Oracle Cloud Infrastructureドキュメント

OCIとADFS間のSSO

このチュートリアルでは、アイデンティティ・プロバイダ(IdP)としてADFSを使用して、OCI IAMとADFS間のSSOを構成します。

この30分のチュートリアルでは、IdPとして機能する、サービス・プロバイダ(SP)として機能するOCI IAMをADFSと統合する方法を示します。ADFSとOCI IAMの間のフェデレーションを設定すると、ADFSが認証するユーザー資格証明を使用して、OCIのサービスおよびアプリケーションへのユーザーのアクセスが可能になります。

このチュートリアルでは、OCI IAMのIdPとしてのADFSの設定について説明します。

OCI IAMは、SAML 2.0 IdPsとの統合を提供します。この統合:

  • ADFSなどのIdPとしてSAML 2.0と互換性のあるフェデレーテッド・シングル・サインオン(SSO)ソリューションと連携します。
  • ユーザーは、ADFS資格証明を使用してOCIにサインインできます。
  • ユーザーはエンド・アプリケーションにサインインできます。
  1. まず、OCI IAMアイデンティティ・ドメインからメタデータをダウンロードします。
  2. 次のいくつかのステップで、ADFSでリライイング・パーティを作成および構成します。
  3. ADFSで、メタデータを使用してOCI IAMでSSOを設定します。
  4. ADFSで、属性およびクレームを編集して、電子メール名がユーザーの識別子として使用されるようにします。
  5. ADFSで、ユーザーをアプリケーションに追加します。
  6. 次のステップでは、アイデンティティ・ドメインに戻って設定および構成を終了します。OCI IAMで、デフォルトのIdPポリシーを更新してADFSを追加します。
  7. フェデレーテッド認証がOCI IAMとADFS間で機能することをテストします
ノート

このチュートリアルは、アイデンティティ・ドメインのIAMに固有です。
始める前に

このチュートリアルを実行するには、次のものが必要です:

  • 有料Oracle Cloud Infrastructure (OCI)アカウントまたはOCIトライアル・アカウント。Oracle Cloud Infrastructure Free Tierを参照してください。
  • OCI IAMアイデンティティ・ドメインのアイデンティティ・ドメイン管理者ロール。管理者ロールの理解を参照してください。
  • オンプレミスADFSインストール。
    ノート

    このチュートリアルでは、Microsoft Windows Server 2016 R2に付属のADFSソフトウェアの使用方法について説明します。
  • また、同じユーザーがOCIおよびADFSに存在し、ADFSが機能していることを確認する必要があります。
両方のシステムで同じユーザーの作成

同じ電子メール・アドレスを持つユーザーが両方のシステムに存在することを確認します。

SAML SSOがADFSとOCI IAMの間で機能するには、Microsoft Active DirectoryドメインとOCI IAMアイデンティティ・ドメインの両方に同じ電子メール・アドレスを持つユーザーが存在する必要があります。このタスクでは、このようなユーザーが両方のシステムに存在することを確認します。

  1. Microsoft Active Directoryユーザーおよびコンピュータ・ユーティリティを開きます。Windows 2016 Serverで、「Server Manager」「Tools」「Active Directory Users and Computers」の順に選択します。
  2. 「従業員」フォルダで、使用するユーザーをダブルクリックします。ユーザーの電子メール・アドレスをメモします。
    ADFS USER(adfsuser01@gmail.com)

    Active Directoryユーザーとコンピュータ・ユーティリティのユーザー

    ノート

    OCI IAMドメイン内の複数のユーザーが同じ電子メール・アドレスを持っている場合、サインインするユーザーを判別できないため、SAML SSOは失敗します。

    • ユーザーの電子メール・アドレスは、サインインしたユーザーをOCI IAM内の同じユーザーのエントリでADFSにリンクするために使用されます。
    • 接続をテストするADFSユーザーがいない場合は、接続を作成できます。
  3. ブラウザで、OCI IAMコンソールにアクセスするためのコンソールURLを入力します:

    https://cloud.oracle.com

  4. クラウド・アカウント名(テナンシ名とも呼ばれる)を入力し、「次へ」を選択します。
  5. ユーザー名とパスワードを使用してサイン・インします。
  6. 使用するドメインを選択します。
  7. 「ユーザー」を選択します。
  8. 検索フィールドに、Microsoft Active Directoryから記録した電子メール・アドレスを入力します。
  9. 検索結果で、Microsoft Active Directoryのユーザーと同じ電子メール・アドレスを持つユーザーが存在することを確認します。
    ノート

    ユーザーがOCI IAMに存在しない場合は、「追加」を選択し、Microsoft Active Directoryと同じ電子メール・アドレスでユーザーを作成します。
ADFSが実行されていることの確認

ADFSが実行中であり、サインインのためにユーザーに正常にチャレンジできることを確認します。

  1. ブラウザで、次のURLを使用してADFSにサインインします。 
    https://adfs.example.com/adfs/ls/IdpInitiatedSignOnPage
    ここで、 adfs.example.com はADFSホスト名です。
  2. 必要な場合は、「このサイトにサインイン」を選択します。「サインイン」を選択します。
  3. ADFSとOCI IAMの両方に存在するユーザーのMicrosoft Active Directory資格証明(この例ではadfsuser01)を入力し、「サインイン」を選択します。

    ADFSサインイン・ページ

  4. メッセージYou are signed inが表示されます。

    サイン・インしたADFS確認

1.OCI IAMでIdPとしてADFSを作成
  1. ブラウザで、次のURLを使用してADFSにサインインします。 
    https://adfs.example.com/FederationMetadata/2007-06/FederationMetadata.xml
    ここで、 adfs.example.com はADFSホスト名です。
  2. FederationMetadata.xmlファイルを保存します。このファイルを使用して、ADFSをOCI IAMに登録します。
  3. OCIコンソールで、作業するドメインに移動します。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。「セキュリティ」「アイデンティティ・プロバイダー」の順に選択します。
  4. 「IdPの追加」を選択して、「SAML IdPの追加」を選択します。
  5. SAML IdPの名前を入力します(例: ADFS_IdP)。「次」を選択します。
  6. 「Enter IdP metadata」を選択します。
  7. 「SAMLメタデータのエクスポート」を選択して、OCI IAMサービス・プロバイダ(SP)メタデータをダウンロードします。
    1. 「SAMLメタデータのエクスポート」ページの「自己署名証明書を使用したメタデータ」で、「XMLのダウンロード」を選択します。
      ノート

      アイデンティティ・プロバイダがCAによって発行された証明書に対してCRLまたはOCSPチェックを実行する場合は、自己署名証明書でメタデータを使用します。このチュートリアルでは、ADFSが証明書パスの検証中にこれを実行します。
    2. ファイルを適切な場所に保存します。
    3. Metadata.xmlファイルを、ADFSが管理されているWindows Serverに転送します。このファイルを使用して、OCI IAMドメインをADFSに登録します。

    OCI IAMのSAMLメタデータのエクスポート

  8. 「SAMLメタデータのエクスポート」ページを閉じます。
  9. 「IdPメタデータのインポート」を選択し、「アップロード」を選択します。以前にADFSから保存したFederationMetadata.xmlファイルを選択し、「開く」「次へ」の順に選択します。
  10. マップ・ユーザー・アイデンティティで、次を設定します。
    • 「リクエストされたNameID形式」で、Email addressを選択します。
    • 「アイデンティティ・プロバイダのユーザー属性」で、SAML assertion Name IDを選択します。
    • 「アイデンティティ・ドメイン・ユーザー属性」で、Primary email addressを選択します。

    SAMLアイデンティティ・プロバイダの属性

  11. 「次」を選択します。
  12. 「確認および作成」で構成を確認し、「作成」 IdPを選択します。
  13. 「アクティブ化」を選択します。
  14. 「IdPポリシー・ルールに追加」を選択します。ADFS IdPをIdPポリシーに追加すると、OCI IAMのサインイン画面に表示できます。

  15. 「デフォルトのアイデンティティ・プロバイダ・ポリシー」を選択して開き、ルールの「アクション」メニュー(3つのドット)を選択し、「IdPルールの編集」を選択します。

    「IdPルールの編集」が表示されているコンテキスト・メニュー

  16. 「アイデンティティ・プロバイダの割当て」を選択し、ADFS_IdPを選択してリストに追加します。

    デフォルトのIdPルールでのアイデンティティ・プロバイダとしてのADFSの追加

  17. 「Save Changes」を選択します。

現在、ADFSはOCI IAMにアイデンティティ・プロバイダとして登録されています。

次に、OCI IAMを信頼できるリライイング・パーティとしてADFSに登録します。

2. 信頼できるリライイング・パーティとしてのOCI IAMの登録

まず、OCI IAMをADFSのリライイング・パーティとして登録します。次に、OCI IAMの請求ルールをリライイング・パーティとして構成します。

リライイング・パーティの登録

  1. ADFS管理ユーティリティを開きます。たとえば、Windows 2016 Server Managerユーティリティでは、「ツール」「Microsoft Active Directory Federation Services Management」の順に選択します。
  2. 「アクション」を選択し、「リライイング・パーティ信頼の追加」を選択します。

  3. 「リライイング・パーティ信頼の追加ウィザード」ウィンドウで、「開始」を選択します。

    ADFSでのリライイング・パーティ信頼の追加ウィザード

  4. ファイルからリライイング・パーティに関するデータのインポートを選択し、「参照」を選択します。

    データ・ソースの選択

  5. 以前にOCI IAMからダウンロードしたMetadata.xmlを選択し、「次へ」を選択します。

  6. 表示名(OCI IAMなど)を入力し、オプションで「ノート」に説明を入力します。「次」を選択します。

    表示名の設定

  7. 「終了」ステップに達するまでデフォルトのオプションに進み、「閉じる」を選択します。「要求ルールの編集」ウィンドウが開きます。

    「要求の編集」ウィンドウ

要求ルールの構成

クレーム・ルールは、認証が成功した後、ADFSからOCI IAMに送信されるサインイン・ユーザーに関する情報を定義します。ここでは、リライイング・パーティとして機能するOCI IAMの2つの請求ルールを定義します:

  • 電子メール: このルールは、ユーザーの電子メール・アドレスがSAMLアサーションのOCI IAMに送信されることを示します。
  • Name ID: このルールは、電子メール・ルールの結果がSAMLアサーションのサブジェクトNameID要素のOCI IAMに送信されることを示します。
  1. 「要求ルールの編集」ウィンドウで、「ルールの追加」を選択します。
  2. 要求ルール・テンプレートとして「LDAP属性を要求として送信」を選択し、「次へ」を選択します。
  3. 「ルール・タイプの選択」ページで、Eメール・ルールについて次の情報を指定します。
    • 要求ルール名: Email
    • 属性ストア: Active Directory
    • LDAP属性の発信要求タイプへのマッピング:
      • LDAP属性: E-Mail-Addresses
      • 送信クレーム・タイプ: E-Mail Address

      変換要求ルールの追加ウィザードの「ルール・タイプの選択」ページ。

  4. 「終了」を選択します。
  5. 「要求ルールの編集」ウィンドウで、「ルールの追加」を選択して2番目の要求ルールを追加します。
  6. 要求ルール・テンプレートとしての「入力方向の要求の変換」を選択し、「次へ」を選択します。
  7. 「ルール・タイプの選択」ページで、Name IDルールについて次の情報を指定します。
    • 要求規則名: Name ID
    • 受信要求タイプ: E-Mail Address
    • 送信要求タイプ: Name ID
    • 送信名ID形式: Email

    変換要求ルールの追加ウィザードの「ルール・タイプの選択」ページ。

  8. 「終了」を選択します。
  9. 「Oracle Cloudの要求ルールの編集」ウィンドウで、EメールおよびName IDルールが作成されていることを確認します。

    両方の請求が存在することを確認します

現在、ADFSおよびOCI IAMにはSSOを確立するための十分な情報があり、統合をテストできます。

3.ADFSとOCI間のSSOのテスト

このタスクでは、OCI IAMとADFS間の認証をテストします。認証が成功した場合は、エンド・ユーザーのアイデンティティ・プロバイダを有効にします。

  1. ブラウザを再起動し、コンソールURLを入力してOCI IAMコンソールにアクセスします:

    https://cloud.oracle.com

  2. クラウド・アカウント名(テナンシ名とも呼ばれる)を入力し、「次へ」を選択します。
  3. ユーザー名とパスワードを使用してサイン・インします。
  4. ADFS IdPを構成したドメインを選択します。
  5. 「セキュリティ」「アイデンティティ・プロバイダ」の順に選択します。
  6. ADFS IdPエントリを選択します。
  7. IdPの詳細ページで、「その他のアクション」「ログインのテスト」の順に選択します。
  8. 下にスクロールして、「ログインのテスト」を選択します。
  9. ADFSサインイン・ページで、ADFSおよびOCI IAMに存在するユーザーでサインインします。

    ADFSサインイン・ページ

  10. 確認メッセージ「Your connection is successful」が表示されます。

    確認メッセージ

次の手順

完了しました。ADFSとOCI IAMの間のSSOが正常に設定されました。

Oracle製品を使用した開発の詳細を確認するには、次のサイトを参照してください: