Microsoft Active Directoryのフェデレート

ステップ1: Active Directory Federation Servicesから必要な情報を取得する

サマリー: SAMLメタデータ・ドキュメントと、Oracle Cloud Infrastructure Identity and Access ManagementグループにマップするActive Directoryグループの名前を取得します。

1. AD FSフェデレーション・サーバーのSAMLメタデータ・ドキュメントを検索します。デフォルトでは、このURLにあります:

   https://<yourservername>/FederationMetadata/2007-06/FederationMetadata.xml

   このドキュメントをダウンロードし、保存場所をノートにとります。次のステップで、このドキュメントをコンソールにアップロードします。

2. Oracle Cloud Infrastructure IAMグループにマップするすべてのActive Directoryグループをノートにとります。次のステップで、コンソールにこれらを入力する必要があります。

ステップ2: Oracle Cloud InfrastructureでActive Directoryをアイデンティティ・プロバイダとして追加する

サマリー: アイデンティティ・プロバイダをテナンシに追加します。グループ・マッピングを同時に設定することも、後で設定することもできます。

1. コンソールに移動し、Oracle Cloud Infrastructureのログインとパスワードを使用してサインインします。
2. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「Identity」で、「Federation」をクリックします。
3. 「アイデンティティ・プロバイダの追加」をクリックします。

4. 次を入力します:

   1. 表示名:このフェデレーション・トラストの一意の名前。これは、コンソールへのサインイン時に使用するアイデンティティ・プロバイダを選択する際に、フェデレーテッド・ユーザーに対して表示される名前です。名前は、テナンシに追加するすべてのアイデンティティ・プロバイダで一意である必要があります。これは後で変更できません。
   2. 説明: わかりやすい説明。
   3. タイプ:Microsoft Active Directory Federation Service (ADFS)またはSAML 2.0準拠のアイデンティティ・プロバイダを選択します。
   4. XML:Azure ADからダウンロードしたFederationMetadata.xmlファイルをアップロードします。
   5. 「拡張オプションの表示」をクリックします。

   6. アサーションの暗号化:チェックボックスを選択すると、IAMサービスはIdPからの暗号化を認識します。Azure ADでアサーションの暗号化を有効にしていない場合は、このチェック・ボックスを選択します。

      Azure ADでこのシングル・サインオン・アプリケーションのアサーションの暗号化を有効にするには、Azure ADでSAML署名証明書を設定して、SAMLレスポンスおよびアサーションに署名します。詳細は、Azure ADのマニュアルを参照してください。

   7. 強制認証:デフォルトで選択されています。選択すると、ユーザーは、別のセッションにすでにサインインしている場合でも、IdPに資格証明を提供(再認証)する必要があります。
   8. 認証コンテキストのクラス参照:このフィールドは、Government Cloudの顧客に必須です。1つ以上の値が指定されている場合、Oracle Cloud Infrastructure (リライイング・パーティ)は、ユーザーの認証時に、指定された認証メカニズムの1つを使用することをアイデンティティ・プロバイダに要求します。IdPから戻されたSAMLレスポンスには、その認証コンテキストのクラス参照とともに認証ステートメントが含まれている必要があります。SAMLレスポンス認証コンテキストがここで指定された内容と一致しない場合、Oracle Cloud Infrastructure認証サービスは400でSAMLレスポンスを否認します。 メニューには、一般的な認証コンテキストのクラス参照がいくつかリストされています。別のコンテキスト・クラスを使用する場合は、「カスタム」を選択してから、クラス参照を手動で入力します。
   9. リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかがわからない場合は、このオプションをスキップするか、管理者に連絡してください。タグは後で適用できます。
5. 「続行」をクリックします。

6. Oracle Cloud Infrastructureで、Active DirectoryグループとIAMグループ間のマッピングを設定します。特定のActive Directoryグループを0、1または複数のIAMグループにマップすることも、その逆も可能です。ただし、個々のマッピングは、1つのActive Directoryグループと1つのIAMグループの間のみに存在します。グループ・マッピングに対する変更は、通常はホーム・リージョンで数秒以内に有効になりますが、すべてのリージョンに伝播するまで数分かかることがあります。

   ノート
   
   

   グループ・マッピングを今設定しない場合は、単純に「作成」をクリックして、マッピングを後で追加しなおすことができます。

   グループ・マッピングを作成するには:

   1. 「アイデンティティ・プロバイダ・グループ」で、Active Directoryグループ名を入力します。名前は、大文字と小文字の区別も含めて正確に入力する必要があります。

      「OCIグループ」の下のリストから、このグループをマップするIAMグループを選択します。

      ヒント
      
      IAMグループ名の要件:空白なし。許可されている文字:英字、数字、ハイフン、ピリオド、アンダースコアおよびプラス記号(+)。名前は後で変更できません。
   2. 作成するマッピングごとに前述のサブステップを繰り返し、「作成」をクリックします。

これで、アイデンティティ・プロバイダがテナンシに追加され、「フェデレーション」ページのリストに表示されます。アイデンティティ・プロバイダをクリックして、設定したばかりの詳細とグループ・マッピングを表示します。

Oracleはアイデンティティ・プロバイダを割り当て、各グループ・マッピングにOracle Cloud ID (OCID)と呼ばれる一意のIDを割り当てます。詳細は、リソース識別子を参照してください。

今後、グループ・マッピングを編集したり、テナンシからアイデンティティ・プロバイダを削除する場合は、「フェデレーション」ページに移動します。

ステップ3: Oracle Cloud Infrastructureフェデレーション・メタデータ・ドキュメントのURLのコピー

サマリー: 「フェデレーション」ページには、Oracle Cloud Infrastructureフェデレーション・メタデータ・ドキュメントへのリンクが表示されます。Active Directory Federation Servicesの構成に進む前に、URLをコピーする必要があります。

1. 「フェデレーション」ページで、「このドキュメントのダウンロード」をクリックします。

2. URLをコピーします。URLは次のようになります。

   https://auth.r2.oracleiaas.com/v1/saml/ocid1.tenancy.oc1..aaaaaaaaqdt2tvdmhsa3jmvc5dzulgs3pcv6imfwfgdya4aq/metadata.xml

ステップ4: Active Directory Federation Servicesで、信頼できるリライイング・パーティとしてOracle Cloud Infrastructureを追加

1. AD FS管理コンソールに移動し、フェデレートするアカウントにサインインします。

2. 信頼できるリライイング・パーティとしてOracle Cloud Infrastructureを追加します。

   1. AD FS管理コンソールで、AD FSを右クリックして「証明書利用者信頼の追加」を選択します。

   2. 証明書利用者信頼の追加ウィザードで、「開始」をクリックします。

   3. 「オンラインまたはローカル ネットワークで公開されている証明書利用者についてのデータをインポートする」を選択します。

      ステップ3でコピーしたOracle Cloud Infrastructureフェデレーション・メタデータのURLを貼り付けます。「次」をクリックします。

      AD FSがURLに接続されます。フェデレーション・メタデータの読取り中にエラーが発生した場合は、かわりにOracle Cloud Infrastructureフェデレーション・メタデータXMLドキュメントをアップロードできます。

      フェデレーション・メタデータ・ドキュメントをアップロードするには

      1. Webブラウザのアドレス・バーにOracle Cloud Infrastructureフェデレーション・メタデータURLを貼り付けます。
      2. AD FS管理コンソールでアクセス可能な場所にXML文書を保存します。
      3. 証明書利用者信頼の追加ウィザードの「データ ソースの選択」ステップで、「証明書利用者についてのデータをファイルからインポートする」を選択します。
      4. 「参照」をクリックし、保存したmetadata.xmlファイルを選択します。
      5. 「次」をクリックします。

   4. リライイング・パーティの表示名(例: Oracle Cloud Infrastructure)を設定して、「次」をクリックします。

   5. 「現時点ではこの証明書利用者信頼に多要素認証を構成しない」を選択します。

   6. 該当する発行承認規則を選択して、リライイング・パーティへのすべてのユーザーのアクセスを許可または拒否します。「拒否」を選択した場合は、後で承認規則を追加して、適切なユーザーがアクセスできるようにする必要があります。

      「次」をクリックします。

   7. 設定を確認し、「次へ」をクリックします。
   8. 「ウィザードの終了時にこの証明書利用者信頼の［要求規則の編集］ダイアログを開く」を選択し、「閉じる」をクリックします。

ステップ5: Oracle Cloud Infrastructureリライイング・パーティの要求規則の追加

サマリー: Oracle Cloud Infrastructureで必要な要素(名前IDおよびグループ)がSAML認証レスポンスに追加されるように要求規則を追加します。

名前ID規則を追加します。

1. 変換要求規則の追加ウィザードで、「入力方向の要求を変換」を選択し、「次へ」をクリックします。

2. 次を入力します:

   • 要求ルール名: このルールの名前(例: nameid)を入力します。
   • 入力方向の要求タイプ:Windowsアカウント名を選択します。
   • 出力方向の要求タイプ:名前IDを選択します。
   • 出力方向の名前ID形式:永続的識別子を選択します。
   • 「すべての要求値をパス スルーする」を選択します。
   • 「完了」をクリックします。
3. 規則が規則リストに表示されます。「規則の追加」をクリックします。

グループ規則を追加します。

ステップ6: グループに対するIAMポリシーの設定

まだIAMポリシーを設定していない場合は、組織のOracle Cloud Infrastructureリソースに対するフェデレーテッド・ユーザーのアクセスを制御するために設定します。詳細は、ポリシーの開始および共通ポリシーを参照してください。

ステップ7: フェデレーテッド・ユーザーにテナント名およびサインインするURLを指定

フェデレーテッド・ユーザーに、Oracle Cloud InfrastructureコンソールのURL (https://cloud.oracle.com)とテナントの名前を提供します。コンソールにサインインすると、テナント名の入力を求めるプロンプトが表示されます。