Oracle Cloud Infrastructureドキュメント

OCIおよびOktaを使用したSSO

このチュートリアルでは、Oktaがアイデンティティ・プロバイダ(IdP)として機能し、OCI IAMがサービス・プロバイダ(SP)であるOCIとOktaの間にシングル・サインオンを設定します。

この15分のチュートリアルでは、OktaをIdPとして設定し、OCI IAMをSPとして動作させる方法を示します。OktaとOCI IAMの間のフェデレーションを設定すると、Oktaが認証するユーザー資格証明を使用して、OCI IAMのサービスおよびアプリケーションへのユーザーのアクセスが可能になります。

  1. まず、OCI IAMから必要な情報を収集します。
  2. OCI IAMのIdPとしてOktaを構成すること。
  3. OktaがIdPとして機能するようにOCI IAMを構成します。
  4. OCI IAMでIdPポリシーを作成します。
  5. フェデレーテッド認証がOCI IAMとOkta間で機能することをテストします
始める前に

これらのチュートリアルのいずれかを実行するには、次のものが必要です。

  • 有料Oracle Cloud Infrastructure (OCI)アカウントまたはOCIトライアル・アカウント。Oracle Cloud Infrastructure Free Tierを参照してください。

  • OCI IAMアイデンティティ・ドメインのアイデンティティ・ドメイン管理者ロール。管理者ロールの理解を参照してください。
  • プロビジョニングを構成するための管理者権限を持つOktaアカウント。

各チュートリアルのステップから必要な追加情報を収集します。

  • アイデンティティ・ドメインのOCI IdPメタデータおよび署名証明書を取得します。
  • アイデンティティ・ドメインの署名証明書を取得します。
1.OCIアイデンティティ・プロバイダ・メタデータおよびドメインURLの取得

作成したOktaアプリケーションにインポートするには、OCI IAMアイデンティティ・ドメインのIdP SAMLメタデータが必要です。OCI IAMには、使用しているアイデンティティ・ドメインのメタデータをダウンロードするためのダイレクトURLが用意されています。Oktaは、OCIドメインURLを使用してOCI IAMに接続します。

  1. サポートされているブラウザを開き、コンソールURLを入力します:

    https://cloud.oracle.com .

  2. 「クラウド・アカウント名」(テナンシ名とも呼ばれる)を入力し、「次」を選択します。
  3. サインインするアイデンティティ・ドメインを選択します。これは、SSOの構成に使用されるアイデンティティ・ドメインです(Defaultなど)。
  4. ユーザー名とパスワードを使用してサインインします。
  5. ナビゲーション・メニューを開き、「アイデンティティおよびセキュリティ」を選択します。「アイデンティティ」で、「ドメイン」を選択します。
  6. 作業するアイデンティティ・ドメインの名前を選択します。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。次に、「セキュリティ」「アイデンティティ・プロバイダ」の順にクリックします。
  7. 「SAMLメタデータのエクスポート」を選択します。

    SAMLメタデータのダウンロード

  8. 「メタデータ・ファイル」オプションを選択し、「XMLのダウンロード」を選択します。

    XMLファイルをダウンロードします

  9. ダウンロードしたXMLファイルの名前をOCIMetadata.xmlに変更します。
  10. ブレッドクラム・ナビゲーション・トレイルでアイデンティティ・ドメイン名を選択して、アイデンティティ・ドメインの概要に戻ります。「ドメイン情報」の「ドメインURL」の横にある「コピー」を選択し、URLを保存します。これは、後で使用するOCI IAMドメインURLです。

    ドメインURL情報がどこにあるかを示すドメイン情報。

2.Oktaでのアプリケーションの作成

Oktaでアプリケーションを作成し、後で必要になる値をメモします。

  1. ブラウザで、次のURLを使用してOktaにサインインします。
    https://<OktaOrg>-admin.okta.com

    ここで、 <OktaOrg> は、Oktaを使用する組織の接頭辞です。

  2. 左側のメニューで、「セキュリティ」を選択し、「アプリケーション」「アプリケーション・カタログの参照」の順に選択します。
  3. Oracle Cloudを検索し、使用可能なオプションから「Oracle Cloud Infrastructure IAM」を選択します。
  4. 「統合の追加」を選択します。
  5. 「一般設定」で、アプリケーションの名前(OCI IAMなど)を入力し、「完了」を選択します。
  6. 新しいアプリケーションのアプリケーションの詳細ページで、「サインオン」タブを選択し、「SAML署名証明書」で「SAML設定手順の表示」を選択します。
  7. 「SAML設定手順の表示」ページで、次の点に注意してください。
    • エンティティID
    • SingleLogoutService URL
    • SingleSignOnService URL
  8. ファイル拡張子が.pemの証明書をダウンロードして保存します。
3.OCI IAMでのIdPとしてのOktaの作成

OCIコンソールでOktaのIdPを作成します。

  1. 作業中のドメインのOCIコンソールで、「セキュリティ」「アイデンティティ・プロバイダ」の順に選択します。
  2. 「IdPの追加」を選択して、「SAML IdPの追加」を選択します。
  3. SAML IdPの名前を入力します(例: Okta)。「次」を選択します。
  4. Exchangeメタデータ・ページで、「IdPメタデータの入力」が選択されていることを確認します。
  5. Enter the following from step 8 in 2. Create an App in Okta:
    • アイデンティティ・プロバイダ発行者URIの場合: 入力IDを入力します。
    • SSOサービスURLの場合: SingleSignOnService URLを入力します。
    • SSOサービス・バインディングの場合: POSTを選択します。
    • アイデンティティ・プロバイダ署名証明書のアップロードの場合: Okta証明書の.pemファイルを使用します。

      SAMLアイデンティティ・プロバイダの作成のメタデータ交換ページ

    ページをさらに下に移動し、「グローバル・ログアウトの有効化」が選択されていることを確認して、次のように入力します。

    • IDPログアウト・リクエストURLの場合: SingleLogoutService URLを入力します。
    • IDPログアウト・レスポンスURLの場合: eEnter tbhe SingleLogoutService URL。
    • 「ログアウト・バインディング」がPOSTに設定されていることを確認します。

      追加設定

  6. 「次」を選択します。
  7. 「属性のマップ」ページで、次の手順を実行します。
    • 「リクエストされたNameId形式」で、Email addressを選択します。
    • アイデンティティ・プロバイダ・ユーザー属性の場合: SAMLアサーションName IDを選択します。
    • アイデンティティ・ドメイン・ユーザー属性の場合: プライマリ電子メール・アドレスを選択します。
  8. 「次」を選択します。
  9. 「IDPの作成」を確認して選択します。
  10. 次のページで、「アクティブ化」「IdPポリシーに追加」の順に選択します。
  11. 「デフォルトのアイデンティティ・プロバイダ・ポリシー」を選択して開き、ルールの「アクション」メニュー(3つのドット)を選択し、「IdPルールの編集」を選択します。
  12. 「アイデンティティ・プロバイダの割当て」で選択し、「Okta」を選択してリストに追加します。
  13. 「Save changes」を選択します。
  14. SP証明書をダウンロードします。
    • 作業中のドメインのOCIコンソールで、「セキュリティ」「アイデンティティ・プロバイダ」の順に選択します。
    • 「Okta」を選択します。
    • OktaのIdPページで、「サービス・プロバイダ・メタデータ」を選択します。
    • SP署名証明書をダウンロードして保存するには、「サービス・プロバイダ署名証明書」の横にある「ダウンロード」を選択します。
4.Oktaの構成
  1. Oktaコンソールで、「アプリケーション」を選択し、新しいアプリケーションOCI IAMを選択します。
  2. 「サインオン」タブに移動し、「編集」を選択します。
  3. 「シングル・ログアウトの有効化」を選択します。
  4. 前のステップでOCI IAMコンソールからダウンロードした証明書を参照し、「アップロード」を選択します。
  5. 「Advance Sign-on Settings」まで下にスクロールします。
  6. 次を入力します:
  7. 「保存」を選択します。
  8. 「割当」タブに移動し、このアプリケーションへのアクセス権を付与するユーザーを割り当てます。
  9. 「次」を選択します。
5. シングル・サインオンをテストする

  1. コンソールURLを入力してください:

    https://cloud.oracle.com

  2. 「クラウド・アカウント名」(テナンシ名とも呼ばれる)を入力し、「次」を選択します。
  3. ユーザー名とパスワードを使用してサインインします。
  4. Okta IdPを構成したドメインを選択します。
  5. サインイン・ページで、Oktaアイコンを選択します。
  6. Okta資格証明を入力します。OCIコンソールにサインインしています。
次の手順

完了しました。OktaとOCI IAMの間のSSOは、2つの異なる方法で正常に設定されました。

Oracle製品を使用した開発の詳細を確認するには、次のサイトを参照してください: