Oracle Cloud Infrastructureドキュメント

ADFSからOCI IAMへのJITプロビジョニング

このチュートリアルでは、OCIとMicrosoft ADFSの間にJust-In-Time (JIT)プロビジョニングを構成します。ここで、ADFSはIdPとして機能します。

JITプロビジョニングを設定して、ターゲット・システムへのアクセスをリクエストするときと同様に、実行時にターゲット・システムにアイデンティティを作成できるようにすることができます。

このチュートリアルでは、次のステップについて説明します。

  1. ADFSのリライイング・パーティ構成を更新します。
  2. OCI IAMのJIT用ADFS IdPを更新します。
  3. ADFSからOCI IAMにユーザーをプロビジョニングできることをテストします。
ノート

このチュートリアルは、アイデンティティ・ドメインのあるIAMに固有です。
開始する前に

このチュートリアルを実行するには、次のものが必要です:

  • 有料Oracle Cloud Infrastructure (OCI)アカウントまたはOCIトライアル・アカウント。Oracle Cloud Infrastructure Free Tierを参照してください。
  • OCI IAMアイデンティティ・ドメインのアイデンティティ・ドメイン管理者ロール。管理者ロールの理解を参照してください。
  • ADFSインストール。
    ノート

    このチュートリアルでは、Microsoft Windows Server 2016 R2に付属のADFSソフトウェアの使用について説明します。
  • さらに、次を確認する必要があります:
    • OCIとADFSに同じユーザーが存在します。
    • ADFSは機能しています。
1.ADFSでの信頼できるリライイング・パーティ構成の更新
  1. ADFS管理ユーティリティを開きます。たとえば、Windows 2016 Server Managerユーティリティで、「ツール」をクリックし、「Microsoft Active Directory Federation Services Management」をクリックします。
  2. 「ADFS」で、「リライイング・パーティの信頼」をクリックします。
  3. チュートリアル「OCIとADFS間のSSO」で、以前にOCI用に構成したOCI IAMというリライイング・パーティ信託を右クリックします。
  4. 「要求発行ポリシーの編集」を選択します。
  5. Eメール要求を編集して、「名」、「姓」および「グループ」に3つの要求ルールを追加します。

    名属性:

    • LDAP属性: Given-Name
    • 送信クレーム・タイプ: Given Name

    姓属性:

    • LDAP属性: Surname
    • 送信クレーム・タイプ: Surname

    グループ属性:

    • LDAP属性: Token-Groups - Unqualified Names
    • 送信クレーム・タイプ: Group
  6. ルール・ページで「OK」をクリックし、再度「OK」をクリックします。

ビジネス要件にあわせて属性を追加できますが、必要なのはこのチュートリアルのみです。

2.OCI IAMでのADFS IdPの更新

OCI IAMコンソールで、JIT用のADFS IdPを構成します。

  1. サポートされているブラウザ を開き、コンソールURLを入力します:

    https://cloud.oracle.com

  2. クラウド・アカウント名(テナンシ名とも呼ばれる)を入力し、「次」をクリックします。
  3. SSOの構成に使用するアイデンティティ・ドメインを選択します。
  4. ユーザー名とパスワードでサインインします。
  5. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。
  6. 「アイデンティティ」で、「ドメイン」をクリックします。
  7. チュートリアル「OCIとADFS間のSSO」のステップ1で、ADFSをIdPとしてすでに構成したアイデンティティ・ドメインを選択します。
  8. 左側のメニューから「セキュリティ」「アイデンティティ・プロバイダ」の順にクリックします。
  9. ADFS IdPをクリックします。
    ノート

    これは、チュートリアル「OCIとADFS間のSSO」の一部として作成したADFS IdPです。
  10. ADFSのIdPページで、「JITの構成」をクリックします。
  11. 「ジャストインタイム(JIT)プロビジョニングの構成」ページで、次の手順を実行します。
    • 「Just-In-Time (JIT)プロビジョニングの有効化」を選択します。
    • 「新しいアイデンティティ・ドメイン・ユーザーの作成」を選択します。
    • 「既存のアイデンティティ・ドメイン・ユーザーの更新」を選択します。

    タイム・プロビジョニングでのみ有効化

  12. 「ユーザー属性のマップ」で:
    1. NameIDの最初の行は変更しないままにします。
    2. その他の属性については、IdPユーザー属性Attributeを選択します。
    3. 次のように、IdPユーザー属性名を指定します。
      • familyName: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
      • primaryEmailAddress: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    4. 「行の追加」をクリックします。
      • 「IdPユーザー属性」で、Attributeを選択します。
      • IdPユーザー属性名に、http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givennameと入力します。

      ADFSとOCI IAM間の属性のマッピング

  13. 「グループ・マッピングの割当て」を選択します。
  14. グループ・メンバーシップ属性名を入力します。http://schemas.xmlsoap.org/claims/Groupを使用します。
  15. 「明示的なグループ・メンバーシップ・マッピングの定義」を選択します。
  16. 「IdP group name maps to identity domain group name」で、次の手順を実行します。
    • IdPグループ名に、ADFSによって送信されるSAMLアサーションに存在するADFS内のグループの名前を指定します。
    • アイデンティティ・ドメイン・グループ名のOCI IAMで、ADFSの対応するグループにマップするOCI IAMのグループを選択します。

      グループ・マッピングの割当て

  17. 「割当てルール」で、次を選択します:
    1. グループ・メンバーシップを割り当てる場合: 既存のグループ・メンバーシップとマージ
    2. グループが見つからない場合: Ignore the missing group
    ノート

    組織の要件に基づいてオプションを選択します。
  18. 「変更の保存」をクリックします。
3.ADFSとOCI間のJITプロビジョニングのテスト
この項では、JITプロビジョニングがADFSとOCI IAM間で機能することをテストできます。
  1. ADFSで、OCI IAMに存在しないユーザーをADFSに作成します。
  2. ブラウザを再起動し、コンソールURLを入力してOCIコンソールにアクセスします。

    cloud.oracle.com

  3. クラウド・アカウント名(テナンシ名とも呼ばれる)を入力し、「次」をクリックします。
  4. JIT構成が有効になっているアイデンティティ・ドメインを選択します。
  5. サインイン・オプションから、「ADFS」をクリックします。

    サインイン・ページのADFSアイコン

  6. ADFSログイン・ページで、新しく作成したユーザーの資格証明を指定します。
  7. 認証に成功すると、OCI IAMでユーザーのアカウントが作成され、ユーザーはOCIコンソールにサインインします。

    OCIドメインの新しいユーザーを表示し、入力したアイデンティティ属性およびグループ・メンバーシップが同じであることを確認できます。

次の手順

完了しました。ADFSとOCI IAMの間でJITプロビジョニングを正常に設定しました。

Oracle製品を使用した開発の詳細を確認するには、次のサイトを参照してください: