Microsoft Azure Active Directoryのフェデレート

このトピックでは、Microsoft Azure Active Directory (AD)のフェデレート方法について説明します。

ノート

このトピックのステップを実行する前に、アイデンティティ・プロバイダによるフェデレートを参照し、一般的なフェデレーションの概念を理解しておいてください。

Azure ADのフェデレートについて

Azure ADとフェデレートするには、Azure ADの基本SAMLシングル・サインオン・アプリケーションとしてOracle Cloud Infrastructureを設定します。このアプリケーションを設定するには、Oracle Cloud Infrastructureコンソールの一部のステップとAzure ADの一部のステップを実行します。

次は、管理者がフェデレーションを設定するために行う一般的なプロセスです。各ステップの詳細は、次の項に示します。

  1. Oracle Cloud Infrastructureで、フェデレーション・メタデータ・ドキュメントをダウンロードします。
  2. Azure ADで、Oracle Cloud Infrastructureコンソールをエンタープライズ・アプリケーションとして設定します。
  3. Azure ADで、シングル・サインオン用のOracle Cloud Infrastructureエンタープライズ・アプリケーションを構成します。
  4. Azure ADで、ユーザー属性およびクレームを設定します。
  5. Azure ADで、Azure AD SAMLメタデータ・ドキュメントをダウンロードします。
  6. Azure ADで、ユーザー・グループをアプリケーションに割り当てます。
  7. Oracle Cloud Infrastructureで、Azure ADをアイデンティティ・プロバイダとして設定します。
  8. Oracle Cloud Infrastructureで、Azure ADグループをOracle Cloud Infrastructureグループにマップします。
  9. Oracle Cloud Infrastructureで、Azure ADグループのアクセスを制御するIAMポリシーを設定します。
  10. Oracle Cloud InfrastructureのサインインURLをユーザーと共有します。

Azure ADとフェデレートするステップ

前提条件

Azure ADでグループおよびユーザーが設定されているAzureテナンシがあります。

ステップ1: Oracle Cloud Infrastructureで、フェデレーション・メタデータ・ドキュメントをダウンロードする

サマリー: Oracle Cloud Infrastructureコンソールの「フェデレーション」ページには、Oracle Cloud Infrastructureのフェデレーション・メタデータ・ドキュメントへのリンクが表示されます。Azure ADでアプリケーションを設定する前に、ドキュメントをダウンロードする必要があります。

  1. 「フェデレーション」ページに移動します。ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「Identity」で、「Federation」をクリックします。

  2. 「フェデレーション」ページで、「このドキュメントのダウンロード」をクリックします。

    コンソールの「フェデレーション」ページのダウンロード・リンク

    リンクをクリックすると、ブラウザ・ウィンドウでmetadata.xmlドキュメントが開きます。ブラウザの「ページに名前を付けて保存」コマンドを使用して、後でアクセスできるxmlドキュメントをローカルに保存します。

ステップ2: Azure ADで、Oracle Cloud Infrastructureをエンタープライズ・アプリケーションとして追加する

  1. Azureポータルの左側のナビゲーション・パネルで、「Azure Active Directory」を選択します。

  2. 「Azure Active Directory」ペインで、「エンタープライズ アプリケーション」を選択します。Azure ADテナントのアプリケーションのサンプルが表示されます。

  3. 「すべてのアプリケーション」ペインの上部にある「新しいアプリケーション」をクリックします。
  4. 「ギャラリーから追加する」リージョンで、検索ボックスにOracle Cloud Infrastructure Consoleと入力します。
  5. 結果からOracle Cloud Infrastructureコンソール・アプリケーションを選択します。

  6. アプリケーション固有のフォームでは、アプリケーションに関する情報を編集できます。たとえば、アプリケーションの名前を編集できます。

  7. プロパティの編集が終了したら、「作成」をクリックします。

    開始ページが表示され、組織のアプリケーションを構成するためのオプションが示されます。

ステップ3: Azure ADで、Oracle Cloud Infrastructureをエンタープライズ・アプリケーションとして構成する

  1. 「管理」セクションで、「シングルサインオン」を選択します。

    Azure ADシングル・サインオン・オプション
  2. 「SAML」を選択してシングル・サインオンを構成します。「SAML によるシングル サインオンのセットアップ」ページが表示されます。

  3. ページの上部で、「メタデータ ファイルをアップロードする」をクリックします。

    Azure ADのメタデータのアップロード・リンク
  4. ステップ1でOracle Cloud Infrastructureからダウンロードしたフェデレーション・メタデータ・ファイル(metadata.xml)を特定し、ここでアップロードします。ファイルをアップロードすると、次の「基本的な SAML 構成」フィールドに自動的に移入されます。

    • 識別子(エンティティID)
    • 応答URL (アサーション・コンシューマ・サービスURL)
  5. 「基本的な SAML 構成」セクションで、「編集」をクリックします。「基本的な SAML 構成」ペインで、次の必須フィールドに入力します。

    • サインオンURL: URLを次の形式で入力します。

      https://cloud.oracle.com

      Azure ADの「基本的な SAML 構成」パネル

  6. 「保存」をクリックします。

ステップ4: ユーザー属性とクレームの構成

Oracle Cloud Infrastructureコンソールのエンタープライズ・アプリケーション・テンプレートは必須属性でシードされているため、追加の必要はありません。ただし、次のカスタマイズを行う必要があります。

  1. 「ユーザー属性とクレーム」セクションで、右上隅の「編集」をクリックします。「要求の管理」パネルが表示されます。
  2. 「名前識別子の値」フィールドの横の「編集」をクリックします。

    • 「必要な要求」で、「一意のユーザー識別子 (名前 ID)」を選択します。
    • 「電子メール アドレス」を選択し、「永続的」に変更します。
    • 「ソース」で、「属性」を選択します。
    • 「ソース属性」で、user.userprincipalnameを選択します。

      Azure ADの「ユーザー クレームの管理」パネル
    • 「保存」をクリックします。

  3. 「グループ要求を追加する」をクリックします。
  4. 「グループ要求」パネルで、次を構成します:

    • 「セキュリティ グループ」を選択します。
    • ソース属性: グループIDを選択します。
    • 詳細オプションで、「グループ要求の名前をカスタマイズする」を選択します。
    • 「名前」フィールドに、groupNameと入力します。

      指定されたとおりのスペルと大/小文字を使用してgroupNameを入力してください。

    • 「ネームスペース」フィールドに、https://auth.oraclecloud.com/saml/claimsと入力します。

      Azure ADの「グループ要求」パネル
    • 「保存」をクリックします。

ステップ5: SAMLメタデータ・ドキュメントのダウンロード

  1. 「SAML 署名証明書」セクションで、「フェデレーション メタデータ XML」の横にあるダウンロード・リンクをクリックします。

  2. このドキュメントをダウンロードし、保存場所をノートにとります。次のステップで、このドキュメントをコンソールにアップロードします。

ステップ6: ユーザー・グループをアプリケーションに割り当てる

Azure ADユーザーがOracle Cloud Infrastructureにサインインできるようにするには、新しいエンタープライズ・アプリケーションに適切なユーザー・グループを割り当てる必要があります。

  1. 左側のナビゲーション・ペインの「管理」で、「ユーザーとグループ」を選択します。
  2. 「ユーザーとグループ」」リストの上部にある「追加」をクリックして、「割り当ての追加」ペインを開きます。
  3. 「ユーザーとグループ」セレクタをクリックします。

  4. アプリケーションに割り当てるグループの名前を「名前または電子メール アドレスで検索」検索ボックスに入力します。

  5. 結果リストのグループにカーソルを置くと、チェック・ボックスが表示されます。チェック・ボックスを選択して、グループを「選択済み」リストに追加します。

  6. グループの選択を終了したら、「選択」をクリックして、アプリケーションに割り当てるユーザーおよびグループのリストに追加します。

  7. 「割り当て」をクリックして、選択したグループにアプリケーションを割り当てます。

ステップ7: Oracle Cloud InfrastructureでAzure ADをアイデンティティ・プロバイダとして追加する

サマリー: アイデンティティ・プロバイダをテナンシに追加します。グループ・マッピングを同時に設定することも、後で設定することもできます。

  1. コンソールに移動し、Oracle Cloud Infrastructureのユーザー名とパスワードを使用してサインインします。
  2. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「Identity」で、「Federation」をクリックします。
  3. 「アイデンティティ・プロバイダの追加」をクリックします。
  4. 次を入力します:

    1. 表示名:このフェデレーション・トラストの一意の名前。これは、コンソールへのサインイン時に使用するアイデンティティ・プロバイダを選択する際に、フェデレーテッド・ユーザーに対して表示される名前です。名前は、テナンシに追加するすべてのアイデンティティ・プロバイダで一意である必要があります。これは後で変更できません。
    2. 説明: わかりやすい説明。
    3. タイプ: 「SAML 2.0準拠のアイデンティティ・プロバイダ」を選択します。
    4. XML:Azure ADからダウンロードしたFederationMetadata.xmlファイルをアップロードします。
    5. 「拡張オプションの表示」をクリックします。
    6. アサーションの暗号化:チェックボックスを選択すると、IAMサービスはIdPからの暗号化を認識します。Azure ADでアサーションの暗号化を有効にしていない場合は、このチェック・ボックスを選択します。

      Azure ADでこのシングル・サインオン・アプリケーションのアサーションの暗号化を有効にするには、Azure ADでSAML署名証明書を設定して、SAMLレスポンスおよびアサーションに署名します。詳細は、Azure ADのマニュアルを参照してください。

    7. 強制認証:デフォルトで選択されています。選択すると、ユーザーは、別のセッションにすでにサインインしている場合でも、IdPに資格証明を提供(再認証)する必要があります。
    8. 認証コンテキストのクラス参照:このフィールドは、Government Cloudの顧客に必須です。1つ以上の値が指定されている場合、Oracle Cloud Infrastructure (リライイング・パーティ)は、ユーザーの認証時に、指定された認証メカニズムの1つを使用することをアイデンティティ・プロバイダに要求します。IdPから戻されたSAMLレスポンスには、その認証コンテキストのクラス参照とともに認証ステートメントが含まれている必要があります。SAMLレスポンス認証コンテキストがここで指定された内容と一致しない場合、Oracle Cloud Infrastructure認証サービスは400でSAMLレスポンスを否認します。 メニューには、一般的な認証コンテキストのクラス参照がいくつかリストされています。別のコンテキスト・クラスを使用する場合は、「カスタム」を選択してから、クラス参照を手動で入力します。
    9. リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかがわからない場合は、このオプションをスキップするか、管理者に連絡してください。タグは後で適用できます。
  5. 「続行」をクリックします。

    ノート

    グループ・マッピングを今設定しない場合は、単純に「作成」をクリックして、マッピングを後で追加しなおすことができます。

ステップ8: グループ・マッピングの追加

サマリー: Oracle Cloud InfrastructureのAzure ADグループとIAMグループ間のマッピングを設定します。特定のAzure ADグループを0、1または複数のIAMグループにマップすることも、その逆も可能です。ただし、個々のマッピングは、1つのAzure ADグループと1つのIAMグループの間のみに存在します。グループ・マッピングに対する変更は、通常はホーム・リージョンで数秒以内に有効になりますが、すべてのリージョンに伝播するまで数分かかることがあります。マップするために選択するAzure ADグループは、Azure ADのエンタープライズ・アプリケーションにも割り当てる必要があります。ステップ6: ユーザー・グループをアプリケーションに割り当てるを参照してください。

開始する前に: Azure ADグループのページを開いておきます。Azureダッシュボードの「管理」で、「グループ」を選択します。グループのリストから、Oracle Cloud Infrastructureグループにマップするグループを選択します。グループの詳細ページで、グループの「オブジェクトID」の横にある「コピー」アイコンをクリックします。

グループ・マッピングを作成するには:

  1. 「アイデンティティ・プロバイダ・グループ」に、Azure ADグループのオブジェクトIDを入力(または貼付け)します。大/小文字を区別してオブジェクトIDを正確に入力する必要があります。オブジェクトIDの例は、aa0e7d64-5b2c-623g-at32-65058526179cのようになります。

    OCIグループへのAzure ADグループのマッピング
  2. 「OCIグループ」の下のリストから、このグループをマップするIAMグループを選択します。

  3. 作成するマッピングごとに前述のステップを繰り返し、「作成」をクリックします。
ヒント

IAMグループ名の要件:空白なし。許可されている文字:英字、数字、ハイフン、ピリオド、アンダースコアおよびプラス記号(+)。名前は後で変更できません。

これで、アイデンティティ・プロバイダがテナンシに追加され、「フェデレーション」ページのリストに表示されます。アイデンティティ・プロバイダをクリックして、設定したばかりの詳細とグループ・マッピングを表示します。

Oracleはアイデンティティ・プロバイダを割り当て、各グループ・マッピングにOracle Cloud ID (OCID)と呼ばれる一意のIDを割り当てます。詳細は、リソース識別子を参照してください。

今後、グループ・マッピングを編集したり、テナンシからアイデンティティ・プロバイダを削除する場合は、「フェデレーション」ページに移動します。

ステップ9: グループに対するIAMポリシーの設定

まだIAMポリシーを設定していない場合は、組織のOracle Cloud Infrastructureリソースに対するフェデレーテッド・ユーザーのアクセスを制御するために設定します。詳細は、ポリシーの開始および共通ポリシーを参照してください。

ステップ10: フェデレーテッド・ユーザーに、テナント名およびサインインするURLを指定

フェデレーテッド・ユーザーには、Oracle Cloud Infrastructure ConsoleのURL (コンソールなど)とテナントの名前が必要です。コンソールにサインインすると、テナント名の入力を求めるプロンプトが表示されます。

コンソールでのアイデンティティ・プロバイダの管理

アイデンティティ・プロバイダを削除するには

アイデンティティ・プロバイダのすべてのグループ・マッピングも削除されます。

  1. テナンシからアイデンティティ・プロバイダを削除します。

    1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「Identity」で、「Federation」をクリックします。

      テナンシのアイデンティティ・プロバイダのリストが表示されます。

    2. アイデンティティ・プロバイダをクリックして詳細を表示します。
    3. 「削除」をクリックします。
    4. プロンプトが表示されたら確認します。
アイデンティティ・プロバイダのグループ・マッピングを追加するには
  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「Identity」で、「Federation」をクリックします。

    テナンシのアイデンティティ・プロバイダのリストが表示されます。

  2. アイデンティティ・プロバイダをクリックして詳細を表示します。
  3. 「マッピングの追加」をクリックします。

    1. アイデンティティ・プロバイダ・グループで、カスタム・グループを選択します。Azure ADグループのオブジェクトIDを入力(または貼付け)します。大/小文字を区別してオブジェクトIDを正確に入力する必要があります。オブジェクトIDの例は、aa0e7d64-5b2c-623g-at32-65058526179cのようになります。グループがOracle Cloud Infrastructureにサインインできるようにするには、Azure ADでエンタープライズ・アプリケーションにグループを割り当てる必要もあります。ステップ6: ユーザー・グループをアプリケーションに割り当てるを参照してください。
    2. 「OCIグループ」の下のリストから、このグループをマップするIAMグループを選択します。

    3. さらにマッピングを追加する場合は、「+Anotherマッピング」をクリックします。
    4. 終了したら、「マッピングの追加」をクリックします。

変更は、通常数秒以内に有効になります。

グループ・マッピングを更新するには

グループ・マッピングは更新できませんが、マッピングを削除してから新規のものを追加することはできます。

グループ・マッピングを削除するには
  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「Identity」で、「Federation」をクリックします。

    テナンシのアイデンティティ・プロバイダのリストが表示されます。

  2. アイデンティティ・プロバイダをクリックして詳細を表示します。
  3. 削除するマッピングを選択し、「削除」をクリックします。
  4. プロンプトが表示されたら確認します。

変更は、通常数秒以内に有効になります。

APIでのアイデンティティ・プロバイダの管理

APIの使用およびリクエストの署名の詳細は、REST APIのドキュメントおよびセキュリティ資格証明を参照してください。SDKの詳細は、SDKおよびCLIを参照してください。

次のAPI操作を使用します。

アイデンティティ・プロバイダ: グループ・マッピング: