Oracle Cloud Infrastructureドキュメント

OCIとOkta間のアイデンティティ・ライフサイクル管理

このチュートリアルでは、OktaとOCI IAMの間でユーザー・ライフサイクル管理を構成します。ここで、Oktaは認可アイデンティティ・ストアとして機能します。

この30分間のチュートリアルでは、OktaからOCI IAMにユーザーおよびグループをプロビジョニングする方法を示します。

  1. OCI IAMで機密アプリケーションを作成します。
  2. アイデンティティ・ドメインURLを取得し、シークレット・トークンを生成します。
  3. Oktaでアプリケーションを作成します。
  4. Oktaの設定を更新します。
  5. OCI IAMとOktaの間でプロビジョニングが機能することをテストします。
  6. さらに、方法に関する指示
    • ユーザーのフェデレーテッド・ステータスを設定して、外部アイデンティティ・プロバイダによって認証されるようにします。
    • アカウントが作成または更新されたときに、ユーザーが通知Eメールを受信しないようにします。
ノート

このチュートリアルは、アイデンティティ・ドメインのあるIAMに固有です。
開始する前に

このチュートリアル・セットを実行するには、次のものが必要です:

  • 有料Oracle Cloud Infrastructure (OCI)アカウントまたはOCIトライアル・アカウント。Oracle Cloud Infrastructure Free Tierを参照してください。

  • OCI IAMアイデンティティ・ドメインのアイデンティティ・ドメイン管理者ロール。管理者ロールの理解を参照してください。
  • プロビジョニングを構成するための管理者権限を持つOktaアカウント。

追加情報は、チュートリアルのステップで収集します。

  • OCI IAMドメインURL。
  • OCI IAMクライアントIDおよびクライアント・シークレット。
1.OCIでの機密アプリケーションの作成

OCI IAMで機密アプリケーションを作成し、アクティブ化します。

  1. サポートされているブラウザ を開き、コンソールURLを入力します:

    https://cloud.oracle.com

  2. クラウド・アカウント名(テナンシ名とも呼ばれる)を入力し、「次」をクリックします。
  3. ユーザー名とパスワードでサインインします。
  4. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
  5. Oktaプロビジョニングを構成するアイデンティティ・ドメインを選択し、「アプリケーション」をクリックします。
  6. 「アプリケーションの追加」をクリックし、「機密アプリケーション」 を選択して「ワークフローの起動」をクリックします。

    機密アプリケーション

  7. 機密アプリケーションの名前を入力します(OktaClientなど)。次へをクリックします
  8. 「クライアント構成」で、「このアプリケーションをクライアントとして今すぐ構成します」を選択します。
  9. 「認可」で、「クライアント資格証明」を選択します。

    アプリケーションをクライアントとして構成

  10. 下部までスクロールし、「アプリケーション・ロールの追加」をクリックします。
  11. 「App Roles」で「Add roles」をクリックし、「Add app roles」ページで「User Administrator」を選択し、「Add」をクリックします。

    アプリケーション・ロールの追加

  12. 「次」をクリックして、「終了」をクリックします。
  13. アプリケーションの詳細ページで、「アクティブ化」をクリックし、新しいアプリケーションをアクティブ化することを確認します。
2.OCI IAM GUIDの検索およびシークレット・トークンの生成

後で作成するOktaアプリケーションの接続設定の一部として使用するには、2つの情報が必要です。

  1. ブレッドクラムでアイデンティティ・ドメイン名をクリックして、アイデンティティ・ドメインの概要に戻ります。ドメイン情報の「ドメインURL」の横にある「コピー」をクリックし、URLを編集可能なアプリケーションに保存します。

    ドメインURL情報がどこにあるかを示すドメイン情報。

    OCI IAM GUIDは、ドメインURLの一部です:

    https://<IdentityDomainID>.identity.oraclecloud.com:443/fed/v1/idp/sso

    例: idcs-9ca4f92e3fba2a4f95a4c9772ff3278

  2. OCI IAMの機密アプリケーションで、「リソース」の下の「OAuth構成」をクリックします。
  3. 下にスクロールし、「一般情報」の下のクライアントIDおよびクライアント・シークレットをメモします。
  4. 下にスクロールし、「一般情報」の下の「クライアントID」および「クライアント・シークレット」を見つけます。
  5. クライアントIDをコピーして格納します
  6. 「シークレットの表示」をクリックし、シークレットをコピーして格納します。

    クライアントIDおよびクライアント・シークレット

    シークレット・トークンは、<clientID>:<clientsecret>のbase64エンコーディング、または
    base64(<clientID>:<clientsecret>)

    これらの例は、WindowsおよびMacOSでシークレット・トークンを生成する方法を示しています。

    Windows環境では、CMDを開き、このpowershellコマンドを使用して、base64エンコーディング[Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes('client_id:secret'))"を生成します

    MacOSでは、次を使用します
    echo -n <clientID>:<clientsecret> | base64
    シークレット・トークンが返されます。たとえば
    echo -n 392357752347523923457437:3454-9853-7843-3554 | base64
Nk0NzUyMzcyMzQ1NzMTc0NzUyMzMtNTQzNC05ODc4LTUzNQ==

    シークレット・トークンの値を書き留めます。

3.Oktaでのアプリケーションの作成

Oktaでアプリケーションを作成します。

  1. ブラウザで、次のURLを使用してOktaにサインインします:

    https://<Okta-org>-admin.okta.com

    <okta-org>は、Oktaを使用する組織の接頭辞です。

  2. 左側のメニューで、「Applications」をクリックします。

    OCIおよびOktaを使用したSSOの実行時に作成したアプリケーションがすでにある場合は、そのアプリケーションを使用できます。クリックして開いて編集し、5に進みます。Okta設定の変更

  3. 「アプリケーション・カタログの参照」をクリックし、Oracle Cloudを検索します。使用可能なオプションから「Oracle Cloud Infrastructure IAM」を選択します。
  4. 「Add Integration」をクリックします。
  5. 「一般設定」で、アプリケーションの名前(OCI IAMなど)を入力し、「完了」をクリックします。
5.Okta設定の変更

前のステップのドメインURLおよびシークレット・トークンを使用して、OktaアプリケーションをOCI IAM機密アプリケーションに接続します。

  1. 新しく作成したアプリケーション・ページで、「サインオン」タブをクリックします。
  2. 「Settings」で、「Edit」をクリックします。
  3. 「Advanced Sign-on Settings」までスクロールします。
  4. Oracle Cloud Infrastructure IAM GUIDにドメインURLを入力します。
  5. 「保存」をクリックします
  6. ページの上部にある「プロビジョニング」タブをクリックします。
  7. 「API統合の構成」をクリックします。
  8. 「API統合使用可能」を選択します。

    API統合使用可能

  9. 前に「APIトークン」にコピーしたシークレット・トークン値を入力します。

  10. API資格証明のテストをクリックします。

    エラー・メッセージが表示された場合は、入力した値を確認して再試行してください。

    Oracle Cloud Infrastructure IAM was verified successfully!というメッセージが表示されたら、OktaはOCI IAM SCIMエンドポイントに正常に接続しました。

  11. 「保存」をクリックします

「アプリケーションへのプロビジョニング」ページが開き、ここでユーザーの作成、ユーザー属性の更新、OCI IAMとOkta間の属性のマップを行うことができます。

6. ユーザーおよびグループのプロビジョニングのテスト

Oktaのユーザーおよびグループ・プロビジョニングをテストするには:

  1. 新しく作成したアプリケーションで、「割当」タブを選択します。
  2. 「割当て」をクリックし、「ユーザーに割当て」を選択します。
  3. OktaからOCI IAMにプロビジョニングするユーザーを検索します。

    ユーザーの横にある「割当て」をクリックします。

  4. 「保存」「戻る」の順にクリックします。
  5. OktaグループをOCI IAMにプロビジョニングします。「割当て」タブで、「割当て」をクリックし、「グループへの割当て」を選択します。
  6. OCI IAMにプロビジョニングするグループを検索します。グループ名の横にある「割当て」をクリックします。
  7. 「終了」をクリックします。
  8. OCIにサインインします:

    1. サポートされているブラウザを開き、OCIコンソールURLを入力します:

      https://cloud.oracle.com

    2. クラウド・アカウント名(テナンシ名とも呼ばれる)を入力し、「次」をクリックします。
    3. Oktaが構成されているアイデンティティ・ドメインを選択します。
  9. 「ユーザー」をクリックします。
  10. OktaでOCI IAMアプリケーションに割り当てられたユーザーが、OCI IAMに存在するようになりました。
  11. 「グループ」をクリックします
  12. OktaでOCI IAMアプリケーションに割り当てられたグループが、OCI IAMに存在するようになりました。
7. フェデレーテッド・ユーザーの追加構成
  • ユーザーのフェデレーテッド・ステータスを設定して、外部アイデンティティ・プロバイダによって認証されるようにできます。
  • アカウントが作成または更新されたときにユーザーに送信される通知Eメールを無効にできます。
a。ユーザーのフェデレーテッド・ステータスの設定

フェデレーテッド・ユーザーには、OCIに直接サインインするための資格証明がありません。かわりに、外部アイデンティティ・プロバイダによって認証されます。フェデレーテッド・アカウントを使用してOCIにサインインする場合は、そのユーザーのフェデレーテッド属性をtrueに設定します。

ユーザーのフェデレーテッド・ステータスを設定するには:

  1. ブラウザで、次のURLを使用してOktaにサインインします:

    https://<Okta-org>-admin.okta.com

    <okta-org>は、Oktaを使用する組織の接頭辞です。

  2. 左側のメニューで、「Applications」をクリックします。
  3. 前に作成したアプリケーションOCI IAMをクリックします。
  4. 「属性マッピング」セクションまで下にスクロールします。
  5. 「プロファイル・エディタに移動」をクリックします。
  6. 「属性」で「属性の追加」をクリックします。
  7. 「属性の追加」ページで:
    • 「データ型」で、Booleanを選択します。
    • 「名前の表示」には、isFederatedUserと入力します。
    • 「変数名」isFederatedUserと入力します。
      ノート

      外部名は、変数名の値によって自動的に移入されます。
    • 「外部ネームスペース」に、urn:ietf:params:scim:schemas:oracle:idcs:extension:user:Userと入力します。
    • 「スコープ」で、User personalを確認します。

    属性の追加ページ

  8. Oktaの「アプリケーション」ページに戻り、OCI IAMアプリケーションを選択します。
  9. 「プロビジョニング」をクリックします。
  10. 「属性マッピング」まで下にスクロールし、「マップされていない属性の表示」をクリックします。
  11. isFederatedUser属性を見つけ、その横にある「編集」ボタンをクリックします。
  12. 属性ページで、次の手順を実行します。
    • 「属性値」で、Expressionを選択します。
    • 下のボックスに、trueと入力します。
    • 「適用対象」で、「作成および更新」を選択します。

    属性

  13. 「保存」をクリックします

    フェデレーションを示す属性値

これで、ユーザーがOktaからOCIにプロビジョニングされると、フェデレーテッド・ステータスはtrueに設定されます。これは、OCIのユーザーのプロファイル・ページで確認できます。

  • OCIコンソールで、使用しているアイデンティティ・ドメインに移動し、「ユーザー」をクリックし、ユーザーをクリックしてユーザー情報を表示します。
  • 「フェデレーテッド」は、Yesとして表示されます。

    ユーザーがフェデレートされていることを示すユーザー情報

b. アカウント作成または更新の通知の無効化

バイパス通知フラグは、OCIでユーザー・アカウントを作成または更新した後に電子メール通知を送信するかどうかを制御します。アカウントが作成されたことをユーザーに通知しない場合は、バイパス通知フラグをtrueに設定します。

バイパス通知フラグを設定するには:

  1. ブラウザで、次のURLを使用してOktaにサインインします:

    https://<Okta-org>-admin.okta.com

    <okta-org>は、Oktaを使用する組織の接頭辞です。

  2. 左側のメニューで、「Applications」をクリックします。
  3. 前に作成したアプリケーションOCI IAMをクリックします。
  4. 「属性マッピング」セクションまで下にスクロールします。
  5. 「属性」で「属性の追加」をクリックします。
  6. 「属性の追加」ページで:
    • 「データ型」で、Booleanを選択します。
    • 「名前の表示」には、bypassNotificationと入力します。
    • 「変数名」bypassNotificationと入力します。
      ノート

      外部名は、変数名の値によって自動的に移入されます。
    • 「外部ネームスペース」に、urn:ietf:params:scim:schemas:oracle:idcs:extension:user:Userと入力します。
    • 「スコープ」で、User personalを確認します。

    属性の追加ページ

  7. Oktaの「アプリケーション」ページに戻り、OCI IAMアプリケーションを選択します。
  8. 「プロビジョニング」をクリックします。
  9. 「属性マッピング」まで下にスクロールし、「マップされていない属性の表示」をクリックします。
  10. bypassNotification属性を見つけ、その横にある「編集」ボタンをクリックします。
  11. 属性ページで、次の手順を実行します。
    • 「属性値」で、Expressionを選択します。
    • 下のボックスに、trueと入力します。
    • 「適用対象」で、「作成および更新」を選択します。

    属性

  12. 「保存」をクリックします

    バイパス通知を示す属性値

次の手順

完了しました。OktaとOCIの間でユーザー・ライフサイクル管理を正常に設定しました。

Oracle製品を使用した開発の詳細を確認するには、次のサイトを参照してください: