シングル・サインオン用に Identity Cloud Service（IDCS）を設定

アイデンティティ・ドメインまたはIDCS?

この設定を完了させる方法は、2とおりあります。処理を開始する際に表示される画面により異なります。殆どの場合は、Oracle Cloudの アイデンティティ・ドメイン を使用し、その他はIDCS（この記事）を使用します。

本ガイドの使い方

1.  「paying組織」または「non-paying組織」の「シングル・サインオンを有効にする」手順をお読み頂きます。
2. 下記手順に従ってDCSを設定してください。
3. お客様のIDCSアカウントのIDをOracleに提供する必要があります。その手順については、下記に掲載されています。
4. Lobbyがお客様のIDCSアカウントを使用するように設定されていることがOracleによって確認されたら、 IDCSにアイデンティティー・プロバイダー・ポリシーを作成することができます。
5. 残りの手順に従って、 「paying組織」または「non-paying組織」のシングル・サインオンを有効にします。

はじめに

SSOを設定するには、SAMLの概念に関する知識と、貴社のアイデンティティ・プロバイダー（IdP）へのアクセスが必要となります。通常この作業を行うのは、社内のIT担当者やアイデンティティー管理チームのメンバーが適任です。

通常、IdP としてMicrosoft Azure Active Directoryなどのシステムが使用されています。SSOを設定するには、Oracle Identity Cloud Service (IDCS)の組織アカウントが必要です。

IDCSのFoundation ライセンスは、AconexなどのクラウドSaas製品で提供されています。（他のOracle製品を既に使用していることによって）貴社が既にIDCSの組織アカウントをお持ちの場合は、Aconexへのアクセスに同じアカウントをご使用ください。もし、現在利用可能なアカウントがない場合は、アカウントを作成することができます。

ステップ１：SAMLベースのインテグレーションを IdPに追加する

この手順は、IdPアプリケーションやプロバイダー(Microsoft Azure Active Directory, Microsoft ADFS, Okta)向けのものですが、SAMLベースのIdPインテグレーションはすべて、同じような手順を踏みます。

IdPアプリケーションの手順に従って、新しいSAMLベースの統合を作成します。そのためには、後でIDCSにインポートするFederation Metadata XMLファイルをダウンロードする必要があります。IDCSのセットアップが完了した後で、IdPのSAMLセットアップ画面（別のウィンドウで開いたままにしておくといいでしょう）に戻り、手順を完了させることができます。

Federation Metadata XML ファイルを入手したら、IdP設定の第一段階は完了です。後で戻って完了させます。これで、IDCSの設定に進むことができます。

注意: IdPによっては、SAML認証の通信相手（この場合、IDCS）のEntity ID（エンティティID）とRely URL（返信URL）を入力する必要があります。Entity ID（エンティティID）とRely URL（返信URL）は、IDCSのURLから以下のように生成されます。

Entity ID: https://idcs-<ID>.identity.oraclecloud.com:443/fed


Rely URL: https://idcs-<ID>.identity.oraclecloud.com/fed/v1/sp/sso

ステップ 2: IDCSの設定

ご使用のIdpからFederation Metadata XML ファイルを入手したら、IDCSに切り替えます。

1. IDCS Admin Consoleにサインインします。
   idcs-[ID].identity.oraclecloud.com/ui/v1/adminconsole （[ID] はお客様のIDCSアカウントのID に置き換えてください。)
   
   ダッシュボードが表示されます。

2. メニューからSecurityを選択し、 Identity Providersを選択します。
3. +Add SAML IDP をクリックして、アイデンティティ・プロバイダーに新しいSAMLベースのリンクを作成します。

4. ステップ１でSAML IdPからダウンロードした Federated Metadata XMLファイルをアップロードします。

5. マップ画面では、デフォルトの値を使用して、Next（次へ）をクリックします。

6. IDCSのメタデータファイルをダウンロードします。
7. SAMLのIdP に戻り、設定を完了させます。

ステップ 3: IdPの設定を完了させる

IdPサービスの設定に戻ります。

1. IdPアプリケーションのメタデータファイルのアップロードの手順に従って、Federated Metadata XMLファイルをアップロードします。
2. アップロード後、メタデータファイルから取得したURLやその他の情報を表示する画面が表示されます。
3. ユーザーIDがユーザーのメールアドレスに基づいていることを確認します。
4. 通常、IdPには、設定されたSAMLプロバイダーを使用する資格があるユーザーを定義する「ポリシー」または「グループ」があります。必要に応じて、IdPでユーザーがこれらの「ポリシー」または「グループ」に追加されていることを確認します。
5. この時点で、IdPとIDCSの両方が完全に構成され、テストを行う準備が整います。IDCSのウィンドウに戻り、テストを行います。

ステップ 4: テストをしてIDCSの設定を終える

1. Test Login（ログインテスト）をクリックします。

2. IdPのサインイン画面が表示されます。自社のIdpに存在し、SAMLフェデレーション（認証連携）アプリを使用するように設定されているユーザーの有効な認証情報を入力します。同じメールアドレスを持つユーザーアカウントがIDCSにも存在している必要があります。
3. テストログインが成功したら、下記のようなメッセージが表示されます。

Your connection is successful.
You may close this window and go back to the admin console.
（接続に成功しました。
このウィンドウを閉じて、管理コンソールに戻ることができます。）

 

テストログインに失敗したら、下記のようなメッセージが表示されます。エラーの詳細を読んで、設定を修正するか、抜けているデータを追加してください。

Connection failed. Configuration may need to be modified.
No user was returned during the SAML assertion to user mapping via the NameID attribute for partner Azure AD: NamedID poleary@majestic.com, user attribute name userNamed, message: ***See below***.
Show Assertion Details
You may close this window and go back to the admin console.
（接続に失敗しました。設定を修正する必要があるかもしれません。
相手先Azure ADの NameID 属性を介したSAMLアサーションからユーザーへのマッピング中にユーザーが返されませんでした。NamedID poleary@majestic.com、ユーザー属性名userNamed、メッセージ：
***以下をご参照ください***
アサーション詳細を表示
このウィンドウを閉じて、管理コンソールに戻ることができます。）

 

ステップ 5: IDCSを有効にし設定を完了する

1. Next（次へ）をクリックします。
2. Activate（有効化）をクリックします。
3. Finish（終了）をクリックします。

ステップ 6: OracleにIDCSアカウントのIDを提供

IDCSを設定した後で、OracleにIDCSアカウントのIDを提供する必要があります。

起票済みのサポートリクエストにIDCS コンソールのURLを貼り付ける方法が最も簡単でしょう。URLは次のようになっています。： https://idcs-<ID>.identity.oraclecloud.com/ui/v1/myconsole

Lobbyがお客様のIDCSアカウントを使用するように設定されたことがOracleによって確認されるまで、IDCSにアイデンティティ・プロバイダー・ポリシーを作成 することはできません。 

IDCS.の設定が完了しました。

次に、 IDCSにアイデンティティ・プロバイダー・ポリシーを作成する必要があります。 注意： このステップを実行する前に、Lobbyがお客様のIDCSを使用するように 構成されていることをOracleが確認する 必要があります。