この記事では、Oracle Cloud Infrastructure Console と Microsoft Entra ID を統合する方法について説明します。 Oracle Cloud Infrastructure Console と Microsoft Entra ID を統合すると、次のことが可能になります。
- Oracle Cloud Infrastructure Console にアクセスできるユーザーを Microsoft Entra ID で制御する。
- ユーザーが自分の Microsoft Entra アカウントで Oracle Cloud Infrastructure Console に自動的にサインインできるようにする。
- 1 つの中央の場所でアカウントを管理します。
[前提条件]
この記事で説明するシナリオでは、次の前提条件が既にあることを前提としています。
- アクティブなサブスクリプションを持つ Microsoft Entra ユーザー アカウント。 まだアカウントがない場合は、無料でアカウントを作成することができます。
- 次のいずれかのロール:
- Oracle Cloud Infrastructure Console でのシングル サインオン (SSO) が有効なサブスクリプション。
注
この統合は、Microsoft Entra 米国政府クラウド環境から利用することもできます。 このアプリケーションは、Microsoft Entra 米国政府クラウドのアプリケーション ギャラリーにあり、パブリック クラウドの場合と同じように構成できます。
シナリオの説明
この記事では、テスト環境で Microsoft Entra SSO を構成してテストします。
- Oracle Cloud Infrastructure Console では、SP Initiated SSO がサポートされます。
- Oracle Cloud Infrastructure Console では、自動化されたユーザー プロビジョニングとプロビジョニング解除 (推奨) がサポートされます。
ギャラリーからの Oracle Cloud Infrastructure Console の追加
Microsoft Entra ID への Oracle Cloud Infrastructure Console の統合を構成するには、マネージド SaaS アプリの一覧にギャラリーから Oracle Cloud Infrastructure Console を追加する必要があります。
- クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
- Entra ID>のEnterprise apps>に移動し、新しいアプリケーションを選択します。
- [ギャラリーから追加する] セクションで、検索ボックスに「Oracle Cloud Infrastructure Console」と入力します。
- 結果のパネルから [Oracle Cloud Infrastructure Console] を選択し、アプリを追加します。 お使いのテナントにアプリが追加されるのを数秒待機します。
または、 エンタープライズ アプリ構成ウィザードを使用することもできます。 このウィザードでは、テナントにアプリケーションを追加したり、ユーザー/グループをアプリに追加したり、ロールを割り当てたり、SSO 構成を確認したりできます。 Microsoft 365 ウィザードの詳細を確認します。
Microsoft Entra SSO の構成とテスト
B. Simon というテスト ユーザーを使用して、Oracle Cloud Infrastructure Console に対する Microsoft Entra SSO を構成してテストします。 SSO を機能させるためには、Microsoft Entra ユーザーと Oracle Cloud Infrastructure Console の関連ユーザーとの間にリンク関係を確立する必要があります。
Oracle Cloud Infrastructure Console に対して Microsoft Entra SSO を構成してテストするには、次の手順を行います。
-
Microsoft Entra SSO を構成して、ユーザーがこの機能を使用できるようにします。
- B. Simon で Microsoft Entra のシングル サインオンをテストする Microsoft Entra テスト ユーザーを作成します。
- Microsoft Entra テスト ユーザーを割り当てて 、B. Simon が Microsoft Entra シングル サインオンを使用できるようにします。
-
Oracle Cloud Infrastructure Console SSO の構成 - アプリケーション側で SSO 設定を構成します。
- Oracle Cloud Infrastructure Console のテスト ユーザーを作成して、Oracle Cloud Infrastructure Console 上で B. Simon の対応ユーザーとして、Microsoft Entra のユーザー表現にリンクさせます。
- SSO のテスト - 構成が機能するかどうかを確認します。
Microsoft Entra SSO の構成
Microsoft Entra SSO を有効にするには、次の手順に従います。
クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
Entra ID>Enterprise apps>Oracle Cloud Infrastructure Console アプリケーション統合ページを参照し、[管理] セクションを見つけて、[シングル サインオン] を選択します。
[シングル サインオン方式の選択] ページで、 [SAML] を選択します。
[SAML によるシングル サインオンのセットアップ] ページで、 [基本的な SAML 構成] の鉛筆アイコンを選択して設定を編集します。
[基本的な SAML 構成] セクションで、次の手順を実行します。
注
サービス プロバイダー メタデータ ファイルは、記事の 「Oracle Cloud Infrastructure Console のシングル サインオンの構成 」セクションから取得します。
[ メタデータ ファイルのアップロード] を選択します。
フォルダー ロゴを選択してメタデータ ファイルを選択し、[アップロード] を選択します。
メタデータ ファイルが正常にアップロードされると、識別子と応答 URL の値が、 [基本的な SAML 構成] セクションのテキストボックスに自動的に設定されます。
注
識別子と応答 URL の値が自動的に設定されない場合は、要件に従って値を手動で入力します。
[ サインオン URL ] テキスト ボックスに、次のパターンを使用して URL を入力します。
https://cloud.oracle.com/?region=<REGIONNAME>
注
これは実際の値ではありません。 実際の Sign-On URL で値を更新します。 この値を取得するには、Oracle Cloud Infrastructure Console のクライアント サポート チームに問い合わせてください。 [基本的な SAML 構成] セクションに示されているパターンを参照することもできます。
[SAML でシングル サインオンをセットアップします] ページの [SAML 署名証明書] セクションで、 [フェデレーション メタデータ XML] を探して [ダウンロード] を選択し、証明書をダウンロードしてコンピューターに保存します。
Oracle Cloud Infrastructure Console アプリケーションでは、特定の形式の SAML アサーションを受け取るため、SAML トークン属性の構成にカスタム属性マッピングを追加する必要があります。 次のスクリーンショットは、既定の属性の一覧を示しています。 [編集] アイコンを選択して、[ユーザー属性] ダイアログを開きます。
その他に、Oracle Cloud Infrastructure Console アプリケーションでは、いくつかの属性が SAML 応答で返されることが想定されています。 [グループ要求 (プレビュー)] ダイアログの [ユーザー属性と要求] セクションで、次の手順を実行します。
[名前識別子の値] の横にあるペンを選択します。
[名前識別子の形式の選択 ] として [Persistent] を選択します。
保存 を選択します。
要求で返されるグループの横にあるペンを選択します。
ラジオ ボタンのリストから [セキュリティ グループ] を選択します。
[グループ ID] の [ソース属性] を選択します。
[グループ要求の名前をカスタマイズする] をオンにします。
[名前] ボックスに「groupName」と入力します。
[名前空間 (省略可能)] ボックスに「
https://auth.oraclecloud.com/saml/claims
」と入力します。保存 を選択します。
[Set up Oracle Cloud Infrastructure Console](Oracle Cloud Infrastructure Console の設定) セクションで、要件に基づいて適切な URL をコピーします。
Microsoft Entra テスト ユーザーの作成と割り当て
ユーザー アカウントの作成と割り当ての クイックスタートのガイドラインに従って、B.Simon というテスト ユーザー アカウントを作成します。
Oracle Cloud Infrastructure Console SSO の構成
別の Web ブラウザー ウィンドウで、Oracle Cloud Infrastructure Console に管理者としてサインインします。
メニューの左側を選択し、[ ID ] を選択し、[ フェデレーション] に移動します。
[このドキュメントのダウンロード] リンクを選択してサービス プロバイダーのメタデータ ファイルを保存し、Azure portal の [基本的な SAML 構成] セクションにアップロードし、[Id プロバイダーの追加] を選択します。
[ID プロバイダーの追加] ポップアップで、次の手順に従います。
[NAME](名前) ボックスに自分の名前を入力します。
[DESCRIPTION](説明) ボックスに説明を入力します。
[MICROSOFT ACTIVE DIRECTORY FEDERATION SERVICE (ADFS) または SAML 2.0 に準拠している ID プロバイダー](MICROSOFT ACTIVE DIRECTORY FEDERATION SERVICE (ADFS) または SAML 2.0 に準拠している ID プロバイダー) を [TYPE](種類) として選択します。
[ 参照 ] を選択して、以前にダウンロードしたフェデレーション メタデータ XML をアップロードします。
[ 続行] を選択し、[ ID プロバイダーの編集 ] セクションで次の手順を実行します。
[ID プロバイダー グループ] では、[Microsoft Entra グループ オブジェクト ID] が選択されている必要があります。 [グループ ID] は Microsoft Entra ID のグループの GUID である必要があります。 このグループを、 [OCI GROUP](OCI グループ) フィールド内の対応するグループとマップする必要があります。
Azure portal での設定と組織のニーズに応じて複数のグループをマップできます。 [+ マッピングの追加] を選択して、必要な数のグループを追加します。
送信を選択します。
Oracle Cloud Infrastructure Console のテスト ユーザーの作成
Oracle Cloud Infrastructure Console では、Just-In-Time プロビジョニングがサポートされています。この設定は、既定で有効になっています。 このセクションにはアクション項目はありません。 アクセスの試行中に新しいユーザーが作成されることはありません。また、ユーザーを作成する必要もありません。
SSO のテスト
マイ アプリで [Oracle Cloud Infrastructure Console] タイルを選択すると、Oracle Cloud Infrastructure Console のサインイン ページにリダイレクトされます。 ドロップダウン メニューから [IDENTITY PROVIDER ] を選択し、次に示すように [続行 ] を選択してサインインします。 マイ アプリの詳細については、マイ アプリの概要に関するページを参照してください。
関連コンテンツ
Oracle Cloud Infrastructure Console を構成したら、組織の機密データの流出や侵入からリアルタイムで保護するセッション制御を適用することができます。 セッション制御は、条件付きアクセスから拡張されます。 Microsoft Defender for Cloud Appsでセッション制御を適用する方法について説明します。