Oracle Cloud Infrastructureドキュメント

チュートリアル1: Entra IDギャラリ・アプリケーションを使用してアイデンティティを管理するための認可ソースとしてのEntra ID

Entra ID Galleryのアプリケーション・テンプレートを使用してOCI IAMのアイデンティティを管理するための認可アイデンティティ・ストアとしてEntra IDを構成します。

  1. OCI IAMを構成して、Entra IDがOCI IAMのIDを管理するためのアイデンティティ・ストアとなるようにすること。OCI IAMで、機密アプリケーションを作成します。
  2. OCI IAMアイデンティティ・ドメインのクライアントIDおよびクライアント・シークレットからシークレット・トークンを生成します。これをドメインURLとともにEntra IDで使用します。
  3. Entra IDでアプリケーションを作成し、シークレット・トークンおよびアイデンティティ・ドメインURLを使用してOCI IAMアイデンティティ・ドメインを指定し、Entra IDからOCI IAMにユーザーをプッシュして動作することを証明します。
  4. OCI IAMにプロビジョニングするユーザーおよびグループをEntra IDアプリケーションに割り当てます。
  1. さらに、方法に関する指示
    • ユーザーのフェデレーテッド・ステータスを設定して、外部アイデンティティ・プロバイダによって認証されるようにします。
    • アカウントが作成または更新されたときに、ユーザーが通知Eメールを受信しないようにします。
1. 機密アプリケーションの作成

この項では、Entra IDからOCI IAMにユーザー・アカウントが同期されるように、アイデンティティ・マネージャとして機能するようにEntra IDを構成します。

  1. 作業中のアイデンティティ・ドメインで、「アプリケーション」をクリックします。
  2. 「アプリケーションの追加」をクリックし、「機密アプリケーション」を選択して「ワークフローの起動」をクリックします。

    機密アプリケーション

  3. アプリケーションの名前(Entra IDなど)を入力し、「次へ」をクリックします。
  4. 「クライアント構成」で、「このアプリケーションをクライアントとして今すぐ構成します」を選択します。

    アプリケーションをクライアントとして構成

  5. 「認可」で、「クライアント資格証明」を選択します。

    クライアント資格証明用のアプリケーションの構成

  6. 「クライアント・タイプ」で、「機密」を選択します。
  7. 下にスクロールし、「トークン発行ポリシー」セクションで、「認可されたリソース」「特定」に設定します。

    トークン発行ポリシー

  8. 「アプリケーション・ロールの追加」を選択します。
  9. 「アプリケーション・ロール」セクションで「ロールの追加」をクリックし、「アプリケーション・ロールの追加」ページで「ユーザー管理者」を選択し、「追加」をクリックします。

    アプリケーション・ロールの追加

  10. 「次」「終了」の順にクリックします。
  11. アプリケーションの概要ページで、「アクティブ化」をクリックし、アプリケーションをアクティブ化することを確認します。

    機密アプリケーションがアクティブ化されます。

2. ドメインURLの検索およびシークレット・トークンの生成

Entra IDで作成するエンタープライズ・アプリケーションの接続設定の一部として使用するには、次の2つの情報が必要です:

  • ドメインURL。
  • クライアントIDおよびクライアント・シークレットから生成されたシークレット・トークン。
  1. ブレッドクラムでアイデンティティ・ドメイン名をクリックして、アイデンティティ・ドメインの概要に戻ります。ドメイン情報の「ドメインURL」の横にある「コピー」をクリックし、URLを編集可能なアプリケーションに保存します。

    ドメインURL情報がどこにあるかを示すドメイン情報。

  2. OCI IAMの機密アプリケーションで、「リソース」の下の「OAuth構成」をクリックします。
  3. 下にスクロールし、「一般情報」の下の「クライアントID」および「クライアント・シークレット」を見つけます。
  4. クライアントIDをコピーして格納します
  5. 「シークレットの表示」をクリックし、シークレットをコピーして格納します。

    クライアントIDおよびクライアント・シークレット

    シークレット・トークンは、<clientID>:<clientsecret>のbase64エンコーディング、または
    base64(<clientID>:<clientsecret>)

    次の例では、Windows、LinuxまたはMacOSでシークレット・トークンを生成する方法を示します。

    Windows環境では、CMDを開き、このpowershellコマンドを使用して、base64エンコーディング[Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes('client_id:secret'))"を生成します

    Linuxでは、
    echo -n <clientID>:<clientsecret> | base64 --wrap=0
    MacOSでは、次を使用します
    echo -n <clientID>:<clientsecret> | base64
    シークレット・トークンが返されます。たとえば
    echo -n 392357752347523923457437:3454-9853-7843-3554 | base64
Nk0NzUyMzcyMzQ1NzMTc0NzUyMzMtNTQzNC05ODc4LTUzNQ==

    シークレット・トークンの値を書き留めます。

3.Entra IDでのOCIアプリケーションの作成

Entra IDを構成して、IAMのアイデンティティを管理するための認可アイデンティティ・ストアとしてEntra IDを有効にします。

  1. ブラウザで、次のURLを使用してMicrosoft Entra IDにサインインします。
    https://portal.azure.com
  2. 「アイデンティティ」、アプリケーションの順にクリックします。
  3. 「Enterprise applications」をクリックします。

    エンタープライズ・アプリケーションの追加

  4. 「Enterprise applications」ページで、「New application」「Oracle」の順にクリックします。
  5. 「Oracle Cloud Infrastructure Console」を選択します。

    「Oracle Cloud Infrastructure Console」の選択

  6. 名前を入力するか、デフォルトの「Oracle Cloud Infrastructure Console」を受け入れます。
  7. 「作成」をクリックします。

    OCI IAMコンソール・アプリケーションの作成

  8. 「Manage」の下の左側のメニューから「Provisioning」を選択します。

    Entra IDのエンタープライズ・アプリケーションのプロビジョニング・ページ

  9. 「Get started」をクリックし、「Provisioning Mode」「Automatic」に変更します。
  10. 「Tenant URL」に、2. ドメインURLの検索およびシークレット・トークンの生成のOCI IAMドメインURLの後に/admin/v1を続けた値を入力します。つまり、テナントURLは次のようになります 
    https://<domainURL>/admin/v1
  11. 2. ドメインURLの検索およびシークレット・トークンの生成で生成したシークレット・トークンを入力します。

    管理資格証明の入力

  12. 「接続テスト」をクリックします。このメッセージが表示された場合、接続は成功しています
    Testing connection to Oracle Cloud Infrastructure Console
The supplied credentials are authorized to enable provisioning
  13. 「Manage」の下の左側のメニューから「Provisioning」を選択し、「Start provisioning」をクリックします。プロビジョニング・サイクルが開始され、プロビジョニングのステータスが表示されます。
4.Entra IDアプリケーションへのユーザーおよびグループの割当

OCI IAMにプロビジョニングするユーザーをEntra IDアプリケーションに割り当てます。

  1. 「Entra ID」の左メニューの「Enterprise applications」をクリックします。
  2. 前に作成したアプリケーションOracle Cloud Infrastructure Consoleをクリックします。
  3. 「Manage」の左側のメニューで、「Users and Groups」をクリックします。
  4. 「ユーザーおよびグループ」ページで、「ユーザー/グループの追加」をクリックします。
  5. 「割当ての追加」ページの左側の「ユーザーおよびグループ」で、「選択なし」をクリックします。

    「ユーザーおよびグループ」ページが開きます。

  6. リストから1人以上のユーザーまたはグループをクリックして選択します。選択したユーザーが「Selected items」の下にリストされます。

    ユーザーとグループ

  7. 「選択」をクリックします。選択したユーザーおよびグループの数は、「アサイメントの追加」ページに表示されます。

    選択したユーザーおよびグループの数は、「アサイメントの追加」ページに表示されます。

  8. 「Add Assignment」ページで、「Assign」をクリックします。

    ユーザーとグループ・ページに、選択したユーザーとグループが表示されます。

    選択したユーザーおよびグループは、アプリケーションのユーザーおよびグループのリストに表示されます。

  9. 左側のメニューの「プロビジョニング」をクリックして、グループおよびユーザーをプロビジョニングします。プロビジョニング・ログにステータスが表示されます。

    成功のステータスを示すプロビジョニング・ログ。

  10. プロビジョニングが成功すると、「Current cycle status」に、増分サイクルが完了したこと、およびOCI IAMにプロビジョニングされたユーザーの数が表示されます。

    プロビジョニングのステータスが、OCI IAMにプロビジョニングされたユーザーの数とともに表示されます

    OCI IAMで、Entra IDからプロビジョニングされたユーザーおよびグループを表示できるようになりました。

    IAMでプロビジョニングされたEntra IDユーザー
    ノート

    Entra IDのOracle Cloud Infrastructureコンソール・アプリケーションからユーザーを削除すると、そのユーザーはOCI IAMでのみ非アクティブ化されます。

    IAMでプロビジョニングされたEntra IDグループ

5. フェデレーテッド・ユーザーの追加構成
  • ユーザーのフェデレーテッド・ステータスを設定して、外部アイデンティティ・プロバイダによって認証されるようにできます。
  • アカウントが作成または更新されたときにユーザーに送信される通知Eメールを無効にできます。
a。ユーザーのフェデレーテッド・ステータスの設定

フェデレーテッド・ユーザーには、OCIに直接サインインするための資格証明がありません。かわりに、外部アイデンティティ・プロバイダによって認証されます。フェデレーテッド・アカウントを使用してOCIにサインインする場合は、そのユーザーのフェデレーテッド属性をtrueに設定します。

ユーザーのフェデレーテッド・ステータスを設定するには:

  1. ブラウザで、次のURLを使用してMicrosoft Entra IDにサインインします。
    https://portal.azure.com
  2. 「アイデンティティ」、アプリケーションの順にクリックします。
  3. 「Enterprise applications」をクリックします。
  4. 前に作成したアプリケーションOracle Cloud Infrastructure Consoleをクリックします。
  5. 「管理」の下の左メニューで、「プロビジョニング」「プロビジョニングの編集」の順にクリックします。
  6. 「プロビジョニング」ページで「マッピング」をクリックします。

  7. 「マッピング」で、「Entra IDユーザーのプロビジョニング」をクリックします。

  8. 「属性マッピング」で、下にスクロールして「新規マッピングの追加」をクリックします。

    「属性マッピング」の「新規マッピング」フィールドの追加

  9. 「属性の編集」ページで、次の手順を実行します。
    • 「マッピング・タイプ」で、Expressionを選択します。
    • 「式」に、CBool("true")と入力します。
    • 「ターゲット属性」で、urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:isFederatedUserを選択します。

      属性の編集ページ

  10. 「OK」をクリックします。
  11. 「属性マッピング」ページで、「保存」をクリックします。

これで、ユーザーがEntra IDからOCIにプロビジョニングされると、フェデレーテッド・ステータスがtrueに設定されます。これはユーザーのプロファイル・ページに表示されます。

  • OCIコンソールで、使用しているアイデンティティ・ドメインに移動し、「ユーザー」をクリックし、ユーザーをクリックしてユーザー情報を表示します。
  • 「フェデレーテッド」は、Yesとして表示されます。

    ユーザーがフェデレートされていることを示すユーザー情報

b. アカウント作成または更新の通知の無効化

バイパス通知フラグは、OCIでユーザー・アカウントを作成または更新した後に電子メール通知を送信するかどうかを制御します。アカウントが作成されたことをユーザーに通知しない場合は、バイパス通知フラグをtrueに設定します。

バイパス通知フラグを設定するには:

  1. ブラウザで、次のURLを使用してMicrosoft Entra IDにサインインします。
    https://portal.azure.com
  2. 「アイデンティティ」、アプリケーションの順にクリックします。
  3. 「Enterprise applications」をクリックします。
  4. 前に作成したアプリケーションOracle Cloud Infrastructure Consoleをクリックします。
  5. 「管理」の下の左メニューで、「プロビジョニング」「プロビジョニングの編集」の順にクリックします。
  6. 「プロビジョニング」ページで「マッピング」をクリックします。

  7. 「マッピング」で、「Entra IDユーザーのプロビジョニング」をクリックします。

    「プロビジョニング・モード」ページの「マッピング」の下のEntra IDユーザーのプロビジョニング」

  8. 「属性マッピング」で、下にスクロールして「新規マッピングの追加」をクリックします。

    「属性マッピング」の「新規マッピング」フィールドの追加

  9. 「属性の編集」ページで、次の手順を実行します。
    • 「マッピング・タイプ」で、Expressionを選択します。
    • 「式」に、CBool("true")と入力します。
    • 「ターゲット属性」で、urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:bypassNotificationを選択します。

      属性の編集ページ

  10. 「OK」をクリックします
  11. 「属性マッピング」ページで、「保存」をクリックします。