Microsoft Azure Active Directoryのフェデレート

サマリー: Oracle Cloud Infrastructureコンソールの「フェデレーション」ページには、Oracle Cloud Infrastructureのフェデレーション・メタデータ・ドキュメントへのリンクが表示されます。Azure ADでアプリケーションを設定する前に、ドキュメントをダウンロードする必要があります。

1. 「フェデレーション」ページに移動します。ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「Identity」で、「Federation」をクリックします。

2. 「フェデレーション」ページで、「このドキュメントのダウンロード」をクリックします。

   

   リンクをクリックすると、ブラウザ・ウィンドウでmetadata.xmlドキュメントが開きます。ブラウザの「ページに名前を付けて保存」コマンドを使用して、後でアクセスできるxmlドキュメントをローカルに保存します。

1. Azureポータルの左側のナビゲーション・パネルで、「Azure Active Directory」を選択します。

2. 「Azure Active Directory」ペインで、「エンタープライズ アプリケーション」を選択します。Azure ADテナントのアプリケーションのサンプルが表示されます。

3. 「すべてのアプリケーション」ペインの上部にある「新しいアプリケーション」をクリックします。
4. 「ギャラリーから追加する」リージョンで、検索ボックスにOracle Cloud Infrastructure Consoleと入力します。

5. 結果からOracle Cloud Infrastructureコンソール・アプリケーションを選択します。

6. アプリケーション固有のフォームでは、アプリケーションに関する情報を編集できます。たとえば、アプリケーションの名前を編集できます。

7. プロパティの編集が終了したら、「作成」をクリックします。

   開始ページが表示され、組織のアプリケーションを構成するためのオプションが示されます。

1. 「管理」セクションで、「シングルサインオン」を選択します。

   

2. 「SAML」を選択してシングル・サインオンを構成します。「SAML によるシングル サインオンのセットアップ」ページが表示されます。

3. ページの上部で、「メタデータ ファイルをアップロードする」をクリックします。

   

4. ステップ1でOracle Cloud Infrastructureからダウンロードしたフェデレーション・メタデータ・ファイル(metadata.xml)を特定し、ここでアップロードします。ファイルをアップロードすると、次の「基本的な SAML 構成」フィールドに自動的に移入されます。

   • 識別子(エンティティID)
   • 応答URL (アサーション・コンシューマ・サービスURL)

5. 「基本的な SAML 構成」セクションで、「編集」をクリックします。「基本的な SAML 構成」ペインで、次の必須フィールドに入力します。

   • サインオンURL: URLを次の形式で入力します。

     https://cloud.oracle.com

     

6. 「保存」をクリックします。

Oracle Cloud Infrastructureコンソールのエンタープライズ・アプリケーション・テンプレートは必須属性でシードされているため、追加の必要はありません。ただし、次のカスタマイズを行う必要があります。

1. 「ユーザー属性とクレーム」セクションで、右上隅の「編集」をクリックします。「要求の管理」パネルが表示されます。

2. 「名前識別子の値」フィールドの横の「編集」をクリックします。

   • 「必要な要求」で、「一意のユーザー識別子 (名前 ID)」を選択します。
   • 「電子メール アドレス」を選択し、「永続的」に変更します。
   • 「ソース」で、「属性」を選択します。

   • 「ソース属性」で、user.userprincipalnameを選択します。

     

   • 「保存」をクリックします。

3. 「グループ要求を追加する」をクリックします。

4. 「グループ要求」パネルで、次を構成します:

   • 「セキュリティ グループ」を選択します。
   • ソース属性: グループIDを選択します。
   • 詳細オプションで、「グループ要求の名前をカスタマイズする」を選択します。

   • 「名前」フィールドに、groupNameと入力します。

     指定されたとおりのスペルと大/小文字を使用してgroupNameを入力してください。

   • 「ネームスペース」フィールドに、https://auth.oraclecloud.com/saml/claimsと入力します。

     
   • 「保存」をクリックします。

1. 「SAML 署名証明書」セクションで、「フェデレーション メタデータ XML」の横にあるダウンロード・リンクをクリックします。

2. このドキュメントをダウンロードし、保存場所をノートにとります。次のステップで、このドキュメントをコンソールにアップロードします。

Azure ADユーザーがOracle Cloud Infrastructureにサインインできるようにするには、新しいエンタープライズ・アプリケーションに適切なユーザー・グループを割り当てる必要があります。

1. 左側のナビゲーション・ペインの「管理」で、「ユーザーとグループ」を選択します。
2. 「ユーザーとグループ」」リストの上部にある「追加」をクリックして、「割り当ての追加」ペインを開きます。

3. 「ユーザーとグループ」セレクタをクリックします。

4. アプリケーションに割り当てるグループの名前を「名前または電子メール アドレスで検索」検索ボックスに入力します。

5. 結果リストのグループにカーソルを置くと、チェック・ボックスが表示されます。チェック・ボックスを選択して、グループを「選択済み」リストに追加します。

6. グループの選択を終了したら、「選択」をクリックして、アプリケーションに割り当てるユーザーおよびグループのリストに追加します。

7. 「割り当て」をクリックして、選択したグループにアプリケーションを割り当てます。

サマリー: アイデンティティ・プロバイダをテナンシに追加します。グループ・マッピングを同時に設定することも、後で設定することもできます。

1. コンソールに移動し、Oracle Cloud Infrastructureのユーザー名とパスワードを使用してサインインします。
2. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「Identity」で、「Federation」をクリックします。
3. 「アイデンティティ・プロバイダの追加」をクリックします。

4. 次を入力します:

   1. 表示名:このフェデレーション・トラストの一意の名前。これは、コンソールへのサインイン時に使用するアイデンティティ・プロバイダを選択する際に、フェデレーテッド・ユーザーに対して表示される名前です。名前は、テナンシに追加するすべてのアイデンティティ・プロバイダで一意である必要があります。これは後で変更できません。
   2. 説明: わかりやすい説明。
   3. タイプ: 「SAML 2.0準拠のアイデンティティ・プロバイダ」を選択します。
   4. XML:Azure ADからダウンロードしたFederationMetadata.xmlファイルをアップロードします。
   5. 「拡張オプションの表示」をクリックします。

   6. アサーションの暗号化:チェックボックスを選択すると、IAMサービスはIdPからの暗号化を認識します。Azure ADでアサーションの暗号化を有効にしていない場合は、このチェック・ボックスを選択します。

      Azure ADでこのシングル・サインオン・アプリケーションのアサーションの暗号化を有効にするには、Azure ADでSAML署名証明書を設定して、SAMLレスポンスおよびアサーションに署名します。詳細は、Azure ADのマニュアルを参照してください。

   7. 強制認証:デフォルトで選択されています。選択すると、ユーザーは、別のセッションにすでにサインインしている場合でも、IdPに資格証明を提供(再認証)する必要があります。
   8. 認証コンテキストのクラス参照:このフィールドは、Government Cloudの顧客に必須です。1つ以上の値が指定されている場合、Oracle Cloud Infrastructure (リライイング・パーティ)は、ユーザーの認証時に、指定された認証メカニズムの1つを使用することをアイデンティティ・プロバイダに要求します。IdPから戻されたSAMLレスポンスには、その認証コンテキストのクラス参照とともに認証ステートメントが含まれている必要があります。SAMLレスポンス認証コンテキストがここで指定された内容と一致しない場合、Oracle Cloud Infrastructure認証サービスは400でSAMLレスポンスを否認します。 メニューには、一般的な認証コンテキストのクラス参照がいくつかリストされています。別のコンテキスト・クラスを使用する場合は、「カスタム」を選択してから、クラス参照を手動で入力します。
   9. リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかがわからない場合は、このオプションをスキップするか、管理者に連絡してください。タグは後で適用できます。

5. 「続行」をクリックします。

   ノート
   
   

   グループ・マッピングを今設定しない場合は、単純に「作成」をクリックして、マッピングを後で追加しなおすことができます。

サマリー: Oracle Cloud InfrastructureのAzure ADグループとIAMグループ間のマッピングを設定します。特定のAzure ADグループを0、1または複数のIAMグループにマップすることも、その逆も可能です。ただし、個々のマッピングは、1つのAzure ADグループと1つのIAMグループの間のみに存在します。グループ・マッピングに対する変更は、通常はホーム・リージョンで数秒以内に有効になりますが、すべてのリージョンに伝播するまで数分かかることがあります。マップするために選択するAzure ADグループは、Azure ADのエンタープライズ・アプリケーションにも割り当てる必要があります。ステップ6: ユーザー・グループをアプリケーションに割り当てるを参照してください。

開始する前に: Azure ADグループのページを開いておきます。Azureダッシュボードの「管理」で、「グループ」を選択します。グループのリストから、Oracle Cloud Infrastructureグループにマップするグループを選択します。グループの詳細ページで、グループの「オブジェクトID」の横にある「コピー」アイコンをクリックします。

グループ・マッピングを作成するには:

1. 「アイデンティティ・プロバイダ・グループ」に、Azure ADグループのオブジェクトIDを入力(または貼付け)します。大/小文字を区別してオブジェクトIDを正確に入力する必要があります。オブジェクトIDの例は、aa0e7d64-5b2c-623g-at32-65058526179cのようになります。

   

2. 「OCIグループ」の下のリストから、このグループをマップするIAMグループを選択します。

3. 作成するマッピングごとに前述のステップを繰り返し、「作成」をクリックします。

これで、アイデンティティ・プロバイダがテナンシに追加され、「フェデレーション」ページのリストに表示されます。アイデンティティ・プロバイダをクリックして、設定したばかりの詳細とグループ・マッピングを表示します。

Oracleはアイデンティティ・プロバイダを割り当て、各グループ・マッピングにOracle Cloud ID (OCID)と呼ばれる一意のIDを割り当てます。詳細は、リソース識別子を参照してください。

今後、グループ・マッピングを編集したり、テナンシからアイデンティティ・プロバイダを削除する場合は、「フェデレーション」ページに移動します。

まだIAMポリシーを設定していない場合は、組織のOracle Cloud Infrastructureリソースに対するフェデレーテッド・ユーザーのアクセスを制御するために設定します。詳細は、ポリシーの開始および共通ポリシーを参照してください。

フェデレーテッド・ユーザーには、Oracle Cloud Infrastructure ConsoleのURL (コンソールなど)とテナントの名前が必要です。コンソールにサインインすると、テナント名の入力を求めるプロンプトが表示されます。