Microsoft Entra IDとの統合
前提条件
Microsoft Entra IDオーケストレート済システムをインストールおよび構成する前に、次の前提条件およびタスクを考慮する必要があります。
動作保証されたコンポーネント
Microsoft Entra IDシステムは、次のいずれかです。
| コンポーネント・タイプ | コンポーネント |
|---|---|
| システム |
|
| システムAPIバージョン |
|
サポートされているモード
Microsoft Entra IDオーケストレート済システムでは、次のモードがサポートされています。
- 認可ソース
- 管理対象システム
サポートされている操作
Microsoft Entra IDオーケストレート済システムは、Microsoft Entra IDに対する次の操作をサポートしています。
- ユーザーの作成
- ユーザーの削除
- パスワードのリセット
- ユーザーにロールを割り当てる
- ユーザーからのロールの取消し
- ユーザーへのライセンスの割当
- ユーザーからライセンスを削除
- ユーザーへのSecurityGroupの割当て
- ユーザーからのSecurityGroupの削除
- ユーザーへのOfficeGroupの割当て
- ユーザーからのOfficeGroupの削除
デフォルトのサポートされる属性
Microsoft Entra IDオーケストレート済システムでは、次のデフォルト属性がサポートされます。これらの属性は、接続の方向に応じてマップされます。次に例を示します。
- Oracle Access GovernanceによってMicrosoft Entra IDから取り込まれるデータ:
User.givenNameはIdentity.firstNameにマップされます - Oracle Access GovernanceからMicrosoft Entra IDにプロビジョニングされるデータ:
account.lastNameはUser.surnameにマップされます
| Microsoft Entra ID/Microsoft Entra ID B2C対応テナント・エンティティ | 管理対象システムの属性名 | Oracle Access Governanceアイデンティティ属性名 | Oracle Access Governanceアイデンティティ属性表示名 |
|---|---|---|---|
| ユーザー | id | uid | 一意ID |
| mailNickname | 名前 | 従業員ユーザー名 | |
| userPrincipalName | Eメール | Eメール | |
| givenName | firstName | 名 | |
| 姓 | lastName | 姓 | |
| displayName | displayName | 名前 | |
| usageLocation | usageLocation | ローカリティ名 | |
| マネージャ | managerLogin | マネージャ | |
| preferredLanguage | preferredLanguage | 優先言語 | |
| accountEnabled | ステータス | ステータス | |
| B2C対応テナントの追加属性 | アイデンティティ | identities.issuerAssignedId | アイデンティティ |
| アイデンティティ | identities.signInType | サインイン・タイプ | |
| アイデンティティ | identities.issuer | 発行者 | |
| passwordPolicies | passwordPolicy | パスワード・ポリシー |
| Microsoft Entra ID/Microsoft Entra ID B2C対応テナント・エンティティ | 管理対象システムの属性名 | Oracle Access Governanceアカウント属性名 | Oracle Access Governanceアカウント属性表示名 |
|---|---|---|---|
| ユーザー | id | uid | 一意ID |
| userPrincipalName | 名前 | ユーザー・ログイン | |
| givenName | firstName | 名 | |
| 姓 | lastName | 姓 | |
| displayName | displayName | 名前 | |
| mailNickname | mailNickname | メール・ニックネーム | |
| メール | Eメール | Eメール | |
| usageLocation | usageLocation | 使用場所 | |
| 市区町村 | 市区町村 | 市区町村 | |
| 国 | 国 | 国 | |
| マネージャ | managerLogin | マネージャ | |
| passwordProfile.forceChangePasswordNextSignIn | forceChangePasswordNextSignIn | 次のログオン時にパスワードを変更 | |
| preferredLanguage | preferredLanguage | 優先言語 | |
| userType | userType | 従業員タイプ | |
| accountEnabled | ステータス | ステータス | |
| パスワード | パスワード | パスワード | |
| B2C対応テナントの追加属性 | |||
| identities.issuerAssignedId | issuerAssignedId | 発行者の割当てID | |
| identities.signInType | signInType | サインインタイプ | |
| identities.issuer | 発行者 | 発行者 | |
| passwordPolicies | passwordPolicy | パスワード・ポリシー | |
| ライセンス | 権限としてのライセンス |
Microsoft Enterprise Applicationの構成と設定
接続を確立する前に、Microsoft Entra ID Admin Center for the Enterpriseアプリケーションで次のタスクを実行する必要があります。
- Oracle Access Governanceと統合するエンタープライズ・アプリケーションを作成および登録します。詳細は、Microsoftのドキュメントを参照してください。
- アプリケーションのクライアントのシークレットを生成します
- Microsoft Graph APIに対して次の委任権限およびアプリケーション権限を付与します。
委任された権限
- Directory.ReadWrite.All
- Group.ReadWrite.All
- GroupMember.ReadWrite.All
- User.Read
- User.ReadWrite
アプリケーション権限
- Directory.ReadWrite.All
- Group.ReadWrite.All
- GroupMember.ReadWrite.All
- User.ReadWrite.All
- RoleManagement.ReadWrite.Directory
- 「管理承諾の付与」ボタンを選択して、統合システムの関連APIタスクを実行するためのディレクトリ全体のフル権限を指定します
詳細は、Microsoftのドキュメントを参照してください。
デフォルト照合ルール
Oracle Access Governanceのアイデンティティにアカウントをマップするには、Microsoft Entra IDオーケストレート済システムのオーケストレート済system.Theデフォルト照合ルールごとに、一致ルールが必要です:
| モード | デフォルト照合ルール |
|---|---|
| 認可ソース アイデンティティ一致では、受信アイデンティティが既存のアイデンティティと一致するか、新しいアイデンティティであるかがチェックされます。 |
Microsoft Entra ID/Microsoft Entra ID B2C対応テナントの場合: 画面値:
属性名:
|
|
管理されたシステム
アカウント照合では、受信アカウントが既存のアイデンティティと一致するかどうかがチェックされます。 |
Microsoft Entra IDの場合: 画面値:
属性名:
Microsoft Entra ID B2C対応テナントの場合: 画面値:
属性名:
|
構成
接続の詳細を入力することで、Microsoft Entra ID (以前のAzure Active Directory)とOracle Access Governanceの間の接続を確立できます。これを実現するには、Oracle Access Governanceコンソールで使用可能な調整されたシステム機能を使用します。
「Orchestrated Systems」ページに移動します。
次のステップに従って、Oracle Access Governanceコンソールの「Orchestrated Systems」ページにナビゲートします。
- Oracle Access Governanceのナビゲーション・メニュー・アイコン
から、「Service Administration」→「Orchestrated Systems」を選択します。 - ワークフローを開始するには、「オーケストレート済システムの追加」ボタンを選択します。
システムの選択
ワークフローの「システムの選択」ステップで、オンボーディングするシステムのタイプを指定できます。「検索」フィールドを使用して、名前で必要なシステムを検索できます。
- 「Microsoft Entra ID」を選択します。
- 「次へ」をクリックします。
詳細の入力
ワークフローの「詳細の追加」ステップで、オーケストレート済システムの詳細を入力します:
- 「名前」フィールドに、接続先のシステムの名前を入力します。
- 「説明」フィールドに、システムの説明を入力します。
- このオーケストレート済システムが信頼できるソースかどうか、および次のチェック・ボックスを設定してOracle Access Governanceが権限を管理できるかどうかを決定します。
-
これは私のアイデンティティの認証ソースです
次の項目から選択します。
- アイデンティティとその属性のソース: システムは、ソース・アイデンティティおよび関連する属性として機能します。新しいアイデンティティは、このオプションを使用して作成されます。
- アイデンティティ属性のソースのみ: 追加のアイデンティティ属性の詳細が取り込まれ、既存のアイデンティティに適用されます。このオプションは、新規アイデンティティ・レコードを取込みまたは作成しません。
- このシステムの権限を管理します
-
これは私のアイデンティティの認証ソースです
- 「次へ」を選択します。
ノート
Microsoft Entra IDオーケストレート済システムを使用すると、「このオーケストレート済システムのアイデンティティ・コレクションを管理したい」オプションを使用して、Microsoft Entra ID内のグループを管理できます。選択すると、このチェック・ボックスを使用して、Oracle Access Governance内からMicrosoft Entra IDグループを管理できます。Microsoft Entra IDグループに加えられた変更は、Oracle Access Governanceとオーケストレート済システムの間で調整されます。同様に、Microsoft Entra IDで行われた変更は、Oracle Access Governanceに反映されます
Microsoft Entra IDオーケストレート済システムを使用すると、「このオーケストレート済システムのアイデンティティ・コレクションを管理したい」オプションを使用して、Microsoft Entra ID内のグループを管理できます。選択すると、このチェック・ボックスを使用して、Oracle Access Governance内からMicrosoft Entra IDグループを管理できます。Microsoft Entra IDグループに加えられた変更は、Oracle Access Governanceとオーケストレート済システムの間で調整されます。同様に、Microsoft Entra IDで行われた変更は、Oracle Access Governanceに反映されます
所有者の追加
リソース所有権を関連付けるには、プライマリ所有者と追加所有者を追加します。これにより、これらの所有者は所有するリソースを管理(読取り、更新または削除)できるため、セルフサービスが促進されます。デフォルトでは、リソース作成者はリソース所有者として指定されます。1人のプライマリ所有者と最大20人の追加所有者をリソースに割り当てることができます。所有者を追加するには:
- 「プライマリ所有者は誰ですか。」フィールドで、Oracle Access Governanceのアクティブ・ユーザーをプライマリ所有者として選択します。
- 「他の所有者は誰ですか。」リストで1つ以上の追加所有者を選択します。リソースに最大20人の追加所有者を追加できます。
アカウント設定
ワークフローの「アカウント設定」ステップで、システムが管理対象システムとして構成されている場合、Oracle Access Governanceでアカウントを管理する方法を入力します:
- 権限が要求され、アカウントがまだ存在しない場合は、このオプションを選択して新しいアカウントを作成します。このオプションはデフォルトで選択されています。選択すると、権限が要求されたときにアカウントが存在しない場合、Oracle Access Governanceによってアカウントが作成されます。このオプションをクリアすると、権限はオーケストレート済システム内の既存のアカウントに対してのみプロビジョニングされます。アカウントが存在しない場合、プロビジョニング操作は失敗します。
- アカウント作成時の通知電子メールの受信者を選択します。デフォルトの受信者は「ユーザー」です。受信者が選択されていない場合、アカウントの作成時に通知は送信されません。
- ユーザー
- ユーザー・マネージャ
- 既存のアカウントの構成ノート
これらの構成を設定できるのは、システム管理者によって許可されている場合のみです。グローバル・アカウント終了設定が有効になっている場合、アプリケーション管理者は、調整されたシステム・レベルでアカウント終了設定を管理できません。- 早期終了開始時のアカウントの処理の選択: 早期終了の開始時に実行する処理を選択します。これは、正式な退職日より前にアイデンティティ・アクセスを取り消す必要がある場合に発生します。
- 削除: Oracle Access Governanceで管理されているすべてのアカウントおよび権限を削除します。ノート
特定のオーケストレート済システムでアクションがサポートされていない場合、アクションは実行されません。 - 無効化: すべてのアカウントを無効化し、Oracle Access Governanceで管理される権限を無効化します。
- 無効化されたアカウントの権限の削除: 残存アクセス権がゼロであることを確認するには、これを選択して、アカウントの無効化時に直接割り当てられた権限およびポリシーで付与された権限を削除します。
- アクションなし: アイデンティティにOracle Access Governanceによる早期終了のフラグが付けられている場合、アクションは実行されません。
- 削除: Oracle Access Governanceで管理されているすべてのアカウントおよび権限を削除します。
- 退職日のアカウントの処理の選択: 正式な退職時に実行する処理を選択します。これは、正式な退職日にIDアクセスを取り消す必要がある場合に発生します。
- 削除: Oracle Access Governanceで管理されているすべてのアカウントおよび権限を削除します。ノート
特定のオーケストレート済システムで「削除」アクションがサポートされていない場合、アクションは実行されません。 - 無効化: すべてのアカウントを無効化し、Oracle Access Governanceで管理される権限を無効化します。
- 無効化されたアカウントの権限の削除: 残存アクセス権がゼロであることを確認するには、これを選択して、アカウントの無効化時に直接割り当てられた権限およびポリシーで付与された権限を削除します。
ノート
特定のオーケストレート済システムで「無効化」アクションがサポートされていない場合は、アカウントが削除されます。 - アクションなし: Oracle Access Governanceでは、アカウントおよび権限に対するアクションは実行されません。
- 削除: Oracle Access Governanceで管理されているすべてのアカウントおよび権限を削除します。
- 早期終了開始時のアカウントの処理の選択: 早期終了の開始時に実行する処理を選択します。これは、正式な退職日より前にアイデンティティ・アクセスを取り消す必要がある場合に発生します。
- アイデンティティが企業を離れたときは、そのアカウントへのアクセス権を削除する必要があります。 ノート
これらの構成を設定できるのは、システム管理者によって許可されている場合のみです。グローバル・アカウント終了設定が有効になっている場合、アプリケーション管理者は、調整されたシステム・レベルでアカウント終了設定を管理できません。アカウントに対する次のアクションのいずれかを選択します。
- 削除: Oracle Access Governanceで管理されているすべてのアカウントおよび権限を削除します。
- 無効化: すべてのアカウントを無効化し、権限を非アクティブとしてマークします。
- 無効化されたアカウントの権限の削除: アカウントの無効化時に直接割り当てられ、ポリシーで付与された権限を削除して、残存アクセスをゼロにします。
- アクションなし: アイデンティティが組織を離れるときにアクションを実行しません。
ノート
これらのアクションは、オーケストレートされたシステム・タイプでサポートされている場合にのみ使用できます。たとえば、「削除」がサポートされていない場合、「無効化」および「アクションなし」オプションのみが表示されます。 - アカウントのすべての権限が削除された場合(アイデンティティが部門間を移動する場合など)、アカウントの処理を決定する必要がある場合があります。オーケストレート済システム・タイプでサポートされている場合、次のいずれかのアクションを選択します。
- 削除
- 使用不可
- 処理なし
- アクセス・ガバナンスで作成されていないアカウントの管理: オーケストレート済システムで直接作成されるアカウントを管理する場合に選択します。これにより、既存のアカウントを調整し、Oracle Access Governanceから管理できます。
ノート
システムを管理対象システムとして構成しない場合、ワークフローのこのステップは表示されますが、有効になりません。この場合、ワークフローの「統合設定」ステップに直接進みます。
システムを管理対象システムとして構成しない場合、ワークフローのこのステップは表示されますが、有効になりません。この場合、ワークフローの「統合設定」ステップに直接進みます。
ノート
オーケストレート済システムで、汎用RESTおよびデータベース・アプリケーション表の統合と同様に動的スキーマ検出が必要な場合は、オーケストレート済システムの作成時に通知電子メールの宛先(ユーザー、Usermanager)のみを設定できます。モーバーおよびリーバの無効化/削除ルールは設定できません。これを行うには、オーケストレート済システムを作成してから、「オーケストレート済システム・アカウント設定の構成」の説明に従ってアカウント設定を更新する必要があります。
オーケストレート済システムで、汎用RESTおよびデータベース・アプリケーション表の統合と同様に動的スキーマ検出が必要な場合は、オーケストレート済システムの作成時に通知電子メールの宛先(ユーザー、Usermanager)のみを設定できます。モーバーおよびリーバの無効化/削除ルールは設定できません。これを行うには、オーケストレート済システムを作成してから、「オーケストレート済システム・アカウント設定の構成」の説明に従ってアカウント設定を更新する必要があります。
統合設定
ワークフローの「統合設定」ステップで、Oracle Access GovernanceがMicrosoft Entra IDに接続できるようにするために必要な構成の詳細を入力します。
- 「ホスト」フィールドに、管理対象システムをホストしているマシンのホスト名を入力します。たとえば、Microsoft Graph APIの場合、graph.microsoft.comと入力できます
- 「ポート」フィールドに、システムにアクセス可能なポート番号を入力します。デフォルトでは、Microsoft Entra IDはポート443を使用します。
- 「認証サーバーのURL」フィールドに、管理対象システムのクライアントIDおよびクライアント・シークレットを検証する認証サーバーのURLを入力します。たとえば、OAuth 2.0 APIを使用してアプリケーションを認証するには、次の構文を入力します
プライマリ・ドメインまたはテナントIDをフェッチする方法は、Microsoftのドキュメントを参照してください。https://login.microsoftonline.com/<Primary Domain or Directory(tenant ID)>/oauth2/v2.0/token - 登録プロセス中に認証サーバーがクライアント・システムに発行するクライアント識別子(一意の文字列)を「クライアントID」フィールドに入力します。クライアントIDは、アプリケーションIDとも呼ばれ、Microsoft Entra IDにアプリケーションを登録するときに取得されます。この値は、Microsoftアイデンティティ・プラットフォーム内のアプリケーションを識別します。詳細については、Microsoftのドキュメントを参照してください。
- 「クライアント・シークレット」フィールドに、システムのアイデンティティを認証するためのシークレットID値を入力します。システムの新しいクライアント・シークレットを作成し、このフィールドに値を入力する必要があります。この値は、認証に秘密キーを使用していない場合にのみ使用します。ノート詳細は、Microsoftのドキュメントを参照してください。
このクライアント・シークレット値は、ページから移動するとアクセスまたは表示できないため、注意またはコピーする必要があります。 - 認証にクライアント・シークレットを使用していない場合にのみ、「秘密キー」フィールドにPEM秘密キーを入力します。
テスト目的でのみ、次のステップを使用して自己署名証明書を生成できます。
- Entra IDインスタンスにロードする暗号化された秘密キーを作成します。
openssl req -x509 -newkey rsa:2048 -keyout encrypted_key.pem -out cert.cer -sha256 -days 365 - 秘密キーを復号化して、Oracle Access Governanceの構成時に秘密キーの値として入力できる.pem (この例ではdecrypted_key.pem)ファイルを作成します。
openssl rsa -in encrypted_key.pem -out decrypted_key.pem - オプションで、秘密キーがPKCS1形式の場合は、Oracle Access GovernanceでサポートされているPKCS8形式の復号化キーを変換します。
openssl pkcs8 -topk8 -inform PEM -outform PEM -nocrypt -in decrypted_key.pem -out pkcs8.key
- Entra IDインスタンスにロードする暗号化された秘密キーを作成します。
- 認証にクライアント・シークレットを使用していない場合にのみ、「証明書フィンガープリント」に証明書フィンガープリント(X509)の値を入力します。
証明書フィンガープリントを取得するには、次のステップを使用します。
- 証明書のサムプリントの16進値をバイナリに変換します。
echo -n "***353DB6DF03567473E299DB5E7F4C***" | xxd -r -p > thumbprint.bin - バイナリ・サムプリントを、「証明書フィンガープリント」フィールドで使用できるbase64に変換します。
openssl base64 -in thumbprint.bin -out thumbprint_base64.txt
- 証明書のサムプリントの16進値をバイナリに変換します。
- 各ユーザーのアイデンティティ属性(「発行者」、「サインイン・タイプ」、「発行者ID」)を取り込むには、「このB2Cテナントが有効な環境ですか。」チェック・ボックスを選択します。アイデンティティ属性のいずれかがnullまたは空の場合、Oracle Access Governanceではそのユーザーのデータ・ロードがスキップされ、ユーザーは取り込まれません。
- 「リクエスト・タイムアウトとは何ですか。」フィールドに、サーバーがリクエストに応答するまで待機する最大時間を入力します。
- 「追加」をクリックして、オーケストレート済システムを作成します。
完了
最後に、データ・ロードを実行する前にオーケストレート済システムをさらに構成するか、デフォルト構成を受け入れてデータ・ロードを開始するかを選択できます。次の中から1つ選択します。
- システムでデータ・ロードを有効化する前にカスタマイズします
- 指定されたデフォルトで、データ・ロードのアクティブ化と準備を行います
構成後処理
Microsoft Entra IDシステムに関連付けられたインストール後のステップはありません。