Oracle Cloud Infrastructureドキュメント

OCIとADFS間のSSO

このチュートリアルでは、アイデンティティ・プロバイダ(IdP)としてADFSを使用して、OCI IAMとADFSの間のSSOを構成します。

この30分間のチュートリアルでは、サービス・プロバイダ(SP)として機能するOCI IAMと、IdPとして機能するADFSを統合する方法を示します。ADFSとOCI IAMの間のフェデレーションを設定すると、ADFSが認証するユーザー資格証明を使用して、OCIのサービスおよびアプリケーションへのユーザーのアクセスが可能になります。

このチュートリアルでは、OCI IAMのIdPとしてのADFSの設定について説明します。

OCI IAMは、SAML 2.0 IdPsとの統合を提供します。この統合:

  • IdP (ADFSなど)としてSAML 2.0と互換性のあるフェデレーテッド・シングル・サインオン(SSO)ソリューションと連携します。
  • ユーザーは、ADFS資格証明を使用してOCIにサインインできます。
  • ユーザーがエンド・アプリケーションにサインインできるようにします。
  1. まず、OCI IAMアイデンティティ・ドメインからメタデータをダウンロードします。
  2. 次のいくつかのステップでは、ADFSでリライイング・パーティを作成および構成します。
  3. ADFSで、メタデータを使用してOCI IAMでSSOを設定します。
  4. ADFSで、属性およびクレームを編集して、電子メール名がユーザーの識別子として使用されるようにします。
  5. ADFSで、ユーザーをアプリケーションに追加します。
  6. 次のステップでは、アイデンティティ・ドメインに戻って設定および構成を終了します。OCI IAMで、デフォルトのIdPポリシーを更新してADFSを追加します。
  7. フェデレーテッド認証がOCI IAMとADFS間で機能することをテストします
ノート

このチュートリアルは、アイデンティティ・ドメインのIAMに固有です。
始める前に

このチュートリアルを実行するには、次のものが必要です:

  • 有料Oracle Cloud Infrastructure (OCI)アカウントまたはOCIトライアル・アカウント。Oracle Cloud Infrastructure Free Tierを参照してください。
  • OCI IAMアイデンティティ・ドメインのアイデンティティ・ドメイン管理者ロール。管理者ロールの理解を参照してください。
  • オンプレミスADFSインストール。
    ノート

    このチュートリアルでは、Microsoft Windows Server 2016 R2に付属しているADFSソフトウェアの使用方法について説明します。
  • さらに、同じユーザーがOCIとADFSに存在し、ADFSが機能していることを確認する必要があります。
両方のシステムで同じユーザーを作成

同じEメール・アドレスを持つユーザーが両方のシステムに存在することを確認します。

SAML SSOがADFSとOCI IAM間で機能するには、Microsoft Active DirectoryドメインとOCI IAMアイデンティティ・ドメインの両方に同じ電子メール・アドレスを持つユーザーが存在する必要があります。このタスクでは、このようなユーザーが両方のシステムに存在することを確認します。

  1. Microsoft Active Directoryユーザーおよびコンピュータ・ユーティリティを開きます。Windows 2016 Serverで、「Server Manager」「ツール」「Active Directoryユーザーとコンピュータ」の順に選択します。
  2. 「従業員」フォルダで、使用するユーザーをダブルクリックします。ユーザーの電子メール・アドレスを書き留めます。
    ADFS USER(adfsuser01@gmail.com)

    Active Directoryユーザーとコンピュータ・ユーティリティのユーザー

    ノート

    OCI IAMドメイン内の複数のユーザーが同じ電子メール・アドレスを持っている場合、サインインするユーザーを判別できないため、SAML SSOは失敗します。

    • ユーザーの電子メール・アドレスは、OCI IAMの同じユーザーのエントリを使用して、サインインしたユーザーをADFSにリンクするために使用されます。
    • 接続をテストするADFSユーザーがない場合は、接続を作成できます。
  3. ブラウザで、コンソールURLを入力してOCI IAMコンソールにアクセスします:

    https://cloud.oracle.com

  4. クラウド・アカウント名(テナンシ名とも呼ばれる)を入力し、「次へ」を選択します。
  5. ユーザー名およびパスワードを使用してサインインします。
  6. 使用するドメインを選択します。
  7. 「ユーザー」を選択します。
  8. 検索フィールドに、Microsoft Active Directoryから記録したEメール・アドレスを入力します。
  9. 検索結果で、Microsoft Active Directoryのユーザーと同じEメール・アドレスを持つユーザーが存在することを確認します。
    ノート

    ユーザーがOCI IAMに存在しない場合は、「追加」を選択し、Microsoft Active Directoryと同じ電子メール・アドレスでユーザーを作成します。
ADFSが実行されていることの確認

ADFSが実行されていること、およびサインインのためにユーザーを正常にチャレンジできることを確認します。

  1. ブラウザで、URLを使用してADFSにサインインします。 
    https://adfs.example.com/adfs/ls/IdpInitiatedSignOnPage
    ここで、 adfs.example.com はADFSホスト名です。
  2. 必要に応じて、「このサイトにサインイン」を選択します。「サインイン」を選択します。
  3. ADFSとOCI IAMの両方に存在するユーザーのMicrosoft Active Directory資格証明(この例ではadfsuser01)を入力し、「サインイン」を選択します。

    ADFSサイン・イン・ページ

  4. You are signed inというメッセージが表示されます。

    サインインしていることをADFSで確認します

1.OCI IAMでのIdPとしてのADFSの作成
  1. ブラウザで、URLを使用してADFSにサインインします。 
    https://adfs.example.com/FederationMetadata/2007-06/FederationMetadata.xml
    ここで、 adfs.example.com はADFSホスト名です。
  2. FederationMetadata.xmlファイルを保存します。このファイルを使用して、ADFSをOCI IAMに登録します。
  3. OCIコンソールで、作業するドメインに移動します。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。「セキュリティ」「アイデンティティ・プロバイダー」の順に選択します。
  4. 「IdPの追加」を選択して、「SAMLの追加」IdPを選択します。
  5. SAML IdPの名前を入力します(例: ADFS_IdP)。「次へ」を選択します。
  6. 「IdPメタデータの入力」を選択します。
  7. 「SAMLメタデータのエクスポート」を選択して、OCI IAMサービス・プロバイダ(SP)メタデータをダウンロードします。
    1. 「SAMLメタデータのエクスポート」ページの「自己署名証明書を含むメタデータ」で、「XMLのダウンロード」を選択します。
      ノート

      アイデンティティ・プロバイダがCAによって発行された証明書に対してCRLまたはOCSPチェックを実行する場合は、自己署名証明書でメタデータを使用します。このチュートリアルでは、証明書パスの検証中にADFSがこれを行います。
    2. ファイルを適切な場所に保存します。
    3. Metadata.xmlファイルを、ADFSが管理されているWindows Serverに転送します。このファイルを使用して、OCI IAMドメインをADFSに登録します。

    OCI IAMのSAMLメタデータのエクスポート

  8. SAMLメタデータのエクスポート・ページを閉じます。
  9. 「IdPメタデータのインポート」を選択し、「アップロード」を選択します。以前にADFSから保存したFederationMetadata.xmlファイルを選択し、「開く」「次へ」の順に選択します。
  10. マップ・ユーザー・アイデンティティで、次を設定します
    • 「リクエストされたNameID形式」で、Email addressを選択します。
    • 「アイデンティティ・プロバイダ・ユーザー属性」で、SAML assertion Name IDを選択します。
    • 「アイデンティティ・ドメイン・ユーザー属性」で、Primary email addressを選択します。

    SAMLアイデンティティ・プロバイダの属性

  11. 「次へ」を選択します。
  12. 「確認および作成」で構成を確認し、「作成」IdPを選択します。
  13. 「アクティブ化」を選択します。
  14. 「IdPポリシー・ルールに追加」を選択します。ADFS IdPをIdPポリシーに追加すると、これをOCI IAMサインイン画面に表示できます。

  15. 「デフォルト・アイデンティティ・プロバイダ・ポリシー」を選択して開き、ルールの「アクション」メニュー(3つのドット)を選択し、「IdPルールの編集」を選択します。

    「IdPルールの編集」が表示されているコンテキスト・メニュー

  16. 「アイデンティティ・プロバイダの割当て」を選択し、ADFS_IdPを選択してリストに追加します。

    デフォルトのIdPルールでのアイデンティティ・プロバイダとしてのADFSの追加

  17. 「変更の保存」を選択します。

現在、ADFSはOCI IAMでアイデンティティ・プロバイダとして登録されています。

次に、OCI IAMを信頼できるリライイング・パーティとしてADFSに登録します。

2. 信頼できるリライイング・パーティとしてのOCI IAMの登録

まず、OCI IAMをリライイング・パーティとしてADFSに登録します。次に、リライイング・パーティとしてOCI IAMの請求ルールを構成します。

リライイング・パーティの登録

  1. ADFS管理ユーティリティを開きます。たとえば、Windows 2016 Server Managerユーティリティで、「ツール」を選択し、「Microsoft Active Directory Federation Services Management」を選択します。
  2. 「処理」を選択し、「リライイング・パーティ信頼の追加」を選択します。

  3. 「リライイング・パーティ信頼の追加」ウィザード・ウィンドウで、「開始」を選択します。

    ADFSでのリライイング・パーティ信頼の追加ウィザード

  4. ファイルからリライイング・パーティに関するデータのインポートを選択し、「参照」を選択します。

    データ・ソースの選択

  5. OCI IAMから以前にダウンロードしたMetadata.xmlを選択し、「次へ」を選択します。

  6. 表示名(OCI IAMなど)を入力し、オプションで「ノート」に説明を入力します。「次へ」を選択します。

    表示名の設定

  7. 「終了」ステップに達するまでデフォルト・オプションを続行し、「閉じる」を選択します。「要求ルールの編集」ウィンドウが開きます。

    「請求の編集」ウィンドウ

要求ルールの構成

要求ルールは、認証の成功後にADFSからOCI IAMに送信されるサインイン・ユーザーに関する情報を定義します。ここでは、リライイング・パーティとして機能するOCI IAMの2つの要求ルールを定義します。

  • 電子メール: このルールは、ユーザーの電子メール・アドレスがSAMLアサーションのOCI IAMに送信されることを示します。
  • Name ID: このルールは、SAMLアサーションのサブジェクトNameID要素で、電子メール・ルールの結果がOCI IAMに送信されることを示します。
  1. 「要求ルールの編集」ウィンドウで、「ルールの追加」を選択します。
  2. 要求ルール・テンプレートとして「LDAP属性を要求として送信」を選択し、「次へ」を選択します。
  3. 「ルール・タイプの選択」ページで、Eメール・ルールについて次の情報を指定します。
    • 請求ルール名: Email
    • 属性ストア: Active Directory
    • 送信要求タイプへのLDAP属性のマッピング:
      • LDAP属性: E-Mail-Addresses
      • 発信要求タイプ: E-Mail Address

      変換要求ルールの追加ウィザードの「ルール・タイプの選択」ページ。

  4. 「終了」を選択します。
  5. 「要求ルールの編集」ウィンドウで、「ルールの追加」を選択して2番目の要求ルールを追加します。
  6. 要求規則テンプレートとしての「入力方向の要求の変換」を選択し、「次へ」を選択します。
  7. 「ルール・タイプの選択」ページで、Name IDルールについて次の情報を指定します。
    • 要求規則名: Name ID
    • 受信要求タイプ: E-Mail Address
    • 送信要求タイプ: Name ID
    • 送信名IDの形式: Email

    変換要求ルールの追加ウィザードの「ルール・タイプの選択」ページ。

  8. 「終了」を選択します。
  9. 「Oracle Cloudの要求ルールの編集」ウィンドウで、Eメール・ルールとName IDルールが作成されていることを確認します。

    両方の要求が存在することを確認します。

これで、ADFSおよびOCI IAMにはSSOを確立するための十分な情報があり、統合をテストできます。

3.ADFSとOCIの間のSSOのテスト

このタスクでは、OCI IAMとADFSの間の認証をテストします。認証が成功した場合は、エンド・ユーザーのアイデンティティ・プロバイダを有効にします。

  1. ブラウザを再起動し、コンソールURLを入力してOCI IAMコンソールにアクセスします:

    https://cloud.oracle.com

  2. クラウド・アカウント名(テナンシ名とも呼ばれる)を入力し、「次へ」を選択します。
  3. ユーザー名およびパスワードを使用してサインインします。
  4. ADFS IdPを構成したドメインを選択します。
  5. 「セキュリティ」「アイデンティティ・プロバイダ」の順に選択します。
  6. ADFSのIdPエントリを選択します。
  7. IdPの詳細ページで、「その他のアクション」を選択し、「ログインのテスト」を選択します。
  8. 下部までスクロールし、「テスト・ログイン」を選択します。
  9. ADFSサインイン・ページで、ADFSおよびOCI IAMに存在するユーザーでサインインします。

    ADFSサイン・イン・ページ

  10. 確認メッセージ「接続に成功しました。」が表示されます。

    確認メッセージ

次の手順

完了しました。ADFSとOCI IAMの間のSSOが正常に設定されました。

Oracle製品を使用した開発の詳細を確認するには、次のサイトを参照してください: