OCI IAM Identity Domains Entra IDとの認証連携設定手順 / Identity Domain Federation settings with Entra ID

OCI IAM Identity Domains Entra IDとの認証連携（外部IdP連携）・ID同期設定手順日本オラクル株式会社 2025年7月11日

Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買決定を行う際の判断材料になさらないで下さい。オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊社の裁量により決定され、変更される可能性があります。 Copyright
© 2025, Oracle and/or its affiliates 2

Identity DomainとEntra IDとの認証連携（外部IdP連携）手順概要 1. Identity Domainのサービス・プロバイダ・メタデータのダウンロード 2. Entra ID側でサービス・プロバイダの登録
3. Identity Domain側でアイデンティティ・プロバイダの登録 4. Identity Domain側でアイデンティティ・プロバイダアクティブ化 5. Identity Domain側でIdPポリシーの定義 6. 動作確認（オプション）Entra IDからIdentity DomainへのID情報の同期手順概要 1. Identity Domain側でSCIMインターフェース設定（機密アプリケーション登録） 2. Entra ID側でプロビジョニング設定 3. 動作確認アジェンダ Copyright © 2025, Oracle and/or its affiliates 3 ※本資料は2025年7月現在の仕様に基づき作成しております。

OCI IAM Identity DomainsとEntra IDとの認証連携（外部IdP連携） Copyright © 2025, Oracle and/or
its affiliates 4 本手順書は、外部IdPにMicrosoft Entra ID（以下、Entra ID、旧称：Azure Active Directory）を利用したOCI IAM Identity Domains（以下、Identity Domain）との認証連携（外部IdP連携）設定手順書なります。 ※ 対象Entra IDは構築済みが前提となります。本資料は、以下のサイトに記載されている内容をベースに作成しており、最新の情報は以下のサイトをご確認下さい。 https://docs.oracle.com/ja-jp/iaas/Content/Identity/tutorials/azure_ad/sso_azure/azure_sso.htm OCI IAM Identity Domains IdP SAML 認証連携（外部 IdP 連携） SP 利用者 Entra IDのID/パスワードでサインイン（Entra IDのサインイン画面にリダイレクト）アプリアプリアプリ IdP SP SP SP Entra IDの属性「user.mail」と Identity Domainの属性「プリンシパル電子メールアドレス」でユーザーマッピング Microsoft Entra ID

手順概要 Copyright © 2025, Oracle and/or its affiliates 5 1.
Identity Domainのサービス・プロバイダ・メタデータのダウンロード 2. Entra ID側でサービス・プロバイダの登録 3. Identity Domain側でアイデンティティ・プロバイダの登録 4. Identity Domain側でアイデンティティ・プロバイダアクティブ化 5. Identity Domain側でIdPポリシーの定義 6. 動作確認

1. Identity Domainのサービス・プロバイダ・メタデータのダウンロード Copyright © 2025, Oracle and/or its affiliates
6

7 1）OCIコンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。テナント名（クラウド・アカウント名）を入力し「次に進む」を選択します。アイデンティティ・ドメインの選択画面が表示される場合には、該当のドメインを選択し、「次」を選択します。サインイン画面にて、該当ドメインのドメイン管理者の権限を持つユーザーの「ユーザー名」および「パスワード」を入力し、「サイン・イン」を選択し、OCIコンソールにサインインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にサインインすることになります。注意事項：OCIコンソールは既定で多要素認証が設定されておりますので、認証後に多要素認証による認証を行う場合があります。 ※環境によりドメイン選択画面は表示されません。

8 2）認証なしでサービス・プロバイダ・メタデータをダウンロードできるように設定を変更します。 OCI コンソール画面にて、左メニューより「アイデンティティとセキュリティ」を選択し、「ドメイン」を選択します。 3）アイデンティティ画面にて、コンパートメントで対象のコーパートメントを選択し、さらに対象のドメインを選択します。 ※自身で作成したコンパートメントおよびIdentity Domain（ドメイン）に設定する場合は、該当のコンパートメントおよびドメインを選択します。

9 4）アイデンティティ・ドメイン画面にて、ドメイン情報からドメインURLの「コピー」を選択し、ドメインURLを控えておき、上部のメニューから「設定」を選択します。 ※コピーしたドメインURLは後続の手順で利用します。 5）ドメインの設定画面にて、画面下にスクロールし、ドメイン設定-ロケールにある「ドメイン設定の編集」を選択します。

10 6）ドメイン設定の編集画面にて署名証明書へのアクセスの「クライアント・アクセスの構成」のチェックボックスを「オン」にし、「変更の保存」を選択します。 7）ブラウザにて下記のURLにアクセスし、サービス・プロバイダ・メタデータをダウンロードし、適切な場所に保存します。 https://{Identity DomainのURL（項番1. Identity DomainのSAMLメタデータダウンロード 4）で控えたURL）}/fed/v1/metadata

2. Entra ID側でサービス・プロバイダの登録 Copyright © 2025, Oracle and/or its affiliates
11

12 1）Microsoft Entra管理センター（https://entra.microsoft.com）にアクセスします。マイクロソフトサインイン画面にて、 Azureの管理者のID/パスワードを入力し、「次へ」を選択し、Microsoft Entra 管理センターにサインインします。 ※Azureの管理者とは以下のいずれかのロールを持つアカウントを示します。グローバル管理者/クラウド・アプリケーション管理者/アプリケーション管理者注意事項：Azureポータルは既定で多要素認証が設定されておりますので、認証後に多要素認証による認証を行う場合があります。

13 2）Microsoft Entra管理センター画面の左メニューで「ID」ー「アプリケーション」を選択します。 3）「アプリケーション」から展開された「エンタープライズアプリケーション」を選択します。

14 4）エンタープライズアプリケーション画面にて、「新しいアプリケーション」を選択します。 5）Microsoft Entraギャラリーを参照する画面にて、アプリケーションを検索で、「Oracle Cloud Infrastructure Console」と入力し検索、もしくはクラウドプラットフォームから「Oracle」を選択します。

15 6）Microsoft Entraギャラリーを参照する画面にて、「Oracle Cloud Infrastructure Console」を選択します。 7）Oracle Cloud Infrastructure Consoleの作成画面にて、「名前」に適切な値を入力し、「作成」を選択します。

16 8）作成されたエンタープライズアプリの概要画面にて、Getting Startedにある「2。シングルサインオンの設定」を選択、または、左メニューから「シングルサインオン」を選択します。 9）シングルサインオン画面にて、「SAML」を選択します。

17 10） SAML ベースのサインオン画面にて、「メタデータファイルをアップロードする」を選択します。 11）ファイル選択部分にて項番 1. OCI IAM Identity Domainのサービス・プロバイダ・メタデータのダウンロード 6）にてダウンロードした Identity Domainサービス・プロバイダ・メタデータのファイルを指定し「追加」を選択します。

18 12）基本的な SAML 構成画面にて、サインオン URLに以下のURLを入力し、「保存」を選択し、「×」を選択し、画面を閉じます。 OCIコンソールにサインインしたい場合：https://cloud.oracle.com マイコンソールにサインインしたい場合： https://<Identity DomainのURL>/ui/v1/myconsole

19 13）SAML ベースのサインオン画面にて、シングルサインオンをTest画面が表示されるので、「いいえ、後でTestします」を選択し、属性とクレームの「編集」を選択します。 14）属性とクレーム画面にて、クレーム名の「一意のユーザー識別子（名前 ID）」を選択します。

20 15）要求の管理画面にて、以下に示す内容に項目を変更し、「保存」を選択し、さらに「×」を選択し、要求と管理画面を閉じ、同様に属性とクレーム画面も閉じます。 • 名前識別子の形式：電子メールアドレス • ソース：属性 • ソース属性：user.mail 16）SAML ベースのサインオン画面にて、SAML証明書の「フェデレーションメタデータ XML」の「ダウンロード」を選択し、メタデータをダウンロードし、適切な場所に保存します。 ※ このメタデータは後続の手順で利用します。

21 17）Entra IDアプリケーションのテスト・ユーザーを作成します。 Microsoft Entra管理センター画面の左メニューで「ID」ー「ユーザー」を選択し、展開されたメニューから「すべてのユーザー」を選択し、ユーザーを新規に作成します。 ※ユーザー作成時に、連絡先情報のメールアドレスにOCI IAM側のユーザーと同じメールアドレスを登録して下さい。

22 18）作成したユーザーを、作成したエンタープライズアプリケーションに割り当てます。 Microsoft Entra管理センター画面の左メニューで「ID」ー「アプリケーション」を選択し、展開されたメニューから「エンタープライズアプリケーション」を選択します。 19）すべてのアプリケーション画面にて、作成したエンタープライズアプリケーションを選択します。

23 20）作成したエンタープライズアプリケーションの概要画面にて、Getting Startedにある「1。ユーザーとグループの割り当て」または、左メニューにある管理の「ユーザーとグループ」を選択します。 21）ユーザーとグループ画面にて、「ユーザーまたはグループの追加」を選択します。

24 22）割り当ての追加画面にて、ユーザーの「選択されていません」を選択します。 23）ユーザー画面にて、すべてのユーザーが表示されるので、項番17）で作成したテスト用のユーザーを検索し、ユーザーのチェックボックスを選択し、さらに「選択」を選択します。

25 24）割り当ての追加画面にて、ユーザーに「1人のユーザーが選択されました。」が表示されている事を確認し、「割り当て」を選択します。 25）ユーザーとグループ画面に割り当てたユーザーが追加されている事を確認します。

3. Identity Domainでアイデンティティ・プロバイダの登録 Copyright © 2025, Oracle and/or its affiliates
26

3. Identity Domain側でアイデンティティ・プロバイダの登録 Copyright © 2025, Oracle and/or its affiliates
27 1）OCIコンソール（ https://www.oracle.com/jp/cloud/sign-in.html ）にアクセスします。テナント名（クラウド・アカウント名）を入力し「次に進む」を選択します。アイデンティティ・ドメインの選択画面が表示される場合には、該当のドメインを選択し、「次」を選択します。サインイン画面にて、該当ドメインのドメイン管理者の権限を持つユーザーの「ユーザー名」および「パスワード」を入力し、「サイン・イン」を選択し、OCIコンソールにサインインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にサインインすることになります。注意事項：OCIコンソールは既定で多要素認証が設定されておりますので、認証後に多要素認証による認証を行う場合があります。 ※環境によりドメイン選択画面は表示されません。

28 2）OCI コンソール画面にて、左メニューより「アイデンティティとセキュリティ」を選択し、「ドメイン」を選択します。 3）ドメイン画面にて、コンパートメントで対象のコーパートメントを選択し、さらに該当のドメインを選択します。 ※自身で作成したコンパートメントおよびIdentity Domain（ドメイン）に設定する場合は、該当のコンパートメントおよびドメインを選択します。

29 4）アイデンティティ・ドメインのドメインの概要画面にて、上部のメニューより、「フェデレーション」を選択します。 5）フェデレーションの画面にて、アイデンティティ・プロバイダの「アクション」を選択し、さらに「SAML IdPの追加」を選択します。

30 6）SAMLアイデンティティ・プロバイダの追加画面にて「名前」、必要に応じて「説明」に適切な値を入力し、「次」を選択します。

31 7）アイデンティティ・プロバイダのシングル・サインオン（SSO）の構成にて、「アイデンティティ・プロバイダ・メタデータのアップロード」の「ファイルをドロップするか選択」を選択し、項番 2.Entar ID側でサービス・プロバイダの登録 16）にてダウンロードしたメタデータを選択し、「次」を選択します。

32 8）ユーザー・アイデンティティのマップにて、各項目に下記の内容を指定し、「次」を選択します。・リクエストされた名前IDフォーマット：電子メール・アドレス・アイデンティティ・プロバイダ・ユーザー属性：SAMLアサーション名ID ・アイデンティティ・ドメインユーザー属性：プライマリ電子メール・アドレス

33 9）確認および作成にて、設定した内容を確認し、「IdPの作成」を選択します。

34 10）アイデンティティ・プロバイダ（ IdP ）にて、先ほど作成したアイデンティティ・プロバイダが非アクティブ状態で追加されたことを確認します。

4. Identity Domainでアイデンティティ・プロバイダのアクティブ化 Copyright © 2025, Oracle and/or its affiliates
35

4. Identity Domain側でアイデンティティ・プロバイダのアクティブ化 Copyright © 2025, Oracle and/or its affiliates
36 1）後述の「ログインテスト」を行う為に項番 2. Enta ID側でサービス・プロバイダの登録 17）にてEntra IDで作成したユーザーと同一のユーザーをIdentity Domain側に作成します。アイデンティティ・ドメインの概要画面にて、上部のメニューより、「ユーザー管理」を選択し、ユーザー画面にて「作成」を選択します。ユーザーの作成画面にてユーザーを作成する為の適切な値を入力し、「作成」を選択します。 ※Entra IDの属性：メールとIdentity Domainの属性：電子メール・アドレスが同じ値になるように作成します。

37 2）アイデンティティ・ドメインの概要画面にて、上部のメニューより、「フェデレーション」を選択し、アイデンティティ・プロバイダにて、項番 3. Identity Domain側でアイデンティティ・プロバイダの登録 11）で作成したアイデンティティ・プロバイダ名を選択します。

38 3）アイデンティティ・プロバイダの画面にて「アクション」を選択し、「ログインのテスト」を選択します。 4）マイクロソフトサインイン画面にて、項番 2. Entra ID側でサービス・プロバイダの登録 17）にてEntra ID上で作成したユーザー ID/パスワードを入力し、「サインイン」を選択し、接続に成功した旨のメッセージが表示されることを確認し、画面を閉じます。 ※Entra IDの認証において多要素認証が求められる場合があります。

39 5）アイデンティティ・プロバイダの画面にて「アクション」を選択し、「IdPのアクティブ化」を選択します。 6）アイデンティティ・プロバイダのアクティブ化の画面にて「IdPのアクティブ化」を選択します。

40 7）アイデンティティ・プロバイダがアクティブ化されたことを確認します。

5. Identity Domain側でIdPポリシーの定義 Copyright © 2025, Oracle and/or its affiliates
41

42 1）OCIコンソールにサインインする際、今回、作成したアイデンティティ・プロバイダを選択して利用できるようにするためIdPポリシーの定義を行います。アイデンティティ・ドメインの概要画面にて、上部のメニューより、「フェデレーション」を選択し、を選択し、「Default Identity Provider Policy」を選択します。 2）Default Identity Provider Policy画面にて、アイデンティティ・プロバイダ・ルールの「IdPルールの追加」を選択します。 ※「Default Identity Provider Policy」には「Default IdP Rule」というルールが既定で作成されています。この「Default IdP Rule」を直接編集することも可能ですが、運用の中にデフォルト状態に戻す事も想定し、「Default IdP Rule」は編集せずにデフォルトの状態のままにしておくことをお勧めします。

43 3）アイデンティティ・プロバイダ・ルールの追加画面にて、「ルール名」に適切な値を入力し、アイデンティティ・プロバイダの割当てにて項番3. Identity Domain側でアイデンティティ・プロバイダの登録にて作成したアイデンティティ・プロバイダ（今回の場合、「IdP_EntraID」）と「Username-Password」を選択し、「IdPルールの追加」を選択します。 ※アイデンティティ・プロバイダに設定した「Username-Password」はIdentity Domainのローカル認証のことを指します。

44 4）Default Identity Provider Policy画面にて、アイデンティティ・プロバイダ・ルールのアクションを選択し、「IdPルール優先度の編集」を選択します。 5）IdPルール優先度の編集画面にて、Default IDP Ruleの優先度を「2」に、本章の項番3)で作成したアイデンティティ・プロバイダの優先度を「1」に設定し、「変更の保存」を選択します。

45 6）Default Identity Provider Policy画面のアイデンティティ・プロバイダ・ルールにて、本章の項番３）で作成したアイデンティティ・プロバイダの優先度が「1」になっている事を確認します。

1）OCI コンソール（ https://www.oracle.com/jp/cloud/sign-in.html ）にアクセスします。テナント名（クラウド・アカウント名）を入力し、「次に進む」を選択します。アイデンティティ・ドメインの選択画面が表示される場合には、該当のドメインを選択し、「次」を選択します。 ※ ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“ Default ドメイン”にサインインすることになります。注意事項：OCIコンソールは既定で多要素認証が設定されておりますので、認証後に多要素認証による認証を行う場合があります。 2）アイデンティティ・ドメインのサインイン画面の下部に今回作成した、アイデンティティ・プロバイダが表示され選択ができることを確認し、「アイデンティティ・プロバイダ」を選択します。 ※環境によりドメイン選択画面は表示されません。

3）マイクロソフトのサインイン画面にて、項番 2. Entra ID側でサービス・プロバイダの登録 17）にてEntra ID上で作成したユーザーID/パスワードを入力し、「サインイン」を選択します。項番 4. Identity Domain側でアイデンティティ・プロバイダのアクティブ化 1）で作成されたユーザーでOCIコンソールにサインインできていることを確認します。 ※Entra IDの認証において多要素認証が求められる場合があります。

（オプション） Entra IDからIdentity DomainへのID情報同期 Copyright © 2025, Oracle and/or its
affiliates 49

OCI IAM Identity DomainsとEntra ID間でのIDプロビジョニング検証 Copyright © 2025, Oracle and/or
its affiliates 50 本資料はEntra IDとIdentity DomainとのID同期の設定手順書となります。ここでは、Entra IDからIdentity DomainにPushによるID情報の同期の設定手順について記載しています。 ※ 対象Entra IDは構築済みが前提となります。本資料は、以下のサイトに記載されている内容をベースに作成しており、最新の情報は以下のサイトをご確認下さい。 https://docs.oracle.com/ja-jp/iaas/Content/Identity/tutorials/azure_ad/lifecycle_azure/azure_lifecycle.htm OCI IAM Identity Domains Microsoft Entra ID Entra ID → Identity Domain ID情報同期（Entra ID側からのPushによる同期）

Entra IDからIdentity DomainにPushするID情報の同期 Copyright © 2025, Oracle and/or its affiliates
51

手順概要 Copyright © 2025, Oracle and/or its affiliates 52 1.
Identity Domain側でSCIMインターフェース設定（機密アプリケーション登録） 2. Entra ID側でプロビジョニング設定 3. 動作確認

1. Identity Domain側でSCIMインターフェースの設定（機密アプリケーション登録） Copyright © 2025, Oracle and/or its
affiliates 53

affiliates 54 1）OCIコンソール（https://www.oracle.com/jp/cloud/sign-in.html）にアクセスします。テナント名（クラウド・アカウント名）を入力し「次に進む」を選択します。アイデンティティ・ドメインの選択画面が表示される場合には、該当のドメインを選択し、「次」を選択します。サインイン画面にて、該当ドメインのドメイン管理者の権限を持つユーザーの「ユーザー名」および「パスワード」を入力し、「サイン・イン」を選択し、OCIコンソールにサインインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にサインインすることになります。注意事項：OCIコンソールは既定で多要素認証が設定されておりますので、認証後に多要素認証による認証を行う場合があります。 ※環境によりドメイン選択画面は表示されません。

affiliates 55 2）OCI コンソール画面にて、左メニューより「アイデンティティとセキュリティ」を選択し、「ドメイン」を選択します。 3）ドメイン画面にて、コンパートメントで対象のコーパートメントを選択し、さらに該当のドメインを選択します。 ※自身で作成したコンパートメントおよびIdentity Domain（ドメイン）に設定する場合は、該当のコンパートメントおよびドメインを選択します。

affiliates 56 4）対象のドメイン画面にて、詳細からドメインURLの「コピー」を選択し、ドメインのURLを控えておき、上部のメニューから「統合アプリケーション」を選択します。 ※コピーしたドメインURLは後続の手順で利用します。 5）統合アプリケーション画面にて、「アプリケーションの追加」を選択します。

affiliates 57 6）アプリケーションの追加画面にて「機密アプリケーション」を選択し、「ワークフローの起動」を選択します。

affiliates 58 7）機密アプリケーションの追加画面にて、「名前」、「説明」に適当な値を入力し、「送信」を選択します。

affiliates 59 8）作成した機密アプリケーションの画面にて、上部のメニューから「OAuth構成」を選択し、リソース・サーバー構成の「OAuth構成の編集」を選択します。 9）OAuth構成の編集画面にて、リソース・サーバー構成は既定で設定されている「リソース・サーバー構成がありません」を選択し、クライアント構成は「このアプリケーションをクライアントとして今すぐ構成します」を選択します。

affiliates 60 10）「このアプリケーションをクライアントとして今すぐ構成します」を選択する事で展開されたOAuth構成の編集画面にて、認可の許可される権限付与タイプにて、「クライアント資格証明」をチェックします。 11）画面を下にスクロールし、クライアントタイプで「機密」、さらにトークン発行ポリシーの認可されたリソースにて「機密」を選択します。

affiliates 61 12）画面を下にスクロールし、トークン発行ポリシーのアプリケーション・ロールの追加を選択し有効化し、「アプリケーション・ロールの追加」を選択します。 13）アプリケーション・ロールの追加画面にて名前が「User Administrator」のチェックボックスを選択し、「追加」を選択します。

affiliates 62 14） OAuth構成の編集画面のアプリケーション・ロールに「User Administrator」が追加されたことを確認し、「送信」を選択します。

affiliates 63 15）作成した機密アプリケーションの画面にて、作成した機密アプリケーションの画面にて「アクティブ化」を選択します。 16）アプリケーションのアクティブ化画面にて、アプリケーションのアクティブ化を選択します。

affiliates 64 17）作成した機密アプリケーションの画面にて、アクティブ化された事を確認します。 18）一般情報にある「クライアントID」と「クライアント・シークレット」の「・・・」を選択し、表示されたメニューから「コピー」を選択し、クライアント IDとクライアント・シークレットを控えます。 ※控えた「クライアントID」と「クライアント・シークレット」は後続の手順で利用します。

affiliates 65 19）PC上でテキストエディタを開き、本章の項番18）で控えた「クライアントID」と「クライアント・シークレット」を以下の形式で作成し保存します。｛クライアントID｝:｛クライアント・シークレット｝ ※作成時に改行がされていない事にご注意ください。 20）PC上でコマンドプロンプトを開き、以下のコマンドを実行し、上記で作成したファイル（クライアント ID:クライアント・シークレット）を以下のコマンドを利用して、Base64でエンコードし、ファイルに保存します。 certutil -encode {上記にて作成したテキストファイル名} {Base64エンコード後のファイル名} ※エンコードされたファイルは後続の手順で利用します。 ※certutilは、Windows環境で提供されているコマンドラインプログラムです。

67 1）Microsoft Entra管理センター（https://entra.microsoft.com）にアクセスします。マイクロソフトサインイン画面にて、 Azureの管理者のID/パスワードを入力し、「サインイン」を選択し、Microsoft Entra 管理センターにサインインします。 ※Azureの管理者とは以下のいずれかのロールを持つアカウントを示します。グローバル管理者/クラウド・アプリケーション管理者/アプリケーション管理者注意事項：Azureポータルは既定で多要素認証が設定されておりますので、認証後に多要素認証による認証を行う場合があります。

68 2）Microsoft Entra管理センター画面の左メニューで「ID」ー「アプリケーション」を選択します。 3）「アプリケーション」から展開された「エンタープライズアプリケーション」を選択します。

69 4）エンタープライズアプリケーション画面にて、「新しいアプリケーション」を選択します。 ※第1章の認証連携で作成したアプリケーションを選択して利用する事もできますが、はじめての場合は、別のアプリケーションを新規に作成することを推奨します。 5）Microsoft Entraギャラリーを参照する画面にて、アプリケーションを検索で、「Oracle Cloud Infrastructure Console」と入力し検索、もしくはクラウドプラットフォームから「Oracle」を選択します。

70 6）Microsoft Entraギャラリーを参照する画面にて、「Oracle Cloud Infrastructure Console」を選択します。 7）Oracle Cloud Infrastructure Consoleの作成画面にて、「名前」に適切な値を入力し、「作成」を選択します。

71 7）作成したエンタープライズアプリケーションの概要画面にて、Getting Startedにある「3。ユーザーアカウントのプロビジョニング」、または左メニューから「プロビジョニング」を選択し、さらに「作業の開始」を選択します。

72 8）プロビジョニング画面にてプロビジョニングモードを「自動」に指定します。管理者資格情報を以下の様に登録し、「テスト接続」を選択します。・テナントのURL: 項番1. Identity Domain側でSCIMインターフェースの設定（機密アプリケーション登録）4）にて控えたドメインの URLに「/admin/v1」を付けた値を入力します。 <対象ドメインのURL>/admin/v1 例）https://idcs-xxxx.identity. oraclecloud.com/admin/v1 ・シークレット・トークン：項番1. Identity Domain側でSCIMインターフェースの設定（機密アプリケーション登録）20）にてBase64でエンコードしたファイル」の値を入力します。 ※Base64エンコードしたファイルを開き、途中の改行は削除した値を入力します。

73 9）テスト接続が成功したメッセージが表示されていることを確認し、「保存」を選択します。

74 10）「マッピング」を展開する事で、グループおよびユーザーの属性マッピングの定義を編集する事ができます。グループの属性マッピングを変更する場合は「Provisioning Entra ID Groups」を選択します。 11）属性マッピング画面が表示されるので必要に応じて設定を行い、設定後「×」を選択し画面を閉じます。

75 12）ユーザーの属性マッピングを変更する場合は「Provisioning Entra ID Users」を選択します。 ※本章では、同期されるユーザーは、外部IdPからのみ認証されるフェデレーテッドユーザーとして構成し、さらにユーザーの作成および更新時に送付される通知メールを停止する設定を実施します。 13）属性マッピング画面が表示されます。

14）属性マッピング画面にて下までスクロールし、「新しいマッピングの追加」を選択します。 15）属性の編集画面にて、フェデレーテッドユーザーの構成をする為、以下の設定を行い、「OK」を選択します。マッピングの種類：「式」を選択式：「CBool("true")」を入力対象の属性：「urn:ietf:params:scim:schemas:oracle:idcs: extension:user:User:isFederatedUser」を選択 2. Entra ID側でプロビジョニング設定 Copyright

16）先ほど設定した属性マッピングが追加されている事を確認し、再度「新しいマッピングの追加」を選択します。 17）属性の編集画面にて、ユーザーの作成および変更時の通知メールを停止する構成をする為、以下の設定を行い、「OK」を選択します。マッピングの種類：「式」を選択式：「CBool("true")」を入力対象の属性：「urn:ietf:params:scim:schemas:oracle:idcs: extension:user:User:bypassNotification」を選択 2. Entra ID側でプロビジョニング設定 Copyright

18）先ほど設定した属性マッピングが追加されている事を確認し、「保存」を選択し、さらに変更の保存画面にて「はい」を選択し、「×」を選択し属性マッピング画面を閉じます。 19）プロビジョニング画面にて「設定」を展開し、範囲にて「割り当てられたユーザーとグループのみを同期する」を選択します。 ※「割り当てられたユーザーとグループのみを同期する」でエンタープライスアプリケーションに割り当てられたユーザーまたはグループが同期されます。プロビジョニング状態を「オン」にし、「保存」を選択し、プロビジョニング画面を閉じます。 2. Entra ID側でプロビジョニング設定 Copyright

1）Microsoft Entra管理センター画面の左メニューで「ID」ー「アプリケーション」を選択し、展開されたメニューから「エンタープライズアプリケーション」を選択します。 2）エンタープライズアプリケーション画面にて、前章にてプロビジョニングの設定を行ったエンタープライズアプリケーションを選択します。

3）作成したエンタープライズアプリケーションの概要画面にて、Getting Startedにある「1。ユーザーとグループの割り当て」または、左メニューにある管理の「ユーザーとグループ」を選択します。 4）エンタープライズアプリケーションのユーザーとグループ画面にて「ユーザーまたはグループの追加」を選択します。

5）割り当ての追加画面にて、ユーザーの「選択されていません」を選択します。 6）ユーザー画面にて、すべてのユーザーが表示されるので同期対象のユーザーのチェックボックスを選択し、さらに「選択」を選択します。

7）割り当ての追加画面にて、「割り当て」を選択します。 8）選択したグループとユーザーが追加されている事を確認し、左メニューから「プロビジョニング」を選択します。

9）エンタープライズアプリケーションの概要画面にて、同期が行われている事を確認します。 ※「プロビジョニングの停止」を選択し、「プロビジョニングの開始」を選択すると同期が再実行されます。「プロビジョニングログの表示」を選択すると、プロビジョニングログを確認する事ができます。

10）OCI コンソールにてEntra IDからIdentity Domainに同期されたユーザーおよび同期されたユーザーの属性を確認します。アイデンティティ・ドメインのドメインの概要画面にて、上部のメニューより、「ユーザー情報」を選択し、Entra IDで設定されユーザーが同期されている事を確認します。さらに、同期されたユーザーを選択し、「フェデレーテッド」属性が「はい」と設定されている事を確認します。

OCI IAM Identity Domains Entra IDとの認証連携設定手順 / I...

OCI IAM Identity Domains Entra IDとの認証連携設定手順 / Identity Domain Federation settings with Entra ID

More Decks by oracle4engineer

Other Decks in Technology

Featured

Transcript