Oracle Cloud Infrastructureドキュメント

フェデレーション信頼関係の有効化

アイデンティティ・フェデレーションには、Roving Edgeとそのアイデンティティ・プロバイダであるMicrosoft Active Directoryとの間の信頼関係が必要です。ユーザー認証用のデータを交換できるように、この相互信頼を確立するには、フェデレーション・パートナ・システムからの特定の詳細が必要です。

必要なADFSメタデータの収集

アイデンティティ・フェデレーションには、アイデンティティ・プロバイダからの次の情報が必要です。

  • Active Directory Federation Services (ADFS)からのSAMLメタデータ・ドキュメント

    デフォルトの場所はhttps://<id-provider-name>/FederationMetadata/2007-06/FederationMetadata.xmlです。

  • Roving EdgeグループにマップするActive Directory (AD)グループの名前

    マッピングが必要なすべての ADグループをノートにとります。

    注意

    ADをアイデンティティ・プロバイダとして追加する前に、すべてのRoving Edgeグループが構成されていることを確認します。

アイデンティティ・プロバイダ証明書の検証

注意

ADFS証明書が既知の認証局によって署名されている場合は、Roving Edge証明書バンドルにすでに存在している必要があります。その場合は、このセクションをスキップできます。

Roving Edge Certificate Authority (CA)は、自己署名、OpenSSL生成ルートおよび中間x.509証明書に基づいています。これらのCA証明書は、x.509サーバー/クライアント証明書を発行するために使用されるため、外部CA信頼情報をアプライアンスに追加できます。ADFSに自己署名証明書を使用する場合は、外部CA信頼情報をADFSから管理ノードに追加する必要があります。

ノート

metadataUrlプロパティを使用してアイデンティティ・プロバイダを作成または更新する場合は、アイデンティティ・プロバイダのWebサーバー証明書チェーンをCAバンドルの外部のRoving Edgeに追加する必要があります。Webサーバー証明書チェーンの検索方法については、アイデンティティ・プロバイダのドキュメントを参照し、ステップ3から8に従ってください。

外部CA信頼情報を追加するには、次のように進めます。

  1. ADFSのSAMLメタデータ・ドキュメントをダウンロードします。このドキュメントは、デフォルトで次の場所にあります。

    https://<id-provider-name>/FederationMetadata/2007-06/FederationMetadata.xml

  2. テキストまたはXMLエディタでファイルを開き、署名証明書セクションを見つけます。次に例を示します。

    <KeyDescriptor use="signing">
<KeyInfo>
<X509Data>
<X509Certificate>
<!--CERTIFICATE IS HERE-->
</X509Certificate>
</X509Data>
</KeyInfo>
</KeyDescriptor>

  3. 管理ノード1 (pcamn01)にログオンします。

  4. /etc/pca3.0/vaultに移動し、customer_caという名前の新しいディレクトリを作成します。

    ノート

    このディレクトリは複数のファイルに使用できます。たとえば、アイデンティティ・プロバイダ証明書とWebサーバー証明書チェーンのファイルを作成できます。

  5. customer_caディレクトリに、PEM形式で新しいファイルを作成します。

  6. <X509Certificate>タグ内にあるFederationMetadata.xmlファイルから証明書をコピーし、新しいPEMファイルに貼り付けます。必ず-----BEGIN CERTIFICATE-----および-----END CERTIFICATE-----を含めてください。次に例を示します。

    -----BEGIN CERTIFICATE-----
<CERTIFICATE CONTENT>
-----END CERTIFICATE-----

  7. ファイルを保存して閉じます。

  8. 次のコマンドを実行して、すべての管理ノードでca_outside_bundle.crtを更新します。

    python3 /usr/lib/python3.11/site-packages/pca_foundation/secret_service/cert_generator/cert_generator_app.py -copy_to_mns

ADFSでの信頼できるリライイング・パーティとしてのRoving Edgeの追加

フェデレーション・プロセスを完了するには、Roving EdgeをMicrosoft Active Directory Federation Services (ADFS)の信頼できるリライイング・パーティとして追加し、関連するリライイング・パーティ要求ルールを追加する必要があります。

ADFSでのリライイング・パーティの追加

  1. 「アイデンティティ・プロバイダ」ページのサービスWeb UIで、次のテキスト・ブロックを表示します。

    Microsoft Active Directory Federation Servicesまたは他のSAML 2.0準拠アイデンティティ・プロバイダとの信頼を設定する場合は、Roving Edge Federationメタデータ・ドキュメントが必要になります。これは、Roving Edgeエンドポイントおよび証明書情報を説明するXMLドキュメントです。ここをクリック

  2. 「Click Here」をクリックします。

    次のようなURLを使用して、メタデータXMLファイルがブラウザで開きます。

    https://adminconsole.system-name.domain-name/wsapi/rest/saml/metadata/

  3. メタデータXMLファイルのURLをコピーします。

  4. ADFSとともにインストールされたシステムから、ブラウザ・ウィンドウを開き、URLを貼り付けます。

  5. ファイルを保存し、必ず.xml拡張子(my-sp-metadata.xmlなど)を使用してください。

  6. AD FS管理コンソールに移動し、フェデレートするアカウントにサインインします。

  7. 信頼できるリライイング・パーティとしてRoving Edgeを追加します。

    1. AD FSで、「リライイング・パーティ信頼」を右クリックし、「リライイング・パーティ信頼の追加」を選択します。

    2. 「Add Relying Party Trust Wizard Welcome」ページで、「Claims Aware」を選択し、「Start」をクリックします。

    3. 「データ・ソースの選択」ページで、「ファイルからリライイング・パーティのデータをインポート」を選択します。

    4. 「参照」をクリックし、my-sp-metadata.xmlに移動して「開く」をクリックします。

    5. 「表示名の指定」ページで、表示名を入力し、リライイング・パーティのオプションのノートを追加した後、「次へ」をクリックします。

    6. 「アクセス制御ポリシーの選択」ページで、付与するアクセスのタイプを選択し、「次へ」をクリックします。

    7. 「信頼の追加準備完了」ページで、設定を確認し、「次」をクリックして、リライイング・パーティの信頼情報を保存します。

    8. 「終了」ページで、「このアプリケーションの要求発行ポリシーの構成」を選択し、「閉じる」をクリックします。

      「要求発行ポリシーの編集」ダイアログが表示され、次の手順のために開いたままにできます。

リライイング・パーティ要求ルールの追加

Roving Edgeを信頼できるリライイング・パーティとして追加した後、必要な要素(Name IDおよびグループ)がSAML認証レスポンスに追加されるように、請求ルールを追加する必要があります。

Name IDルールを追加するには、次の手順を実行します。

  1. 「要求発行ポリシーの編集」ダイアログで、「ルールの追加」をクリックします。

    「ルール・テンプレートの選択」ダイアログが表示されます。

  2. [Claim rule template]で[Transform an Incoming Claim]を選択し、[Next]をクリックします。

  3. 次のように入力します。

    • 要求ルール名: このルールの名前(例: nameid)を入力します。

    • 入力方向の要求タイプ: Microsoft Windowsアカウント名を選択します。

    • 送信請求タイプ: Name IDなどの請求タイプを選択します。

    • 出力方向の名前ID形式: 永続的識別子を選択します。

    • すべての要求値をパススルーし、「終了」をクリックします。

      規則が規則リストに表示されます。

「発行変換ルール」ダイアログに新しいルールが表示されます。

Active Directoryユーザーが100グループ以内の場合、グループ・ルールを追加するだけです。ただし、Active Directoryユーザーが100を超えるグループに属している場合、それらのユーザーはサービスWeb UIを使用するように認証できません。これらのグループの場合、グループ・ルールにフィルタを適用する必要があります。

グループ・ルールを追加するには、次の手順を実行します。

  1. 「Issuance Transform Rules」ダイアログで、「Add Rule」をクリックします。

    「ルール・テンプレートの選択」ダイアログが表示されます。

  2. 「要求規則テンプレート」で、「カスタム規則を使用して要求を送信」を選択し、「次へ」をクリックします。

  3. 変換要求規則の追加ウィザードで、次のように入力します。

    • 要求規則名: グループを入力します。

    • カスタム規則: カスタム規則を入力します。

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("https://auth.oraclecloud.com/saml/claims/groupName"), query = ";tokenGroups;{0}", param = c.Value);

    • 「終了」をクリックします。

    「発行変換ルール」ダイアログに新しいルールが表示されます。

証明書失効チェックの無効化

ADFSでSAMLを使用するには、証明書失効リスト(CRL)チェックを無効にする必要があります。ADFSシステムでPowershellを開き、次のコマンドを入力します。ここで、TRUST_NAMEはリライイング・パーティの信頼の名前です。

Get-AdfsRelyingPartyTrust -Name '<TRUST_NAME>' | Set-AdfsRelyingPartyTrust -EncryptionCertificateRevocationCheck None -SigningCertificateRevocationCheck None