Hinweis:

• Dieses Tutorial erfordert Zugriff auf Oracle Cloud. Informationen zum Anmelden für einen kostenlosen Account finden Sie unter Erste Schritte mit Oracle Cloud Infrastructure Free Tier.
• Es verwendet Beispielwerte für Oracle Cloud Infrastructure-Zugangsdaten, -Mandanten und -Compartments. Wenn Sie Ihre Übung abgeschlossen haben, ersetzen Sie diese Werte durch die Werte, die für Ihre Cloud-Umgebung spezifisch sind.

Anmelde-Policys für Oracle Analytics Cloud- und APEX-Apps auf OCI konfigurieren

Einführung

Anmelde-Policys für die Oracle Cloud Infrastructure Identity and Access Management-(OCI IAM-)Identitätsdomain sind ein Schlüsselelement für die Verwaltung des Zugriffs auf Anwendungen, die in Oracle Cloud Infrastructure (OCI) bereitgestellt werden.

Dieses Tutorial ist von einem Kundenanwendungsfall inspiriert und beschreibt, wie ein ISV oder ein Application Services-Provider Anmelde-Policys implementieren kann, um die Authentifizierung für die Anwendungen zu ermöglichen, die sie Endbenutzern bereitstellen, während dieser Zugriff auf die OCI-Konsole verhindert.

Für dieses Tutorial werden zwei Anwendungen verwendet: eine Oracle Analytics Cloud-Anwendung und eine APEX-Anwendung, die auf dem Autonomous Transaction Processing-(ATP-)Service ausgeführt wird.

Ziele

• Erstellen und konfigurieren Sie ein Compartment und eine Identitätsdomain für die Anwendungen.
• Stellen Sie eine Oracle Analytics Cloud-Anwendung und eine APEX-Anwendung mit ATP bereit.
• Integrieren Sie diese beiden Anwendungen in OCI-IAM-Identitätsdomains.
• Konfigurieren Sie Anmelde-Policys, um Anwendungszugriff zu ermöglichen, und verhindern Sie gleichzeitig, dass Anwendungsbenutzer sich bei der OCI-Konsole anmelden.

Architektur

In diesem Tutorial wird die folgende Architektur verwendet:

• Compartments: Compartment, in dem sowohl die Anwendungsdomain als auch die Oracle Analytics Cloud- und ATP-Instanzen für dieses Tutorial erstellt werden
• Domains:
  • Standarddomain
  • Anwendungsdomain
• Gruppen:
  • Anwendungsdomain:
    • Gruppe von Anwendungsbenutzern; kann nur auf Anwendungen in der Domain zugreifen.
    • Gruppe von Oracle Analytics Cloud- und ATP-Provisioning-Benutzern; kann nur Oracle Analytics Cloud- und ATP-Instanzen in der Domain bereitstellen und verwalten.
  • Standard-Domain:
    • Gruppe von Benutzern mit Berechtigungen zum Verwalten aller Ressourcen im Compartment, das in diesem Tutorial verwendet wird. Diese führen alle administrativen Aktivitäten für die Anwendungsdomain aus.
• Anmelde-Policys:
  • Default Sign-On Policy:
    • Regel 1: Ermöglicht den Zugriff auf die Gruppe der Oracle Analytics Cloud- und ATP-Provisioning-Benutzer.
    • Regel 2: Zugriff verweigert.
  • Anmelde-Policy für Anwendungen:
    • Apps: Oracle Analytics Cloud- und APEX-Anwendungen.
    • Regel: Ermöglicht den Zugriff auf die Gruppe von Anwendungsbenutzern.

Voraussetzungen

• Zugriff auf einen OCI-Mandanten mit Identitätsdomains
• Ein Verständnis des OCI-IAM-Modells, nämlich Compartments, Identitätsdomains, Gruppen und Policys.
• Erstellen Sie einen Benutzer in der Standarddomain, der alle Ressourcen in dem Compartment verwalten kann, das Sie für das Tutorial verwenden.

Aufgabe 1: Compartment konfigurieren

1. Melden Sie sich bei der OCI-Konsole in der Standarddomain mit einem Benutzer an, der über Berechtigungen zum Verwalten von Ressourcen im Mandanten oder auf Compartment-Ebene verfügt, aus dem Sie dann das Tutorial-Compartment als untergeordnetes Compartment erstellen.

2. Erstellen Sie ein Compartment für das Tutorial.

   

3. Stellen Sie sicher, dass der Standarddomainbenutzer, mit dem Sie angemeldet sind, zu einer Gruppe gehört, die über Verwaltungsberechtigungen für dieses Compartment verfügt. Andernfalls erstellen (oder bitten Sie Ihre Mandantenadministratoren, eine Policy mit der folgenden Vorlage zu erstellen):

   Allow group <group to which your user belongs> to manage all-resources in compartment <compartment name>
   

Aufgabe 2: Anwendungsdomain konfigurieren

1. Erstellen Sie in diesem neu erstellten Compartment eine Identitätsdomain für die Anwendungsbenutzer. Für dieses Tutorial können Sie eine kostenlose Domain verwenden. Dies ist die Best Practice, da Anwendungsbenutzer von Administratorbenutzern getrennt werden.

   

2. Erstellen Sie in der neu erstellten Domain eine Gruppe für die Anwendungsbenutzer. Fügen Sie dieser Gruppe derzeit keine Benutzer hinzu. Sie führen es später im Tutorial aus, wenn Sie Tests durchführen.

   

3. Erstellen Sie eine Gruppe für die Benutzer, die Oracle Analytics Cloud- und ATP-Instanzen bereitstellen können, und weisen Sie dieser Gruppe einen Benutzer zu. Möglicherweise müssen Sie zu diesem Zweck einen Benutzer erstellen.

   

   

4. Erstellen Sie Policys, damit Benutzer dieser Gruppe Oracle Analytics Cloud- und ATP-Instanzen in dem Compartment erstellen können, das Sie für dieses Tutorial erstellt haben.

   Allow group <apps_domain>/<oac_provisioning_group> to manage analytics_instances in compartment <compartment name>
   Allow group <apps_domain>/<oac_provisioning_group> to manage autonomous_databases in compartment <compartment name>
   

Aufgabe 3: Oracle Analytics Cloud-Anwendung konfigurieren

1. Melden Sie sich bei der Anwendungsdomain, die Sie in Aufgabe 2 erstellt haben, mit dem Benutzer an, den Sie der Gruppe hinzugefügt haben, die Oracle Analytics Cloud- und ATP-Instanzen verwaltet.

2. Erstellen Sie die Oracle Analytics Cloud-Instanz. Mit der OCI-Konsole müssen Sie die Oracle Analytics Cloud-Instanz mit einem Benutzer bereitstellen, der zu der Domain gehört, auf der Ihre Anwendungsbenutzer erstellt und verwaltet werden. Der Grund dafür ist, dass der Provisioning-Prozess von Oracle Analytics Cloud automatisch eine Oracle Analytics Cloud-Anwendung in der Domain erstellt, die der Benutzer bereitstellt, dass er angemeldet ist.

   

   Hinweis: Wenn Sie die Oracle Analytics Cloud-Instanz mit der OCI-API bereitgestellt haben, können Sie die Oracle Analytics Cloud-Instanz mit einem Benutzer aus einer anderen Domain bereitstellen. Dies liegt jedoch außerhalb des Geltungsbereichs des aktuellen Tutorials.

3. Prüfen Sie, ob die Oracle Analytics Cloud-Instanz an die Identitätsdomain gebunden ist, bei der Sie angemeldet sind. Gehen Sie dazu zur Identitätsdomain, die Sie in Aufgabe 2 erstellt haben, und gehen Sie zu Oracle Cloud Services. Es sollte eine Anwendung angezeigt werden, die automatisch vom Provisioning-Prozess von Oracle Analytics Cloud in OCI erstellt wird.

   

4. Weisen Sie der Gruppe der Anwendungsbenutzer eine Oracle Analytics Cloud-Anwendungsrolle zu.

   

Aufgabe 4: APEX-Anwendung konfigurieren

1. Erstellen Sie eine ATP-Instanz.

   

2. Erstellen Sie einen APEX-Workspace, und installieren Sie ihn in einer Beispiel-APEX-Anwendung. Gehen Sie zur Anwendungsgalerie, und wählen Sie eine der Beispielanwendungen aus (z.B. die Beispielkalender-App).

   

3. Melden Sie sich mit diesem Oracle Analytics Cloud- und ATP-Provisioning-Benutzer von der Domain ab. Jetzt müssen Sie sich mit dem Benutzer anmelden, den Sie am Anfang des Tutorials verwendet haben. Dort können Sie alle Ressourcen im Tutorial-Compartment verwalten.

4. Integrieren Sie die Beispielanwendung in die OCI-Identitätsdomain gemäß dieser Anleitung.

   • Erstellen Sie eine vertrauliche Anwendung in der Anwendungsdomain für die APEX-Anwendung, die Sie im vorherigen Schritt installiert haben.
   • Erstellen Sie neue Webzugangsdaten in Ihrem APEX-Workspace.
   • Erstellen Sie ein neues Authentifizierungsschema für die APEX-Anwendung.

Aufgabe 5: Anmelde-Policys konfigurieren

1. Melden Sie sich bei der Standarddomain an, und ändern Sie die Standardanmelde-Policy der Anwendungsdomain. Ändern Sie zunächst die Standardanmelderegel, um nur den Zugriff auf Mitglieder der Provisioning-Gruppe von Oracle Analytics Cloud und ATP zuzulassen.

   Hinweis: Für dieses Tutorial behalten wir die Regel so einfach wie unten dargestellt. Sie sollten jedoch den Zugriff mit MFA für einen Produktionsanwendungsfall verschreiben.

   

2. Fügen Sie eine weitere Anmelderegel zur Standardanmelde-Policy hinzu. Diese Regel wird nach der ersten Regel ausgewertet und verweigert jedem Benutzer den Zugriff auf die Domain.

   

   Die Standardanmelde-Policy sollte jetzt zwei Regeln enthalten, wie unten dargestellt.

   

3. Erstellen Sie eine neue Anmelde-Policy, damit Anwendungsbenutzer sich nur bei ihren Anwendungen anmelden können.

   

4. Verknüpfen Sie diese neue Policy sowohl mit der in Aufgabe 4 erstellten APEX-Anwendung als auch mit der automatisch in Aufgabe 3 bereitgestellten Oracle Analytics Cloud-Anwendung.

   

5. Erstellen Sie eine Anmelderegel für diese Policy, damit Benutzer aus der Anwendungsgruppe sich bei diesen beiden Anwendungen anmelden können.

   

Hinweis: Domain-Togging

Wenn Sie anstelle von Oracle Analytics Cloud- oder Oracle Integration-basierten Anwendungen benutzerdefinierte Webanwendungen bereitstellen müssen, sollten Sie die Schritte 1 und 2 dieser Aufgabe überspringen und stattdessen einfach die Domain umschalten und so verhindern, dass sie auf der Anmeldeseite der OCI-Konsole ausgewählt wird.

Bearbeiten Sie auf der Domainhauptseite die Domain, und verhindern Sie, dass die Domain auf der Anmeldeseite der OCI-Konsole ausgewählt wird. Dadurch wird der Zugriff der OCI-Webkonsole auf die Domain (einschließlich der Anwendungsbenutzer und des Domainadministrators) verhindert.

Aufgabe 6: Testen

1. Erstellen Sie einen neuen Benutzer in der Anwendungsdomain, und fügen Sie ihn der Anwendungsgruppe hinzu, die in den vorherigen Aufgaben erstellt wurde.

   

2. Melden Sie sich mit dem neu erstellten Benutzer bei der OCI-Konsole an, wählen Sie die Anwendungsdomain aus, und bestätigen Sie, dass der Zugriff abgelehnt wurde.

   

3. Melden Sie sich mit dem neu erstellten Benutzer bei der APEX-Anwendung an, und bestätigen Sie, dass Sie sich erfolgreich anmelden können.

   

4. Melden Sie sich mit dem neu erstellten Benutzer bei der Oracle Analytics Cloud-Anwendung an, und bestätigen Sie, dass Sie sich erfolgreich anmelden können.

   

Verwandte Links

• Erläuterungsblog zu Anmelde-Policys

• Dokumentation zu Anmelde-Policys

Nächste Schritte

Anmelde-Policys sind nicht nur ein Schlüsselelement der Anwendungsauthentifizierung in OCI, sie sind auch sehr einfach zu verwenden. Dieses Tutorial zeigt, wie einfach es ist, sicherzustellen, dass Sie die vollständige Kontrolle über die Authentifizierung von Anwendungsbenutzern haben und die Policys durchsetzen, die für Ihr Unternehmen sinnvoll sind. Anmelde-Policys bieten zusätzliche Funktionen, die über die in diesem Tutorial verwendeten Funktionen hinausgehen (z. B. die Durchsetzung von MFA für bestimmte Benutzergruppen). Stellen Sie sicher, dass Sie die zusätzlichen Ressourcen prüfen, um ein umfassenderes Verständnis darüber zu erlangen, wofür Anmelde-Policys verwendet werden können.

Bestätigungen

• Autoren - Ricardo Malhado (Principal Cloud Solution Architect), Arno Schots (Direktor EMEA Cloud Architects)

Weitere Lernressourcen

Sehen Sie sich andere Übungen zu docs.oracle.com/learn an, oder greifen Sie auf weitere kostenlose Lerninhalte im Oracle Learning YouTube-Kanal zu. Besuchen Sie außerdem die Website education.oracle.com/learning-explorer, um Oracle Learning Explorer zu werden.

Produktdokumentation finden Sie im Oracle Help Center.

---

Titel und Copyright-Informationen

Configure Sign-on Policies for Oracle Analytics Cloud and APEX Apps on OCI

F82267-01

June 2023

Copyright © 2023, Oracle and/or its affiliates.