シングル・サインオン用にアイデンティティ・ドメインを設定

IDドメインかIDCSか？

この設定を完了するには2つの方法があります。処理を開始する際に表示される画面により異なります。殆どの場合は、Oracle CloudのIDドメイン（この記事）を使用し、その他は IDCSをご覧ください。

表示されるアイデンティティ・ドメイン画面が上記と異なる場合、Redwood プレビュー表示を使用している可能性があります。画面右下のスイッチでオフにすることができます。

本ガイドの使い方

1.  「paying組織」または「non-paying組織」の「シングル・サインオンを有効にする」手順をお読み頂きます。
2. 下記手順に従ってアイデンティティ・ドメインを設定します。
3. Oracle に貴社のアイデンティティ・ドメインIDを提供する必要があります。下記手順をご参照ください。
4. お客様のアイデンティティ・ドメインを使用するようにLobbyが設定されたことをOracleが確認したら、 アイデンティティ・プロバイダー（IdP）ポリシーを作成することができます。 
5. 「paying組織」または「non-paying組織」の手順に従って、残りの処理を完了させます。

ステップ １: SAMLベースのインテグレーションを IdPに追加する

この手順は、IdPアプリケーションやプロバイダー(Microsoft Azure Active Directory, Microsoft ADFS, Okta)向けのものですが、SAMLベースのIdPインテグレーションはすべて、同じような手順を踏みます。

IdPアプリケーションの手順に従って、新しいSAMLベースの統合を作成します。そのためには、後でインポートするFederation Metadata XMLファイルをダウンロードする必要があります。このセットアップが完了した後で、IdPのSAMLセットアップ画面に戻り、手順を完了させることができます。

Federation Metadata XML ファイルを入手したら、IdP設定の第一段階は完了です。後で戻って完了させます。

注意：Idpでは、Entity ID （エンティティID）とアイデンティティ・ドメインのReply URL（返信URL）の入力が要求されます。プロバイダーによっては、Federation Metadata XMLをアップロードするか、Federation Metadataの詳細を手動で入力する必要があります。
 
例として、Entity ID（エンティティID）とRely URL（返信URL）は、アイデンティティ・ドメインのURLから以下のように生成されます：

Entity ID: https://idcs-exampleid1234.identity.oraclecloud.com:443/fed
Reply URL: https://idcs-exampleid1234.identity.oraclecloud.com/fed/v1/sp/sso

ステップ２： 概要画面に移動

1. Oracle Cloud コンソールにログインします。下記のような画面が表示されます。 

2. 下記のような概要画面に移動する必要があります。

3. 左上のメニューをクリックして、Identity & Securityを選択します。.
4. Domainsをクリックします。

5. 「 compartment（コンパートメント）」欄が選択されていることを確認し、 テーブル上のDefault（デフォルト）リンクをクリックします。

ステップ３：アイデンティティー・ドメインの設定

6. Overview（概要）画面から Security（セキュリティー）をクリックします。

7. Identity Providers（アイデンティティ・プロバイダー）をクリックします。

8. Add IdP（Idp追加）から、Add SAML IdPをクリックします。

9. SAML IdPからダウンロードしたFederated Metadata XML ファイルをアップロードします。

10. Map（マッピング）画面で、既定値を使用して、 Next（次へ）をクリックします。

11. メタデータファイルをダウンロードします。
12. SAMLのIdP に戻り、設定を完了させます。

ステップ 4： IdPの設定を完了させる

IdPサービスの設定に戻ります。

1. IdPアプリケーションのメタデータファイルのアップロードの手順に従って、Federated Metadata XMLファイルをアップロードします。
2. アップロード後、メタデータファイルから取得したURLやその他の情報を表示する画面が表示されます。
3. ユーザーIDがユーザーのメールアドレスに基づいていることを確認します。
4. 通常、IdPには、設定されたSAMLプロバイダーを使用する資格があるユーザーを定義する「ポリシー」または「グループ」があります。必要に応じて、IdPでユーザーがこれらの「ポリシー」または「グループ」に追加されていることを確認します。
5. この時点で、IdPとアイデンティティ・ドメインの両方が完全に構成され、テストを行う準備が整います。アイデンティティ・ドメインのウィンドウに戻り、テストを行います。

ステップ５： テストをして設定を終える

1. Test Login（ログインテスト）をクリックします。

2. IdPのサインイン画面が表示されます。自社のIdpに存在し、SAMLフェデレーション（認証連携）アプリを使用するように設定されているユーザーの有効な認証情報を入力します。同じメールアドレスを持つユーザーアカウントがアイデンティティ・ドメインにも存在している必要があります。
3. テストログインが成功したら、下記のようなメッセージが表示されます。

Your connection is successful.

You may close this window and go back to the admin console.
（接続に成功しました。
このウィンドウを閉じて、管理コンソールに戻ることができます。）

テストログインに失敗したら、下記のようなメッセージが表示されます。エラーの詳細を読んで、設定を修正するか、抜けているデータを追加してください。

Connection failed. Configuration may need to be modified.

No user was returned during the SAML assertion to user mapping via the NameID attribute for partner Azure AD: NamedID poleary@majestic.com, user attribute name userNamed, message: ***See below***.
Show Assertion Details
You may close this window and go back to the admin console.
（接続に失敗しました。設定を修正する必要があるかもしれません。
相手先Azure ADの NameID 属性を介したSAMLアサーションからユーザーへのマッピング中にユーザーが返されませんでした。NamedID poleary@majestic.com、ユーザー属性名userNamed、メッセージ：
***以下をご参照ください***
アサーション詳細を表示
このウィンドウを閉じて、管理コンソールに戻ることができます。）

ステップ６： アイデンディティー・ドメインの有効化

1. Activate（有効化）をクリックして、Finish（終了）をクリックします。

ステップ 7: Oracle Cloud ウェルカムメールをオフにする

この設定をオフにして、Oracle Cloudからのウェルカムメールがユーザーに送信されないようにします。このメールからAconexに移動することはできないため、送信しない方が得策でしょう。 

1. Oracle Cloud Console の概要画面 で、Notifications（通知）をクリックします。
2. クリックして、End user notifications（エンドユーザー通知）リストを開きます。
3.  Welcome のチェックボックスを外します。
4. Save Changes（変更を保存）をクリックします。

ステップ 8: Oracle にドメインIDを提供

アイデンティティー・ドメインを設定した後で、Oracleにアイデンティティー・ドメインのIDを提供する必要があります。

起票済みのサポートリクエストにドメインのURLを貼り付ける方法が最も簡単でしょう。URLは次のようになっています。：https://idcs-<ID>.identity.oraclecloud.com/ui/v1/myconsole

ドメインURLは 概要画面に表示されています。

Lobbyがお客様のアイデンティティー・ドメインを使用するように設定されたことがOracleによって確認されるまで、  アイデンティティー・プロバイダー（IdP）ポリシーを作成 することはできません。

アイデンティティー・ドメインの設定が完了しました。

次に、 アイデンティティー・プロバイダー（IdP）ポリシーを作成する必要があります。 注意：このステップを実行する前に、Lobbyがお客様のアイデンティティ・ドメインを使用するように 構成されていることをOracleが確認する 必要があります。