Oracle Cloud Infrastructureドキュメント

チュートリアル1: Entra IDギャラリ・アプリケーションを使用してアイデンティティを管理するための認可ソースとしてのEntra ID

Entra ID Galleryのアプリケーション・テンプレートを使用してOCI IAMのアイデンティティを管理するための認可アイデンティティ・ストアとしてEntra IDを構成します。

  1. OCI IAMを構成して、Entra IDがOCI IAMのIDを管理するためのアイデンティティ・ストアとなるようにすること。OCI IAMで、機密アプリケーションを作成します。
  2. OCI IAMアイデンティティ・ドメインのクライアントIDおよびクライアント・シークレットからシークレット・トークンを生成します。これをドメインURLとともにEntra IDで使用します。
  3. Entra IDでアプリケーションを作成し、シークレット・トークンおよびアイデンティティ・ドメインURLを使用してOCI IAMアイデンティティ・ドメインを指定し、Entra IDからOCI IAMにユーザーをプッシュして動作することを証明します。
  4. OCI IAMにプロビジョニングするユーザーおよびグループをEntra IDアプリケーションに割り当てます。
  1. さらに、方法に関する指示
    • ユーザーのフェデレーテッド・ステータスを設定して、外部アイデンティティ・プロバイダによって認証されるようにします。
    • アカウントが作成または更新されたときに、ユーザーが通知Eメールを受信しないようにします。
1. 機密アプリケーションの作成

この項では、Entra IDからOCI IAMにユーザー・アカウントが同期されるように、アイデンティティ・マネージャとして機能するようにEntra IDを構成します。

  1. 作業中のアイデンティティ・ドメインで、「アプリケーション」を選択します。
  2. 「アプリケーションの追加」を選択し、「機密アプリケーション」を選択して「ワークフローの起動」を選択します。

    機密アプリケーション

  3. アプリケーションの名前(Entra IDなど)を入力し、「次へ」を選択します。
  4. 「クライアント構成」で、「このアプリケーションをクライアントとして今すぐ構成します」を選択します。

    アプリケーションをクライアントとして構成

  5. 「認可」で、「クライアント資格証明」を選択します。

    クライアント資格証明用のアプリケーションの構成

  6. 「クライアント・タイプ」で、「機密」を選択します。
  7. 下にスクロールし、「トークン発行ポリシー」セクションで、「認可されたリソース」「特定」に設定します。

    トークン発行ポリシー

  8. 「アプリケーション・ロールの追加」を選択します。
  9. 「App Roles」セクションで「Add roles」を選択し、「Add app roles」ページで「User Administrator」を選択し、「Add」を選択します。

    アプリケーション・ロールの追加

  10. 「次へ」「完了」の順に選択します。
  11. アプリケーションの概要ページで、「アクティブ化」を選択し、アプリケーションをアクティブ化することを確認します。

    機密アプリケーションがアクティブ化されます。

2. ドメインURLの検索およびシークレット・トークンの生成

Entra IDで作成するエンタープライズ・アプリケーションの接続設定の一部として使用するには、次の2つの情報が必要です:

  • ドメインURL。
  • クライアントIDおよびクライアント・シークレットから生成されたシークレット・トークン。
  1. ブレッドクラムでアイデンティティ・ドメイン名を選択して、アイデンティティ・ドメインの概要に戻ります。ドメイン情報の「ドメインURL」の横にある「コピー」を選択し、URLを編集可能なアプリケーションに保存します。

    ドメインURL情報がどこにあるかを示すドメイン情報。

  2. OCI IAMの機密アプリケーションで、「リソース」の下の「OAuth構成」を選択します。
  3. 下にスクロールし、「一般情報」の下の「クライアントID」および「クライアント・シークレット」を見つけます。
  4. クライアントIDをコピーして格納します
  5. 「シークレットの表示」を選択し、シークレットをコピーして格納します。

    クライアントIDおよびクライアント・シークレット

    シークレット・トークンは、<clientID>:<clientsecret>のbase64エンコーディング、または
    base64(<clientID>:<clientsecret>)

    次の例では、Windows、LinuxまたはMacOSでシークレット・トークンを生成する方法を示します。

    Windows環境では、CMDを開き、このpowershellコマンドを使用して、base64エンコーディング[Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes('client_id:secret'))"を生成します

    Linuxでは、
    echo -n <clientID>:<clientsecret> | base64 --wrap=0
    MacOSでは、次を使用します
    echo -n <clientID>:<clientsecret> | base64
    シークレット・トークンが返されます。たとえば
    echo -n 392357752347523923457437:3454-9853-7843-3554 | base64
Nk0NzUyMzcyMzQ1NzMTc0NzUyMzMtNTQzNC05ODc4LTUzNQ==

    シークレット・トークンの値を書き留めます。

3.Entra IDでのOCIアプリケーションの作成

Entra IDを構成して、IAMのアイデンティティを管理するための認可アイデンティティ・ストアとしてEntra IDを有効にします。

  1. ブラウザで、次のURLを使用してMicrosoft Entra IDにサインインします。
    https://portal.azure.com
  2. 「アイデンティティ」、アプリケーションの順に選択します。
  3. 「エンタープライズ・アプリケーション」を選択します。

    エンタープライズ・アプリケーションの追加

  4. エンタープライズ・アプリケーション・ページで、「新規アプリケーション」「Oracle」の順に選択します。
  5. 「Oracle Cloud Infrastructure Console」を選択します。

    「Oracle Cloud Infrastructure Console」の選択

  6. 名前を入力するか、デフォルトの「Oracle Cloud Infrastructure Console」を受け入れます。
  7. 「作成」を選択します。

    OCI IAMコンソール・アプリケーションの作成

  8. 「Manage」の下の左側のメニューから「Provisioning」を選択します。

    Entra IDのエンタープライズ・アプリケーションのプロビジョニング・ページ

  9. 「スタート・ガイド」を選択し、「プロビジョニング・モード」「自動」に変更します。
  10. 「Tenant URL」に、2. ドメインURLの検索およびシークレット・トークンの生成のOCI IAMドメインURLの後に/admin/v1を続けた値を入力します。つまり、テナントURLは次のようになります 
    https://<domainURL>/admin/v1
  11. 2. ドメインURLの検索およびシークレット・トークンの生成で生成したシークレット・トークンを入力します。

    管理資格証明の入力

  12. 「テスト」を選択します。このメッセージが表示された場合、接続は成功しています
    Testing connection to Oracle Cloud Infrastructure Console
The supplied credentials are authorized to enable provisioning
  13. 「Manage」の下の左側のメニューから「Provisioning」を選択し、「Start Provisioning」を選択します。プロビジョニング・サイクルが開始され、プロビジョニングのステータスが表示されます。
4.Entra IDアプリケーションへのユーザーおよびグループの割当

OCI IAMにプロビジョニングするユーザーをEntra IDアプリケーションに割り当てます。

  1. Entra IDの左側のメニューで、「エンタープライズ・アプリケーション」を選択します。
  2. 前に作成したアプリケーションOracle Cloud Infrastructure Consoleを選択します。
  3. 「管理」の下の左メニューで、「ユーザーとグループ」を選択します。
  4. 「ユーザーおよびグループ」ページで、「ユーザー/グループの追加」を選択します。
  5. 「アサイメントの追加」ページの左側の「ユーザーおよびグループ」で、「選択なし」を選択します。

    「ユーザーおよびグループ」ページが開きます。

  6. リストから1人以上のユーザーまたはグループを選択して選択します。選択したユーザーが「Selected items」の下にリストされます。

    ユーザーとグループ

  7. 「選択」を選択します。選択したユーザーおよびグループの数は、「アサイメントの追加」ページに表示されます。

    選択したユーザーおよびグループの数は、「アサイメントの追加」ページに表示されます。

  8. 「割当の追加」ページで、「割当」を選択します。

    ユーザーとグループ・ページに、選択したユーザーとグループが表示されます。

    選択したユーザーおよびグループは、アプリケーションのユーザーおよびグループのリストに表示されます。

  9. 左側のメニューで「プロビジョニング」を選択して、グループおよびユーザーをプロビジョニングします。プロビジョニング・ログにステータスが表示されます。

    成功のステータスを示すプロビジョニング・ログ。

  10. プロビジョニングが成功すると、「Current cycle status」に、増分サイクルが完了したこと、およびOCI IAMにプロビジョニングされたユーザーの数が表示されます。

    プロビジョニングのステータスが、OCI IAMにプロビジョニングされたユーザーの数とともに表示されます

    OCI IAMで、Entra IDからプロビジョニングされたユーザーおよびグループを表示できるようになりました。

    IAMでプロビジョニングされたEntra IDユーザー
    ノート

    Entra IDのOracle Cloud Infrastructureコンソール・アプリケーションからユーザーを削除すると、そのユーザーはOCI IAMでのみ非アクティブ化されます。

    IAMでプロビジョニングされたEntra IDグループ

5. フェデレーテッド・ユーザーの追加構成
  • ユーザーのフェデレーテッド・ステータスを設定して、外部アイデンティティ・プロバイダによって認証されるようにできます。
  • アカウントが作成または更新されたときにユーザーに送信される通知Eメールを無効にできます。
a。ユーザーのフェデレーテッド・ステータスの設定

フェデレーテッド・ユーザーには、OCIに直接サインインするための資格証明がありません。かわりに、外部アイデンティティ・プロバイダによって認証されます。フェデレーテッド・アカウントを使用してOCIにサインインする場合は、そのユーザーのフェデレーテッド属性をtrueに設定します。

ユーザーのフェデレーテッド・ステータスを設定するには:

  1. ブラウザで、次のURLを使用してMicrosoft Entra IDにサインインします。
    https://portal.azure.com
  2. 「アイデンティティ」、アプリケーションの順に選択します。
  3. 「エンタープライズ・アプリケーション」を選択します。
  4. 前に作成したアプリケーションOracle Cloud Infrastructure Consoleを選択します。
  5. 左側のメニューの「管理」で、「プロビジョニング」「プロビジョニングの編集」の順に選択します。
  6. 「プロビジョニング」ページで、「マッピング」を選択します。

  7. 「マッピング」で、「Entra IDユーザーのプロビジョニング」を選択します。

  8. 「属性マッピング」で、下にスクロールして「新規マッピングの追加」を選択します。

    「属性マッピング」の「新規マッピング」フィールドの追加

  9. 「属性の編集」ページで、次の手順を実行します。
    • 「マッピング・タイプ」で、Expressionを選択します。
    • 「式」に、CBool("true")と入力します。
    • 「ターゲット属性」で、urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:isFederatedUserを選択します。

      属性の編集ページ

  10. 「OK」をクリックします。
  11. 「属性マッピング」ページで、「保存」を選択します。

これで、ユーザーがEntra IDからOCIにプロビジョニングされると、フェデレーテッド・ステータスがtrueに設定されます。これはユーザーのプロファイル・ページに表示されます。

  • OCIコンソールで、使用しているアイデンティティ・ドメインに移動し、「ユーザー」を選択して、ユーザー情報を表示するユーザーを選択します。
  • 「フェデレーテッド」は、Yesとして表示されます。

    ユーザーがフェデレートされていることを示すユーザー情報

b. アカウント作成または更新の通知の無効化

バイパス通知フラグは、OCIでユーザー・アカウントを作成または更新した後に電子メール通知を送信するかどうかを制御します。アカウントが作成されたことをユーザーに通知しない場合は、バイパス通知フラグをtrueに設定します。

バイパス通知フラグを設定するには:

  1. ブラウザで、次のURLを使用してMicrosoft Entra IDにサインインします。
    https://portal.azure.com
  2. 「アイデンティティ」、アプリケーションの順に選択します。
  3. 「エンタープライズ・アプリケーション」を選択します。
  4. 前に作成したアプリケーションOracle Cloud Infrastructure Consoleを選択します。
  5. 左側のメニューの「管理」で、「プロビジョニング」「プロビジョニングの編集」の順に選択します。
  6. 「プロビジョニング」ページで、「マッピング」を選択します。

  7. 「マッピング」で、「Entra IDユーザーのプロビジョニング」を選択します。

    「プロビジョニング・モード」ページの「マッピング」の下のEntra IDユーザーのプロビジョニング」

  8. 「属性マッピング」で、下にスクロールして「新規マッピングの追加」を選択します。

    「属性マッピング」の「新規マッピング」フィールドの追加

  9. 「属性の編集」ページで、次の手順を実行します。
    • 「マッピング・タイプ」で、Expressionを選択します。
    • 「式」に、CBool("true")と入力します。
    • 「ターゲット属性」で、urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:bypassNotificationを選択します。

      属性の編集ページ

  10. 「OK」をクリックします。
  11. 「属性マッピング」ページで、「保存」を選択します。