Identity Federation
Azure Active Directoryを使用してAzureのOracleDBのアイデンティティ・フェデレーションを作成する方法について学習します。
この最終オンボーディング・ステップはオプションです。Azure管理者が1つ以上のOracleDB for AzureユーザーがOCIコンソールを使用してタスクを実行する必要があると考えている場合は、AzureとOCI間のアイデンティティ・フェデレーションを有効にして、ユーザーが単一の資格証明セットを使用して両方のクラウド環境にログインできるようにする必要があります。
ガイド付きオンボーディング・パスでは、アイデンティティ・フェデレーションを構成するための自動プロセスはありません。かわりに、OracleDB for Azureポータルには、2つのクラウド環境間でアイデンティティ・フェデレーションを構成するために認可されたAzureユーザーが実行する必要があるステップの手順へのリンクが用意されています。
Azure Active Directoryのユーザー・レコードには、Azureアイデンティティ・フェデレーションのOracleDBを操作するための姓および有効な電子メール・アドレスが含まれている必要があります。
詳細情報
Azureに対してOracleDBのアイデンティティ・フェデレーションを構成する際に必要なOCI IAMポリシーの詳細は、Oracle Cloud Infrastructure IAM Oracle Database Service for Azureのポリシー・ステートメントを参照してください。
手順
- https://cloud.oracle.comにあるOCIコンソールに移動します。
- クラウド・アカウント名(テナンシ名とも呼ばれる)を入力し、「次」をクリックします。
- サインインするアイデンティティ・ドメインを選択します。AzureのOracleDBには、デフォルトのドメインを使用します。
- 管理ユーザー名とパスワードでサイン・インします。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
- ドメインのリストで、表示するドメインの名前をクリックします。AzureのOracleDBには、デフォルトのドメインを使用します。
- ドメインの「概要」ページで、「アイデンティティ・ドメイン」にあるリンクのリストで「アプリケーション」をクリックします。
- 「アプリケーションの追加」をクリックし、「機密アプリケーション」を選択します。
- 「ワークフローの起動」をクリックします。
- 「機密アプリケーションの追加」ワークフローで、アプリケーションの名前を入力します。たとえば、「AzureSCIMProvisioningApplication」です。
- ページの下部にある「次」をクリックします。
- 「OAuthの構成」ページの「クライアント構成」セクションで、「このアプリケーションをクライアントとして今すぐ構成します」を選択します。
- 「認可」で、「クライアント資格証明」を選択します。
- 「クライアント・タイプ」で、「機密」を選択します。
- 「トークン発行ポリシー」セクションで、「アプリケーション・ロールの追加」を選択します。
- 「アプリケーション・ロール」表で、「ロールの追加」ボタンをクリックします。
- 「アプリケーション・ロールの追加」パネルのアプリケーション・ロールのリストで、「ユーザー管理者」を選択し、「追加」をクリックします。
- 次へをクリックします
- 「ポリシーの構成」ページの「Web層ポリシー」で、「スキップして後で実行」を選択します。
- 「終了」をクリックして、アプリケーションを作成します。
-
作成したアプリケーションの詳細ページにある「一般情報」セクションで、「クライアントID」と「クライアント・シークレット」のフィールドを探します。それぞれの値をテキスト・エディタにコピーし、値をコロン(:)文字で区切って、次のような書式にします:
<client_id>:<client_secret>
- この文字列を使用してbase64のエンコード値を作成し、安全な場所に格納します。フェデレーションの設定中に、base64のエンコード値が必要になります。
OCIでは、特別なURLから、SAMLサービス・プロバイダのメタデータをダウンロードできます。ダウンロードURLの形式は次のとおりです:
https://idcs-<Service-Instance-Number>.identity.oraclecloud.com/fed/v1/metadata
OCI IAMからサービス・プロバイダのメタデータを取得するには
- https://cloud.oracle.comにあるOCIコンソールに移動します。
- クラウド・アカウント名(テナンシ名とも呼ばれる)を入力し、「次」をクリックします。
- サインインするアイデンティティ・ドメインを選択します。AzureのOracleDBには、デフォルトのドメインを使用します。
- ユーザー名とパスワードでサイン・インします。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
- ドメインのリストで、表示するドメインの名前をクリックします。AzureのOracleDBには、デフォルトのドメインを使用します。
- ドメインの「概要」ページで、「アイデンティティ・ドメイン」にあるリンクのリストで「設定」をクリックします。
-
「ドメイン設定」ページの「署名証明書へのアクセス」で、「クライアント・アクセスの構成」を選択します。
これにより、クライアントは、ドメインにサインインせずにアイデンティティ・ドメインの署名証明書にアクセスできます。
- 「変更の保存」をクリックします。
- ブレッドクラム・ナビゲーション・トレイルで、アイデンティティ・ドメイン名(「デフォルト・ドメイン」)をクリックして、アイデンティティ・ドメインの概要に戻ります。「ドメイン情報」の「ドメインURL」の横にある「コピー」をクリックし、URLを編集できるアプリケーションに保存します。
- 新しいブラウザ・タブで、コピーしたURLを貼り付け、最後に
/fed/v1/metadata
を追加します。たとえば:
https://idcs-<unique_id>.identity.oraclecloud.com:443/fed/v1/metadata
- アイデンティティ・ドメインのメタデータが、ブラウザに表示されます。
IDCSMetadata.xml
という名前で、XMLファイルとして保存します。
次の手順?
Azureポータルに、SAMLサービス・プリンシパルを作成します。手順は、「AzureアカウントにSAMLサービス・プリンシパルを作成するには」を参照してください。
このタスクを開始する前に、OCIアイデンティティ・ドメインのSAMLサービス・プロバイダ・メタデータをダウンロードする必要があります。手順は、「OCI IAMドメインのSAMLサービス・プロバイダ・メタデータをダウンロードするには」を参照してください。
- Azureポータルにサインインします。
- 「Azure services」で、「Azure Active Directory」をクリックします。
- 左側のペインで、「Enterprise applications」をクリックします。
- 「+ New Application」をクリックします。
- 「+ Create your own application」をクリックします。
- 名前フィールドにアプリケーションの名前を指定します。たとえば、「OCI IAM Domain SAML Service Provider」です。
- 「Integrate any other application you don't find in the galley (Non-gallery)」ラジオ・ボタンを選択します。
- 「作成」をクリックします。Azureでアプリケーションが作成されるのに、少し時間がかかります。
- アプリケーションの「Overview」ページで、左側のペインの「Manage」の下にある「Single sign-on」をクリックします。
- シングル・サインオンの方法に、「SAML」を選択します。
- 「Upload metadata file」をクリックします。
- 「Upload metadata file」ダイアログで、フォルダ・アイコンをクリックし、ローカルに保存されたOCI IDメタデータ・ファイル(
IDCSMetadata.xml
)に移動します - メタデータ・ファイルを選択し、「Add」をクリックします。ファイルから事前に構成されたメタデータを使用して、アプリケーションが作成されます。
- 「Basic SAML Configuration」パネルで、「Save」をクリックします。保存操作が完了したら、パネルを閉じます。
- 「SAML Signing Certificate」セクションで「Federation Metadata XML」フィールドを探し、「Download」リンクをクリックします。このファイルを使用して、OCIにアイデンティティ・プロバイダ・リソースを作成します。このリソースにより、OCIのアイデンティティ・サービスがAzure Active Directoryとフェデレートできるようになります。
- 左側のペインで、「Users and groups」をクリックします。
- 「+ Add user/group」をクリックします。
-
「Add Assignment」ペインで、「Users and groups」または「Users」の「None Selected」を選択します。
-
アプリケーションに割り当てるユーザーまたはグループを検索して選択します。たとえば、
odsauser1@liilca.com
などのユーザー名を検索できます。必要に応じて、ユーザーまたはグループを検索して追加します。 -
「Selected items」のリストを確認し、「Select」をクリックします。
-
「Add Assignment」ペインで、ペインの下部にある「Assign」を選択します。
次の手順?
OCIコンソールに、Azure Active Directoryのアイデンティティ・プロバイダ・リソースを作成します。手順は、「OCI IAM for Azure Active Directoryにアイデンティティ・プロバイダ・リソースを作成するには」を参照してください。
このタスクを完了するには、Azureポータルからダウンロードしたフェデレーション・メタデータXMLファイルが必要です。このダウンロードについては、「AzureアカウントにSAMLサービス・プリンシパルを作成するには」に記載されています。
- https://cloud.oracle.comでOCIアカウントにサインインします。
- テナンシ名を入力します。
- デフォルトのドメインを選択します。
- ユーザー資格証明を指定します。OCIユーザーに、OCIアカウントでアイデンティティ・フェデレーションを構成するために必要な管理権限があることを確認します。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。
- 「アイデンティティ」という見出しの下で「ドメイン」をクリックします。
- コンパートメントを選択します。
- ドメインのリストで、デフォルトのドメインを見つけて、ドメインの名前をクリックします。
- 「セキュリティ」の下の「アイデンティティ・プロバイダ」をクリックします。
- 「IdPの追加」ボタンをクリックし、「SAML IdPの追加」オプションを選択します。
- 「詳細の追加」で、アイデンティティ・プロバイダの名前を指定します。オプションで、アイデンティティ・プロバイダの説明を追加できます。次に、「次」をクリックします
- 「IdPの構成」画面で、「アイデンティティ・プロバイダ・メタデータのインポート」を選択します。
- フェデレーション・メタデータXMLファイルを「アイデンティティ・プロバイダ・メタデータ」ボックスにドラッグ・アンド・ドロップするか、「1つを選択」リンクをクリックして、ローカル・ファイル・システム内のファイルに移動して選択します。次に、「次」をクリックします
- 「属性のマップ」画面で、アイデンティティ・プロバイダのユーザー属性として「名前ID」を選択します。アイデンティティ・ドメインのユーザー属性として「ユーザー名」を選択し、「リクエストされたNameID形式」として「電子メール・アドレス」を選択します。
- 「IdPの作成」をクリックします。
- オプションです。「エクスポート」画面で、「サービス・プロバイダ」メタデータ・フィールドの「ダウンロード」ボタンをクリックして、SAMLアイデンティティ・プロバイダのメタデータをダウンロードします。
- オプションです。IdPの構成設定をテストして、IdPが正常に機能していることを確認します。IdPの資格証明を使用して、外部Webサイトからアイデンティティ・ドメインにサインインできます。
- 「IdPのアクティブ化」で、「アクティブ化」、「終了」の順にクリックします。
次の手順?
Azure SAMLサービス・プリンシパルで、ユーザーとグループの同期を有効にします。手順は、「Azure SAMLサービス・プリンシパルでユーザーおよびグループの同期を有効にするには」を参照してください。
Azure Active DirectoryによるAzureユーザー・グループのOracleDBの認可を有効にするには、OCI IAMにポリシーを作成する必要があります。OCI IAMのポリシーの概要は、「リソースへのアクセスの管理」を参照してください。
ポリシー・ステートメントの例は、「Oracle Database Service for Azureに対するOracle Cloud Infrastructure IAMポリシー・ステートメント」を参照してください。
- https://cloud.oracle.comにあるOCIコンソールに移動します。
- クラウド・アカウント名(テナンシ名とも呼ばれる)を入力し、「次」をクリックします。
- サインインするアイデンティティ・ドメインを選択します。AzureのOracleDBには、デフォルトのドメインを使用します。
- 管理ユーザー名とパスワードでサイン・インします。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
- ドメインのリストで、表示するドメインの名前をクリックします。AzureのOracleDBには、デフォルトのドメインを使用します。
- ドメインの「概要」ページで、「アイデンティティ・ドメイン」にあるリンクのリストで「グループ」をクリックします。
- 「グループの作成」をクリックし、グループ名を入力します。たとえば、
odsa-db-family-administrators
です。 - グループの説明を入力します。
- 「作成」をクリックして、グループを作成します。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ポリシー」をクリックします。
- ポリシーの作成をクリックします。
- ポリシーの名前を入力します。例:
my_odsa_compartment_odsa-db-family-administrators
。 - ポリシーの説明を入力します。
- 「コンパートメント」で、AzureコンパートメントのOracleDBを選択します。
- 「ポリシー・ビルダー」セクションで、「手動エディタの表示」を有効にし、ポリシーをコピーして「ポリシー・ビルダー」フィールドに貼り付けます。
- 現在構成しているポリシーを作成した後に別のポリシーを作成する場合は、「別のポリシーの作成」を選択します。
- 「作成」をクリックします。
- ステップ12から18を繰り返して、ユーザーに必要な追加のポリシーを作成します。
AzureのOracleDBのOCI IAMユーザー・グループおよびポリシーを作成するにはで作成したOCI IAMユーザー・グループには、Azureユーザー認可のOracleDBを有効にするために、Azure Active Directoryで対応するユーザー・グループのセットが必要です。Azureで次のグループを作成し、必要に応じてAzureユーザーを割り当てます:
-
oci-direct-readers
-
network-oci-direct-users
-
exadb-oci-direct-users
-
ocimcs-administrator
- Azureポータルにサインインします。
- ホーム・ページで、「Azure Active Directory」を選択します。
- 「Active Directory」ページで、「Groups」を選択します。
- 「New group」をクリックします。
- 「New Group」ページで、「Group type」に「Security」を選択します。
- グループ名とグループの説明を入力します。
- 「Owners」で「No owners selected」をクリックし、グループ所有者を選択して、「Select」をクリックします。
- 「Members」で「No members selected」をクリックし、グループ・メンバーを選択して、「Select」をクリックします。
- 「作成」をクリックします。
- ステップ4から9を繰り返して、このトピックで説明するすべてのグループを作成します。
- Azureアカウントで、「AzureアカウントにSAMLサービス・プリンシパルを作成するには」の手順で作成したSAMLサービス・プリンシパルに移動します:
- 「Azure services」で、「Azure Active Directory」をクリックします。
- 左側のペインで、「Enterprise applications」をクリックします。
- エンタープライズ・アプリケーションのリストで、アプリケーションの名前をクリックします。アプリケーションの「Overview」ページが表示されます。
- 左側のペインで、「Provisioning」をクリックします。
- 「Get Started」をクリックします。
- 「Provisioning」ページで、「Provisioning Mode」として「Automatic」を選択します。
-
「資格証明の管理」セクションで、「OCIアカウントにAzure用のOracleDBの機密アプリケーションを作成するには」の最後の2つのステップで説明したテナントURLとbase64シークレット・トークンを指定します。
- 「接続のテスト」をクリックします。
- 接続設定が正常な場合は、「Save」をクリックします。
次の手順?
追加のAzureユーザーをAzureユーザー・グループのOracleDBに割り当てることができます。詳細は、サインアップ完了後のAzureへのAzureユーザーに対するOracleDBの追加を参照してください。