Oracle Cloud Infrastructureドキュメント

ADFSからOCI IAMへのJITプロビジョニング

このチュートリアルでは、OCIとMicrosoft ADFSの間でJust-In-Time (JIT)プロビジョニングを構成します。ここで、ADFSはIdPとして機能します。

JITプロビジョニングを設定して、実行時にターゲット・システムにアイデンティティを作成したり、ターゲット・システムにアクセスするリクエストを作成したりできます。

このチュートリアルでは、次のステップについて説明します。

  1. ADFSのリライイング・パーティ構成を更新します。
  2. JIT向けOCI IAMのADFS IdPを更新すること。
  3. ADFSからOCI IAMにユーザーをプロビジョニングできることをテストします。
ノート

このチュートリアルは、アイデンティティ・ドメインのIAMに固有です。
始める前に

このチュートリアルを実行するには、次のものが必要です:

  • 有料Oracle Cloud Infrastructure (OCI)アカウントまたはOCIトライアル・アカウント。Oracle Cloud Infrastructure Free Tierを参照してください。
  • OCI IAMアイデンティティ・ドメインのアイデンティティ・ドメイン管理者ロール。管理者ロールの理解を参照してください。
  • ADFSインストール。
    ノート

    このチュートリアルでは、Microsoft Windows Server 2016 R2に付属のADFSソフトウェアの使用方法について説明します。
  • さらに、次のことを確認する必要があります。
    • 同じユーザーがOCIおよびADFSに存在します。
    • ADFSが機能しています。
1.ADFSでの信頼できるリライイング・パーティ構成の更新
  1. ADFS管理ユーティリティを開きます。たとえば、Windows 2016 Server Managerユーティリティでは、「ツール」「Microsoft Active Directory Federation Services Management」の順に選択します。
  2. 「ADFS」で、「リライイング・パーティ信頼」を選択します。
  3. チュートリアル「OCIとADFS間のSSO」で、OCIに対して以前に構成したリライイング・パーティ信頼OCI IAMを右クリックします。
  4. 「請求発行ポリシーの編集」を選択します。
  5. 「Eメール」要求を編集して、「名」、「姓」および「グループ」に3つの追加要求ルールを追加します。

    First Name属性:

    • LDAP属性: Given-Name
    • 送信請求タイプ: Given Name

    「姓」属性:

    • LDAP属性: Surname
    • 送信クレーム・タイプ: Surname

    グループ属性

    • LDAP属性: Token-Groups - Unqualified Names
    • 送信クレーム・タイプ: Group
  6. ルール・ページで「OK」を選択し、再度「OK」を選択します。

ビジネス要件にあわせて追加属性を追加できますが、このチュートリアルに必要なのは属性のみです。

2.OCI IAMのADFS IdPを更新すること

OCI IAMコンソールで、JIT用のADFS IdPを構成します。

  1. サポートされているブラウザを開き、コンソールURLを入力します:

    https://cloud.oracle.com

  2. 「クラウド・アカウント名」(テナンシ名とも呼ばれる)を入力し、「次」を選択します。
  3. SSOの構成に使用するアイデンティティ・ドメインを選択します。
  4. ユーザー名とパスワードを使用してサインインします。
  5. ナビゲーション・メニューを開き、「アイデンティティおよびセキュリティ」を選択します。
  6. 「アイデンティティ」で、「ドメイン」を選択します。
  7. チュートリアル「OCIとADFS間のSSO」のステップ1で、ADFSをIdPとしてすでに構成しているアイデンティティ・ドメインを選択します。
  8. 左側のメニューから「セキュリティ」を選択し、「アイデンティティ・プロバイダ」を選択します。
  9. ADFS IdPを選択します。
    ノート

    これは、チュートリアルOCIとADFS間のSSOの一部として作成したADFS IdPです。
  10. ADFS IdPページで、「JITの構成」を選択します。
  11. 「Just-in-time (JIT)プロビジョニングの構成」ページで、次の手順を実行します。
    • 「Just-In-Time (JIT)プロビジョニングの有効化」を選択します。
    • 「新規アイデンティティ・ドメイン・ユーザーの作成」を選択します。
    • 「既存のアイデンティティ・ドメイン・ユーザーの更新」を選択します。

    ジャスト・イン・タイム・プロビジョニングを有効化

  12. 「ユーザー属性のマップ」で、次の手順を実行します。
    1. NameIDの最初の行は変更しません。
    2. その他の属性については、「IdP user attribute」Attributeを選択します。
    3. 次のように、IdPユーザー属性名を指定します。
      • familyName: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
      • primaryEmailAddress: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    4. 「Add Row」を選択します。
      • 「IdP user attribute」で、Attributeを選択します。
      • IdPユーザー属性名には、http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givennameと入力します。

      ADFSとOCI IAMの間の属性のマッピング

  13. 「グループ・マッピングの割当て」を選択します。
  14. グループ・メンバーシップ属性名を入力します。http://schemas.xmlsoap.org/claims/Groupを使用します。
  15. 「明示的なグループ・メンバーシップ・マッピングの定義」を選択します。
  16. IdPグループ名がアイデンティティ・ドメイン・グループ名にマップされるで、次を実行します:
    • IdPグループ名に、ADFSによって送信されるSAMLアサーションに存在するADFS内のグループの名前を指定します。
    • アイデンティティ・ドメイン・グループ名のOCI IAMで、ADFSの対応するグループにマップするOCI IAMのグループを選択します。

      グループ・マップの割当て

  17. 「割当てルール」で、次を選択します:
    1. グループ・メンバーシップを割り当てる場合: 既存のグループ・メンバーシップとマージ
    2. グループが見つからない場合: Ignore the missing group
    ノート

    組織の要件に基づいてオプションを選択します。
  18. 「Save changes」を選択します。
3.ADFSとOCI間のJITプロビジョニングのテスト
この項では、JITプロビジョニングがADFSとOCI IAMの間で機能することをテストできます
  1. ADFSで、OCI IAMに存在しないユーザーをADFSに作成します。
  2. ブラウザを再起動し、コンソールURLを入力してOCIコンソールにアクセスします:

    cloud.oracle.com

  3. クラウド・アカウント名(テナンシ名とも呼ばれる)を入力し、「次へ」を選択します。
  4. JIT構成が有効化されているアイデンティティ・ドメインを選択します。
  5. サインイン・オプションから「ADFS」を選択します。

    サイン・イン・ページの「ADFS」アイコン

  6. ADFSログイン・ページで、新しく作成したユーザーの資格証明を指定します。
  7. 認証が成功すると、OCI IAMでユーザーのアカウントが作成され、ユーザーがOCIコンソールにサインインします。

    OCIドメインで新しいユーザーを表示して、入力したものと同じアイデンティティ属性およびグループ・メンバーシップがあることを確認できます。

次の手順

完了しました。ADFSとOCI IAM間のJITプロビジョニングが正常に設定されました。

Oracle製品を使用した開発の詳細を確認するには、次のサイトを参照してください: