Oracle Cloud Infrastructureドキュメント

OCIおよびOktaを使用したSSO

このチュートリアルでは、OCIとOktaの間にシングル・サインオンを設定します。ここで、Oktaはアイデンティティ・プロバイダ(IdP)として機能し、OCI IAMはサービス・プロバイダ(SP)です。

この15分間のチュートリアルでは、OCI IAMがSPとして機能し、OktaをIdPとして設定する方法を示します。OktaとOCI IAMの間のフェデレーションを設定すると、Oktaが認証するユーザー資格証明を使用して、OCI IAMのサービスおよびアプリケーションへのユーザーのアクセスが可能になります。

  1. まず、OCI IAMから必要な情報を収集します。
  2. OCI IAMについてIdPとしてOktaを構成すること。
  3. OktaがIdPとして機能するようにOCI IAMを構成すること。
  4. OCI IAMでIdPポリシーを作成します。
  5. フェデレーテッド認証がOCI IAMとOkta間で機能することをテストすること。
開始する前に

これらのいずれかのチュートリアルを実行するには、次が必要です:

  • 有料Oracle Cloud Infrastructure (OCI)アカウントまたはOCIトライアル・アカウント。Oracle Cloud Infrastructure Free Tierを参照してください。

  • OCI IAMアイデンティティ・ドメインのアイデンティティ・ドメイン管理者ロール。管理者ロールの理解を参照してください。
  • プロビジョニングを構成するための管理者権限を持つOktaアカウント。

各チュートリアルのステップから必要な追加情報を収集します。

  • アイデンティティ・ドメインのOCI IdPメタデータおよび署名証明書を取得します。
  • アイデンティティ・ドメインの署名証明書を取得します。
1.OCIアイデンティティ・プロバイダ・メタデータおよびドメインURLの取得

作成したOktaアプリケーションにインポートするには、OCI IAMアイデンティティ・ドメインのIdP SAMLメタデータが必要です。OCI IAMには、使用しているアイデンティティ・ドメインのメタデータをダウンロードするためのダイレクトURLが用意されています。Oktaは、OCIドメインURLを使用してOCI IAMに接続します。

  1. サポートされているブラウザを開き、コンソールURLを入力します:

    https://cloud.oracle.com

  2. クラウド・アカウント名(テナンシ名とも呼ばれる)を入力し、「次」をクリックします。
  3. サインインするアイデンティティ・ドメインを選択します。これは、SSOの構成に使用されるアイデンティティ・ドメインです(Defaultなど)。
  4. ユーザー名とパスワードでサインインします。
  5. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
  6. 作業するアイデンティティ・ドメインの名前をクリックします。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。次に、「セキュリティ」「アイデンティティ・プロバイダ」の順にクリックします。
  7. 「SAMLメタデータのエクスポート」をクリックします。

    SAMLメタデータのダウンロード

  8. 「メタデータ・ファイル」オプションを選択し、「XMLのダウンロード」をクリックします。

    XMLファイルのダウンロード

  9. ダウンロードしたXMLファイルの名前をOCIMetadata.xmlに変更します。
  10. ブレッドクラム・ナビゲーション追跡でアイデンティティ・ドメイン名をクリックして、アイデンティティ・ドメインの概要に戻ります。ドメイン情報の「ドメインURL」の横にある「コピー」をクリックし、URLを保存します。これは、後で使用するOCI IAMドメインURLです。

    ドメインURL情報がどこにあるかを示すドメイン情報。

2.Oktaでのアプリケーションの作成

Oktaでアプリケーションを作成し、後で必要になる値をノートにとります。

  1. ブラウザで、次のURLを使用してOktaにサインインします:
    https://<OktaOrg>-admin.okta.com

    <OktaOrg>は、Oktaを使用する組織の接頭辞です。

  2. 左側のメニューで、「セキュリティ」をクリックし、「アプリケーション」を選択して、「アプリケーションの参照」「カタログ」をクリックします。
  3. Oracle Cloudを検索し、使用可能なオプションから「Oracle Cloud Infrastructure IAM」を選択します。
  4. 「Add Integration」をクリックします。
  5. 「一般設定」で、アプリケーションの名前(OCI IAMなど)を入力し、「完了」をクリックします。
  6. 新しいアプリケーションのアプリケーション詳細ページで、「サインオン」タブをクリックし、「SAML署名証明書」の下の「SAML設定手順の表示」をクリックします。
  7. 「View SAML setup instructions(SAML設定手順の表示)」ページで、次の事項をノートにとります。
    • エンティティID
    • SingleLogoutService URL
    • SingleSignOnService URL
  8. ファイル拡張子が.pemの証明書をダウンロードして保存します。
3.OCI IAMでのIdPとしてのOktaの作成

OCIコンソールでOktaのIdPを作成します。

  1. 作業中のドメインのOCIコンソールで、「セキュリティ」「アイデンティティ・プロバイダ」の順にクリックします。
  2. 「IdPの追加」をクリックし、「SAML IdPの追加」をクリックします。
  3. SAML IdPの名前を入力します(例: Okta)。「次へ」をクリックします。
  4. 「Exchangeメタデータ」ページで、「IdPメタデータの入力」が選択されていることを確認します。
  5. 2にステップ8から次の情報を入力します。Oktaでのアプリケーションの作成:
    • アイデンティティ・プロバイダ発行者URI: 入力IDを入力します。
    • 「SSOサービスURL」: SingleSignOnService URLを入力します。
    • 「SSOサービス・バインディング」で、POSTを選択します。
    • アイデンティティ・プロバイダ署名証明書のアップロード: Okta証明書の.pemファイルを使用します。

      SAMLアイデンティティ・プロバイダの作成の交換メタデータ・ページ

    さらにページの下部で、「グローバル・ログアウトの有効化」が選択されていることを確認し、次のように入力します。

    • 「IDPログアウト・リクエストURL」: SingleLogoutService URLを入力します。
    • IDPログアウト・レスポンスURL: eEnter tbhe SingleLogoutService URL。
    • 「ログアウト・バインディング」がPOSTに設定されていることを確認します。

      追加構成

  6. 「次へ」をクリックします。
  7. 「マップ属性」ページで、次の手順を実行します。
    • 「リクエストされたNameId形式」Email addressを選択します。
    • アイデンティティ・プロバイダ・ユーザー属性: 「SAMLアサーションName ID」を選択します。
    • アイデンティティ・ドメイン・ユーザー属性: プライマリ電子メール・アドレスを選択します。
  8. 「次へ」をクリックします。
  9. 確認し、「IDPの作成」をクリックします。
  10. 「次へ」ページで、「アクティブ化」をクリックし、「IdPポリシーに追加」をクリックします。
  11. 「デフォルト・アイデンティティ・プロバイダ・ポリシー」をクリックして開き、ルールの「アクション」メニュー(アクション・メニュー)をクリックして、「IdPルールの編集」をクリックします。
  12. 「アイデンティティ・プロバイダの割当て」をクリックし、「Okta」をクリックしてリストに追加します。
  13. 「変更の保存」をクリックします。
  14. SP証明書をダウンロードします。
    • 作業中のドメインのOCIコンソールで、「セキュリティ」「アイデンティティ・プロバイダ」の順にクリックします。
    • 「Okta」をクリックします。
    • OktaのIdPページで、「サービス・プロバイダ・メタデータ」をクリックします。
    • サービス・プロバイダ署名証明書の横にある「ダウンロード」をクリックして、SP署名証明書をダウンロードして保存します。
4.Oktaの構成
  1. Oktaコンソールで、「アプリケーション」をクリックし、新しいアプリケーションOCI IAMをクリックします。
  2. 「サインオン」タブに移動し、「編集」をクリックします。
  3. 「シングル・ログアウトの有効化」を選択します。
  4. 前のステップでOCI IAMコンソールからダウンロードした証明書を参照し、「アップロード」をクリックします。
  5. 「Advance Sign-on Settings」までスクロール・ダウンします。
  6. 次を入力します:
  7. 「保存」をクリックします
  8. 「割当」タブに移動し、このアプリケーションへのアクセス権を持つユーザーを割り当てます。
  9. 次へ」をクリックします。
5. シングル・サインオンをテストする

  1. コンソールURLを入力します:

    https://cloud.oracle.com

  2. クラウド・アカウント名(テナンシ名とも呼ばれる)を入力し、「次」をクリックします。
  3. ユーザー名とパスワードでサインインします。
  4. Okta IdPを構成したドメインを選択します。
  5. サインイン・ページで、「Okta」アイコンをクリックします。
  6. Okta資格証明を入力します。OCIコンソールにサインインしています。
次の手順

完了しました。OktaとOCI IAM間のSSOが2つの異なる方法で正常に設定されました。

Oracle製品を使用した開発の詳細を確認するには、次のサイトを参照してください: