OCI IAM Identity Domains~Active Directory とのID連携②~
こんにちは。Oracle Cloud Infrastructure(OCI)特集 編集部です。
今回は、以前ご紹介したOCI IAM Identity Domains ~Active Directory とのID連携①~ の続編です。
前回はFreeタイプの Identity Domain だったので Active Directory → Identity Domain への単方向同期 でしたが、本記事では Premium タイプの Identity Domain を使用し、双方向同期と委任認証の動作を確認したいと思います。
Identity Domainのタイプ別機能、AD連携の仕組み、システム要件については過去記事をご確認ください。
また、過去記事と同様の手順が多くあるため差分についてのみ本記事にて記載致します。
OCI IAM Identity Domains ~Active Directory とのID連携①~
1. 手順概要
① Active Directory の確認
② AD Bridge インストールモジュールのダウンロード
③ AD Bridge のインストール
④ Identity Domain でのAD Bridge 設定 ※過去記事と異なる手順
⑤ ID情報のインポート
⑥ 委任認証のアクティブ化 ※過去記事から追加となる手順
⑦ 動作確認
2. 設定手順
手順① Active Directory の確認
手順② AD Bridge インストールモジュールのダウンロード
手順③ AD Bridge のインストール
本記事では Premium タイプの Identity Domain を使用しますが、大まかな手順はFreeタイプと同等です。
過去記事を参照し、AD Bridge のインストール まで行います。
手順④ Identity Domain でのAD Bridge 設定
AD Bridge 設定も過去記事と同様の手順ですが、有償タイプの Identity Domain では “サポートされている操作” の設定項目があります。
この項目は Identity Domain → Active Directory に同期する操作の設定となり、Active Directory → Identity Domain の同期はこの設定に関わらず行われます。
本記事ではすべてにチェックを入れて設定します。
⑤ ID情報のインポート
過去記事を参照し、ID情報のインポートを行います。
⑥ 委任認証のアクティブ化
- 「セキュリティ」>「委任認証」を選択します。
- 「委任認証のアクティブ化」を有効にします。
⑦ 動作確認
◆ オブジェクト操作に関する動作確認結果
◆ 委任認証に関する動作確認結果
- OCIコンソールで Active Directory から同期されたユーザーを指定し、Active Directory のパスワードでログインします。
- Active Directory で認証され、ログイン画面が表示されます。
◆ パスワードリセットに関する動作確認
- Identity Doamin で “パスワードのリセット” を選択します。
- メールでパスワードリセットのURLが送付されます。 “パスワードのリセット”をクリックし、新規パスワードを設定します。
- パスワード変更後、新規パスワードでOCIコンソールにログインします。
※ Active Directory メンバーのPCにログインする際も、②で設定したパスワードでログインできることを確認済み。
3. 最後に
本記事では Premium タイプの Identity Domain を使用し、双方向同期と委任認証の動作をご紹介しました。
Freeタイプの場合、ユーザー認証・パスワード管理は個別に行う必要がありますが、有償タイプの場合は Active Directory に統一することができます。
ユーザー数が増えるほど管理面でのメリットは大きいと思いますので、有償タイプの選定もご検討ください。
また、双方向同期とはいえ、ユーザー作成/削除等の Identity Domain から同期されない操作もあり、Active Directory との不整合が発生する可能性がありますので注意して運用してください。
<免責事項>
情報の掲載には注意を払っておりますが、掲載された情報の内容の正確性については一切保証しません。また、当サイトに掲載された情報を利用・使用(閲覧、投稿、外部での再利用など全てを含む)するなどの行為に関連して生じたあらゆる損害等につきましても、理由の如何に関わらず自己責任で行う必要があります。
