Oracle

Oracle Admin Consoleを開いて、Identity Domains Overviewのページへ移動して[Applications]を選択します。

[Add Applications]をクリックします。

アプリケーションタイプとしてSAMLを選択します。

セキュリティ態勢に応じて、[Application Information]に適切な設定を適用します。[Edit SSO Configuration]をクリックします。Metadataをダウンロードし、ファイル名をmetadata.xmlに変更します。Entity IDをhttps://kcm.somedomain.comなどコネクションマネージャーサーバーのURLに設定します。Assertion Consumer URLには、ドメインURLの末尾に/api/ext/saml/callbackを追加します (例: https://kcm.somedomain.com/api/ext/saml/callback）。

次に、Name ID Formatをメールアドレスに、Name ID ValueをPrimary Emailに設定します。Signed SSO設定はAssertionのままにします。Include Signing Certificate in Signatureのチェックを外し、Signature Hashing AlgorrithmをSHA-256のままにします。

上記のようにemailのType ValueをUser Nameにします。また、groupsのType ValueをGroup membershipにし、ConditionをAll groupsに設定します。

SAMLアプリケーションに適切なユーザーとグループを割り当てます。テスト目的で少なくとも 1 人のユーザーを割り当てる必要があります。

コネクションマネージャーサーバーの構成

metadata.xmlファイルをKCM サーバーにアップロードし、「/etc/kcm-setup」ディレクトリに移動します。

運用時間後に、コネクションマネージャーサーバーでreconfigureコマンドを実行します。

[Do you want to setup SAML support (Y/N)?]に対して「Y」と答えます。

ローカルメタデータファイルの1を選択します。次に、メタデータファイルのパスとして/etc/kcm-setup/metadata.xmlと入力し、Enterキーを押します。

[Does your SAML IdP require signed requests (Y/N)?]という質問に「N」と回答し、コネクションマネージャーインスタンスのURLとしてSAML entity IDを入力します (例: https://kcm.somedomain.com)。

次に、SAML group attributeとして「groups」と入力します。

デフォルトの認証方法に関して、セキュリティ態勢に最も適した設定を選択します。ユーザーのジャストインタイムプロビジョニングが必要な場合は、[Would you like user accounts to be automatically created for each successful login (Y/N)?]という質問に「Y」と答えます。

SAMLリンクをクリックして、メインのサインオンページで認証します。

認証後、ユーザーのメールアドレスが右上隅に表示されます。