2023年2月13日 / 最終更新日時 : 2023年3月20日 テクバンOracle Cloud Infrastructure(OCI) 担当 Oracle Cloud Infrastructure(OCI)

OCI IAM Identity Domains
~Active Directory とのID連携①~

こんにちは。Oracle Cloud Infrastructure(OCI)特集 編集部です。
今回はOCIの認証サービス OCI IAM Identity Domains と Active Directory のID 情報連携についてご紹介します。

後述しますが Identity Domain には5つタイプがあり、今回は Freeタイプを利用した Active Directory → Identity Domain への単方向同期の設定をご紹介します。

1. Identity Domain のタイプ別機能について

Identity Domain は Active Directory と連携することで以下を実現できます。
・ユーザー/グループオブジェクトの同期
・Active Directory へ認証を委任
ITインフラの中核としてIDの一元管理を担っている Active Directory と連携することで、Identity Domain の運用効率化および一貫性のあるID管理を行うことができます。
Identity Domain には5つのタイプがあり、Active Directory のID 情報連携にも以下の機能差が存在します。(2023/02/12時点)
IAMアイデンティティ・ドメインのタイプ (oracle.com) より引用

2. Active Directory 連携の仕組み

  • Active Directory とのID連携は、ドメインメンバーのWindows マシンに導入する専用エージェント「AD Bridge」を介して行う。
  • 任意のOU配下にあるユーザーおよびグループを同期する。初期同期以降は作成・更新・削除されたデータが対象となる。
  • Active Directory のユーザーオブジェクトは”姓”と”電子メールアドレス”属性は入力必須
  • AD Bridge と Identity Domain は HTTPSで通信
  • 無償タイプのIdentity Domain は Active Directory → Identity Domain への単方向同期のみ、有償タイプは双方向同期が可能
  • パスワード同期はないため、ID同期後に Identity Domain で別途パスワードを設定する必要がある。有償タイプのみOCIログイン時の認証を Active Directory に委任することが可能。

3. システム要件

【 AD Bridge 稼働環境 】

  • Active Directory ドメインに参加しているWindows マシン
  • OS のバージョン: Windows 10 v1607 以降またはWindows Server 2016 以降 ※64bit OS
  • .NET のバージョン: 4.6 以降
  • ネットワーク:HTTPSで Identity Domain に接続可能な環境
  • 最小ハードウェア要件: 1GB のRAM、1GB のディスク容量、クワッドコアCPU

【 Active Directory サポートOS】

  • Microsoft Windows Server 2008
  • Microsoft Windows Server 2008 R2
  • Microsoft Windows Server 2012
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows Server 2016
  • Microsoft Windows Server 2019

4. 手順概要

① Active Directory の確認

② AD Bridge インストールモジュールのダウンロード

③ AD Bridge のインストール

④ Identity Domain でのAD Bridge 設定

⑤ ID情報のインポート

⑥ 動作確認

5. 設定手順

手順① Active Directory の確認

同期対象となるAD 上のOU、ユーザーおよびグループオブジェクトの構成を確認します。
本手順の構成は以下となります。
ADドメイン名:test.local
同期対象OU :tech
ユーザ :techuser01、techuser02、techuser03
グループ:techgroup01(メンバーはtechuser01、techuser02)


手順② AD Bridgeインストールモジュールのダウンロード

  1. OCI コンソールにアクセスし、Active Directoryと連携するドメインへ移動します。本手順で使用するドメインはTestDomainです。


  2. 「設定」> 「ディレクトリ統合」>「追加」を選択します。


  3. AD Bridge のインストール画面で「ダウンロード」を選択し、インストールモジュールをダウンロードします。
    [アイデンティティ・ドメインURL ]、[クライアントID]、[クライアント・シークレット]の値は後続のAD Bridge インストールで必要となるため、メモ帳等に控えておきます。

手順③ AD Bridge のインストール

  1. AD Bridge をインストールするサーバでインストールモジュールを実行します。
    Language Selection 画面にて、「日本語」を選択し、「OK 」を選択します。


  2. ようこそ画面にて「次」を選択します。


  3. 宛先フォルダ画面にて「宛先フォルダ」にインストール先を指定し「次」を選択します。


  4. プロキシサーバの指定画面にてプロキシサーバを利用している場合には情報を指定し、「次」を選択します。
    (プロキシサーバを利用していない場合には、そのまま「次」を選択します。)


  5. Identity Cloud Service の資格証明指定画面にて、[アイデンティティ・ドメインURL]、[クライアントID]、[クライアント・シークレット]を指定し、「テスト」を選択します。


  6. 「接続に成功しました」と表示されたことを確認し、「次」を選択します。


  7. AD 資格証明の指定画面にてAD に接続するためのAD ドメインユーザー名とパスワードを指定し、「テスト」を選択します。
    ※ SSLを利用する場合には「SSL の使用」にチェックします。


  8. テストの結果「接続に成功しました」と表示されたことを確認し、「次」を選択します。


  9. インストールが終了したことを確認し、サマリー画面にて「閉じる」を選択します。


  10. AD Bridge をインストールしたサーバのスタートメニューより「Identity Cloud Service Microsoft Active Directory Bridge Configuration」を選択します。Stasus が Running であることを確認します。
    ※ この画面で AD Bridge の起動/停止や接続情報等を変更することが可能です。

手順④ Identity Domain での AD Bridge 設定

  1. OCI コンソールにアクセスし、Active Directoryと連携するドメインを選択し移動します。
  2. 「設定」> 「ディレクトリ統合」> 「連携するActive Directoryのドメイン」を選択します。


  3. 選択したドメインの画面にて、「構成」>「構成を編集」を選択します。


  4. ユーザー用の組織単位( OU )の選択の「階層を含む」を選択し、ユーザー同期の対象となるOU を選択します。今回はOU:techを選択します。
    グループ用の組織単位( OU )の選択にて、グループ同期の対象となるOU を選択します。
    ユーザーと同様にOU:techを選択します。
    ※OU は同期されず、OU 配下のユーザーおよびグループオブジェクトが同期対象となります。


  5. [インポート頻度]の設定部分にて、同期の間隔を設定します。今回は5分に設定します。
    認証設定部分にて「ローカル認証の有効化」を選択し、「変更の保存」を選択します。


手順⑤ ID情報のインポート

  1. OCI コンソールにアクセスし、Active Directoryと連携するドメインを選択し移動します。
  2. 「設定」> 「ディレクトリ統合」> 「連携するActive Directoryのドメイン」を選択します。
  3. 「インポート」>「ユーザーのインポート」を選択します。


  4. インポートタイプ画面にて「全体インポート」を選択し「インポート」を選択します。 インポート実行後、「リフレッシュ」を選択すると、インポートのステータスが「実行中」から「成功」となり処理が完了したことが確認できます。

手順⑥ 動作確認

  1. Identity Domain のドメインで「ユーザー」を選択します。
    同期対象OUの配下にあるユーザーが同期されていることを確認します。


  2. 「グループ」を選択し、同期対象OUの配下にあるグループが同期されていることを確認します。


  3. 同期されたグループを選択し、メンバー情報が同期されていることを確認します。


これでID情報の初期同期が完了です。この後は Active Directory で新規作成されたユーザー/グループオブジェクト、オブジェクトの更新/削除、ユーザーの有効化/無効化が指定した間隔で Identity Domain に反映されます。

6. 最後に

本記事では、OCIの認証サービスである OCI IAM Identity Domains と Active Directory のID連携についてご紹介しました。
今回は 無償タイプのため単方向同期のみでしたが、後日に有償タイプによる双方向同期および委任認証の動作についてご紹介したいと思います。

<免責事項>
情報の掲載には注意を払っておりますが、掲載された情報の内容の正確性については一切保証しません。また、当サイトに掲載された情報を利用・使用(閲覧、投稿、外部での再利用など全てを含む)するなどの行為に関連して生じたあらゆる損害等につきましても、理由の如何に関わらず自己責任で行う必要があります。

カテゴリー
Oracle Cloud Infrastructure(OCI)
Oracle Cloud Infrastructure(OCI)

前の記事

OCI DNSサービスを使ってみた(前編)
2023年2月1日
Oracle Cloud Infrastructure(OCI)

次の記事

OCMを使ってファイル共有してみた
2023年2月21日