SAMLアイデンティティ・プロバイダの管理

コンソールを使用して、SAML 2.0アイデンティティ・プロバイダ(IdP)をアイデンティティ・ドメインに追加すると、IdPの認証済ユーザーがOracle Cloud Infrastructureにアクセスしてリソースおよびクラウド・アプリケーションにアクセスできます。

共通の用語

アイデンティティ・プロバイダ(IdP): IdPは、ユーザーに識別資格証明および認証を提供するサービスです。
サービス・プロバイダ(SP): IdPをコールしてユーザーを認証するサービス(アプリケーション、Webサイトなど)。

次のステップを使用して、SAML 2.0 IdPを作成します。

SAML JITプロビジョニングの構成

SAML JITプロビジョニングは、コンソールまたは/admin/v1/IdentityProviders REST APIエンドポイントを使用して構成できます。SAML JITプロビジョニングを構成するには、次のリファレンスを参照してください:

SAMLアイデンティティ・プロバイダの追加

アイデンティティ・プロバイダのSAML詳細の入力。

「ドメイン」リスト・ページで、変更するドメインを選択します。ドメインのリスト・ページの検索に関するヘルプが必要な場合は、アイデンティティ・ドメインのリストを参照してください。
詳細ページで、表示されるオプションに応じて、次のいずれかを実行します。
- 「フェデレーション」を選択します。
- 「セキュリティ」を選択し、「アイデンティティ・プロバイダ」を選択します。ドメイン内のアイデンティティ・プロバイダのリストが表示されます。
表示されるオプションに応じて、次のいずれかを実行します。
- アイデンティティ・プロバイダの「アクション」メニューを使用して、「SAMLの追加」IdPを選択するか、
- IdPの追加を選択し、「SAMLの追加」IdPを選択します。
次の情報を入力します:
- 名前: IdPの名前を入力します。
- (オプション)説明: IdPの説明を入力します。
- (オプション)「アイデンティティ・プロバイダ」アイコン: サポートされているイメージをドラッグ・アンド・ドロップするか、「1つを選択」を選択してイメージを参照します。
「次」を選択します。
メタデータの交換画面で、「SAMLメタデータのエクスポート」ボタンを選択して、SAMLメタデータをアイデンティティ・プロバイダに送信します。次のいずれかを行います。
- IdPメタデータのインポート: IdPからエクスポートされたXMLファイルがある場合は、このオプションを選択します。XMLファイルをドラッグ・アンド・ドロップしてメタデータをアップロードするか、「選択」を選択してメタデータ・ファイルを参照します。
- IdPメタデータの入力: IdPメタデータを手動で入力する場合は、このオプションを選択します。次の詳細を入力します。
  - アイデンティティ・プロバイダの発行者URI
  - SSOサービスURI
  - SSOサービス・バインド
  - アイデンティティ・プロバイダ署名証明書のアップロード
  - グローバル・ログアウトの有効化
- IdP URLのインポート: IdPメタデータのURLを入力します。
次を選択する場合は、「詳細オプションの表示」を選択します:
- 署名ハッシュ・アルゴリズム: SHA-256またはSHA-1を選択します
- 暗号化アサーションが必要: アイデンティティ・ドメイン認可がIdPからの暗号化アサーションを想定していることを示します。
- 強制認証: セッションがまだ有効であっても、ユーザーがIdPで認証されるようにするには、このオプションを選択します。
- リクエストされた認証コンテキスト: 認証コンテンツ・クラス参照を選択します。
- Holder-of-Keyサブジェクトの確認が必要です: Holder-of-Key (HOK)でサポートされている有効なメタデータ・ファイルをアップロードした後で使用できます。
- SAMLメッセージ付き署名証明書の送信: アイデンティティ・ドメインによって送信されたSAMLメッセージを含むアイデンティティ・ドメインの署名証明書を含める場合に選択します。一部のSAMLプロバイダでは、SAMLパートナ構成を検索するために署名証明書が必要です。
「次」を選択します。
「SAMLアイデンティティ・プロバイダの追加」画面で、次を実行します:
1. 「リクエストされたName ID形式」を選択します。
IdPから受信したユーザーのアイデンティティ属性をOracle Cloud Infrastructureアイデンティティ・ドメインにマップします。
マッピング・オプションは、アイデンティティ・プロバイダによって異なります。IdP値をOracle Cloud Infrastructureアイデンティティ・ドメイン値に直接割り当てることができます。たとえば、NameIDは UserNameにマップできます。ソースとしてSAMLアサーション属性を選択した場合は、アサーション属性名を選択してから、Oracle Cloud Infrastructureアイデンティティ・ドメインを入力します。
「送信」を選択します。
「確認および作成」画面で、SAMLアイデンティティ・プロバイダの設定を確認します。設定が正しい場合は、「作成」を選択します。設定を変更する必要がある場合は、一連の横にある「編集」を選択します。
SAMLアイデンティティ・プロバイダの作成時にコンソールにメッセージが表示されます。「Overview」ページから、次を実行できます:
- 「テスト」を選択して、SAML SSO接続が正しく機能していることを確認します。
- 「アクティブ化」を選択してIdPをアクティブ化し、アイデンティティ・ドメインが使用できるようにします。
- 「IdPポリシー・ルールへの割当て」を選択して、作成した既存のポリシー・ルールにこのSAMLアイデンティティ・プロバイダを割り当てます。
「閉じる」を選択します。

SAMLアイデンティティ・プロバイダのメタデータのインポート

アイデンティティ・プロバイダのSAMLメタデータをインポートします。

「ドメイン」リスト・ページで、変更するドメインを選択します。ドメインのリスト・ページの検索に関するヘルプが必要な場合は、アイデンティティ・ドメインのリストを参照してください。
詳細ページで、表示されるオプションに応じて、次のいずれかを実行します。
- 「フェデレーション」を選択します。
- 「セキュリティ」を選択し、「アイデンティティ・プロバイダ」を選択します。ドメイン内のアイデンティティ・プロバイダのリストが表示されます。
表示されるオプションに応じて、次のいずれかを実行します。
- アイデンティティ・プロバイダの「アクション」メニューを使用して、「SAMLの追加」IdPを選択するか、
- 「IdPの追加」を選択し、「SAMLの追加」IdPを選択します。

IdPの詳細を入力します:


フィールド	説明
名前	IdPの名前を入力します。
説明	IdPの説明情報を入力します。
アイコン	IdPを表すアイコンを参照して選択するか、ドラッグ・アンド・ドロップします。アイコンのサイズは95 x 95ピクセルで、背景は透明にする必要があります。サポートされるファイル形式は、.png、.fig、.jpg、.jpegです。

「次」を選択します。構成の詳細を入力します:


フィールド	説明
アイデンティティ・プロバイダ・メタデータのインポート	IdPのメタデータをインポートするには、このオプションを選択します。
アイデンティティ・プロバイダ・メタデータ	インポートするIdPのメタデータを含むXMLファイルを選択します。ノート: アイデンティティ・ドメインでは、特定の発行者ID (プロバイダIDまたはエンティティIDとも呼ばれる)を持つIdPを1つのみ定義できます。エンティティID属性はIdPメタデータの一部であるため、指定したメタデータ・ファイルで作成できるIdPは1つのみです。さらに、IdPは新しいメタデータで更新できますが、その発行者IDは変更できません。
SAMLメッセージによる署名証明書の送信	IdPに送信されるSAMLメッセージとともにアイデンティティ・ドメインの署名証明書を含めるには、このチェック・ボックスを選択します。署名証明書は、IdPのメッセージの署名を検証するために使用します。これは通常は必要ありませんが、IdPによっては署名検証プロセスの一環として必要になります。
署名ハッシュ・アルゴリズム	IdPに送信されるメッセージに署名するために使用するセキュア・ハッシュ・アルゴリズムを選択します。 SHA-256がデフォルトです。 IDPでSHA-256がサポートされていない場合は、SHA-1を選択します。

「次」を選択します。IdPとアイデンティティ・ドメイン・ユーザー属性間のマッピングを構成します:


フィールド	説明
アイデンティティ・プロバイダ・ユーザー属性	ユーザーを一意に識別するために使用できる、IdPから受け取ったユーザー属性値を選択します。アサーションの名前IDを指定できます。または、「アサーション属性」テキスト・ボックスに入力することで、アサーションの別のSAML属性を指定できます。
アイデンティティ・ドメイン・ユーザー属性	IdPから受け取った属性をマップするアイデンティティ・ドメインの属性を選択します。ユーザー名または別の属性(ユーザーの表示名、プライマリまたはリカバリ電子メール・アドレス、外部IDなど)を指定できます。外部IDは、IdPから受け取った属性を、プロバイダに関連付けられた特別なIDにマップする場合に使用します。
リクエストされたNameID形式	SAML認証リクエストがIdPに送信される場合、リクエストで名前ID形式を指定できます。 IdPがリクエストでこれを必要としない場合は、「<リクエストなし>」を選択します。

「IdPの作成」を選択します。アイデンティティ・ドメインのSAMLメタデータをエクスポートします:


タスク	説明
サービス・プロバイダ・メタデータ	アイデンティティ・ドメインのメタデータをエクスポートするには、「ダウンロード」を選択します。次に、このメタデータをIdPにインポートします。IdPでSAMLメタデータXMLドキュメントのインポートがサポートされていない場合は、次の情報を使用してIdPを手動で構成します。アイデンティティ・ドメイン・メタデータのインポート先のフェデレーション・パートナが、このボタンでエクスポートされたメタデータを使用するかわりにCRL検証を実行する場合(たとえば、AD FSはCRL検証を実行します)、`https://[instancename.idcs.internal.oracle.com:port]/fed/v1/metadata?adfsmode=true`からメタデータをダウンロードします「デフォルト設定」の「署名証明書へのアクセス」でスイッチをオンにして、クライアントがアイデンティティ・ドメインにログインせずにメタデータにアクセスできるようにします。
自己署名証明書を含むサービス・プロバイダ・メタデータ	アイデンティティ・ドメインのメタデータと自己署名証明書をエクスポートするには、「ダウンロード」を選択します。次に、このメタデータをIdPにインポートします。IdPでSAMLメタデータXMLドキュメントのインポートがサポートされていない場合は、次の情報を使用してIdPを手動で構成します。アイデンティティ・ドメイン・メタデータのインポート先のフェデレーション・パートナが、このボタンでエクスポートされたメタデータを使用するかわりにCRL検証を実行する場合(たとえば、AD FSはCRL検証を実行します)、`https://[instancename.idcs.internal.oracle.com:port]/fed/v1/metadata?adfsmode=true`からメタデータをダウンロードします「デフォルト設定」の「署名証明書へのアクセス」でスイッチをオンにして、クライアントがアイデンティティ・ドメインにログインせずにメタデータにアクセスできるようにします。
プロバイダID	アイデンティティ・ドメインを一意に識別するUniform Resource Identifier (URI)。プロバイダIDは、発行者IDまたはエンティティIDとも呼ばれます。
アサーション・コンシューマ・サービスURL	IdPからアサーションを受信して処理するアイデンティティ・ドメイン・サービス・エンドポイントのUniform Resource Locator (URL)。
ログアウト・サービス・エンドポイントURL	IdPからログアウト・リクエストを受信して処理するアイデンティティ・ドメイン・サービス・エンドポイントのURL。
ログアウト・サービス戻りURL	IdPからログアウト・レスポンスを受信して処理するアイデンティティ・ドメイン・サービス・エンドポイントのURL。
サービス・プロバイダ署名証明書	アイデンティティ・ドメインの署名証明書をエクスポートするには、「ダウンロード」を選択します。署名証明書が含まれるファイルを選択します。この証明書は、アイデンティティ・ドメインによってIdPに送信されるSAMLリクエストおよびレスポンスの署名を検証するために、IdPで使用されます。
サービス・プロバイダ暗号化証明書	アイデンティティ・ドメインの暗号化証明書をエクスポートするには、「ダウンロード」を選択します。暗号化証明書が含まれるファイルを選択します。この証明書は、アイデンティティ・ドメインに送信するSAMLアサーションを暗号化するために、IdPで使用されます。これは、暗号化されたアサーションをIdPがサポートしている場合にのみ必要です。

発行元のアイデンティティ・ドメイン・ルート証明書を取得するには、ルートCA証明書の取得を参照してください。

「次」を選択します。
「Test IdP」ページで、「Test login」を選択してIdPの構成設定をテストします。(構成設定をテストするには、IdPを構成したアイデンティティ・ドメインにログインする必要があります。)
「次」を選択します。
「IdPのアクティブ化」ページで、「アクティブ化」を選択してIdPをアクティブ化します。
「終了」を選択します。

SAMLメタデータのエクスポート

IAMのアイデンティティ・ドメインのSAMLメタデータのエクスポート。

「ドメイン」リスト・ページで、変更するドメインを選択します。ドメインのリスト・ページの検索に関するヘルプが必要な場合は、アイデンティティ・ドメインのリストを参照してください。
詳細ページで、表示されるオプションに応じて、次のいずれかを実行します。
- 「フェデレーション」を選択します。
- 「セキュリティ」を選択し、「アイデンティティ・プライダ」を選択します。ドメイン内のアイデンティティ・プロバイダのリストが表示されます。
アイデンティティ・プロバイダを開きます。
「SAMLメタデータのエクスポート」を選択します。
次のいずれかを選択します:
- メタデータ・ファイル: SAML XMLメタデータ・ファイルのダウンロードを選択するか、自己署名証明書を含むSAML XMLメタデータをダウンロードします。
- 手動エクスポート: メタデータを手動でエクスポートすると、エンティティIDやログアウト・レスポンスURLなど、複数のSAMLオプションから選択できます。エクスポート・ファイルをコピーした後、サービス・プロバイダ署名証明書またはサービス・プロバイダ暗号化証明書をダウンロードできます。
- メタデータURL: IdPがSAMLメタデータの直接ダウンロードをサポートしている場合。「署名証明書へのアクセス」を選択すると、クライアントはIdPにログインしなくても署名証明書にアクセスできます。

IdPメタデータの構成

IdPメタデータの詳細を手動で入力するか、メタデータ・ファイルをインポートします。

次のいずれかを選択します:
- IdPメタデータのインポート: IdPからエクスポートされたXMLファイルがある場合は、このオプションを選択します。XMLファイルをドラッグ・アンド・ドロップしてメタデータをアップロードするか、「選択」を選択してメタデータ・ファイルを参照します。
- IdPメタデータの入力: IdPメタデータを手動で入力する場合は、このオプションを選択します。次の詳細を入力します。
  - アイデンティティ・プロバイダの発行者URI:
  - SSOサービスURI
  - SSOサービス・バインド
  - アイデンティティ・プロバイダ署名証明書のアップロード
  - アイデンティティ・プロバイダ暗号化証明書のアップロード
  - グローバル・ログアウトの有効化
  - アイデンティティ・プロバイダ・ログアウト・リクエストURL
  - アイデンティティ・プロバイダ・ログアウト・レスポンスURL
  - ログアウト・バインド
「署名ハッシュ・アルゴリズム」方法を選択します。
SAMLメッセージ付き署名証明書を使用するかどうかを選択します。
「次」を選択します。

ユーザー属性のマッピング

IdPユーザー属性とアイデンティティ・ドメイン・ユーザー属性間の関係をマップします。

「リクエストされたName IDフォーマット」フィールドで、マッピング・オプションを選択します。

マッピング・オプションは、アイデンティティ・プロバイダによって異なります。IdP値をOracle Cloud Infrastructureアイデンティティ・ドメイン値に直接割り当てることができる場合があります。たとえば、NameIDは UserNameにマップできます。ソースとしてSAMLアサーション属性を選択した場合は、アサーション属性名を選択してから、Oracle Cloud Infrastructureアイデンティティ・ドメインを入力します。

「カスタム」を選択した場合は、「カスタムName IDフォーマット」フィールドに詳細を入力します。
「アイデンティティ・プロバイダ・ユーザー属性」でフィールドを選択し、「アイデンティティ・ドメイン・ユーザー属性」で対応するフィールドを選択します。
「次」を選択します。

IdPの確認と作成

IdPオプションが正確であることを確認してから、IdPを作成します。

「ログインのテスト」を選択して、IdPサインイン画面を開きます。
「IdPの作成」を選択します。

ノート

作成後にIdPを編集するには、「アイデンティティ・プロバイダ」リストに移動し、IdPを選択して、IdPを編集します。

Oracle Cloud Infrastructureドキュメント