SAMLアイデンティティ・プロバイダの管理

コンソールを使用して、SAML 2.0アイデンティティ・プロバイダ(IdP)をアイデンティティ・ドメインに追加すると、IdPの認証済ユーザーがOracle Cloud Infrastructureにアクセスしてリソースおよびクラウド・アプリケーションにアクセスできます。

共通の用語

アイデンティティ・プロバイダ(IdP)

IdPは、ユーザーに識別資格証明および認証を提供するサービスです。

サービス・プロバイダ(SP)

IdPをコールしてユーザーを認証するサービス(アプリケーション、Webサイトなど)。

次のステップを使用して、SAML 2.0 IdPを作成します。

SAML JITプロビジョニングの構成

SAML JITプロビジョニングは、コンソールまたは/admin/v1/IdentityProviders REST APIエンドポイントを使用して構成できます。SAML JITプロビジョニングを構成するには、次のリファレンスを参照してください:

SAMLアイデンティティ・プロバイダの追加

アイデンティティ・プロバイダのSAML詳細の入力。

  1. アイデンティティ・ドメインに移動し、ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
  2. 作業するアイデンティティ・ドメインの名前をクリックします。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。次に、「セキュリティ」「アイデンティティ・プロバイダ」の順にクリックします。
  3. 「IdPの追加」をクリックし、「SAML IdPの追加」をクリックします。
  4. 次の情報を入力します:
    • 名前: IdPの名前を入力します。
    • (オプション)説明: IdPの説明を入力します。
    • (オプション)「アイデンティティ・プロバイダ」アイコン: サポートされているイメージをドラッグ・アンド・ドロップするか、「1つを選択」をクリックしてイメージを参照します。
  5. 「次へ」をクリックします。
  6. メタデータの交換画面で、「SAMLメタデータのエクスポート」ボタンをクリックして、SAMLメタデータをアイデンティティ・プロバイダに送信します。次のいずれかを行います。
    • IdPメタデータのインポート: IdPからエクスポートされたXMLファイルがある場合は、このオプションを選択します。XMLファイルをドラッグ・アンド・ドロップしてメタデータをアップロードするか、「選択」をクリックしてメタデータ・ファイルを参照します。
    • IdPメタデータの入力: IdPメタデータを手動で入力する場合は、このオプションを選択します。次の詳細を入力します。
      • アイデンティティ・プロバイダの発行者URI
      • SSOサービスURI
      • SSOサービス・バインド
      • アイデンティティ・プロバイダ署名証明書のアップロード
      • グローバル・ログアウトの有効化
    • IdP URLのインポート: IdPメタデータのURLを入力します。
  7. 次を選択する場合は、「拡張オプションの表示」をクリックします:
    • 署名ハッシュ・アルゴリズム: SHA-256またはSHA-1を選択します
    • 暗号化アサーションが必要: アイデンティティ・ドメイン認可がIdPからの暗号化アサーションを想定していることを示します。
    • 強制認証: セッションがまだ有効であっても、ユーザーがIdPで認証されるようにするには、このオプションを選択します。
    • リクエストされた認証コンテキスト: 認証コンテンツ・クラス参照を選択します。
    • Holder-of-Keyサブジェクトの確認が必要です: Holder-of-Key (HOK)でサポートされている有効なメタデータ・ファイルをアップロードした後で使用できます。
    • SAMLメッセージ付き署名証明書の送信: アイデンティティ・ドメインによって送信されたSAMLメッセージを含むアイデンティティ・ドメインの署名証明書を含める場合に選択します。一部のSAMLプロバイダでは、SAMLパートナ構成を検索するために署名証明書が必要です。
  8. 次へ」をクリックします。
  9. 「SAMLアイデンティティ・プロバイダの追加」画面で、次を実行します:
    1. 「リクエストされたName ID形式」を選択します。
  10. IdPから受信したユーザーのアイデンティティ属性をOracle Cloud Infrastructureアイデンティティ・ドメインにマップします。
    マッピング・オプションは、アイデンティティ・プロバイダによって異なります。IdP値をOracle Cloud Infrastructureアイデンティティ・ドメイン値に直接割り当てることができます。たとえば、NameIDUserNameにマップできます。ソースとしてSAMLアサーション属性を選択した場合は、アサーション属性名を選択してから、Oracle Cloud Infrastructureアイデンティティ・ドメインを入力します。
  11. 「送信」をクリックします。
  12. 「確認および作成」画面で、SAMLアイデンティティ・プロバイダの設定を確認します。設定が正しい場合は、「作成」をクリックします。設定を変更する必要がある場合は、一連の横にある「編集」をクリックします。
  13. SAMLアイデンティティ・プロバイダの作成時にコンソールにメッセージが表示されます。「Overview」ページから、次を実行できます:
    • 「テスト」をクリックして、SAML SSO接続が正しく機能していることを確認します。
    • 「アクティブ化」をクリックしてIdPをアクティブ化し、アイデンティティ・ドメインが使用できるようにします。
    • IdPポリシー・ルールへの割当てをクリックして、作成した既存のポリシー・ルールにこのSAMLアイデンティティ・プロバイダを割り当てます。
  14. 閉じる」をクリックします。
SAMLアイデンティティ・プロバイダのメタデータのインポート

アイデンティティ・プロバイダのSAMLメタデータをインポートします。

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
  2. 作業するアイデンティティ・ドメインの名前をクリックします。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。次に、「セキュリティ」「アイデンティティ・プロバイダ」の順にクリックします。
  3. 「IdPの追加」をクリックし、「SAML IdPの追加」をクリックします。
  4. IdPの詳細を入力します:
    フィールド 説明
    名前 IdPの名前を入力します。
    説明 IdPの説明情報を入力します。
    アイコン IdPを表すアイコンを参照して選択するか、ドラッグ・アンド・ドロップします。アイコンのサイズは95 x 95ピクセルで、背景は透明にする必要があります。サポートされるファイル形式は、.png、.fig、.jpg、.jpegです。
  5. 「次へ」をクリックします構成の詳細を入力します:
    フィールド 説明
    アイデンティティ・プロバイダ・メタデータのインポート IdPのメタデータをインポートするには、このオプションを選択します。
    アイデンティティ・プロバイダ・メタデータ インポートするIdPのメタデータを含むXMLファイルを選択します。

    ノート: アイデンティティ・ドメインでは、特定の発行者ID (プロバイダIDまたはエンティティIDとも呼ばれる)を持つIdPを1つのみ定義できます。エンティティID属性はIdPメタデータの一部であるため、指定したメタデータ・ファイルで作成できるIdPは1つのみです。さらに、IdPは新しいメタデータで更新できますが、その発行者IDは変更できません。

    SAMLメッセージによる署名証明書の送信

    IdPに送信されるSAMLメッセージとともにアイデンティティ・ドメインの署名証明書を含めるには、このチェック・ボックスを選択します。署名証明書は、IdPのメッセージの署名を検証するために使用します。これは通常は必要ありませんが、IdPによっては署名検証プロセスの一環として必要になります。

    署名ハッシュ・アルゴリズム
    IdPに送信されるメッセージに署名するために使用するセキュア・ハッシュ・アルゴリズムを選択します。
    • SHA-256がデフォルトです。
    • IDPでSHA-256がサポートされていない場合は、SHA-1を選択します。

  6. 「次へ」をクリックしますIdPとアイデンティティ・ドメイン・ユーザー属性間のマッピングを構成します:
    フィールド 説明
    アイデンティティ・プロバイダ・ユーザー属性

    ユーザーを一意に識別するために使用できる、IdPから受け取ったユーザー属性値を選択します。

    アサーションの名前IDを指定できます。または、「アサーション属性」テキスト・ボックスに入力することで、アサーションの別のSAML属性を指定できます。

    アイデンティティ・ドメイン・ユーザー属性

    IdPから受け取った属性をマップするアイデンティティ・ドメインの属性を選択します。

    ユーザー名または別の属性(ユーザーの表示名、プライマリまたはリカバリ電子メール・アドレス、外部IDなど)を指定できます。外部IDは、IdPから受け取った属性を、プロバイダに関連付けられた特別なIDにマップする場合に使用します。

    リクエストされたNameID形式

    SAML認証リクエストがIdPに送信される場合、リクエストで名前ID形式を指定できます。

    IdPがリクエストでこれを必要としない場合は、「<リクエストなし>」を選択します。

  7. 「IdPの作成」をクリックします。アイデンティティ・ドメインのSAMLメタデータをエクスポートします:
    タスク 説明
    サービス・プロバイダ・メタデータ

    アイデンティティ・ドメインのメタデータをエクスポートするには、「ダウンロード」をクリックします。次に、このメタデータをIdPにインポートします。IdPでSAMLメタデータXMLドキュメントのインポートがサポートされていない場合は、次の情報を使用してIdPを手動で構成します。

    アイデンティティ・ドメイン・メタデータのインポート先のフェデレーション・パートナが、このボタンでエクスポートされたメタデータを使用するかわりにCRL検証を実行する場合(たとえば、AD FSはCRL検証を実行します)、https://[instancename.idcs.internal.oracle.com:port]/fed/v1/metadata?adfsmode=trueからメタデータをダウンロードします

    「デフォルト設定」の「署名証明書へのアクセス」でスイッチをオンにして、クライアントがアイデンティティ・ドメインにログインせずにメタデータにアクセスできるようにします。

    自己署名証明書を含むサービス・プロバイダ・メタデータ

    アイデンティティ・ドメインのメタデータを自己署名証明書とともにエクスポートするには、「ダウンロード」をクリックします。次に、このメタデータをIdPにインポートします。IdPでSAMLメタデータXMLドキュメントのインポートがサポートされていない場合は、次の情報を使用してIdPを手動で構成します。

    アイデンティティ・ドメイン・メタデータのインポート先のフェデレーション・パートナが、このボタンでエクスポートされたメタデータを使用するかわりにCRL検証を実行する場合(たとえば、AD FSはCRL検証を実行します)、https://[instancename.idcs.internal.oracle.com:port]/fed/v1/metadata?adfsmode=trueからメタデータをダウンロードします

    「デフォルト設定」の「署名証明書へのアクセス」でスイッチをオンにして、クライアントがアイデンティティ・ドメインにログインせずにメタデータにアクセスできるようにします。

    プロバイダID

    アイデンティティ・ドメインを一意に識別するUniform Resource Identifier (URI)。プロバイダIDは、発行者IDまたはエンティティIDとも呼ばれます。

    アサーション・コンシューマ・サービスURL IdPからアサーションを受信して処理するアイデンティティ・ドメイン・サービス・エンドポイントのUniform Resource Locator (URL)。
    ログアウト・サービス・エンドポイントURL IdPからログアウト・リクエストを受信して処理するアイデンティティ・ドメイン・サービス・エンドポイントのURL。
    ログアウト・サービス戻りURL IdPからログアウト・レスポンスを受信して処理するアイデンティティ・ドメイン・サービス・エンドポイントのURL。
    サービス・プロバイダ署名証明書 アイデンティティ・ドメインの署名証明書をエクスポートするには、「ダウンロード」をクリックします。署名証明書が含まれるファイルを選択します。この証明書は、アイデンティティ・ドメインによってIdPに送信されるSAMLリクエストおよびレスポンスの署名を検証するために、IdPで使用されます。
    サービス・プロバイダ暗号化証明書 アイデンティティ・ドメインの暗号化証明書をエクスポートするには、「ダウンロード」をクリックします。暗号化証明書が含まれるファイルを選択します。この証明書は、アイデンティティ・ドメインに送信するSAMLアサーションを暗号化するために、IdPで使用されます。これは、暗号化されたアサーションをIdPがサポートしている場合にのみ必要です。

    発行元のアイデンティティ・ドメイン・ルート証明書を取得するには、ルートCA証明書の取得を参照してください。

  8. 次へ」をクリックします。
  9. 「IdPのテスト」ページで、「ログインのテスト」をクリックしてIdPの構成設定をテストします。(構成設定をテストするには、IdPを構成したアイデンティティ・ドメインにログインする必要があります。)
  10. 次へ」をクリックします。
  11. 「IdPのアクティブ化」ページで、「アクティブ化」をクリックしてIdPをアクティブ化します。
  12. 「終了」をクリックします。

SAMLメタデータのエクスポート

IAMのアイデンティティ・ドメインのSAMLメタデータのエクスポート。

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
  2. 作業するアイデンティティ・ドメインの名前をクリックします。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。次に、「セキュリティ」「アイデンティティ・プロバイダ」の順にクリックします。
  3. アイデンティティ・プロバイダを開きます。
  4. 「SAMLメタデータのエクスポート」をクリックします。
  5. 次のいずれかを選択します:
    • メタデータ・ファイル: SAML XMLメタデータ・ファイルのダウンロードを選択するか、自己署名証明書を含むSAML XMLメタデータをダウンロードします。
    • 手動エクスポート: メタデータを手動でエクスポートすると、エンティティIDやログアウト・レスポンスURLなど、複数のSAMLオプションから選択できます。エクスポート・ファイルをコピーした後、サービス・プロバイダ署名証明書またはサービス・プロバイダ暗号化証明書をダウンロードできます。
    • メタデータURL: IdPがSAMLメタデータの直接ダウンロードをサポートしている場合。「署名証明書へのアクセス」をクリックして、クライアントがIdPにログインせずに署名証明書にアクセスできるようにします。

IdPメタデータの構成

IdPメタデータの詳細を手動で入力するか、メタデータ・ファイルをインポートします。

  1. 次のいずれかを選択します:
    • IdPメタデータのインポート: IdPからエクスポートされたXMLファイルがある場合は、このオプションを選択します。XMLファイルをドラッグ・アンド・ドロップしてメタデータをアップロードするか、「選択」をクリックしてメタデータ・ファイルを参照します。
    • IdPメタデータの入力: IdPメタデータを手動で入力する場合は、このオプションを選択します。次の詳細を入力します。
      • アイデンティティ・プロバイダの発行者URI:
      • SSOサービスURI
      • SSOサービス・バインド
      • アイデンティティ・プロバイダ署名証明書のアップロード
      • アイデンティティ・プロバイダ暗号化証明書のアップロード
      • グローバル・ログアウトの有効化
      • アイデンティティ・プロバイダ・ログアウト・リクエストURL
      • アイデンティティ・プロバイダ・ログアウト・レスポンスURL
      • ログアウト・バインド
  2. 「署名ハッシュ・アルゴリズム」方法を選択します。
  3. SAMLメッセージ付き署名証明書を使用するかどうかを選択します。
  4. 次へ」をクリックします。

ユーザー属性のマッピング

IdPユーザー属性とアイデンティティ・ドメイン・ユーザー属性間の関係をマップします。

  1. 「リクエストされたName IDフォーマット」フィールドで、マッピング・オプションを選択します。

    マッピング・オプションは、アイデンティティ・プロバイダによって異なります。IdP値をOracle Cloud Infrastructureアイデンティティ・ドメイン値に直接割り当てることができる場合があります。たとえば、NameIDUserNameにマップできます。ソースとしてSAMLアサーション属性を選択した場合は、アサーション属性名を選択してから、Oracle Cloud Infrastructureアイデンティティ・ドメインを入力します。

    「カスタム」を選択した場合は、「カスタムName IDフォーマット」フィールドに詳細を入力します。

  2. 「アイデンティティ・プロバイダ・ユーザー属性」でフィールドを選択し、「アイデンティティ・ドメイン・ユーザー属性」で対応するフィールドを選択します。
  3. 「次へ」をクリックします。

IdPの確認と作成

IdPオプションが正確であることを確認してから、IdPを作成します。

  1. 「ログインのテスト」をクリックして、IdPサインイン画面を開きます。
  2. 「IdPの作成」をクリックします。
    ノート

    作成後にIdPを編集するには、「アイデンティティ・プロバイダ」リストに移動し、IdPを選択して、IdPを編集します。