Azure ADとIdentity Cloud Serviceの間のフェデレーション信頼の設定

フェデレーション信頼を設定するには、Azure ADテナントにOracle Identity Cloud Serviceをギャラリ・アプリケーションとして追加する必要があります。アプリケーションがテナントに追加されたら、Oracle Identity Cloud Serviceでidプロバイダ(IDP)としてAzure ADを追加してから、Azure ADでシングル・サインオンを構成します。

始める前に

Azure ADとOracle Identity Cloud Service間でフェデレーション信頼を設定する前に、次の項目を準備します。

コントリビュータまたは以上の特権アカウントを持つAzureサブスクリプションが必要です。また、Azureプラットフォームでは、実践的な経験が必要です。このソリューションでは、Vmおよびアプリケーションを作成および実行するためのAzure IaaSおよびセキュリティのベスト・プラクティスには対応していません。
Azure ADサブスクリプションを取得し、Azure ADポータルでアプリケーション管理者またはグローバル管理者のロールを持つユーザーを作成します。
Azureでセキュリティ・グループを作成する方法と、セキュリティ・グループにユーザーを追加する方法を理解しておく必要があります。
Azure ADとE-Business Suiteアプリケーションの間のユーザー同期は、SSOを機能させるための前提条件です。Oracle Identity Cloud Serviceの機能を使用して、Azure ADとOracle Identity Cloud Service間でユーザーの同期を保つこともできます。3つのシステムすべてに、少なくとも1つの属性が一致する必要があります。たとえば、Azure ADのユーザー・プリンシパル名(UPNまたはその他の一意の属性)は、ユーザー名またはOracle Identity Cloud Serviceのその他の属性と一致する必要があり、その属性はE-Business Suiteアプリケーションのユーザー名とも一致している必要があります。

Azure ADでギャラリ・アプリケーションとしてOracle Identity Cloud Serviceを追加

Azure ADにギャラリ・アプリケーションとして追加するには、Oracle Identity Cloud Serviceテナントの管理者資格証明が必要です。

メタデータ・ファイルは、後で手順で必要になります。そのため、Oracle Identity Cloud Serviceのテナント固有のメタデータURLに移動して、メタデータをダウンロードします。URLは、https://<your_tenancy>.identity.oraclecloud.com/fed/v1/metadataのようになります。

Azureポータルで、左側のナビゲーション・ペインの「Azure Active Directory」を選択します。
Azure Active Directoryでエンタープライズ・アプリケーションを選択します。
「新規アプリケーション」を選択します。
ギャラリから「追加」に移動し、検索ボックスに「Oracle Identity Cloud Service for E-Business Suite」と入力します。検索結果から一致するアプリケーションを選択し、アプリケーションを追加します。
シングル・サインオンを構成するアプリケーションを選択し、「管理」で左ペインのシングル・サインオンにナビゲートします。
「SAML」をシングル・サインオン・メソッドとして選択します。
「SAML -プレビューを使用したシングル・サインオンの設定」ページで、基本的な「SAML構成」セクションに移動し、「メタデータ・ファイルのアップロード」をクリックします。
前にダウンロードしたOracle Identity Cloud Serviceメタデータ・ファイルを選択し、「追加」をクリックします。
「サインオンURL」プロパティ・ボックスに、Oracle Identity Cloud Service myconsole URLを入力します。
SAML構成を確認してください。Oracle Identity Cloud Service ログアウトurlがない場合は追加します。「ユーザー属性および請求」セクションでデフォルト値を保持します。
「SAML署名証明書」セクションで、「フェデレーションMetadata XML」の横にある「ダウンロード」をクリックして、Azure ADフェデレーション・メタデータ・ファイルをダウンロードします。
このアプリケーションは、Azure ADとOracle Identity Cloud Serviceの間にSAML 2.0フェデレーション・リンクを提供しますが、E-Business Suiteアプリケーション・ユーザーには、E-Business Suiteアプリケーションのみがマイ・アプリケーション・ポータルに表示されます。
アプリケーションをマイ・アプリケーション・ポータルで非表示にする場合、「ユーザーに表示」プロパティを「いいえ」に設定します。

Oracle Identity Cloud Serviceでのアイデンティティ・プロバイダとしてAzure ADの追加

アイデンティティ・プロバイダを追加する際には、ギャラリ・アプリケーションの追加中にダウンロードしたアイデンティティ・プロバイダのメタデータ・コンテンツをインポートします。メタデータXMLファイルまたはURLがすぐに使用可能であることを確認します。

Oracle Identity Cloud Service管理コンソールにログインします。
「セキュリティ」に移動して、「アイデンティティ・プロバイダ」を選択し、アイデンティティ・プロバイダを追加します。
アイデンティティ・プロバイダの追加ウィザードで、名前を入力して「次へ」をクリックします。
アプリケーションをギャラリに追加中にダウンロードした、Azure AD Federation Metadata XMLファイルをインポートします。
ウィザードの「構成」ペインで、「リクエストされたNameIDフォーマット」のデフォルト値を使用します。アイデンティティ・プロバイダ・ユーザー属性の値はName IDである必要があります。
「Oracle Identity Cloud Service ユーザー属性」の値を「プライマリ電子メール・アドレス」に設定するか、またはユーザーのプリンシパル名をAzure ADに保持するIdentity Cloud Serviceの他の属性に設定します。
IDPポリシーを設定し、Azure ADを認証に使用するために以前作成したWebgate - applicationを追加します。
1. ナビゲーション・ペインで、「セキュリティ」、「IDPポリシー」の順にクリックして追加します。
2. ウィザードで、ポリシーの名前を入力し、「次へ」をクリックします。
3. 「割当て」をクリックし、リストから「Azure AD IDP」を選択してウィザードを終了します。このIDPを使用するアプリケーションは複数割り当てられます。

Azure ADでのシングル・サインオン構成の完了

Oracle Cloud InfrastructureとAzure AD間の接続を確立するためのシングル・サインオン構成を完了します。

Azureポータルにサインインします。
セキュリティ・グループを作成し、名前を指定します。例: oracleUser - User.
Azure Active Directoryに移動し、「ユーザー」を選択してユーザーを作成することで、テスト・ユーザーを作成します。
セキュリティ・グループにユーザーを追加します。
グループをOracle Identity Cloud Service SSOアプリケーションに割り当てます。たとえば、Oracle:ユーザー・グループには、Oracle Identity Cloud Service.を介してE-Business Suiteアプリケーションにアクセスできるすべてのユーザーが含まれています
Oracle Identity Cloud Service管理コンソールを開きます。
Oracle Identity Cloud Serviceでユーザーを手動で作成するか、Azure ADユーザーをOracle Identity Cloud Serviceで同期化できます。Azure ADのユーザー・プリンシパル名がOracle Identity Cloud Serviceのユーザーのプライマリ電子メール・アドレス(または他の属性)と一致するように、ユーザーを作成または同期化する必要があります。たとえば、joe.smith@example.comがAzure ADのユーザーのプリンシパル名およびOracle Identity Cloud Serviceのプライマリeメール・アドレスとなります。
Azure ADで、idcs - soエンタープライズ・アプリケーションに移動し、テスト・アカウントを使用してシングル・サインオンをテストします。