Tarea 8: Configuración de Identity Federation (opcional)

Descubra cómo configurar la federación de identidad para Oracle Database@Azure.

La configuración de la federación de identidad para Oracle Database@Azure es opcional. La federación permite a los usuarios conectarse al arrendamiento de OCI asociado al servicio mediante las credenciales de ID de Entra de Azure. Si bien la mayoría de las operaciones de base de datos diarias se realizan en el entorno de Azure y no requieren el uso de la consola de OCI, algunas tareas de gestión de base de datos requieren conectarse a OCI.

Utilice las siguientes instrucciones para que Azure Entra ID sea el proveedor de identificación de su arrendamiento de OCI.

1. Conéctese al portal de Azure en https://portal.azure.com/.

2. Busque "ID de Entra de Microsoft" y seleccione ID de Entra de Microsoft en los resultados de búsqueda para navegar a la página Visión General del ID de Entra.

3. En Gestionar, seleccione Aplicaciones empresariales.

   

4. En la página Todas las aplicaciones, seleccione Nueva aplicación.

   

5. Busque la "consola de Oracle Cloud Infrastructure" y seleccione el resultado de la búsqueda para navegar a la página de la aplicación.

   

6. En el panel Consola de Oracle Cloud Infrastructure, introduzca un nombre para el nombre mostrado de la aplicación en el entorno de Azure. Por ejemplo: "Consola de Oracle Cloud Infrastructure", "Consola de OCI" o "Ventas de OCI Console Contoso". A continuación, seleccione Crear para continuar.

   

7. En la página Visión general de la nueva aplicación, seleccione Configurar conexión única.

   

8. En la página de conexión única, seleccione SAML para seleccionar el protocolo de lenguaje de marcado de afirmación de seguridad (SAML).

   

   El portal redirige a la página Conexión basada en SAML. Deje abierta esta ventana del explorador en su computadora mientras realiza la siguiente serie de pasos en la consola de OCI. En la consola de OCI, exportará un archivo XML de metadatos de SAML. Volverá a Azure para cargar el archivo XML y continuar con la configuración de Single Sign-On.

   

9. En la consola de OCI, vaya a Identidad y seguridad y, a continuación, seleccione Dominios.

   

10. En la vista de lista Dominios, seleccione el nombre del dominio "Por defecto" para abrir la página de detalles del dominio. Opcionalmente, puede seleccionar otro dominio para configurar el inicio de sesión único (SSO) para ese dominio.

    

11. Seleccione Seguridad en el menú de navegación de la página Visión general del dominio de identidad.

    

12. En la página Seguridad del dominio, seleccione Proveedores de identidad en el menú de navegación.

    

13. En la página Proveedores de identidad, seleccione Agregar IdP y, a continuación, seleccione Agregar SAML IdP.

    

14. En la página Agregar detalles, introduzca el nombre que desea mostrar en la página de conexión de OCI durante la conexión única (SSO). También puede agregar una descripción. Por ejemplo:

    Nombre: EntraID

    Descripción: Woodgrove Bank Azure Microsoft EntraID

    Para continuar, haga clic en Siguiente.

    

15. En la página Intercambio de metadatos, haga clic en Exportar metadatos de SAML.

    

16. En el panel Exportar metadatos SAML, busque la sección Archivo de metadatos y seleccione Descargar XML. Deje abierta la ventana del explorador que muestra la consola de OCI en su computadora mientras completa la siguiente serie de pasos.

    

17. Vuelva a la ventana del explorador que muestra la página Conexión basada en SAML del portal de Azure y seleccione Cargar archivo de metadatos.

    

18. En la ventana emergente Cargar archivo de metadatos, seleccione el logotipo de carpeta para seleccionar el archivo de metadatos XML de SAML que ha exportado desde la consola de OCI. Seleccione Agregar para continuar.

    

19. En el panel Configuración básica de SAML, busque el campo URL de respuesta (URL de servicio de consumidor de afirmación). Copie el valor de este campo al portapapeles del equipo. No edite ninguno de los otros campos rellenados.

    

20. Edite el valor de URL de respuesta (URL de servicio de consumidor de afirmación) copiado sustituyendo /fed/v1/ por /ui/v1/myconsole. A continuación, pegue la URL editada en el campo URL de conexión y haga clic en Guardar para continuar.

    Por ejemplo, si el campo URL de Respuesta (URL de Servicio de Consumidor de Afirmación) tiene el siguiente valor:

    https://idcs-123a4b56example1de45fgh6i789j012.identity.oraclecloud.com/fed/v1/

    A continuación, pegue la versión editada de la URL como se muestra en el siguiente ejemplo:

    https://idcs-123a4b56example1de45fgh6i789j012.identity.oraclecloud.com/ui/v1/myconsole

    

21. En la ventana emergente Probar conexión única con la consola de Oracle Cloud Infrastructure, seleccione No, probaré más tarde.

    

22. En la sección Atributos y reclamaciones, seleccione Editar.

    

23. En la sección Reclamación necesaria, seleccione la reclamación Identificador de usuario único (ID de nombre).

    

24. En el campo Atributo de origen, seleccione el identificador de usuario único adecuado para su organización:

    • user.mail: seleccione este valor si las cuentas de usuario de la organización utilizan una dirección de correo electrónico como identificador único.
    • user.userprincipalname: seleccione este valor si las cuentas de usuario de la organización utilizan UserPrincipalName como identificador único. Si utiliza esta opción, asegúrese de que el dominio de identidad de OCI no esté configurado para requerir una dirección de correo electrónico en las cuentas de usuario. Consulte Requerimiento de la dirección de correo electrónico del usuario para la creación de cuentas para obtener información sobre la configuración de un dominio de identidad para que se puedan crear nuevos usuarios sin una dirección de correo electrónico.

    Seleccione Guardar y, a continuación, seleccione X para cerrar el cuadro de diálogo Gestionar reclamación y volver a la página Conexión basada en SAML.

    

25. En la página Conexión basada en SAML, en la sección Certificados SAML, busque el campo XML de metadatos de federación y seleccione Descargar. Deje abierta esta ventana del explorador en su computadora mientras realiza la siguiente serie de pasos en la consola de OCI.

    

26. Vuelva a la página Agregar proveedor de identidad de SAML en la consola de OCI. Seleccione Importar metadatos IdP (cargar archivo XML de metadatos). En la sección Cargar metadatos de proveedor de identidad, seleccione el enlace seleccionar uno... para seleccionar el archivo XML de metadatos IdP descargado del enlace de descarga XML de metadatos de federación en el paso anterior.

    

27. Después de cargar el archivo XML, el nombre de archivo se muestra debajo de la sección Cargar proveedor de identificación. Seleccione Siguiente para continuar.

    

28. En la página Asignar identidad de usuario, seleccione lo siguiente y, a continuación, seleccione Siguiente para continuar:

    • Formato de ID de nombre solicitado: seleccione el identificador único especificado en el paso 24 (dirección de correo electrónico o UserPrincipalName).
    • Atributo de usuario de proveedor de identidad: ID de nombre de afirmación de SAML
    • Atributo de usuario de dominio de identidad: especifique la dirección de correo electrónico principal o el nombre de usuario, según se haya configurado en el paso 24.
    

29. En la página Revisar y crear del flujo de trabajo Agregar proveedor de identidad de SAML, revise la información mostrada y, a continuación, seleccione Crear IdP.

    

30. En la página ¿Qué sigue? del flujo de trabajo Agregar proveedor de identidad de SAML, seleccione Activar para activar IdP. Espere a que aparezca el mensaje "EntraID identity provider has been enabled" en la página antes de continuar.

    
31. En la página ¿Qué sigue? del flujo de trabajo Agregar proveedor de identidad de SAML, seleccione Agregar a política IdP.

32. En la página Políticas de proveedor de identidad (IdP), seleccione Política de proveedor de identidad por defecto.

    

33. En la página de detalles de la política Política de proveedor de identidad por defecto, en la sección Reglas de proveedor de identidad, seleccione Editar regla IdP.

    

34. En el panel Editar regla de proveedor de identidad, en el campo Asignar proveedores de identidad, introduzca el valor "EntraID". El campo muestra "Username-Password" por defecto.

    Seleccione Guardar cambios para continuar.

    
35. Importante
    
    

    En los pasos siguientes, configurará la aplicación confidencial de OCI para que aprovisione usuarios EntraID en OCI. Tenga en cuenta que todos los usuarios deben incluir los siguientes valores de campo o que el aprovisionamiento del usuario en OCI falla:

    • Nombre
    • Apellido
    • Nombre mostrado
    • dirección de correo electrónico (si el dominio de identidad de OCI necesita una dirección de correo electrónico)

    Para buscar si el dominio de identidad de OCI necesita una dirección de correo electrónico para crear nuevos usuarios, consulte Requerir dirección de correo electrónico del usuario para la creación de cuentas. Consulte el paso 24 de esta tarea para obtener información sobre la configuración del identificador único para usuarios de Azure.

    Abra el menú de navegación y seleccione Identidad y seguridad. En Identidad, seleccione Dominios.
36. Seleccione Dominio predeterminado. A continuación, seleccione Aplicaciones integradas.
37. Seleccione Agregar aplicación.

38. En la ventana Agregar aplicación, seleccione Aplicación confidencial y, a continuación, seleccione Iniciar flujo de trabajo.

    

39. En la página Agregar detalles de aplicación del flujo de trabajo Agregar aplicación confidencial, introduzca lo siguiente:

    • Nombre: introduzca un nombre para la aplicación confidencial. Puede introducir hasta 125 caracteres.
    • Descripción: introduzca una descripción para la aplicación confidencial. Puede introducir un máximo de 250 caracteres.

    Revise la configuración opcional y, a continuación, seleccione Siguiente.

    

40. En la página Configurar OAuth, en la sección Configuración del cliente, seleccione Configurar esta aplicación como un cliente ahora.

    

41. En la página Configurar OAuth, en la sección Configuración del cliente, seleccione Credenciales del cliente.

    

42. En la página Configurar OAuth, desplácese hacia abajo y busque la sección Política de emisión de token. En Recursos autorizados, seleccione Específico y, a continuación, marque Agregar roles de aplicación para abrir la sección Roles de aplicación del flujo de trabajo.

    

43. En la sección Roles de aplicación, seleccione Agregar roles y busque "Administrador de usuarios". En la lista de resultados de búsqueda, seleccione Administrador de usuarios y, a continuación, seleccione Agregar.

    

44. Con el rol de administrador de usuarios en la lista Roles de aplicación, seleccione Siguiente.

    

45. En la página Configurar política, revise la selección por defecto y seleccione Terminar.

    

46. En el separador Aplicaciones integradas de la página de detalles de dominio "Por defecto", seleccione el nombre de la aplicación Entra ID que ha creado para abrir la página de detalles de la aplicación.

    

47. Seleccione Activar en la página de detalles.

    

    Confirme que el estado de la aplicación es "Activo".

    

48. Busque la sección Información general de la página de detalles de la aplicación Entra ID. En esta sección, haga lo siguiente:

    • Copie el valor de Client ID (ID de cliente) en un bloc de notas u otra ubicación del equipo para utilizarlo en un comando de la CLI descrito en el siguiente paso.
    • Seleccione Mostrar secreto y copie el secreto de cliente en el archivo con su ID de cliente.
    

    Cierre el cuadro de diálogo Secreto de cliente después de copiar el secreto para continuar.

    

49. Utilice los valores de ID de cliente y secreto de cliente para crear el siguiente comando.

    echo -n <clientID>:<clientsecret> | base64 --wrap=0

    Por ejemplo:

    echo -n 7a5715example8b7429cdexample74a:63n8765exmaple49asbcs56abc235784 | base64 --wrap=0

50. Ejecute el comando en OCI Cloud Shell (CLI). Seleccione el icono de Cloud Shell en la cabecera de la consola de OCI y, a continuación, seleccione Cloud Shell para abrir la interfaz de CLI en la ventana del explorador. Pegue el comando en la CLI y, a continuación, ejecute el comando.

    Consulte los siguientes temas para obtener más información:

    • Uso de Cloud Shell
    • Política de IAM necesaria
    
51. Abra el menú de navegación y seleccione Identidad y seguridad. En Identidad, seleccione Dominios.
52. Seleccione Dominio por Defecto para abrir la página de detalles del dominio "Por Defecto".

53. En la página Visión general del dominio, copie la URL de dominio en un bloc de notas u otra ubicación de la computadora.

    Por ejemplo:

    https://idcs-638a9b18aexampleb77becf0f123d691.identity.oraclecloud.com:443

    

54. Vuelva a la página Enterprise Application del portal de Azure que muestra los detalles de conexión basada en SAML que se muestran en el paso 25. Seleccione Aprovisionamiento en la sección Gestionar.

    

55. En la página Aprovisionamiento, introduzca lo siguiente:

    • Modo de aprovisionamiento: automático

    • URL de inquilino: edite la URL copiada del paso 53 de la siguiente manera:

      • Eliminar ":443" al final de la URL
      • Agregue "/admin/v1" al final de la URL

      Por ejemplo:

      https://idcs-638a9b18aexampleb77becf0f123d691.identity.oraclecloud.com/admin/v1

      Después de editar la URL, péguela en el campo URL de inquilino.

    • Token secreto: pegue el secreto de cifrado base64 copiado de la consola de OCI en el paso 49.

    Seleccione Probar conexión y, a continuación, seleccione Guardar para continuar.

    
    Importante
    
    Espere el mensaje que confirma que la conexión se ha realizado correctamente. El mensaje se muestra en la esquina superior derecha de la página.

56. En la página Aprovisionamiento, seleccione Aprovisionar usuarios de ID de Microsoft Entra en la sección Asignaciones.

    

57. En la página Asignación de atributos, busque la sección Asignaciones y seleccione Agregar nueva asignación.

    

58. En la página Editar atributo, introduzca lo siguiente:

    • Tipo de asignación: expresión
    • Expresión: CBool("true")

    • Atributo de destino: seleccione la cadena que termina en ":isFederatedUser". Por ejemplo:

      urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:isFederateUser

    Seleccione Aceptar para continuar.

    

59. En la página Asignación de atributos, vuelva a seleccionar Agregar nueva asignación para agregar una segunda asignación.

60. En la página Editar atributo, introduzca lo siguiente:

    • Tipo de asignación: expresión
    • Expresión: CBool("true")

    • Atributo de destino: seleccione la cadena que termina en ":bypassNotification". Por ejemplo:

      urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:bypassNotification

    Seleccione Aceptar para continuar.

    

61. Vaya a la página Visión general de aplicaciones empresariales de Azure para la aplicación que ha creado en los pasos 3 a 6 de esta tarea y, a continuación, seleccione Asignar usuarios y grupos.

    
    Importante
    
    

    Todos los usuarios deben incluir los siguientes valores de campo o las asignaciones de usuario en OCI fallan:

    • Nombre
    • Apellido
    • Nombre mostrado
    • dirección de correo electrónico (si el dominio de identidad de OCI necesita una dirección de correo electrónico)

    Para buscar si el dominio de identidad de OCI necesita una dirección de correo electrónico para crear nuevos usuarios, consulte Requerir dirección de correo electrónico del usuario para la creación de cuentas. Consulte el paso 24 de esta tarea para obtener información sobre la configuración del identificador único para usuarios de Azure.

62. Seleccione Agregar usuario/grupo y agregue los usuarios y grupos que desea incluir en la federación de identidad. Después de introducir los usuarios y grupos, se sincronizan con su cuenta de OCI.