OktaからOCI IAMへのJITプロビジョニング
このチュートリアルでは、Oktaをアイデンティティ・プロバイダ(IdP)として使用して、OCIコンソールとOktaの間でJust-In-Time (JIT)プロビジョニングを構成します。
ターゲット・システムへのアクセスをリクエストしたときにターゲット・システムにアイデンティティを作成できるように、JITプロビジョニングを設定できます。これは、すべてのユーザーが事前に作成されているよりも簡単に設定できます。
このチュートリアルでは、次のステップについて説明します。
- Oktaによって送信されるSAML属性を構成します。
- OCI IAMでJIT属性を構成します。
- OCI IAMとOkta間のJITプロビジョニングをテストすること。
このチュートリアルは、アイデンティティ・ドメインのIAMに固有です。
このチュートリアルを実行するには、次のものが必要です:
-
有料Oracle Cloud Infrastructure (OCI)アカウントまたはOCIトライアル・アカウント。Oracle Cloud Infrastructure Free Tierを参照してください。
- OCI IAMアイデンティティ・ドメインのアイデンティティ・ドメイン管理者ロール。管理者ロールの理解を参照してください。
- 次のいずれかのOktaロールを持つOktaアカウント。
- グローバル管理者
- クラウド・アプリケーション管理者
- アプリケーション管理者
また、チュートリアルOCIおよびOktaを使用したSSOを完了し、JITプロビジョニングに使用するグループのオブジェクトIDを収集しておく必要があります。
OCI IAMで、JITのOkta IdPを更新します。
-
サポートされているブラウザを開き、コンソールURLを入力します:
- 「クラウド・アカウント名」(テナンシ名とも呼ばれる)を入力し、「次」を選択します。
- SSOの構成に使用するアイデンティティ・ドメインを選択します。
- ユーザー名とパスワードを使用してサイン・インします。
- ナビゲーション・メニューを開き、「アイデンティティおよびセキュリティ」を選択します。
- 「アイデンティティ」で、「ドメイン」を選択します。
- OktaをIdPとして構成したアイデンティティ・ドメインを選択します。
- 左側のメニューで「セキュリティ」、「アイデンティティ・プロバイダ」の順に選択します。
- Okta IdPを選択します。
- 「Configure JIT」を選択します。
- 「Just-in-time (JIT)プロビジョニングの構成」ページで、次の手順を実行します。
- 「Just-In-Time (JIT)プロビジョニング」を選択します。
- 「新規アイデンティティ・ドメイン・ユーザーの作成」を選択します。
- 「既存のアイデンティティ・ドメイン・ユーザーの更新」を選択します。
- 「ユーザー属性のマップ」で、次の手順を実行します。
NameIDの最初の行は変更しません。- その他の属性については、「IdP user attribute」で
Attributeを選択します。 - IdPユーザー属性名を次のように指定します。
- familyName:
familyName - primaryEmailAddress:
email
- familyName:
- 「行の追加」を選択し、
firstNameと入力します。アイデンティティ・ドメインのユーザー属性には、
First nameを選択します。ノート
Oktaからのユーザー・アサーションの一部として送信される追加のユーザー属性を構成した場合は、行を追加することで、それらをアイデンティティ・ドメインのユーザー属性にマップできます。
- 「グループ・マッピングの割当て」を選択します。
- グループ・メンバーシップ属性名を入力します。このチュートリアルでは、
groupsを使用します。ノート
次の項で使用するため、グループ・メンバーシップ属性名をノートにとります。 - 「明示的なグループ・メンバーシップ・マッピングの定義」を選択します。
- アイデンティティ・ドメイン・グループ名にマップするIdPグループ名で、次の手順を実行します。
- IdP Group nameで、Okta内のグループの名前を指定します。
- 「アイデンティティ・ドメイン・グループ名」で、OktaグループをマップするOCI IAMのグループを選択します。
ノート
「行の追加」を選択すると、追加のグループをマップできます。この図は、左側のOktaで構成された属性と、右側のOCI IAMにマップされた属性を示しています。
- 「割当ルール」で、次を選択します。
- グループ・メンバーシップを割り当てる場合: 既存のグループ・メンバーシップとマージ
- グループが見つからない場合: Ignore the missing group
ノート
組織の要件に基づいてオプションを選択します。 - 「Save changes」を選択します。
Oktaで、OCI IAMアプリケーション構成を更新して、SAMLアサーションでユーザー属性およびグループ名を送信します。
- Oktaで、OCI IAM用に作成したエンタープライズ・アプリケーションで、「サインオン」タブを選択します。
- 「設定」の横にある「編集」を選択します。
- Saml 2.0で、「属性(オプション)」の横にある「>」を選択します。
- 次の値を指定します。
名前 名前の書式 値 firstNameUnspecifieduser.firstNamefamilyNameUnspecifieduser.lastNameemailUnspecifieduser.emailビジネス要件にあわせて追加属性を追加できますが、このチュートリアルに必要なのは属性のみです。
- 「グループ属性文」に、次の値を入力します。ノート
Oktaには、SAMLアサーションで送信できるグループをフィルタ処理するためのメカニズムが用意されています。フィルタには、Starts with、Equals、Contains、Matches regexなどのオプションがあります。このチュートリアルでは、Containsフィルタを使用します。これは、Oktaが、ユーザーに関連付けられ、指定された文字列を含むグループのみを送信することを意味します。この例では、文字列としてAdminを指定しているため、文字列Adminを含み、ユーザーに関連付けられているすべてのグループがSAMLアサーションで送信されます。名前 名前の書式 フィルタ 値 groupsUnspecifiedContainsAdmin
- 「保存」を選択します。
- Oktaコンソールで、OCI IAMに存在しない電子メールIDで新しいユーザーを作成します。
- ユーザーを必要なグループ(
Administrators and Adminsなど)に割り当てます。 - Oktaからログアウトします。
- OktaのOCI IAMアプリケーションにユーザーを割り当てます。
- ブラウザで、OCIコンソールを開きます。
- JIT構成が有効化されているアイデンティティ・ドメインを選択します。
- サインイン・オプションから、「Okta」を選択します。
- Oktaログイン・ページで、新しく作成したユーザーIDを指定します。
- Oktaからの認証に成功した場合:
- ユーザー・アカウントはOCI IAMで作成されます。
- ユーザーはOCIコンソールにログインしています。
-
ナビゲーション・メニューで、「プロファイル」メニュー
を選択し、「ユーザー設定」を選択します。電子メールID、名、姓、関連グループなどのユーザー・プロパティを確認します。
完了しました。OktaとIAM間のJITプロビジョニングが正常に設定されました。
Oracle製品を使用した開発の詳細を確認するには、次のサイトを参照してください: