Oracle Cloud Infrastructure-Dokumentation

Anwendungsrollen in Microsoft Entra ID verwalten

In der Entra-ID können Sie Anwendungsrollen erstellen und verwalten, die Azure-Benutzern und -gruppen zugewiesen und auch globalen Schemas und Rollen von Oracle Database zugeordnet werden.

Übergeordnetes Thema: Microsoft Entra-ID-Authentifizierung in Autonomous Database aktivieren

Microsoft Entra ID-Anwendungsrolle erstellen

Azure-Benutzer, -Gruppen und -Anwendungen, die eine Verbindung zur Datenbank herstellen müssen, werden den Datenbankanwendungsrollen zugewiesen.

Ausführliche Schritte zum Erstellen einer Anwendungsrolle finden Sie im Microsoft Azure-Artikel Create and assign a custom role in Azure Active Directory. In den folgenden Schritten wird beschrieben, wie Sie die Anwendungsrolle zur Verwendung mit einer Oracle-Datenbank erstellen.
  1. Melden Sie sich bei Entra ID als Administrator an, der berechtigt ist, Anwendungsrollen zu erstellen.
  2. Greifen Sie auf die von Ihnen erstellte Oracle Database-Anwendungsregistrierung zu.
    1. Verwenden Sie den Filter Verzeichnis + Abonnement, um den Entra-ID-Mandanten zu suchen, der die Oracle Database-Anwendungsregistrierung enthält.
    2. Wählen Sie Azure Active Directory aus.
    3. Wählen Sie unter Manage die Option App registrations und dann die zuvor registrierte Oracle Database-Instanz aus.
  3. Wählen Sie unter Manage die Option App roles aus.
  4. Wählen Sie auf der Seite "App roles" die Option Create app role aus.
  5. Geben Sie auf der Seite "Create app role" die folgenden Informationen ein:
    • Display name: Der Anzeigename der Rolle (z.B. HR App Schema). Sie können Leerzeichen in diesem Namen verwenden.
    • Value: Der tatsächliche Name der Rolle (z.B. HR_APP). Stellen Sie sicher, dass diese Einstellung genau mit der Zeichenfolge übereinstimmt, die in der Datenbankzuordnung zu einem Schema oder einer Rolle referenziert wird. Verwenden Sie in diesem Namen keine Leerzeichen.
    • Description: Enthält eine Beschreibung des Zwecks dieser Rolle.
    • Do you want to enable this app role? Hiermit können Sie die Rolle aktivieren.
  6. Klicken Sie auf Apply.

    Die Anwendungsrolle wird im Fensterbereich "App roles" angezeigt.

    Beschreibung von azure-app-roles-creation.png folgt
    Beschreibung der Abbildung azure-app-roles-creation.png

Der Microsoft Entra ID-Anwendungsrolle Benutzer und Gruppen zuweisen

Bevor Microsoft Azure-Benutzer auf die Oracle-Datenbank zugreifen können, müssen sie zunächst den Anwendungsrollen zugewiesen werden, die Oracle Database-Schemabenutzern oder -rollen zugeordnet werden.

Ausführliche Schritte zum Zuweisen von Benutzern und Gruppen zu einer Anwendungsrolle finden Sie im Microsoft Azure-Artikel Add app roles to your application and receive them in the token. In den folgenden Schritten wird erläutert, wie dies für eine Oracle-Datenbank durchgeführt wird.
  1. Melden Sie sich als Administrator mit Berechtigungen zum Zuweisen von Azure-Benutzern und Entra-ID-Gruppen zu Anwendungsrollen bei Entra ID an.
  2. Suchen Sie in Unternehmensanwendungen den Namen der von Ihnen erstellten Oracle Database-Anwendungsregistrierung. Dies wird automatisch erstellt, wenn Sie eine App-Registrierung erstellen.
    1. Verwenden Sie den Filter Directory + subscription, um den Azure Active Directory-Mandanten zu suchen, der die Oracle-Verbindung enthält.
    2. Wählen Sie Azure Active Directory aus.
    3. Wählen Sie unter Manage die Option Enterprise applications und dann den Namen der zuvor registrierten Oracle Database-App-Registrierung aus.
  3. Wählen Sie unter "Getting Started" die Option Assign users and groups aus.
  4. Wählen Sie Add user/group aus.
  5. Wählen Sie im Fenster "Add assignment" die Option Users and groups aus, um eine Liste der Benutzer und Sicherheitsgruppen anzuzeigen.
  6. Wählen Sie in dieser Liste die Benutzer und Gruppen aus, die Sie der Anwendungsrolle zuweisen möchten, und klicken Sie dann auf Select.
  7. Wählen Sie im Fenster "Add assignment" die Option Select a role aus, um eine Liste der von Ihnen erstellten Anwendungsrollen anzuzeigen.
  8. Wählen Sie die Anwendungsrolle und dann Select aus.
  9. Klicken Sie auf Zuweisen.

Anwendung einer Anwendungsrolle zuweisen

Eine Anwendung, die sich mit dem Clientzugangsdatenablauf bei der Datenbank anmelden muss, muss einer Anwendungsrolle zugewiesen werden.

  1. Melden Sie sich als Administrator mit Berechtigungen zum Zuweisen von Azure-Benutzern und Entra-ID-Gruppen zu Anwendungsrollen bei Entra ID an.
  2. Greifen Sie auf die Anwendungsregistrierung für die Anwendung zu.
  3. Wählen Sie unter "Manage" die Option API permissions aus.
  4. Wählen Sie im Bereich "Configured permissions" die Option + Add a permission aus.
  5. Wählen Sie im Bereich "Request API permission" die Registerkarte My APIs aus.
  6. Wählen Sie die Oracle Database-Anwendung aus, für die Sie dieser Anwendung Zugriffsberechtigungen erteilen möchten. Wählen Sie dann die Option Application permissions aus.
  7. Wählen Sie die Datenbankanwendungsrollen aus, die Sie der Anwendung zuweisen möchten, und klicken Sie unten im Fenster auf das Feld Add Permission, um die Anwendungsrollen zuzuweisen und das Dialogfeld zu schließen. Stellen Sie sicher, dass die gerade zugewiesenen Anwendungsrollen unter "Configured permissions" angezeigt werden.
  8. Wählen Sie Grant admin consent for tenancy aus, um den Mandantenbenutzern die Zustimmung zu erteilen. Wählen Sie dann im Bestätigungsdialogfeld Yes aus.