Entra IDからOCI IAMへのJITプロビジョニング
このチュートリアルでは、Entra IDをIdPとして使用して、OCIコンソールとEntra IDの間のJust-In-Time (JIT)プロビジョニングを構成します。
JITプロビジョニングを設定して、ターゲット・システムへのアクセスをリクエストするときと同様に、実行時にターゲット・システムにアイデンティティを作成できるようにすることができます。
このチュートリアルでは、次のステップについて説明します。
- OCI IAMでJIT用にEntra ID IdPを構成します。
- Entra IDでOCI IAMアプリケーション構成を更新します。
- Entra IDからOCI IAMにプロビジョニングできることをテストします。
このチュートリアルは、アイデンティティ・ドメインのあるIAMに固有です。
このチュートリアルを実行するには、次のものが必要です:
-
有料Oracle Cloud Infrastructure (OCI)アカウントまたはトライアル・アカウント。Oracle Cloud Infrastructure Free Tierを参照してください。
- OCI IAMアイデンティティ・ドメインのアイデンティティ・ドメイン管理者ロール。管理者ロールの理解を参照してください。
- 次のいずれかのEntra IDロールを持つEntra IDアカウント:
- グローバル管理者
- クラウド・アプリケーション管理者
- アプリケーション管理者
また、チュートリアル「OCIとMicrosoft Entra ID間のSSO」を完了し、JITプロビジョニングに使用するグループのオブジェクトIDを収集しておく必要があります。
JITプロビジョニングが機能するには、Entra IDによってSAMLアサーションでOCI IAMに送信される、適切で必要なSAML属性を構成する必要があります。
- ブラウザで、次のURLを使用してMicrosoft Entra IDにサインインします。
https://entra.microsoft.com - 「エンタープライズ・アプリケーション」にナビゲートします。
- Oracle Cloud Infrastructure Consoleアプリケーションを選択します。
- 左側のメニューで、「Single sign-on」を選択します。
- 「属性と要求」セクションで、「編集」を選択します。
- 属性が正しく構成されていることを確認します。
NameIDEmail AddressFirst NameLast Name
新しい請求が必要な場合は、追加します。
- 構成されているすべての要求名をノートにとります。たとえば
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givennameFirst Nameのクレーム名です。
- 「グループ」に移動します。Entra IDで使用可能なすべてのグループが表示されます。
- OCI IAMに送信するSAMLの一部にするグループのオブジェクトIDをノートにとります。
追加のEntra ID構成
Entra IDでは、グループ名(sAMAccountName)属性に基づいてグループをフィルタできます。
たとえば、SAMLを使用してAdministratorsグループのみを送信する必要があるとします。
- グループ請求を選択します。
- 「グループ要求」で、「拡張オプション」を展開します。
- 「フィルタ・グループ」を選択します。
- 「一致する属性」で、
Display Nameを選択します。 - 「次と一致」で、
containsを選択します。 - 「文字列」に、グループの名前(
Administratorsなど)を指定します。
- 「一致する属性」で、
これにより、組織はEntra IDからOCI IAMに必要なグループのみを送信できます。
OCI IAMで、JITのEntra ID IdPを更新します。
-
サポートされているブラウザ を開き、コンソールURLを入力します:
- クラウド・アカウント名(テナンシ名とも呼ばれる)を入力し、「次」を選択します。
- SSOの構成に使用するアイデンティティ・ドメインを選択します。
- ユーザー名とパスワードでサインインします。
- ナビゲーション・メニューナビゲーション・メニューを開き、「アイデンティティとセキュリティ」を選択します。
- 「アイデンティティ」で、「ドメイン」を選択します。
- Entra IDをIdPとして構成済のアイデンティティ・ドメインを選択します。
- 左側のメニューから「セキュリティ」、「アイデンティティ・プロバイダ」の順に選択します。
- Entra ID IdPを選択します。
- Entra IDのIdPページで、「Configure JIT」を選択します。
- 「ジャストインタイム(JIT)プロビジョニングの構成」ページで、次の手順を実行します。
- Just-In-Time (JIT)プロビジョニングを選択します。
- 「新しいアイデンティティ・ドメイン・ユーザーの作成」を選択します。
- 「既存のアイデンティティ・ドメイン・ユーザーの更新」を選択します。
- 「ユーザー属性のマップ」で:
NameIDの最初の行は変更しないままにします。- その他の属性については、IdPユーザー属性で
Attributeを選択します。 - IdPユーザー属性名を次のように指定します。
- familyName:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname - primaryEmailAddress:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
- familyName:
- 「行の追加」を選択し、
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givennameと入力します。アイデンティティ・ドメイン・ユーザー属性の場合は、
First nameを選択します。
この図は、OCI IAMのユーザー属性(右側)と、Entra IDとOCI IAM間のユーザー属性のマッピングを示しています。
- 「グループ・マッピングの割当て」を選択します。
- 「グループ・メンバーシップ属性名」に
http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsと入力します。 - 「明示的なグループ・メンバーシップ・マッピングの定義」を選択します。
- IdP Group nameで、前のステップのEntra IDにグループのオブジェクトIDを指定します。
- アイデンティティ・ドメイン・グループ名で、Entra IDグループをマップするOCI IAMのグループを選択します。
この図は、OCI IAMのグループ属性(右側)と、Entra IDとOCI IAMの間のグループ属性のマッピングを示しています。
- 「割当ルール」で、次を選択します。
- グループ・メンバーシップを割り当てる場合: 既存のグループ・メンバーシップとマージします
- グループが見つからない場合: 存在しないグループを無視します
ノート
組織の要件に基づいてオプションを選択します。 - 「Save changes」を選択します。
- Entra IDコンソールで、OCI IAMに存在しない電子メールIDで新しいユーザーを作成します。
-
必要なグループにユーザーを割り当てます。
- ブラウザで、OCIコンソールを開きます。
- JIT構成が有効になっているアイデンティティ・ドメインを選択します。
- 「次」を選択します。
- サインオン・オプションから、「Entra ID」を選択します。
- Microsoftのログイン・ページで、新しく作成したユーザーIDを入力します。
- Microsoftからの認証に成功した場合:
- ユーザー・アカウントはOCI IAMで作成されます。
- ユーザーはOCIコンソールにログインしています。
- ナビゲーション・バーで、「プロファイル」メニュー(
)を選択し、表示されるオプションに応じて「ユーザー設定」または「マイ・プロファイル」を選択します。EメールID、名、姓、関連グループなどのユーザー・プロパティを確認します。
完了しました。Entra IDとOCI IAMの間でJITプロビジョニングを正常に設定しました。
Oracle製品を使用した開発の詳細を確認するには、次のサイトを参照してください: