Oracle Cloud Infrastructureドキュメント

SAMLジャストインタイム・アイデンティティ・プロバイダの追加

IAMのアイデンティティ・ドメインにジャストインタイム(JIT)プロビジョニングを使用するSAMLアイデンティティ・プロバイダ(IdP)を設定します。

  1. アイデンティティ・ドメインに移動し、ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
  2. 作業するアイデンティティ・ドメインの名前をクリックします。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。次に、「セキュリティ」「アイデンティティ・プロバイダ」の順にクリックします。
  3. アイデンティティ・プロバイダの名前をクリックします。
  4. 詳細ページで、「JITの構成」をクリックします。
  5. 「ジャストインタイム(JIT)プロビジョニングの有効化」を選択します。
  6. 次のいずれかのオプションを選択します。
    • 新規アイデンティティ・ドメイン・ユーザーの作成: アイデンティティ・プロバイダでのサインイン時にユーザーが存在しない場合は、アイデンティティ・ドメインにアイデンティティ・ユーザーを作成します。
    • 既存のアイデンティティ・ドメイン・ユーザーの更新: マップされたIdPのアイデンティティ・ドメイン・ユーザー・アカウント・データをマージおよび上書きします。既存のデータは、IdPのユーザー・データによって上書きされます。
    ノート

    JITを有効にするには、次のいずれかのオプションを選択する必要があります。
  7. 「ユーザー属性のマップ」領域で、IdPのユーザー・アカウントをアイデンティティ・ドメインのユーザー・アカウントにマップします。
    1. IdPユーザー属性タイプ行で値を選択します。
      • 「属性」を選択した場合は、IdPユーザー属性名を入力します。
      • NameIDを選択した場合、IdPユーザー属性名を入力する必要はありません。
    2. (オプション)アイデンティティ・ドメイン・ユーザー属性を選択します。
    3. (オプション)アイデンティティ・ドメイン属性をさらに追加します。
  8. グループ・マッピングを有効にするには、「グループ・マッピングの割当て」をクリックします。
    ノート

    グループ・マッピングを有効にする場合は、次のステップに進みます。そうでない場合は、ステップ10へ進みます。
  9. 「グループ・メンバーシップ属性名」に、グループ・メンバーシップを含むIdP属性の名前を入力します。
  10. グループ設定をインポートするには、次のいずれかのオプションを選択します。
    • 明示的なグループ・マッピングの定義: このオプションでは、IdPとアイデンティティ・ドメイン間でマップするグループ名を指定する必要があります。このオプションを選択した場合は、IdPグループ名を入力し、使用可能なアイデンティティ・ドメイン・グループ名を選択します。
    • 暗黙的グループ・マッピングの割当て: このオプションは、IdPグループを同じ名前のアイデンティティ・ドメイン・グループにマップします。その他のアクションは必要ありません。
  11. (オプション)アイデンティティ・ドメインからグループ・メンバーシップを割り当てるには、「ドメイン・グループ・メンバーシップの割当て」を選択し、次のステップを実行します:
    1. 「グループの追加」をクリックします。
    2. 追加するグループを選択し、「グループの追加」をクリックします。
  12. 「割当ルール」で、グループ・メモ割当時に実行するアクションを指定します:
    • ユーザーが既存のグループに割り当てられている場合は、既存のグループ・メンバーシップとマージするか、既存のグループ・メンバーシップを置換するかを選択します。
  13. グループが見つからない場合は、次のいずれかの処理を選択します。
    • 欠落しているグループを無視: ユーザーは正常にサインインしました。
    • リクエスト全体の失敗: サインインの試行は失敗します。
  14. 「変更の保存」をクリックします。
  15. (オプション)IdPをアクティブ化してから、ポリシーに追加します。詳細は、アイデンティティ・プロバイダのアクティブ化または非アクティブ化を参照してください。