Oracle Cloud InfrastructureへのOracle Access Managerのフェデレート ORACLE WHITE PAPER | 2019年8月

2 | FEDERATING ORACLE ACCESS MANAGER TO ORACLE CLOUD INFRASTRUCTURE

免責事項 下記事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯

一の目的とするものであり、いかなる契約にも組み込むことはできません。マテリアルやコード、

機能の提供をコミットメント（確約）するものではなく、購買を決定する際の判断材料になさらな

いで下さい。オラクルの製品に関して記載されている機能の開発、リリース、および時期について

は、弊社の裁量により決定されます。

改訂履歴 このホワイト・ペーパーは、初版の公開後、次の改訂がありました。 日付

改訂内容

2019年8月8日 属性マッピング値のエラーを修正

2018年8月31日 初版

Oracle Cloud Infrastructureホワイト・ペーパーの最新のバージョンは、

https://cloud.oracle.com/iaas/technical-resourcesで入手できます。

3 | FEDERATING ORACLE ACCESS MANAGER TO ORACLE CLOUD INFRASTRUCTURE

目次 概要 4

対象読者 4

前提条件 4

Oracle Cloud InfrastructureをOracle Access Managerにフェデレートするプロセス 4

ステップ1: フェデレーション・メタデータの収集および信頼関係の構成 5

ステップ2: IdPメタデータのダウンロードおよびサービス・プロバイダの構成 5

ステップ3: Oracle Access Managerによるフェデレーションの設定 10

ステップ4: 構成のテスト 11

4 | FEDERATING ORACLE ACCESS MANAGER TO ORACLE CLOUD INFRASTRUCTURE

概要 このドキュメントは、Oracle Access ManagerによりOracle Cloud Infrastructureのフェデレーショ

ンを構成するステップを示します。Oracle Access Managerは、Oracle Cloud Infrastructure向けの

完全にサポートされたアイデンティティ・プロバイダ(IdP)で、SAML 2.0プロトコルをサポートし

ています。 対象読者 このドキュメントの対象読者は次のとおりです。

• Oracle Cloud Infrastructureを評価したいお客様、およびOracle Access ManagerをIdPとし

て使用してOracle Cloud Infrastructureコンソールで認証したいお客様

• Oracle Cloud Infrastructureの機能を顧客環境で実際に紹介したいコンサルタントおよびソ

リューション・アーキテクト 前提条件 プロセスを開始する前に、次の前提条件を満たしていることを確認します。

• Oracle Access Manager 11gR2PS3または12cPS3を保有していること。

• 1人以上の管理ユーザーおよび1つ以上のグループが設定されているOracle Cloud Infrastructureテナンシを保有していること。OCI_AdminsまたはOCI_Usersなどの簡単に

認識できる接頭辞を使用してOracle Cloud Infrastructureにアクセスするためのグループを

設定することをお薦めします。また、作成した各グループには、ユーザーも必要です。

• アイデンティティ・フェデレーションの一般的な概念に精通していること。 Oracle Cloud InfrastructureをOracle Access Managerにフェ

デレートするプロセス Oracle Access ManagerによるOracle Cloud Infrastructureのフェデレーションの大まかな設定プロ

セスは、次のとおりです。

1. Oracle Cloud Infrastructureコンソールで、必要なフェデレーション・メタデータを収集し、

Oracle Access Managerを使用して信頼関係を構成します。

2. Oracle Access Managementコンソールで、テナンシのOracle Cloud Infrastructureサービ

ス・パートナ(つまり、信頼できるリライイング・パーティ)を構成し、グループ・メン

バーシップをアサートします。

5 | FEDERATING ORACLE ACCESS MANAGER TO ORACLE CLOUD INFRASTRUCTURE

3. Oracle Cloud Infrastructureコンソールで、Oracle Access Managerによるフェデレーショ

ンを設定し、適切なOracle Access ManagerグループをOracle Cloud Infrastructureグルー

プにマップします。

4. Oracle Access Managerのアイデンティティを使用して、Oracle Cloud Infrastructureにロ

グインすることで、構成をテストします。

次の項で、詳細なステップを示します。 ステップ1: フェデレーション・メタデータの収集および信頼関係の

構成

1. Oracle Cloud Infrastructureコンソールで、ナビゲーション・メニューを開きます。「ガバ

ナンスと管理」で、「アイデンティティ」に移動して、「フェデレーション」をクリック

します。

データ・センターのURLがブラウザに表示されます。

「フェデレーション」ページの下部にテナンシOCIDが表示されます。

2. ページ下部の近くにあるリンクをクリックし、Oracle Cloud Infrastructureのエンドポイン

トおよび証明書情報を説明するXMLドキュメントをダウンロードします。自分のリージョ

ンおよびテナンシOCIDが使用されたURIは、次のようになります。 https://auth.us-<region>-1.oraclecloud.com/v1/saml/<tenancy_OCID>/metadata.xml

3. 次の項でOracle Access Managerにインポートするために、このページを

OCImetadata.xmlとして保存します。

ステップ2: IdPメタデータのダウンロードおよびサービス・プロバイダ

の構成

1. Oracle Access Managerアカウント

(http://<your_oam_host>/oamconsole/faces/admin.jspx)に管理者としてサイ

ンインします。

6 | FEDERATING ORACLE ACCESS MANAGER TO ORACLE CLOUD INFRASTRUCTURE

2. ページの上部で、「構成」をクリックします。

3. 「設定」の下で、「表示」をクリックし、次に「フェデレーション」をクリックします。

4. 「SAML 2.0メタデータのエクスポート」をクリックします。後のステップで、このメタ

データをOracle Cloud Infrastructureにインポートします。

5. エクスポートされたファイルを編集し、<md:RoleDescriptor> ….</md:RoleDescriptor>

セクションを削除します。ファイルを保存します。

6. コンソール・ページの上部で、「フェデレーション」をクリックします。

7 | FEDERATING ORACLE ACCESS MANAGER TO ORACLE CLOUD INFRASTRUCTURE

7. 「フェデレーション」の横にあるプラス(+)記号をクリックして、「サービス・プロバイ

ダ・パートナの作成」を選択します。

8. 次の値を入力します。

• 「名前」にOCIと入力します。

• 簡単な説明を入力します。

• 「メタデータのロード」をクリックして、OCImetadata.xmlファイルをアップロード

します。

• 「NameID形式」で、「永続」を選択します。

• 「NameID値」にmailと入力します。

8 | FEDERATING ORACLE ACCESS MANAGER TO ORACLE CLOUD INFRASTRUCTURE

9. 「起動パッド」タブをクリックし、次に「アイデンティティ・プロバイダ管理」をクリッ

クします。

永続

9 | FEDERATING ORACLE ACCESS MANAGER TO ORACLE CLOUD INFRASTRUCTURE

10. sp-attribute-profileを検索し、クリックします。

11. 次の値を使用して、属性マッピングを作成します。

• メッセージ属性名: https://auth.oraclecloud.com/saml/claims/groupName

• 値: user * groups

Oracle Cloud Infrastructureは、50のグループ・メンバーシップのみを許容できます。ユー

ザーが50を超えるグループ・メンバーシップを保有している場合、Oracle Cloud Infrastructureに関連するグループのみを送信することをお薦めします(したがって、Oracle Cloud Infrastructureグループの先頭にOCIを追加することをお薦めします)。これを行うに

は、Oracle Access Managerで、userからexpressionに変更し、式$user.groups = "OCI_*"を入力します。

10 | FEDERATING ORACLE ACCESS MANAGER TO ORACLE CLOUD INFRASTRUCTURE

ユーザーが複数のグループに属している場合、Oracle Access Managerの初期設定の動作

は、カンマ区切り形式でのグループ属性の送信です。加えて、「常に送信」はtrueに設定

されています。

12. この動作を変更して、複数値属性を単一のエントリで送信するには、Oracle Access Managementドキュメント内の説明に従ってください。

13. Oracle Access Managerサーバーを再起動します。

ステップ3: Oracle Access Managerによるフェデレーションの設定 Oracle Cloud Infrastructureコンソールに戻り、Oracle Access Managerによる自分のテナンシの

フェデレーションを構成します。

1. ナビゲーション・メニューの「ガバナンスと管理」で、「アイデンティティ」に移動して、

「フェデレーション」をクリックします。

2. 「アイデンティティ・プロバイダの追加」をクリックします。

3. 「アイデンティティ・プロバイダの追加」ダイアログ・ボックスで、次の値を入力します。

• 名前(例: OAM)を入力します。

• 説明を入力します。 • 「タイプ」で、「Microsoft Active Directory Federation Service (ADFS)または

SAML 2.0準拠のアイデンティティ・プロバイダ」を選択します。

• 「XML」セクションで、(ステップ2で) Oracle Access Managerからエクスポートし編

集したフェデレーション・メタデータXMLファイルをアップロードします。

4. 「続行」をクリックします。

11 | FEDERATING ORACLE ACCESS MANAGER TO ORACLE CLOUD INFRASTRUCTURE

5. 「アイデンティティ・プロバイダの追加」ダイアログ・ボックスの「マッピング」セク

ションで、Oracle Access ManagerグループをOracle Cloud Infrastructureグループにマッ

プします。たとえば、アイデンティティ・プロバイダ・グループOCIAdminsをOracle Cloud InfrastructureグループAdministratorsにマップできます。

6. 「送信」をクリックします。

ステップ4: 構成のテスト Oracle Access Managerによるフェデレーションが設定されたため、次のいくつかのステップを実

行して、フェデレーションが正しく構成されていることを確認します。

1. Oracle Cloud Infrastructureコンソールからサインアウトし、Oracle Access Managerから

サインアウトします。

2. Oracle Cloud Infrastructureテナンシのサインイン・ページに移動します。SSOを使用して

サインするための新しいオプションが表示されます。

12 | FEDERATING ORACLE ACCESS MANAGER TO ORACLE CLOUD INFRASTRUCTURE

3. 「アイデンティティ・プロバイダ」リストで、OAM (またはIdPに付けた名前)を選択し、

「続行」をクリックします。

サイン・ページにより、Oracle Access Managerにリダイレクトされます。

4. ユーザーのOracle Access Manager資格証明のいずれかを使用してサインインします。

5. 次のページで、ユーザーがOracle Cloud Infrastructureコンソールに正常にサインインした

ことを確認します。

6. 適切なリソースへのアクセス権がこのユーザーにあることを確認します。

たとえば、ユーザーがOracle Access Manager内のOCIAdminsグループに含まれていて、

そのグループをOracle Cloud Infrastructure内のAdministratorsグループにマップしていた場

合、そのユーザーは、ユーザーまたはコンパートメントの作成などのOracle Cloud Infrastructureコンソールのタスクを完了できる必要があります。

Oracle Corporation, World Headquarters Worldwide Inquiries 500 Oracle Parkway Phone: +1.650.506.7000 Redwood Shores, CA 94065, USA Fax: +1.650.506.7200

CONNECT WITH US

blogs.oracle.com/oracle

facebook.com/oracle

twitter.com/oracle

oracle.com

Copyright © 2019, Oracle and/or its affiliates.All rights reserved.本文書は情報提供のみを目的として提供されており、ここに記

載されている内容は予告なく変更されることがあります。本文書は一切間違いがないことを保証するものではなく、さらに、

口述による明示または法律による黙示を問わず、特定の目的に対する商品性もしくは適合性についての黙示的な保証を含み、

いかなる他の保証や条件も提供するものではありません。オラクル社は本文書に関するいかなる法的責任も明確に否定し、本

文書によって直接的または間接的に確立される契約義務はないものとします。本文書はオラクル社の書面による許可を前もっ

て得ることなく、いかなる目的のためにも、電子または印刷を含むいかなる形式や手段によっても再作成または送信すること

はできません。

OracleおよびJavaはオラクルおよびその関連会社の登録商標です。その他の社名、商品名等は各社の商標または登録商標であ

る場合があります。

Intel、Intel Xeonは、Intel Corporationの商標または登録商標です。すべてのSPARCの商標はライセンスをもとに使用し、

SPARC International, Inc.の商標または登録商標です。AMD、Opteron、AMDロゴ、AMD Opteronロゴは、Advanced Micro Devices, Inc.の商標または登録商標です。UNIXは、The Open Groupの登録商標です。0819

Oracle Cloud InfrastructureへのOracle Access Managerのフェデレート 2019年8月 著者: David Lee