小売商品用のOracle Access ManagerとAzure ADの統合

フェデレーテッドSSO for Retail handisingをサポートするようにOracle Access ManagerおよびAzure ADを構成するには、次のタスクを正常に完了する必要があります。

Azure ADをIDプロバイダとして構成し、Retail MerchandisingのためにユーザーをOracle Access Managerに割り当てます
Azure ADでOracle Access Managerをフェデレーション用に構成します。これには次の処理が必要です。
- Azure ADの新しいアイデンティティ・プロバイダを作成します。
- Retail Merchandisingリソースを認証スキームに関連付けます。

Azure ADをアイデンティティ・プロバイダとして構成

まず、Azure ADをアイデンティティ・プロバイダとして構成します。

Azure ADをidプロバイダとして構成する手順は、次のとおりです。

Azureポータルにドメイン管理者としてサインインします
ファームのナビゲーション・ペインで、「Azure Active Directory」をクリックします。
Azure Active Directoryペインで、「エンタープライズ・アプリケーション」をクリックします。
「新規アプリケーション」をクリックします。
「ギャラリから追加」セクションで、検索ボックスに「Retail - CA - DM」と入力し、「追加」をクリックします。
Oracle Access Managerを新しいアプリケーションのサービス・プロバイダとして構成するには、「シングル・サインオン」をクリックします。
シングル・サインオン方式として「SAML」を選択します。
「SAMLでのシングル・サインオンの設定」ページが表示されます。ここで、次の手順に従って統合の詳細を入力します。入力する必要がある値の一部は、Oracle Access ManagerのSAMLメタデータから取得されます。メタデータを取得するには、http(s)://<oam_hostname>:<port>/oamfed/sp/metadataに移動します。出力はXMLデータであり、次のステップで必要なデータもあります。「メタデータ・ファイルのアップロード」をクリックして、このメタデータをAzure ADにアップロードします。
「基本的なSAML構成」領域で、「識別子(エンティティID )」および「返信URL (アサーション・コンシューマService URL)」フィールドに値が必要です。SAMLメタデータXMLをアップロードした場合、値は自動的に入力されます。表示されていない場合は、手動で入力します。
- 識別子(エンティティID)は、SAMLメタデータ内のEntityDescriptor要素のentityID属性に対応しています。実行時に、Azure ADによってSAMLアサーションの「オーディエンス」要素に値が追加され、アサーションの想定される宛先であるオーディエンスが示されます。Oracle Access Managerメタデータで次の値を検索して、その値を入力します。
```
<md:EntityDescriptor ……… entityID="http://....../>
```
- 応答URL (アサーション・コンシューマService URL)は、SAMLメタデータのAssertionConsumerService要素の場所属性に対応しています。場所属性は、HTTP_POSTバインディングに相対的に選択してください。返信URLは、アサーションを処理することが想定されるフェデレーション・パートナのSAMLサービス・エンドポイントです。
注意:
「署名URL」、「リレー状態」および「ログアウトURL」プロパティはこのシナリオには関係ないため、スキップできます。
「ユーザー属性および請求」領域で、SAMLアサーションに挿入され、Oracle Access Managerに送信されるユーザー属性を構成します。このシナリオでは、いくつかの形式の一意のユーザーIdを送信します。userprincipalnameはAzure AD内で一意の属性であるため、名前識別子値のデフォルトのままにします。user.userprincipalname [nameid-format:emailAddress]このような構成の実装は、Oracle Access Managerのアイデンティティ・ストア(LDAPサーバー・ストア)のユーザー・エントリにuserprincipalname値をインポートする必要があることです。次の点に注意してください。

注意:
要求に返されたプロパティ・グループおよびCLAIM名の下のすべての要求がこのシナリオに関連していないため、スキップできます。
「SAML署名証明書」領域で、「フェデレーションMetadata XML」の横にある「ダウンロード」リンクをクリックし、コンピュータにファイルを保存します。これは、後でサービス・プロバイダとしてOracle Access Managerを構成するときに使用します。

小売商品のためのユーザーのOracle Access Managerへの割当

Oracle Access Manager for Retail Merchandisingから認証リクエストを受信した後で、Azure ADにログインできるのはユーザーのみです。

小売商品のためにユーザーをOracle Access Managerに割り当てる手順:

前のセクションで作成したAzure ADアプリケーションで、「ユーザーとグループ」、「ユーザーの追加」の順にクリックします。
ユーザーおよびグループ:「選択なし」オプションを選択し、次の手順を実行します。
1. 「メンバーの選択」または外部ユーザーの検索ボックスで、ユーザーの名前を入力し、[Enter]を押します。
2. ユーザーを選択し、「選択」をクリックしてユーザーを追加します。
3. 「割当て」をクリックします。
4. ユーザーまたはグループをさらに追加するには、これらの手順を繰り返します。
適切なセキュリティ・グループが存在しない場合は、作成します。ファームのナビゲーション・ペインで、「Azure Active Directory」をクリックし、「グループ」をクリックします。
「新規グループ」をクリックし、タイプとして「セキュリティ」を指定してから、ユーザーを選択または招待してグループに追加します。「作成」をクリックします。
グループをAzure ADエンタープライズ・アプリケーションに割り当てます。
SSO構成専用のこのエンタープライズ・アプリケーションがユーザーに表示されないようにするには、「プロパティ」をクリックし、「ユーザーに表示される値」を「いいえ」に変更して、「保存」をクリックします。

Azure ADの新規アイデンティティ・プロバイダの作成

次に、Azure ADでOracle Access Managerをフェデレーション用に構成する必要があります。このプロセスの最初の手順は、Azure ADに新しいアイデンティティ・プロバイダを作成することです。

Azure ADに新しいアイデンティティ・プロバイダを作成する手順:

管理者としてOracle Access Managerコンソールにサインインします。
Identity Federationが有効になっていることを確認します。表示されていない場合は、「サービスを使用可能.にする」をクリックします
コンソールの上部にある「フェデレーション」タブをクリックします。
「パッドの起動」タブの「フェデレーション」領域で、「サービス・プロバイダの管理」をクリックします。
Oracle Access Managerは、この場合はサービス・プロバイダとして機能します。
「サービス・プロバイダ管理」タブで、「アイデンティティ・プロバイダ・パートナの作成」をクリックします。
「一般」領域で、アイデンティティ・プロバイダ・パートナの名前を入力し、「パートナとデフォルトのアイデンティティ・プロバイダ・パートナの有効化」チェック・ボックスの両方を選択します。保存する前に次のステップに進みます。
「サービス情報」領域で、次の操作を実行します。
1. プロトコルとしてSAML2 .0を選択します。
2. 「プロバイダ・メタデータからロード」オプションを選択します。
3. 「参照」( Windowsの場合)または「ファイルの選択」( Macの場合)をクリックし、以前に保存したAzure AD SAMLメタデータ・ファイルを選択します。Oracle Access Managerは、プロバイダIDおよび証明書情報を移入します。
4. 保存する前に次のステップを完了してください。
「マッピング・オプション」領域で、次の手順を実行します。
1. 「ユーザー・アイデンティティ・ストア」オプションを選択します。このオプションは、Retail Merchandisingユーザーに対してチェックされているOracle Access Manager LDAPアイデンティティ・ストアとして使用されます。通常、これはOracle Access Managerアイデンティティ・ストアとしてすでに構成されています。
2. 「ユーザー検索ベースDN」フィールドは空白のままにします。検索ベースは、アイデンティティ・ストア構成から自動的に選択されます。
3. 「アサーションName IDからユーザーIDストアへのマップ」属性オプションを選択して、テキスト・ボックスにメールを入力します。
注意:
この構成は、Azure ADとOracle Access Managerの間のユーザー・マッピングを定義します。Oracle Access Managerは、受信SAMLアサーションのNameID要素の値を取得し、構成済アイデンティティ・ストア内のすべてのユーザー・エントリでメール属性に対するその値の参照を試行します。そのため、Azure ADのユーザー・プリンシパル名(前述のAzure AD構成内)をOracle Access Managerのアイデンティティ・ストア内のメール属性と同期させる必要があります。
「保存」をクリックしてアイデンティティ・プロバイダ・パートナを保存します。
パートナが保存されたら、タブの下部にある「詳細」領域に戻ります。オプションが次のように構成されていることを確認します。
- 「グローバル・ログアウトの有効化」が選択されています。
- HTTP POST SSOレスポンス・バインディングが選択されています。これは、Oracle Access Managerが、SAMLアサーションの返送方法をAzure ADに指示する認証リクエストで送信する命令です。
- 「HTTP Basic認証の有効化」( SSOアーティファクト・バインディング)が選択されていません。この設定により、Azure ADはHTTP POSTリクエストを介してアサーションを送信するように要求されます。このようなリクエストを受信した場合、アイデンティティ・プロバイダは通常、アサーションを非表示のフォーム要素として持つHTMLフォームを作成し、それをサービス・プロバイダのアサーション・コンシューマ・サービス(ACS)に自動的にポストします。
「一般」領域で、「認証スキームおよびモジュールの作成」をクリックします。
Azure ADで使用する認証スキームおよびモジュールは、パートナ名で作成されます。唯一の構成は、認証にAzure AD資格証明を必要とするRetail Merchandisingリソースに認証スキームをアタッチすることです。この場合、次の項で説明します。
次の手順により作成された認証モジュールを確認できます。
1. コンソール上部の「アプリケーション・セキュリティ」タブをクリックします。
2. 「プラグイン」で、「認証モジュール」を選択し、「検索」をクリックして、フェデレーション・モジュールを検索します。
3. モジュールを選択し、「ステップ」タブをクリックします。
4. FedSSOIdPプロパティの値はidプロバイダ・パートナです。

Retail Merchandisingリソースと認証スキームの関連付け

Oracle Access Manager for FederationをAzure ADに構成する最後の手順は、Retail Merchandisingリソースを認証スキームに関連付けることです。

Retail Merchandisingリソースを認証スキームに関連付けるには、次の手順を実行し、Oracle Access Managerコンソールに管理者としてログインします。

コンソールの上部にある「アプリケーション・セキュリティ」をクリックします。
Access Managerで、「アプリケーション・ドメイン」をクリックし、「検索」をクリックして、Retail Merchandising WebGateを登録するRetail Merchandisingのインストール中に作成されたアプリケーション・ドメインを選択します。
「認証ポリシー」タブをクリックします。
「保護されたリソース・ポリシー」をクリックします。
以前に作成した認証スキームを新しいフェデレーション認証スキームに変更することで、認証スキームの値を変更します。これは、Oracle Access Managerが保護されたリソースをアイデンティティ・プロバイダに関連付ける方法です。
「適用」をクリックして、変更を保存します。