割当て」の順にクリックします。
  17. 各割当て先の名前の横にある「割当て」をクリックし、ユーザー名を指定して、「保存して戻る」をクリックします。
  18. 「完了」をクリックします。
  19. OCIで、「次へ」をクリックします。
  20. (オプション)「ログインのテスト」をクリックします。
  21. 「次」をクリックします。
  22. 「アクティブ化」をクリックします。
  23. 「終了」をクリックします。
  24. 「セキュリティ」で、IdPポリシーをクリックします。
  25. デフォルト・アイデンティティ・プロバイダ・ポリシーをクリックします。
  26. 「デフォルトIDPルール」行で、3つのドットをクリックし、「IdPルールの編集」をクリックします。
  27. 「アイデンティティ・プロバイダの割当て」で、「Okta-SAML-Setup」をクリックして選択します。
  28. 「変更の保存」をクリックします。
  29. IdPポリシー・ページに戻り、「サインオン・ポリシー」をクリックします。
  30. 「デフォルトのサインオン・ポリシー」をクリックします。
  31. 「デフォルト・サインオン・ルール」行で、3つのドットをクリックし、「サインオン・ルールの編集」「続行」の順にクリックします。
  32. 「IDプロバイダの割当て」で、「Okta-SAML-Setup」をクリックして選択します。
  33. 「変更の保存」をクリックします。
  34. 「Okta-SAML-Setup」オプションを使用してOracle Cloudテナンシにサインインします。
  35. Oktaにサインインします。
  36. 検証画面で、「プッシュ通知の取得」を選択します。

SCIMのプロビジョニング

SCIMプロビジョニング・プロセスを使用して、クラウド内のユーザー・アイデンティティを管理するためのSSOを設定します。OCI Identity and Access Managementは、OktaとOCI Identity and Access Management間のユーザー・ライフサイクル管理をサポートします。

  1. Oktaで、「管理」をクリックします。
  2. 左側のペインで、「Applications」「Applications」の順にクリックします。
  3. 「アプリケーション統合の作成」をクリックします。
  4. 「SAML 2.0」を選択し、「次へ」をクリックします。
  5. 「アプリケーション名」フィールドにOCI OKTA SCIM Integrationと入力し、「次へ」をクリックします。
  6. OCIで、メニュー、「アイデンティティとセキュリティ」「ドメイン」の順にクリックします。
  7. 「ドメイン」ページで、「デフォルト」をクリックします。
  8. 左ペインで、「セキュリティ」「アイデンティティ・プロバイダ」の順にクリックします。
  9. 「Okta-SAML-Setup」行で、3つのドットをクリックし、「Edit IdP」をクリックします。
  10. 「エクスポートの詳細」「アサーションはサービスURLを消費します」行で、「コピー」をクリックします。
  11. Oktaの「シンル・サインオンURL」フィールドに、コピーしたテキストを入力します。
  12. OCIの「詳細のエクスポート」で、「プロバイダID」行の「コピー」をクリックします。
  13. Oktaの「オーディエンスURI (SPエンティティID)」フィールドに、コピーしたテキストを入力します。
  14. 「デフォルトRelayState」フィールドに、https://oc2.cloud.oracle.com/?tenant=yourtenancyname&domain=domainnameと入力します。
  15. 「次」をクリックします。
  16. 「Are you a customer or partner?」で、「I'm a software vendor...」を選択し、「Finish」をクリックします。
  17. ≪全般タブをクリックします。
  18. 「アプリケーション設定」の横にある「編集」をクリックします。
  19. 「プロビジョニング」の横にある「SCIM」を選択し、「保存」をクリックします。
  20. 「プロビジョニング」タブをクリックします。
  21. 「SCIM接続」の横にある「編集」をクリックします。
  22. ドメインURLの入力:
    1. OCIで、「ドメイン」に移動し、「デフォルト」をクリックします。
    2. 「ドメインURL」の横にある「表示」をクリックし、URLをコピーします。
    3. Oktaの「SCIMコネクタ・ベースURL」フィールドに、コピーしたURLを入力します。
    4. トレーニング:433/admin/v1に置き換えます。
  23. ユーザーの「一意の識別子」フィールドにユーザー名を入力します。
  24. サポートされているプロビジョニング・アクションの横で、次を選択します:
    • 新規ユーザーおよびプロファイル更新のインポート
    • 新規ユーザーのプッシュ
    • プッシュ・プロファイル更新
    • プッシュ・グループ
  25. 「認証モード」ドロップダウンで、「HTTPヘッダー」を選択します。
  26. 認可トークンを入力します。
    1. OCIで、「ドメイン」に移動し、「デフォルト」をクリックします。
    2. 統合アプリケーションアプリケーションの追加の順にクリックします。
    3. 「Confidential Application」を選択し、「Launch workflow」をクリックします。
    4. 「名前」フィールドに、Okta-SCIM-OCIと入力します。
    5. 「認証および認可」で、「権限付与を認可として強制」を有効にし、「次へ」をクリックします。
    6. 「Client configuration」で、「Configure this application as a client now」を選択します。
    7. 「認可」で、「クライアント資格証明」を有効にします。
    8. 下部近くで「アプリケーション・ロールの追加」を有効にし、「ロールの追加」をクリックします。
    9. 「ユーザー管理者」を有効にし、「追加」「次へ」「終了」の順にクリックします。
    10. 「アクティブ化」「アプリケーションのアクティブ化」の順にクリックします。
    11. 「一般情報」で、「Cliet ID」をコピーします。
    12. Base64エンコーダを開き、クライアントIDを入力し、末尾にコロンを追加します。
    13. 「一般情報」「クライアント・シークレット」で、「シークレットの表示」「コピー」の順にクリックします。
    14. Base64エンコーダで、クライアント・シークレットを末尾に追加します。
    15. エンコーダを実行し、エンコードされたテキストをコピーします。
    16. Oktaの「HTTPヘッダー」で、「認証」フィールドにエンコードされたテキストを入力します。
    17. (オプション)「コネクタ構成のテスト」をクリックします。
    18. 「保存」をクリックします。
  27. 「アプリケーションへのプロビジョニング」の横にある「編集」をクリックします。
  28. 有効化:
    • ユーザーの作成
    • ユーザー属性の更新
    • ユーザーの非アクティブ化
  29. 「保存」をクリックします。
  30. 「割当」タブをクリックし、「割当」ドロップダウンを展開して「個人に割当」をクリックし、割当を設定して「完了」をクリックします。
    新しいユーザーは、OCIのデフォルト・ドメインの「ユーザー」リストに表示されます。

OCI SAML IdPの設定

Okta設定オプションを使用して、SAML IdP設定を更新します。

  1. OCIコンソールのIdP SAMLアイデンティティ・プロバイダで、以前に作成したSAML IdP (Oktaなど)を選択します。
  2. アクション・メニュー(3つのドット)をクリックし、「IdPの編集」をクリックします。
  3. 「発行者」をコピーして貼り付け、アイデンティティ・プロバイダの発行者URIを更新します。
  4. サインオンURLをコピーして貼り付け、アイデンティティ・プロバイダのログアウト・リクエストURL、アイデンティティ・プロバイダのログアウト・レスポンスURLおよびSSOサービスURLを更新します。
  5. 「署名証明書」で、以前にダウンロードした署名証明書をアップロードします。
  6. 「保存」をクリックします。
  7. アクション・メニュー(3つのドット)をクリックし、「アクティブ化」をクリックします。
これにより、SCIMプロビジョニングが構成されます。ここからは、Oktaを介したユーザー・プロビジョニングおよびフェデレーションが可能である必要があります。