SAMLおよびSCIMの構成について
アイデンティティ・プロバイダによって管理される既存のログインとパスワードを使用して、アイデンティティ・ドメインと外部アイデンティティ・プロバイダ間のフェデレーテッド・ログインを設定し、サインインしてOCIリソースにアクセスできます。
OktaでのSAMLの設定
OktaをIdPとして設定し、OCI Identity and Access Managementをサービス・プロバイダとして機能させ、Okta認証済ユーザー資格証明を使用してOCI Identity and Access Managementのサービスおよびアプリケーションへのユーザー・アクセスを可能にします。
- Oktaで、「管理」をクリックします。
- 左側のペインで、「Applications」、「Applications」の順にクリックします。
- 「アプリケーション」で、「アプリケーション・カタログの参照」をクリックします。
- 検索フィールドに
saml
と入力し、「SAMLサービス・プロバイダ」を選択します。 - 「Add Integration」をクリックします。
- 「アプリケーション・ラベル」フィールドに、
Okta SAML Provider
と入力します。 - 「次」をクリックします。
- 「デフォルトのリレー状態」フィールドに、
https://oc2.cloud.oracle.com/?tenant=yourtenancyname&domain=yourdomainname
と入力します。- OCIで、メイン・メニュー、「アイデンティティとセキュリティ」、「アイデンティティ」、「ドメイン」の順にクリックします。
- テナンシ名およびドメイン名に注意してください。
- 必要に応じて、
yourtenancyname
およびyourdomainname
を置き換えます。
OCIでのSAMLの設定
Oktaで構成されたSAMLオプションを使用して、OCIでSAML IdP設定を構成します。
この設定では、OCIとOktaを頻繁に切り替えます。
- OCIコンソールで、メイン・メニュー、「アイデンティティとセキュリティ」、「SAMLアイデンティティ・プロバイダの追加」の順にクリックし、「アイデンティティ・プロバイダ・メタデータの手動入力」を選択します。
- Oktaの「SAMLサービス・プロバイダの追加」ページの「メタデータ詳細」で、「詳細」をクリックし、「URLにサインオン」の横にある「コピー」をクリックします。
- OCIの「アイデンティティ・プロバイダ発行者のURI」フィールドに、コピーしたテキストを入力します。
- Oktaの「サインオン・メソッド」で、「設定手順の表示」をクリックし、「サービス・プロバイダにサインイン」で、「アイデンティティ・プロバイダ発行者URI」のテキストをコピーします。
- OCIの各「SSOサービスURL」フィールド、「アイデンティティ・プロバイダ・ログアウト・リクエストURL」フィールドおよび「アイデンティティ・プロバイダ・ログアウト・レスポンスURL」フィールドに、Oktaから保持したサインオンURLを入力します。
- 「ログアウト・バインド」で、「POST」を選択します。
- 「SAMLメッセージによる署名証明書の送信」を有効にします。
- 「次」をクリックします。
- 「リクエストされたNameID形式」ドロップダウンで、「電子メール・アドレス」を選択します。
- 「IdPの作成」をクリックします。
- 「エクスポート」ページの「アサーション・コンシューマ・サービスURL」の横にある「コピー」をクリックします。
- Oktaの「アサーション・コンシューマService URL」フィールドに、コピーしたテキストを入力します。
- OCIの「エクスポート」ページの「プロバイダID」の横にある「コピー」をクリックします。
- Oktaの「サービス・プロバイダ・エンティティID」フィールドに、コピーしたテキストを入力します。
- 「完了」をクリックします。
- 「Okta SAMLプロバイダ」ページで、「割当て」、「ユーザーに割当て」の順にクリックします。
- 各割当て先の名前の横にある「割当て」をクリックし、ユーザー名を指定して、「保存して戻る」をクリックします。
- 「完了」をクリックします。
- OCIで、「次へ」をクリックします。
- (オプション)「ログインのテスト」をクリックします。
- 「次」をクリックします。
- 「アクティブ化」をクリックします。
- 「終了」をクリックします。
- 「セキュリティ」で、IdPポリシーをクリックします。
- デフォルト・アイデンティティ・プロバイダ・ポリシーをクリックします。
- 「デフォルトIDPルール」行で、3つのドットをクリックし、「IdPルールの編集」をクリックします。
- 「アイデンティティ・プロバイダの割当て」で、「Okta-SAML-Setup」をクリックして選択します。
- 「変更の保存」をクリックします。
- IdPポリシー・ページに戻り、「サインオン・ポリシー」をクリックします。
- 「デフォルトのサインオン・ポリシー」をクリックします。
- 「デフォルト・サインオン・ルール」行で、3つのドットをクリックし、「サインオン・ルールの編集」、「続行」の順にクリックします。
- 「IDプロバイダの割当て」で、「Okta-SAML-Setup」をクリックして選択します。
- 「変更の保存」をクリックします。
- 「Okta-SAML-Setup」オプションを使用してOracle Cloudテナンシにサインインします。
- Oktaにサインインします。
- 検証画面で、「プッシュ通知の取得」を選択します。
SCIMのプロビジョニング
SCIMプロビジョニング・プロセスを使用して、クラウド内のユーザー・アイデンティティを管理するためのSSOを設定します。OCI Identity and Access Managementは、OktaとOCI Identity and Access Management間のユーザー・ライフサイクル管理をサポートします。
OCI SAML IdPの設定
Okta設定オプションを使用して、SAML IdP設定を更新します。
- OCIコンソールのIdP SAMLアイデンティティ・プロバイダで、以前に作成したSAML IdP (Oktaなど)を選択します。
- アクション・メニュー(3つのドット)をクリックし、「IdPの編集」をクリックします。
- 「発行者」をコピーして貼り付け、アイデンティティ・プロバイダの発行者URIを更新します。
- サインオンURLをコピーして貼り付け、アイデンティティ・プロバイダのログアウト・リクエストURL、アイデンティティ・プロバイダのログアウト・レスポンスURLおよびSSOサービスURLを更新します。
- 「署名証明書」で、以前にダウンロードした署名証明書をアップロードします。
- 「保存」をクリックします。
- アクション・メニュー(3つのドット)をクリックし、「アクティブ化」をクリックします。
これにより、SCIMプロビジョニングが構成されます。ここからは、Oktaを介したユーザー・プロビジョニングおよびフェデレーションが可能である必要があります。
SCIMプッシュ・グループ・エラーの解決
発生した場合は、SCIMプッシュ・グループ・エラーを解決します。
この修正の一環として、以前のSCIM構成を非アクティブ化および削除する必要があります。
- Oktaで、「アプリケーション」→「アプリケーション」→「アプリケーション・カタログの参照」をクリックします。
- 「Oracle Identity Cloud Service」を検索して選択します。
- 「統合の追加」をクリックします。
- 「サブドメイン」フィールドに、任意の情報(idcs-a1b2c3d4など)を入力します。
- 「完了」をクリックします。
- 「プロビジョニング」タブをクリックし、「API統合の構成」をクリックします。
- 「Enable API integration」をクリックします。
- 「ベースURL」フィールドに、保存済ドメインURLを入力します:
- OCIで、「アイデンティティ」→「ドメイン」に移動します。
- 「デフォルト」をクリックします。
- 「ドメインURL」フィールドを展開し、「コピー」をクリックします。
- Oktaで、「ベースURL」フィールドに貼り付けてから、/admin/v1を追加します
- 既存のアプリケーションを削除
- OCIで、「アイデンティティ」→「ドメイン」→「デフォルト・ドメイン」→「統合アプリケーション」に移動します。
- アプリケーションのメニュー(3つのドット)をクリックし、「非アクティブ化」→「アプリケーションの非アクティブ化」をクリックします。
- メニューを再度クリックし、「削除」→「アプリケーションの削除」をクリックします。
- 新規アプリケーションの作成
- 「アプリケーションの追加」→「機密アプリケーション」→「ワークフローの起動」をクリックします。
- 「Name」フィールドに、Okta_IDCSと入力し、「Next」をクリックします。
- 「クライアント構成」をクリックします。
- クライアント資格証明を有効にします。
- 「Add app roles」を有効にします。
- 「ロールの追加」をクリックします。
- 「ユーザー管理者」を有効にし、「追加」をクリックします。
- 「次」、「終了」の順にクリックします。
- アプリケーション・ページで、「アクティブ化」→「アプリケーションのアクティブ化」をクリックします。
- トークンを生成します。
- アプリケーション・ページの「一般情報」で、「クライアントID」をコピーします。
- クライアントIDをbase64トークン・ジェネレータの入力フィールドに貼り付けます。
- アプリケーション・ページの「一般情報」で、「シークレットの表示」をクリックし、「コピー」をクリックします。
- シークレットをクライアントIDに追加し、APIトークンをエンコードしてコピーします。
- Oktaの「APIトークン」フィールドに、APIトークンを貼り付けます。
- 「API資格証明のテスト」をクリックし、(成功した場合は)「保存」をクリックします。
- プロビジョニングを完了します。
- Oktaで、「プロビジョニング」タブの「アプリケーションへのプロビジョニング」の横にある「編集」をクリックします。
- 「ユーザーの作成」、「ユーザー属性の更新」および「ユーザーの非アクティブ化」を有効にし、「保存」をクリックします。
- テスト・グループを作成します。
- Oktaで、「プッシュ・グループ」タブをクリックします。
- 「グループのプッシュ」→「名前によるグループの検索」をクリックします。
- 「名前別」フィールドにtest_groupと入力し、「保存」をクリックします。
- テスト・グループを割り当てます。
- Oktaで、「割当」タブをクリックします。
- 「割当て」→「ユーザーに割当て」をクリックします。
- Test_user_SCIM_Provの横にある「割当て」をクリックします。
- 「完了」→「保存して戻る」→「完了」をクリックします。
- 「プッシュ・グループ」タブをクリックします。
- 「プッシュ・ステータス」で、ドロップダウンを「今すぐプッシュ」に設定します。
- OCIでは、リフレッシュおよびテスト・グループが表示されます。