Oracle Cloud Infrastructureドキュメント

Entra IDからOCI IAMへのJITプロビジョニング

このチュートリアルでは、IdPとしてEntra IDを使用して、OCIコンソールとEntra IDの間のジャストインタイム(JIT)プロビジョニングを構成します。

JITプロビジョニングを設定すると、実行時に、ターゲット・システムへのアクセスをリクエストするときと同様に、ターゲット・システムでアイデンティティを作成できるようになります。

このチュートリアルでは、次のステップについて説明します。

  1. JIT用のOCI IAMでEntra ID IdPを構成します。
  2. Entra IDのOCI IAMアプリケーション構成を更新します。
  3. Entra IDからOCI IAMにプロビジョニングできることをテストします。
ノート

このチュートリアルは、アイデンティティ・ドメインのIAMに固有です。
始める前に

このチュートリアルを実行するには、次のものが必要です:

  • 有料Oracle Cloud Infrastructure (OCI)アカウントまたはOCIトライアル・アカウント。Oracle Cloud Infrastructure Free Tierを参照してください。

  • OCI IAMアイデンティティ・ドメインのアイデンティティ・ドメイン管理者ロール。管理者ロールの理解を参照してください。
  • 次のいずれかのEntra IDロールを持つEntra IDアカウント:
    • グローバル管理者
    • クラウド・アプリケーション管理者
    • アプリケーション管理者

さらに、チュートリアル「OCIとMicrosoft Entra ID間のSSO」を完了し、JITプロビジョニングに使用するグループのオブジェクトIDを収集する必要があります。

1.Entra IDによって送信されるSAML属性の構成

JITプロビジョニングが機能するには、適切で必須のSAML属性を構成する必要があります。この属性は、Entra IDによってSAMLアサーションでOCI IAMに送信されます。

  1. ブラウザで、URLを使用してMicrosoft Entra IDにサインインします。
    https://entra.microsoft.com
  2. 「エンタープライズ・アプリケーション」に移動します。
  3. Oracle Cloud Infrastructure Consoleアプリケーションを選択します。
    ノート

    これは、OCIとMicrosoft Entra ID間のSSOの一部として作成したアプリケーションです。
  4. 左側のメニューで、「シングル・サインオン」を選択します。
  5. 「属性および要求」セクションで、「編集」を選択します。
  6. 属性が正しく構成されていることを確認します。
    • NameID
    • Email Address
    • First Name
    • Last Name

    新しい請求が必要な場合は、追加してください。

  7. 構成されたすべての要求名をメモします。例

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

    First Nameのクレーム名です。

    属性および要求

  8. 「グループ」にナビゲートします。Entra IDで使用可能なすべてのグループが表示されます。
  9. OCI IAMに送信するためにSAMLを構成するグループのオブジェクトIDを書き留めます。

    Entra IDのグループ詳細

追加Entra ID構成

Entra IDでは、グループ名(sAMAccountName)属性に基づいてグループをフィルタできます。

たとえば、SAMLを使用してAdministratorsグループのみを送信する必要があるとします。

  1. グループ請求を選択します。
  2. 「グループ要求」で、「拡張オプション」を展開します。
  3. 「フィルタ・グループ」を選択します。
    • 「照合する属性」で、Display Nameを選択します。
    • 「一致」で、containsを選択します。
    • 「文字列」に、グループの名前(Administratorsなど)を指定します。

    グループのフィルタ

このオプションを使用すると、管理者グループのユーザーが他のグループに属している場合でも、Entra IDはSAML内の管理者グループのみを送信します。
ノート

これにより、組織は必要なグループのみをEntra IDからOCI IAMに送信できます。
2.OCI IAMでのJIT属性の構成

OCI IAMで、JITのEntra ID IdPを更新します。

  1. サポートされているブラウザを開き、コンソールURLを入力します:

    https://cloud.oracle.com

  2. 「クラウド・アカウント名」(テナンシ名とも呼ばれる)を入力し、「次」を選択します。
  3. SSOの構成に使用するアイデンティティ・ドメインを選択します。
  4. ユーザー名およびパスワードを使用してサインインします。
  5. ナビゲーション・メニューを開き、「アイデンティティおよびセキュリティ」を選択します。
  6. 「アイデンティティ」で、「ドメイン」を選択します。
  7. Entra IDをIdPとしてすでに構成しているアイデンティティ・ドメインを選択します。
  8. 左側のメニューから「セキュリティ」を選択し、「アイデンティティ・プロバイダ」を選択します。
  9. 「Entra ID」IdPを選択します。
    ノート

    これは、OCIとMicrosoft Entra ID間のSSOの一部として作成したEntra ID IdPです。
  10. 「Entra ID」IdPページで、「Configure JIT」を選択します。

    IAMのEntra IDアイデンティティ・プロバイダの構成ページ

  11. Just-in-time (JIT)プロビジョニングの構成ページで、次の手順を実行します。
    • 「Just-In-Time (JIT)」プロビジョニングを選択します。
    • 「新規アイデンティティ・ドメイン・ユーザーの作成」を選択します。
    • 「既存のアイデンティティ・ドメイン・ユーザーの更新」を選択します。

    ジャスト・イン・タイム・プロビジョニングの有効化

  12. 「ユーザー属性のマップ」で、次の手順を実行します。
    1. NameIDの最初の行は変更しないままにします。
    2. その他の属性については、「IdPユーザー属性」Attributeを選択します。
    3. 次のようにIdPユーザー属性名を指定します。
      • familyName: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
      • primaryEmailAddress: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    4. 「行の追加」を選択し、http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givennameと入力します。

      アイデンティティ・ドメインのユーザー属性として、First nameを選択します。

      ノート

      完全修飾表示名(FQDN)は1からのものです。Entra IDによって送信されるSAML属性を構成します

    この図は、OCI IAMのユーザー属性(右側)と、Entra IDとOCI IAM間のユーザー属性のマッピングを示しています。

    Entra IDとOCI IAM間のユーザー属性のマッピング

  13. 「グループ・マッピングの割当て」を選択します。
  14. 「グループ・メンバーシップ属性名」http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsと入力します。
  15. 「明示的なグループ・メンバーシップ・マッピングの定義」を選択します。
  16. IdPグループ名で、前のステップのEntra IDにグループのオブジェクトIDを指定します。
  17. 「アイデンティティ・ドメイン・グループ名」で、Entra IDグループをマップするOCI IAMのグループを選択します。

    グループマッピングの割り当て

    この図は、OCI IAMのグループ属性(右側)と、Entra IDとOCI IAM間のグループ属性のマッピングを示しています。

    Entra IDとOCI IAM間のグループ属性のマッピング

  18. 「割当ルール」で、次を選択します。
    1. グループ・メンバーシップを割り当てる場合: 既存グループ・メンバーシップとマージします
    2. グループが見つからない場合: 欠落しているグループは無視します

    割当ルールの設定

    ノート

    組織の要件に基づいてオプションを選択します。
  19. 「Save changes」を選択します。
3.Entra IDとOCI間のJITプロビジョニングのテスト
この項では、JITプロビジョニングがEntra IDとOCI IAMの間で機能することをテストできます。
  1. Entra IDコンソールで、OCI IAMに存在しない電子メールIDを使用して新しいユーザーを作成します。

  2. ユーザーを必須グループに割り当てます。

    グループへのユーザーの割当

  3. ブラウザで、OCIコンソールを開きます。
  4. JIT構成が有効になっているアイデンティティ・ドメインを選択します。
  5. 「次へ」を選択します。
  6. サインオン・オプションから、「エントリID」を選択します。
  7. Microsoftのログイン・ページで、新しく作成したユーザーIDを入力します。

    Microsoftログイン・ページ

  8. Microsoftからの認証に成功した場合:
    • ユーザー・アカウントはOCI IAMで作成されます。
    • ユーザーは、OCIコンソールにログインしています。

    ユーザーのOCI IAMのマイ・プロファイル

  9. ナビゲーション・メニューで、「プロファイル」メニュー「プロファイル」メニュー・アイコンを選択し、「ユーザー設定」を選択します。電子メールID、名、姓、関連グループなどのユーザー・プロパティを確認します。

    OCI IAMのユーザー・プロパティの確認

次の手順

完了しました。Entra IDとOCI IAMの間のJITプロビジョニングが正常に設定されました。

Oracle製品を使用した開発の詳細を確認するには、次のサイトを参照してください: