Oracle Cloud Infrastructure-Services bereitstellen und konfigurieren

Hier finden Sie eine Übersicht über das Provisioning und die Konfiguration für Oracle WebLogic Server for OCI und andere Services, die für Ihre Oracle Fusion-Erweiterungsanwendungen erforderlich sind, einschließlich Single Sign-On (SSO) und Sicherheitskonfiguration für Webservices. Details finden Sie in der vollständigen Produktdokumentation.

Konfiguration	Erforderlich	Anmerkungen
Basisdomain (Nicht-JRF)	N/A	keine
SSL-Domain konfigurieren (nach Erstellung)	Erforderlich	keine
Datenbankkonfiguration	Erforderlich	keine
Oracle Identity Cloud Service WebLogic-Authentifizierung	Erforderlich	keine
OPSS-Benutzer- und Gruppen-APIs in Oracle Identity Cloud Service integrieren	Optional	Erforderlich, wenn die App Oracle Platform Security Services (OPSS) zum Erstellen von Autorisierungs-Policys verwendet
JRF-fähige Domain	Erforderlich	keine
Load Balancer und SSL aktiviert	Erforderlich	Muss als öffentlicher Load Balancer konfiguriert werden. Darüber hinaus müssen Sie ein CA-Zertifikat abrufen und in Ihren Load Balancer importieren.
Lokales VCN Peering	Optional	Erforderlich, wenn VCNs für Oracle WebLogic Server for OCI und Datenbankinstanzen unterschiedlich sind.
Mindestversion von Oracle WebLogic Server	Erforderlich	12.2.1.3 oder höher
Privates Subnetz für WLS-Domain	Optional	keine
Oracle WebLogic Server Edition	Erforderlich	Enterprise Edition
Oracle WebLogic Server-Serverknoten	Erforderlich	Mindestens 1, maximal 8. Oracle Java Cloud Service - SaaS Extension unterstützte 1, 2 oder 4 Knoten.
Weblogic VMs-Form	Erforderlich	1 OCPU / 8 GB RAM oder größere Form.

Erforderliche Schritte für das Oracle WebLogic Server for OCI-Deployment ausführen

Bevor Sie Oracle WebLogic Server for OCI bereitstellen können, sind mehrere Voraussetzungen erforderlich.

Die Dokumentation zu Oracle WebLogic Server for OCI enthält ausführliche Informationen zu den erforderlichen Konfigurationsvoraussetzungen, bevor Sie Oracle WebLogic Server for OCI bereitstellen können. Im Folgenden finden Sie eine Zusammenfassung der erforderlichen Schritte mit einigen grundlegenden Anforderungen. Details zu Auswahl, Anforderung und Schritt finden Sie in der Oracle WebLogic Server for OCI-Produktdokumentation.

1. Datenbank in Oracle Cloud Infrastructure erstellen.
   Eine JRF-fähige Domain unterstützt Oracle Application Development Framework (ADF). Wenn Sie eine Domain mit Oracle WebLogic Server for OCI erstellen und mit einer vorhandenen Datenbank verknüpfen, führt Oracle WebLogic Server for OCI folgende Schritte aus:

   • Stellt die Schemas zur Unterstützung der JRF-Komponenten in der ausgewählten Datenbank bereit
   • Stellt Datenquellen in der Domain bereit, die Konnektivität zur ausgewählten Datenbank bereitstellen
   • Stellt die JRF-Komponenten und -Bibliotheken in der Domain bereit

   Wählen Sie eine der folgenden Datenbankoptionen:

   • Oracle Autonomous Transaction Processing (empfohlen)
   • Oracle Cloud Infrastructure unterstützte Bare Metal und Virtual Machine DB-Systeme

   Weitere Informationen finden Sie in der Oracle WebLogic Server for OCI-Produktdokumentation.
2. Oracle WebLogic Server for OCI kann ein virtuelles Cloud-Netzwerk und ein oder mehrere Subnetze in Oracle Cloud Infrastructure für eine neue Oracle WebLogic Server-Domain erstellen, oder Sie können Ihr eigenes VCN und Subnetz manuell erstellen, bevor Sie eine Domain erstellen.
3. Oracle empfiehlt, Oracle WebLogic Server for OCI aus Sicherheitsgründen in einem privaten Subnetz zu erstellen. Erstellen Sie ein Subnetz für den Bastionknoten.
   1. Erstellen Sie zum Zugriff auf die Oracle WebLogic Server-Administrationskonsole und das Oracle Enterprise Manager-Dashboard ein dynamisches Porttunneling mit dem Bastionsknoten, und verwenden Sie einen SOCKS5-Proxy mit dem ausgewählten Port.
   2. Greifen Sie in einem privaten Subnetz auf die Oracle WebLogic Server-Administrationskonsole zu.
      Oracle WebLogic Server-Compute-Instanzen, die einem privaten Subnetz zugewiesen sind, sind über das öffentliche Internet nicht zugänglich. Um auf die Oracle WebLogic Server-Administrationskonsole zuzugreifen, um solche Instanzen zu verwalten, können Sie die Bastionsinstanz verwenden, die in einem öffentlichen Subnetz erstellt wurde, und die dynamische Portweiterleitung mit einem Secure Shell-(SSH-)Utility.
   3. Greifen Sie ebenfalls auf die Fusion Middleware Control-Konsole in einem privaten Subnetz zu, indem Sie die Bastionsinstanz mit dynamischer Portweiterleitung verwenden.
   4. Erstellen Sie eine Routingregel, mit der Oracle WebLogic Server for OCI Compute-Instanzen auf das öffentliche Internet zugreifen können. Erstellen Sie in der Routentabelle für Ihr privates Subnetz eine Regel mit Ziel 0.0.0.0/0, Zieltyp NAT-Gateway.
4. Erstellen Sie in der Oracle Identity Cloud Service-Instanz, die mit der Oracle Fusion Applications-Instanz verknüpft ist, eine vertrauliche Anwendung, und geben Sie dann die Client-ID und das Clientgeheimnis an.
   1. Wählen Sie in der Oracle Identity Cloud Service-Konsole die Registerkarte Anwendung aus, klicken Sie auf Hinzufügen, und wählen Sie dann im Fenster Anwendung hinzufügen die Option Vertrauliche Anwendung aus.
   2. Geben Sie auf der Seite "Details" der neuen Anwendung einen Namen. Weitere Details sind optional.
   3. Wählen Sie auf der Seite Client die Option Anwendung jetzt als Client konfigurieren aus.
   4. Aktivieren Sie unter Autorisierung die folgenden zulässigen Berechtigungstypen: Ressourceneigentümer, Clientzugangsdaten und JWT-Assertion.
   5. Klicken Sie auf Weiter, und klicken Sie auf der Seite Autorisierung auf Fertigstellen, um die Anwendung zu speichern.
   6. Erstellen Sie im Benachrichtigungsfeld Anwendung hinzugefügt eine Kopie der Client-ID und des Clientgeheimnisses.
   7. Nachdem die Anwendung erstellt und gespeichert wurde, klicken Sie auf die Registerkarte Konfiguration, und erweitern Sie den Abschnitt Clientkonfiguration.
   8. Klicken Sie in der Tokenemissionsrichtlinie im Unterabschnitt Clientzugriff auf Identity Cloud Service-Admin-APIs erteilen auf die Schaltfläche Hinzufügen, und wählen Sie die Rolle Identitätsdomainadministrator.
   9. Klicken Sie auf Speichern.
   10. Aktivieren Sie die neue Anwendung. Wählen Sie Anwendungen, und wählen Sie die Anwendung. Klicken Sie neben dem Anwendungsnamen auf Aktivieren.
5. Bereiten Sie Vault-Geheimnisse vor: einen Verschlüsselungsschlüssel und Geheimnisse für Kennwörter.
   Mit einem Verschlüsselungsschlüssel können Sie den Inhalt der für Oracle WebLogic Server for OCI erforderlichen Secrets verschlüsseln. Sie können einen vorhandenen Schlüssel verwenden oder Oracle Cloud Infrastructure Vault verwenden, um einen Vault und Verschlüsselungsschlüssel zu erstellen.
   Verwenden Sie Secrets in Oracle Cloud Infrastructure Vault, um die Kennwörter zu speichern, die Sie zum Erstellen einer Domain in Oracle WebLogic Server for OCI benötigen. Sie müssen Secrets für diese Kennwörter angeben:

   • Administratorkennwort für die neue Domain
   • Administratorkennwort für die Datenbank
   • Clientgeheimnis für die vertrauliche Anwendung, die Sie in Oracle Identity Cloud Service zur Authentifizierung erstellt haben
   1. Erstellen Sie eine Vault-Serviceinstanz in der Oracle Cloud Infrastructure-Konsole, indem Sie Vault im Sicherheitsbereich auswählen.
   2. Erstellen Sie einen Verschlüsselungsschlüssel. Wählen Sie Ihre Vault-Instanz aus, und klicken Sie auf Masterverschlüsselungsschlüssel.
   3. Um Geheimnisse für die oben genannten Kennwörter zu erstellen, navigieren Sie zu dem Vault, der Ihren Verschlüsselungsschlüssel enthält. Führen Sie die folgenden Schritte für jedes der zu erstellenden Geheimnisse aus.
   4. Klicken Sie auf Secrets und dann auf Secret erstellen.
   5. Geben Sie einen Namen zur Identifizierung des Secrets ein.
   6. Wählen Sie Ihren Verschlüsselungsschlüssel.
      Der Schlüssel wird verwendet, um den geheimen Inhalt zu verschlüsseln, während er in den Tresor importiert wird.
   7. Geben Sie unter Secret Contents das Kennwort ein, das Sie in diesem Secret speichern möchten.
      Stellen Sie sicher, dass das Kennwort den Regeln für den Account entspricht, mit dem es verwendet wird. In Klartext eingegebene Kennwörter sind base64-codiert, bevor sie an Oracle WebLogic Server for OCI gesendet werden.
   8. Klicken Sie auf Secret erstellen.
   9. Wenn das Secret erstellt wird, klicken Sie auf den Namen. Kopieren Sie die OCID für das Secret.

Oracle WebLogic Server for OCI-Instanz erstellen

Erstellen Sie eine JRF-fähige Domaininstanz von Oracle WebLogic Server for OCI, um Ihre Java-Anwendungen zu hosten.

Die Dokumentation zu Oracle WebLogic Server for OCI enthält ausführliche Informationen zu den Schritten zum Erstellen Ihrer Oracle WebLogic Server for OCI-Instanz. Im Folgenden finden Sie eine Übersicht über die Schritte. Details zu den einzelnen Schritten finden Sie in der Oracle WebLogic Server for OCI-Produktdokumentation.

Erstellen Sie unter Marketplace einen Stack, indem Sie Parameter eingeben, die automatisch eine Domain erstellen. Beim Erstellen einer JRF-fähigen Domain geben Sie eine Oracle Autonomous Transaction Processing-Datenbank oder Oracle Cloud Infrastructure Database an. Sie können auch ein öffentliches Subnetz (entweder regional oder Availability-Domain-spezifisch) oder ein privates Subnetz für die Domain angeben. Sie müssen Oracle WebLogic Server 12c als Version für eine JRF-fähige Domain angeben, wenn Sie eine Oracle Autonomous Transaction Processing-Datenbank verwenden möchten.

1. Mit Marketplace können Sie anfängliche Stack-Informationen angeben. Navigieren Sie in der Oracle Cloud Infrastructure-Konsole zum Abschnitt Marketplace, und wählen Sie Anwendungen aus.
2. Geben Sie im Feld Suchen Oracle WebLogic Server Cloud ein, und wählen Sie den gewünschten zu erstellenden Stack.
   Die Stack-Optionen entsprechen verschiedenen Editionen und Lizenzangeboten. Oracle kann die von Zeit zu Zeit verfügbaren Angebote ändern. Zum Zeitpunkt dieser Veröffentlichung bot Oracle Lizenzoptionen für Bring Your Own License (BYOL) und Universal Credit Model (UCM) an. Beispiel: Enterprise Edition BYOL, Standard Edition BYOL oder Enterprise Edition UCM.
3. Wählen Sie im Popup-Menü die gewünschte Version aus, und wählen Sie das Ziel-Compartment aus. Bestätigen Sie, dass Sie die Oracle-Standardbedingungen und Einschränkungen geprüft und akzeptiert haben, indem Sie das Kontrollkästchen aktivieren und dann auf Stack starten klicken.
4. Im Schritt Stapelinformationen können Sie optional den Standardnamen ändern, eine Beschreibung hinzufügen und Tags anwenden. Klicken Sie dann auf Weiter.
5. Konfigurieren Sie Instanzparameter auf der Seite Variablen konfigurieren des Assistenten. Sie müssen das Präfix für den Ressourcennamen sowie eine Form und OCPU-Anzahl für Compute-Instanzen angeben. Geben Sie den SSH-Public Key ein, wählen Sie die Anzahl der zu erstellenden Managed Server, einen Benutzernamen für den Oracle WebLogic Server-Administrator und die OCID des Secrets, die das Kennwort für diesen Administrator enthält.
6. Wählen Sie auf derselben Seite die Option Erweiterte WLS-Instanzkonfiguration aus, und konfigurieren Sie erweiterte Parameter für eine Domain. Sie können die Standardportnummern ändern und die Beispielanwendung hier entfernen.
7. Wählen Sie die VCNs, die Sie für Ihre Oracle WebLogic Server-Instanz erstellt haben. Konfigurieren Sie bei Bedarf Netzwerkparameter und WebLogic Server-Konsolenports.
8. Wählen Sie Load Balancer bereitstellen, und konfigurieren Sie das Load Balancer-Netzwerk für HTTPS.
   Möglicherweise verursacht der Standardtimeoutwert ein Problem. Oracle empfiehlt, den Load Balancer-Timeout als Ausgangspunkt auf 60 Sekunden zu setzen und bei Bedarf anzupassen. Nachdem das Oracle WebLogic Server for OCI-Provisioning abgeschlossen ist, navigieren Sie zu Ihrem Load Balancer in der Oracle Cloud Infrastructure-Konsole, und ändern Sie dort die Konfigurationseinstellungen.
9. Wählen Sie Authentifizierung mit Identity Cloud Service aktivieren aus. Geben Sie Ihren Mandantennamen ein, der auch als Instanz-ID bezeichnet wird. Geben Sie die Client-ID der zuvor erstellten Confidential Application ein, und geben Sie die OCID des Secrets ein, das das Client Secret dieser Anwendung enthält.
10. Wählen Sie im Abschnitt Datenbank die Option Bereitstellung mit JRF, und geben Sie die Details aus der zuvor erstellten Datenbank ein. Die Datenbank ist nicht für Anwendungsdaten bestimmt - sie enthält die erforderlichen Infrastrukturschemas für die JRF-fähige Domain. Sie müssen das Compartment, die Datenbank, VCN angeben, wenn es sich von WebLogic Server VCN unterscheidet, und die OCID des Secrets, das das Kennwort für den Datenbankadministratorkonto enthält.
11. Prüfen Sie die Zusammenfassung im Assistenten, und klicken Sie auf Erstellen.

Datenbankquelle für Anwendungsdaten erstellen

Erstellen Sie eine Datenbankquelle, um Daten für Ihre Java-Anwendungen zu speichern, die auf Oracle WebLogic Server for OCI ausgeführt werden.

Sie können Ihre Anwendungsdaten mit Oracle Autonomous Transaction Processing oder Oracle Cloud Infrastructure Database (DB System) speichern.

Oracle WebLogic Server for OCI stellt zwei Utilityskripte bereit, mit denen Sie Oracle Autonomous Transaction Processing-Datenquellen erstellen können: ein Downloadskript, das die Wallet-Dateien auf einen Knoten herunterlädt, und ein Erstellungsskript, das die Datenquelle mit den angegebenen Wallet-Dateien und Datenquelleneigenschaften erstellt. Um die Skripte auszuführen, müssen Sie als opc-Benutzer auf die Knoten in der WebLogic-Domain zugreifen. Die Skripte befinden sich in /opt/scripts/utils und können nur als oracle-Benutzer ausgeführt werden.

Verwenden Sie die Oracle WebLogic Server-Administrationskonsole, um eine Datenquelle zu erstellen und eine Verbindung zu einem Oracle Cloud Infrastructure Database (DB-System) herzustellen. Nachdem Sie den PDB-Namen für Ihr DB-System geprüft haben, erstellen Sie mit der Oracle WebLogic Server-Administrationskonsole eine Java Database Connectivity-(JDBC-)Datenquelle.

Unabhängig davon, welche Datenquelle Sie verwenden, muss die Datenbank zulassen, dass die Oracle WebLogic Server-Compute-Instanzen auf den Datenbank-Listening-Port zugreifen (standardmäßig 1521). Aktualisieren Sie gegebenenfalls die Access Control-Liste (ACL).

Details zu diesen Schritten zur Erstellung und Konfiguration von Datenbankquellen finden Sie in der Oracle WebLogic Server for OCI-Produktdokumentation.

OAuth-basierte Authentifizierung in Oracle Identity Cloud Service für RESTful-Webservices konfigurieren

Um RESTful Web Services-Dateninteraktionen zu aktivieren, können Sie Oracle Identity Cloud Service so konfigurieren, dass OAuth-basierte Authentifizierung verarbeitet wird, indem Sie die vertrauliche Anwendung ändern.

Wenn Oracle WebLogic Server for OCI bereitgestellt wird, wird es bei der Oracle Identity Cloud Service-Instanz registriert, die mit der Fusion Applications-Instanz SaaS verknüpft ist, die selbst für Single Sign-On (SSO) föderiert ist. Fusion Applications fungiert dabei als Identitätsprovider. Dies ermöglicht jedoch nur die Benutzer-Passthrough-Authentifizierung. Um REST-basierte Webservices zu sichern, verwenden Sie den OAuth-basierten Tokenaustausch zwischen Oracle Web Services Manager und Oracle Identity Cloud Service.

Alle JRF-fähigen Domains umfassen Oracle Web Services Manager, das ein Policy-Framework zur konsequenten Verwaltung und Sicherung von Webservices in Ihrem Unternehmen bereitstellt. Oracle Web Services Manager und Oracle Identity Cloud Service unterstützen das OAuth-Protokoll. Der Webservice-Client fordert ein Zugriffstoken an, indem er sich mit dem Autorisierungsserver (Oracle Identity Cloud Service) authentifiziert und die Autorisierungsberechtigung darstellt. Der serverseitige Oracle Web Services Manager-Agent validiert das Zugriffstoken und akzeptiert dann die Clientanforderung, falls gültig.

1. Konfigurieren Sie OAuth für den Webserviceprovider, indem Sie Zertifikate importieren und globale Policy-Anhänge erstellen. Detaillierte Schritte zur Konfiguration von OAuth für den Webserviceprovider finden Sie in der Oracle WebLogic Server for OCI-Produktdokumentation.
2. Vertrauen zwischen Oracle Web Services Manager in Ihrer Clientdomain und Oracle Identity Cloud Service herstellen, indem Zertifikate importiert und globale Policy-Anhänge erstellt werden. Die globale Policy wirkt sich auf alle Webserviceclients aus, die in dieser Domain bereitgestellt sind. Alternativ können Sie Policys für einzelne Anwendungen erstellen.
   1. Melden Sie sich als Benutzer opc beim Administrationsserverknoten in Ihrer Clientdomain an.

      ssh -i <path_to_private_key> opc@<node_public_ip>

   2. Wechseln Sie zum oracle-Benutzer.

      sudo su - oracle

   3. Kopieren Sie den folgenden Text, und fügen Sie ihn in eine neue Datei namens config_owsm_client.py ein.

      def config_policyset(policy_set_name,subject_type):
          try:
              beginWSMSession()
              createWSMPolicySet(policy_set_name,subject_type,resource_scope,desc,is_enabled)
              attachWSMPolicy(policy)
              setWSMPolicyOverride(policy,'token.uri',token_uri)
              setWSMPolicyOverride(policy,'oauth2.client.csf.key',csf_key)
              validateWSMPolicySet(policy_set_name)
          finally:
              commitWSMSession()
              displayWSMPolicySet(policy_set_name)
       
      ip='<admin_server_IP>'
      port='<admin_server_port>'
      user='<admin_user>'
      pwd='<password>'
      client_id='<idcs_app_client_id>'
      client_secret='<idcs_app_client_secret>'
      token_uri = '<token_endpoint>'
      dn_list = '<dn_list>'

   4. Aktualisieren Sie die Variablen in config_owsm_client.py.
      • Die IP-Adresse dieses Knotens
      • Die Portnummer des Administrationsservers (Standardwert ist 7001)
      • Der Benutzername und das Kennwort des Domainadministrators
      • Client-ID und Secret der vertraulichen Anwendung in Oracle Identity Cloud Service, die für die Domain erstellt wurde
      • Der Oracle Identity Cloud Service-Tokenendpunkt
      • Distinguished Name (DN), der für das generierte Zertifikat in Oracle Web Services Manager verwendet werden soll
      • Der Name der in der Domain bereitgestellten Webservice-Clientanwendung
      Zum Beispiel:

      ip='203.0.113.30'
      port='7001'
      user='weblogic'
      pwd='<password>'
      client_id='ABCD1234efgh5678IJKL9012'
      client_secret='<idcs_app_client_secret>'
      token_uri = 'https://idcs-1234abcd5678EFGH9012ijkl.identity.oraclecloud.com/oauth2/v1/token'
      dn_list = 'CN=OWSM, OU=ST, O=Oracle, L=RedWood, ST=CA, C=US'
      app_resource = 'resource=oauth-client'

   5. Kopieren Sie den folgenden Text, und fügen Sie ihn nach den Variablendeklarationen in config_owsm_client.py ein.

      connect(user, pwd,'t3://' + ip + ':' + port)
      
      csf_key = 'idcs.oauth2.client.credentials'
      createCred(map='oracle.wsm.security',key=csf_key,user=client_id,password=client_secret)
      
      is_enabled = true
      policy = 'oracle/oauth2_config_client_policy'
      resource_scope = 'Domain("*")'
      desc = ''
      config_policyset('oauth-ps-config-rest-connection','rest-connection')
      config_policyset('oauth-ps-config-rest-client','rest-client')
      config_policyset('oauth-ps-config-ws-connection','ws-connection')
      config_policyset('oauth-ps-config-ws-client','ws-client')
      config_policyset('oauth-ps-config-ws-callback','ws-callback')
      refreshWSMCache()
      
      svc = getOpssService(name='KeyStoreService')
      try:
         svc.createKeyStore(appStripe='owsm', name='keystore', password='',permission=true)
      except Exception, ex:
         ex_msg = str(ex)
         if 'Keystore keystore in stripe owsm already exists' in ex_msg:
            print 'Keystore keystore in stripe owsm already exists. Continue...'
         else:
            raise
      svc.generateKeyPair(appStripe='owsm', name='keystore', password='', dn=dn_list, keysize='2048', alias='orakey', keypassword='')
       
      svc.exportKeyStoreCertificate(appStripe='owsm', name='keystore', password='', alias='orakey', keypassword='', type='TrustedCertificate', filepath='/tmp/orakey.cert')
      

   6. Führen Sie config_owsm_client.py mit WLST aus.

      /u01/app/oracle/middleware/oracle_common/common/bin/wlst.sh config_owsm_client.py

      Prüfen Sie, ob das Skript erfolgreich ausgeführt wurde, indem Sie die Ausgabe prüfen. Zum Beispiel:

      ...
      Credential created successfully.
      Session started for modification.
      The policy set was created successfully in the session.
      Policy reference "oracle/oauth2_config_client_policy" added.
      ...
      Creating policy set oauth-ps-config-rest-connection in repository.
      Session committed successfully.
      ...
      Session started for modification.
      The policy set was created successfully in the session.
      Policy reference "oracle/oauth2_config_client_policy" added.
      ...
      Creating policy set oauth-ps-config-rest-client in repository.
      Session committed successfully.
      ...
      Keystore created
      Key pair generated
      Certificate exported.

   7. Ändern Sie den Eigentümer der generierten Zertifikatsdatei in den Benutzer opc.

      exit
      sudo chown opc:opc /tmp/orakey.cert

   8. Laden Sie die Zertifikatsdatei als Benutzer opc herunter.

      scp -i <path_to_private_key> opc@<node_public_ip>:/tmp/orakey.cert .

3. Aktualisieren Sie die vorkonfigurierte vertrauliche Anwendung für den Webservices-Client, indem Sie das soeben heruntergeladene orakey.cert-Zertifikat importieren und einen Geltungsbereich für Ihre Fusion-basierten Oracle Cloud-Anwendungen erstellen.
   1. Klicken Sie in der Oracle Identity Cloud Service-Konsole im Navigationsmenü auf Anwendungen, und klicken Sie dann auf die vertrauliche Anwendung, die für Ihre Clientdomain erstellt wurde.
   2. Klicken Sie auf die Registerkarte Konfiguration, und wählen Sie unter Clientkonfiguration die Option Vertrauenswürdig für Clienttyp.
   3. Klicken Sie für Zertifikat auf Importieren.
   4. Geben Sie unter Zertifikatalias einen eindeutigen Namen ein. Beispiel: orakey_jh305082020.
   5. Wählen Sie die Datei orakey.cert aus, die Sie im vorherigen Schritt heruntergeladen haben, und klicken Sie auf Importieren.
   6. Klicken Sie auf Geltungsbereich hinzufügen.
   7. Wählen Sie Oracle Applications Cloud (Fusion) mit einem ähnlichen Geltungsbereich wie in diesem Beispiel aus:
      urn:opc:resource:fa:instanceid=201911110urn: opc:resource:consumer::all
   8. Klicken Sie auf Hinzufügen und danach auf Speichern.
4. Eine grantPermission ist für alle Anwendungen erforderlich, die REST-Services nutzen. WSIdentityPermission muss vor der Identity-Propagierung erteilt werden, da Oracle WebLogic Server for OCI sie nicht standardmäßig zulässt und ohne sie eine AccessControlException ausgelöst wird. Wenden Sie grantPermission mit wlst an. Beispiel:

   grantPermission(appStripe=None, codeBaseURL='file:${common.components.home}/modules/oracle.wsm.common/wsm-agent-core.jar',principalClass=None,principalName=None,permClass='oracle.wsm.security.WSIdentityPermission',permTarget=app_resource, permActions='assert')
   

5. Sie können dieses OAuth-Setup mit Oracle WebLogic Server for OCI bereitstellen und validieren, indem Sie die Beispielanwendung des Webserviceclients bereitstellen und testen, wie in der Oracle WebLogic Server for OCI-Produktdokumentation beschrieben. Alternativ können Sie Ihre eigene Webserviceclientanwendung bereitstellen und testen.

SOAP-Services für Identitätspropagierung konfigurieren

Wenn Ihre Java-Anwendung auf einen Fusion-basierten Oracle Applications SOAP Web Services-Endpunkt zugreifen muss, müssen Sie einige manuelle Konfigurationsschritte ausführen, um Identitätspropagationen einzurichten.

Da die Sicherheitskonfiguration für SOAP-Webservice-Interaktionen erfordert, dass Sie sich an Oracle Support wenden, um ein Zertifikat zu erhalten, empfiehlt Oracle, stattdessen, wenn möglich, REST-Webserviceprtokolle zu verwenden. REST-Identity Propagierung ist vorkonfiguriert, wodurch diese manuelle Konfiguration und Support-Ticket-Anforderung vermieden wird.

Fusion Applications SOAP WSDLs enthalten ein X509-Zertifikat in binärer Form, das in den Zertifikatschlüsselspeicher des Clientrechners importiert werden muss. Dies ist so, dass die Clientanwendung Webserviceanforderungen für Fusion Applications verschlüsseln und die Fusion-Anwendungsumgebung die Anforderung erfolgreich entschlüsseln kann. Darüber hinaus muss ein Zertifikat auf dem Clientrechner generiert und dann in den Fusion Applications-Umgebungszertifikats-Keystore importiert werden. Oracle Support kann beim Importieren des Zertifikats in eine Fusion Applications-Umgebung helfen.

Die beiden Zertifikate ermöglichen wechselseitiges SSL, das eine Anforderung der SAML-Implementierung in Fusion Applications ist und Teil der WS-Security 1.1-Spezifikation ist.

Um Ihre Umgebung für die Identity-Propagierung für SOAP-Webservices zu konfigurieren, verwenden Sie Oracle WebLogic Server for OCI als SOAP-Client und Fusion Applications Service ein SOAP-Service. Sie verwenden Oracle Web Services Manager-(OWSM-)Policys für die Identity-Propagierung.

1. Exportieren Sie Ihr Oracle WebLogic Server for OCI Orakey-Zertifikat.
   1. Melden Sie sich bei der Oracle Enterprise Manager-Konsole an, z. B. durch Navigieren zu:
      http://<PublicIp>:7001/em
   2. Klicken Sie auf WebLogic-Domain, und wählen Sie Sicherheit und dann Keystore.
   3. Blenden Sie in der Keystore-Tabelle owsm ein, und wählen Sie die Keystore-Zeile, und klicken Sie auf die Schaltfläche Verwalten.
   4. Wählen Sie den Orakey-Eintrag, und notieren Sie sich den Wert des Betreffnamens in dieser Zeile.
   5. Klicken Sie auf Exportieren.
      Es wird ein Zertifikatsfenster mit dem orakey-Zertifikat geöffnet.
   6. Klicken Sie auf Zertifikat exportieren, und speichern Sie die exportierte Datei unter orakey_<WLSOCI_NAME>.cert.
2. Legen Sie eine Serviceanfrage bei My Oracle Support ab, um Vertrauen in Fusion Applications herzustellen.
   Oracle Support konfiguriert Ihre Fusion Apps-Instanz so, dass sie den Aufrufen von Ihrem WebLogic-Server vertrauen kann, der die gerade exportierten Zertifikatsinformationen enthält. Sie müssen alle folgenden Details angeben:

   • Ihr Oracle Fusion Applications Cloud Service Service-Name, Ihre Identitätsdomain und Ihr Data Center
   • Das exportierte orakey-Zertifikat
   • Anweisungen zum Oracle-Support, in denen die Anforderung explizit angegeben wird. Zum Beispiel:
   Ichöffne diese SA, um einen Zertifikatsaustausch anzufordern, um eine Vertrauensstellung herzustellen und die SAML-Assertion für SOAP WS zwischen meiner Oracle WebLogic Server for OCI Marketplace-Instanz und Fusion Applications-Cloud-Services zu aktivieren. Angehängt ist das Zertifikat meiner Oracle WebLogic Server for OCI-Instanz. Sie müssen dieses Zertifikat in meine Fusion Applications-Instanz importieren und das OWSM- orakey-Zertifikat und das OWSM-Cloudca-Zertifikat (die mit CN=<podname>_fasvc, DC=cloud, DC=com" and "CN=Cloud9CA-2, DC=cloud, DC=com beginnen) exportieren und an diese SA anhängen. Starten Sie außerdem Fusion Applications nach Bedarf am Ende neu, damit der Zertifikatsaustausch gültig ist.
   Überwachen Sie Ihr Support-Ticket, und geben Sie weitere Informationen an, die von Oracle Support angefordert werden. Oracle Support fügt Ihr Zertifikat dem Fusion Applications-Instanz-Keystore hinzu und richtet Issuer Trust ein, um SAML-Assertion für SOAP-Webservices zu aktivieren. Oracle Support benachrichtigt Sie, wenn die Aufgabe abgeschlossen ist, und sendet Ihnen eine Kopie von:

   • OWSM orakey-Zertifikat Ihrer Oracle Fusion-Anwendungen
   • OWSM cloudca-Zertifikat Ihrer Oracle Fusion-Anwendungen

   Sie benötigen diese Zertifikate für den nächsten Schritt.
3. Importieren Sie das Orakey-Zertifikat für Fusion Applications in Oracle WebLogic Server for OCI:
   1. Melden Sie sich bei der Oracle Enterprise Manager-Konsole an, z. B. durch Navigieren zu:
      http://<PublicIp>:7001/em
   2. Klicken Sie auf WebLogic-Domain, und wählen Sie Sicherheit und dann Keystore.
   3. Blenden Sie in der Keystore-Tabelle owsm ein, und wählen Sie die Keystore-Zeile, klicken Sie auf die Schaltfläche Verwalten, und klicken Sie auf Importieren.
   4. Wählen Sie im Feld Zertifikat importieren die Option Vertrauenswürdiges Zertifikat. Geben Sie einen Alias wie orakey_mysaasenv ein. Wählen Sie eine Datei, die die Option Zertifikat oder Zertifikatskette enthält, und klicken Sie auf Durchsuchen..., um das von Oracle Support bereitgestellte orakey-Zertifikat auszuwählen.
   5. Importieren Sie das Cloudca-Zertifikat auf dieselbe Weise mit einem Alias wie cloudca_faehyp71.
      Sie haben möglicherweise bereits ein cloudca-Zertifikat in der Tabelle, aber es ist möglicherweise nicht das richtige Zertifikat. Nachdem Sie das cloudca-Zertifikat importiert haben, das Ihnen von oracle unterstützt wird, können Sie prüfen, ob Sie das richtige Zertifikat haben, indem Sie den zugehörigen Betreffnamen prüfen. Es sollte dem folgenden Beispiel ähneln und auf Ihre Fusion Applications-Instanz verweisen:
      CN=FA-Verschlüsselung, DC=Cloud,DC=Orakel, DC=com

Ihre Zertifikate sollten jetzt mit ihren Aliasnamen in der Tabelle Zertifikate verwalten: owsm/keystore aufgeführt werden.