Oracle Cloud Infrastructureドキュメント

OCIとMicrosoft Entra ID間のSSO

このチュートリアルでは、アイデンティティ・プロバイダ(IdP)としてEntra IDを使用して、OCI IAMとMicrosoft Entra IDの間にSSOを構成します。

この30分間のチュートリアルでは、サービス・プロバイダ(SP)として機能するOCI IAMを、IdPとして機能するEntra IDと統合する方法を示します。Entra IDとOCI IAM間のフェデレーションを設定することで、Entra IDが認証するユーザー資格証明を使用して、OCIのサービスおよびアプリケーションへのユーザーのアクセスが可能になります。

このチュートリアルでは、OCI IAMのIdPとしてEntra IDを設定する方法について説明します。

  1. まず、OCI IAMアイデンティティ・ドメインからメタデータをダウンロードします。
  2. 次のいくつかのステップでは、Entra IDでアプリケーションを作成および構成します。
  3. Entra IDで、メタデータを使用してOCI IAMでSSOを設定します。
  4. 「Entra ID」で、属性および要求を編集して、Eメール名がユーザーの識別子として使用されるようにします。
  5. 「Entra ID」で、ユーザーをアプリケーションに追加します。
  6. 次のステップでは、アイデンティティ・ドメインに戻って設定を完了し、configuration.In OCI IAMで、デフォルトのIdPポリシーを更新してEntra IDを追加します。
  7. フェデレーテッド認証がOCI IAMとEntra ID間で機能することをテストすること。
ノート

このチュートリアルは、アイデンティティ・ドメインのあるIAMに固有です。
開始する前に

このチュートリアルを実行するには、次のものが必要です:

  • 有料Oracle Cloud Infrastructure (OCI)アカウントまたはOCIトライアル・アカウント。Oracle Cloud Infrastructure Free Tierを参照してください。

  • OCI IAMアイデンティティ・ドメインのアイデンティティ・ドメイン管理者ロール。管理者ロールの理解を参照してください。
  • 次のいずれかのEntra IDロールを持つEntra IDアカウント:
    • グローバル管理者
    • クラウド・アプリケーション管理者
    • アプリケーション管理者
ノート

シングル・サインオン(SSO)に使用されるユーザーは、SSOが機能するように、OCI IAMとEntra IDの両方に存在する必要があります。このSSOチュートリアルを完了すると、OCI IAMとEntra ID間のアイデンティティ・ライフサイクル管理という別のチュートリアルがあります。この他のチュートリアルでは、Entra IDからOCI IAMまたはOCI IAMからEntra IDへのユーザー・アカウントのプロビジョニング方法を順を追って説明します。
1. OCI IAMからのサービス・プロバイダ・メタデータの取得

作成したSAML Entra IDアプリケーションにインポートするには、OCI IAMアイデンティティ・ドメインのSPメタデータが必要です。OCI IAMには、使用しているアイデンティティ・ドメインのメタデータをダウンロードするためのダイレクトURLが用意されています。メタデータをダウンロードするには、これらのステップに従います。

  1. サポートされているブラウザを開き、コンソールURLを入力します:

    https://cloud.oracle.com

  2. クラウド・アカウント名(テナント名とも呼ばれる)を入力し、「次」をクリックします。
  3. サインインするアイデンティティ・ドメインを選択します。これは、SSOの構成に使用されるアイデンティティ・ドメインです(Defaultなど)。
  4. ユーザー名とパスワードでサインインします。
  5. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
  6. 作業するアイデンティティ・ドメインの名前をクリックします。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。次に、「設定」「ドメイン設定」の順にクリックします。
  7. 「署名証明書へのアクセス」で、「クライアント・アクセスの構成」を選択します。

    これにより、クライアントは、ドメインにサインインせずにアイデンティティ・ドメインの署名証明書にアクセスできます。

  8. 「変更の保存」をクリックします。

    「ドメイン設定」ページでのクライアント・アクセスの構成

  9. ブレッドクラム・ナビゲーション追跡でアイデンティティ・ドメイン名をクリックして、アイデンティティ・ドメインの概要に戻ります。ドメイン情報の「ドメインURL」の横にある「コピー」をクリックし、URLを編集可能なアプリケーションに保存します。

    ドメインURL情報がどこにあるかを示すドメイン情報。

  10. 新しいブラウザ・タブで、コピーしたURLを貼り付け、最後に/fed/v1/metadataを追加します。

    例:

    https://idcs-<unique_ID>.identity.oraclecloud.com:443/fed/v1/metadata
  11. アイデンティティ・ドメインのメタデータがブラウザに表示されます。OCIMetadata.xmlという名前のXMLファイルとして保存します。
2.Entra IDエンタープライズ・アプリケーションの作成

次のいくつかのステップでは、Entra IDで作業します。

Entra IDにSAMLエンタープライズ・アプリケーションを作成します。

  1. ブラウザで、次のURLを使用してMicrosoft Entraにサインインします。
    https://entra.microsoft.com
  2. 「アイデンティティ」「アプリケーション」の順にクリックします。
  3. 「エンタープライズ・アプリケーション」「新規アプリケーション」の順にクリックします。
  4. 「アプリケーションの検索」に、Oracle Cloud Infrastructure Consoleと入力します。
  5. 「Oracle CorporationによるOracle Cloud Infrastructure Console」タイルをクリックします。
  6. アプリケーションの名前(Oracle IAMなど)を入力し、「Create」をクリックします。

    企業アプリケーションはEntra IDで作成されます。

3.Entra IDエンタープライズ・アプリケーションのシングル・サインオンの設定

Entra ID SAMLアプリケーションのSSOを設定し、Entra ID SAMLメタデータをダウンロードします。In this section, you use the OCI IAM SP metadata file you saved in 1. Get the Service Provider Metadata from OCI IAM.

  1. 「スタート・ガイド」ページで、「シングル・サインオンを設定」「スタート・ガイド」をクリックします。
  2. 「SAML」をクリックし、「メタデータ・ファイルのアップロード」(ページ上部のボタン)をクリックします。OCIアイデンティティ・ドメイン・メタデータOCIMetadata.xmlを含むXMLファイルを参照します。
  3. サインオンURLを指定します。たとえば 
    https://idcs-<domain_ID>.identity.oraclecloud.com/ui/v1/myconsole
  4. 保存」をクリックします。
  5. 右上のXで、メタデータ・ファイルのアップロード・ページを閉じます。アプリケーションを今すぐテストするかどうかを尋ねられた場合は、このチュートリアルの後半でアプリケーションをテストするため、テストしないことを選択してください。
  6. 「SAMLを使用したシングル・サインオンの設定」ページで下にスクロールし、「SAML署名証明書」で、「フェデレーション・メタデータXML」の横にある「ダウンロード」をクリックします。
  7. プロンプトが表示されたら、「Save File」を選択します。メタデータは、デフォルトのファイル名<your_enterprise_app_name>.xmlで自動的に保存されます。たとえば、OracleIAM.xmlです。

    Entra ID SAMLベースのSSOページ

4. 属性およびクレームの編集

新しいEntra ID SAMLアプリケーションで属性および要求を編集して、ユーザーのEメール・アドレスがユーザー名として使用されるようにします。

  1. エンタープライズ・アプリケーションで、左側のメニューから「Single sign-on」をクリックします。
  2. 「Attributes and Claims」で、「Edit」をクリックします。
  3. 必要なクレームをクリックします: 
    Unique User Identifier (Name ID) = user.mail [nameid-format:emailAddress]
  4. 「Manage claim」ページで、「Source」属性をuser.userprinciplenameからuser.mailに変更します。

    Entra ID属性および要求

  5. 「保存」をクリックします

追加のEntra ID構成

Entra IDでは、グループ名(sAMAccountName)属性に基づいてグループをフィルタできます。

たとえば、SAMLを使用してAdministratorsグループのみを送信する必要があるとします。

  1. グループ要求をクリックします。
  2. 「グループ要求」で、「拡張オプション」を展開します。
  3. 「フィルタ・グループ」を選択します。
    • 「一致する属性」で、Display Nameを選択します。
    • 「次と一致」で、containsを選択します。
    • 「文字列」に、グループの名前(Administratorsなど)を指定します。

    グループのフィルタ

このオプションを使用すると、管理者グループのユーザーが他のグループの一部であっても、Entra IDはSAMLの管理者グループのみを送信します。
ノート

これにより、組織はEntra IDからOCI IAMに必要なグループのみを送信できます。
5.Entra IDアプリケーションへのテスト・ユーザーの追加

Entra IDアプリケーションのテスト・ユーザーを作成します。このユーザーは、後でEntra ID資格証明を使用してOCIコンソールにサインインできます。

  1. Microsoft Entra管理センターで、「アイデンティティ」「ユーザー」「すべてのユーザー」の順にクリックします。
  2. 「New user」「Create new user」の順にクリックし、ユーザーを作成して電子メールIDを入力します。
    ノート

    OCI IAMに存在する、同じ電子メールIDを持つユーザーの詳細を使用していることを確認してください。
  3. エンタープライズ・アプリケーション・メニューに戻ります。「Getting Started」で、「Assign users and groups」をクリックします。または、左側のメニューの「Manage」の下にある「Users」をクリックします。
  4. 「ユーザー/グループの追加」を選択し、「ユーザー」の次のページで「選択なし」をクリックします。
  5. 「Users」ページで、作成したテスト・ユーザーをクリックします。選択すると、「Selected Items」の下にユーザーが表示されます。「選択」をクリックします。
  6. 「Add Assignment」ページに戻り、「Assign」をクリックします。
6.OCI IAMのEntra IDをIdPとして有効化

次のステップでは、OCI IAMで作業します。

OCI IAMのIdPとしてEntra IDを追加します。In this section, you use the Entra ID metadata file you saved in 3. Set Up Single Sign-On for the Entra ID Enterprise App, for example, Oracle IAM.xml.

  1. 作業中のドメインのOCIコンソールで、「セキュリティ」「アイデンティティ・プロバイダ」の順にクリックします。
  2. 「IdPの追加」をクリックし、「SAML IdPの追加」をクリックします。
  3. SAML IdPの名前(Entra IDなど)を入力します。「次へ」をクリックします。
  4. 「アイデンティティ・プロバイダ・メタデータのインポート」を選択し、Entra IDメタデータXMLファイルOracle IAM.xmlを参照して選択するか、アイデンティティ・プロバイダ・メタデータにドラッグ・アンド・ドロップします。This is the metadata file you saved when you worked through 3. Set Up Single Sign-On for the Entra ID Enterprise App.次へをクリックします
  5. Mapユーザー・アイデンティティで、次のように設定します。
    • 「リクエストされたNameID形式」で、Email addressを選択します。
    • 「アイデンティティ・プロバイダ・ユーザー属性」で、SAML assertion Name IDを選択します。
    • 「アイデンティティ・ドメイン・ユーザー属性」で、Primary email addressを選択します。

    SAMLアイデンティティ・プロバイダ属性

  6. 次へ」をクリックします。
  7. 「確認および作成」で、構成を確認し、「IdPの作成」をクリックします。
  8. 「アクティブ化」をクリックします。
  9. 「IdPポリシー・ルールに追加」をクリックします。

  10. 「デフォルト・アイデンティティ・プロバイダ・ポリシー」をクリックして開きます。「アクション」メニュー(アクション・メニュー)をクリックし、「IdPルールの編集」をクリックします。

    「IdPルールの編集」が表示されているコンテキスト・メニュー

  11. 「アイデンティティ・プロバイダの割当て」をクリックし、「Entra ID」をクリックしてリストに追加します。

    デフォルトのIdPルールでのアイデンティティ・プロバイダとしてのEntra IDの追加

  12. 変更の保存」をクリックします。
7.Entra IDとOCI間のSSOのテスト
この項では、フェデレーテッド認証がOCI IAMとEntra ID間で機能することをテストできます。
ノート

これが機能するように、SSOに使用されるユーザーはOCI IAMとEntra IDの両方に存在する必要があります。また、Entra IDで作成されたOCI IAMアプリケーションにユーザーが割り当てられている必要があります。

これには2つの方法があります:

  • OCI IAMとEntra IDの両方で、テスト・ユーザーを手動で作成できます。
  • ただし、リアルタイム・ユーザーでテストする場合は、チュートリアルのOCI IAMとEntra ID間のアイデンティティ・ライフサイクル管理のステップに従って、Entra IDとOCI IAMの間のプロビジョニングを設定する必要があります。
このチュートリアルをテストするようにユーザーを設定していない場合は、次のエラーが表示されます
Sorry, but we're having trouble signing you in.
AADSTS50105: Your administrator has configured 
the application application-name ('<unique_ID>')
to block users unless they are specifically granted
('assigned') access to the application.

SPが開始するSSOをテストします。

  1. サポートされているブラウザを開き、OCIコンソールURLを入力します:

    https://cloud.oracle.com

  2. クラウド・アカウント名(テナンシ名とも呼ばれる)を入力し、「次」をクリックします。
  3. Entra IDフェデレーションが構成されているアイデンティティ・ドメインを選択します。
  4. ログイン・ページに、Entra IDでサインインするオプションが表示されます。

    OCI IAMサインイン・ページ

  5. 「Entra ID」を選択します。Microsoftのログイン・ページにリダイレクトされます。
  6. Entra ID資格証明を指定します。
  7. 認証が成功すると、OCIコンソールにログインします。
次の手順

完了しました。Entra IDとOCI IAMの間にSSOが正常に設定されました。

Entra IDで作成され、OCI IAMにプロビジョニングされたアプリケーションがすでに割り当てられている場合は、OCI IAMとEntra ID間でフェデレーション認証が機能することをテストできました。そのようなユーザーがいない場合は、OCI IAMとEntra ID間のアイデンティティ・ライフサイクル管理のチュートリアルのいずれかに従って作成できます。

Oracle製品を使用した開発の詳細を確認するには、次のサイトを参照してください: