Federación (opcional)

Descubra cómo configurar la federación de identidades para Oracle AI Database@Google Cloud.

La configuración de la federación de identidad para Oracle AI Database@Google Cloud es opcional. La federación permite a los usuarios conectarse al arrendamiento de OCI asociado al servicio mediante las credenciales de Google Cloud IAM y Admin. Aunque la mayoría de las operaciones diarias de la base de datos se realizan en el entorno de Google Cloud y no requieren el uso de la consola de Oracle Cloud, algunas tareas de gestión de bases de datos requieren la conexión a OCI.

Utilice las siguientes instrucciones para que Google Cloud IAM y Admin sean el proveedor de identificación para el arrendamiento de OCI.

1. En la consola de Oracle Cloud, vaya a Identidad y seguridad y, a continuación, seleccione Dominios.

   

2. En la vista de lista Dominios, seleccione el nombre del dominio "Por defecto" para abrir la página de detalles del dominio. Opcionalmente, puede seleccionar otro dominio para configurar el inicio de sesión único (SSO) para ese dominio.

   

3. Seleccione Seguridad en el menú de navegación izquierdo de la página Visión general del dominio de identidad.

   

4. En la página Seguridad del dominio, seleccione Proveedores de identidad en el menú de navegación de la izquierda.

   

5. En la página Proveedores de identidad, seleccione Agregar IdP y, a continuación, seleccione Agregar IdP de SAML.

   

6. Introduzca el nombre que desea mostrar en la página de conexión de OCI al utilizar la conexión única (SSO) para acceder a la consola de Oracle Cloud. Si lo desea, puede agregar una descripción. Seleccione Siguiente para continuar.

   Deje esta ventana o separador abierto mientras realiza los siguientes pasos que requieren la consola de administración de Google Cloud.

   

7. En el explorador web, abra otro separador o ventana y vaya a la consola de administración de Google Cloud en https://admin.google.com/ac/apps/unified.

   

8. Seleccione Agregar aplicación SAML personalizada en el menú Agregar aplicación.

   
9. Introduzca los siguientes detalles y seleccione Continue (Continuar):
   • Nombre de aplicación: OracleCloudFederation
   • Descripción: configura la federación de identidad entre Google Cloud y Oracle Cloud para el uso de Oracle AI Database@Google Cloud.
   

10. En Option1: Descargar metadatos IdP, seleccione Descargar METADATA.

    

    Seleccione CONTINUE. Deje esta ventana o separador abierto mientras realiza los siguientes pasos en la consola de Oracle Cloud.

    

11. Vuelva a la ventana o al separador que muestra la consola de Oracle Cloud. Seleccione Importar archivo XML de carga de metadatos IdP. En la sección Cargar metadatos de proveedor de identidad, seleccione seleccionar uno... y, a continuación, navegue hasta el archivo XML descargado en el paso anterior desde la consola de administración de Google Cloud y cargue el archivo.

    

12. Seleccione Exportar metadatos de SAML.

    

13. En el cuadro de diálogo Exportar metadatos de SAML, seleccione Exportación manual. Copie los valores Provider ID (ID de proveedor) y Assertion consumer service URL (URL de servicio de consumidor de afirmaciones) en un archivo del bloc de notas del equipo local. Deje esta ventana o separador abierto mientras realiza los siguientes pasos que requieren la consola de administración de Google Cloud.

    

14. Vuelva a la pestaña o ventana que muestra la consola de administración de Google Cloud. En la página Detalles del proveedor de servicios, introduzca lo siguiente:

    • URL de ACS: introduzca el valor "URL de servicio de consumidor de afirmación" copiado de la consola de Oracle Cloud en el paso anterior.
    • ID de entidad: introduzca el valor "ID de proveedor" copiado de la consola de Oracle Cloud en el paso anterior.

    Seleccione CONTINUE.

    

15. En la página Asignación de atributos, seleccione Añadir asignación.

    

16. Agregue las siguientes asignaciones de atributos:

    • Nombre → FirstName
    • Apellido → LastName
    • Correo electrónico principal → PrimaryEmail

    Por ejemplo, para el atributo Información básica "Nombre", introduzca el atributo de aplicación FirstName.

    

17. En la página Asignación de atributos, en la sección Afiliación de grupo, agregue los siguientes grupos creados para el control de acceso basado en roles (RBAC). El atributo de aplicación para los grupos es MemberOf. Seleccione FINISH (Finalizar) para continuar.

    • odbg-adbs-db-administrators
    • odbg-costmgmt-administrators
    • odbg-db-family-administrators
    • odbg-db-family-readers
    • odbg-dbmgmt-administrators
    • odbg-exa-cdb-administrators
    • odbg-exa-infra-administrators
    • odbg-exa-pdb-administrators
    • odbg-exadb-vm-cluster-administrators
    • odbg-exascale-db-storage-vault-administrators
    • odbg-metrics-readers
    • odbg-network-administrators
    • odbg-network-readers
    • odbg-vm-cluster-administrator
    

    La consola de administración de Google Cloud redirige automáticamente a la página de detalles de la aplicación SAML que ha creado.

18. Amplíe la sección Acceso de usuario.

    

19. En la sección Estado del servicio, seleccione Activado para todos y, a continuación, seleccione Guardar.

    

20. Vuelva a la ventana o al separador que muestra la consola de Oracle Cloud. En la página Agregar proveedor de identidad de SAML, seleccione Asignar identidad de usuario. Introduzca los siguientes valores:

    • Formato de ID de nombre solicitado: seleccione "Dirección de correo electrónico".
    • Atributo de usuario de proveedor de identidad: seleccione "ID de nombre de afirmación de SAML"
    • Atributo de usuario de dominio de identidad: seleccione "Nombre de usuario"
    

21. En la página Agregar proveedor de identidad de SAML, seleccione Revisar y crear.

    Revise los detalles del proveedor de identidad SAML y, a continuación, seleccione Crear IdP.

    

22. Seleccione Activar para activar el proveedor de identidad (IdP).

    

    Después de ver el mensaje de confirmación de que el proveedor de identidad se ha activado, el proveedor de identidad se activa.

23. Seleccione Agregar a política IdP.

    

24. En la página Políticas de proveedor de identidad (IdP), seleccione Política de proveedor de identidad por defecto en la columna Nombre de la lista de políticas.

    

25. En la página de detalles de la política Política de proveedor de identidad por defecto, en la sección Reglas de prover de identidad, seleccione Editar regla IdP.

    

26. En la página Editar regla de proveedor de identidad, busque el campo Asignar proveedores de identidad. El campo muestra "Nombre de usuario-Contraseña". Agregue "Google Cloud Federation" y, a continuación, seleccione Guardar cambios.

    

    Después de agregar "Google Cloud Federation":

    

27. En la página de detalles del proveedor de identidad de Google Cloud Federation, seleccione Configurar JIT.

    

28. En la página Configurar aprovisionamiento justo a tiempo (JIT), active el aprovisionamiento justo a tiempo (JIT) mediante el conmutador. Permanezca en esta página para los próximos pasos.

    

29. En la página Configurar aprovisionamiento justo a tiempo (JIT), seleccione Crear un nuevo usuario de dominio de identidad y Actualizar el usuario de dominio de identidad existente.

    

30. En la página Configurar aprovisionamiento justo a tiempo (JIT), asigne los atributos de usuario de la siguiente manera:

    Tipo de atributo de usuario de IDP	Nombre de atributo de usuario de IDP	Corresponde a	Atributos de usuario de dominio de identidad
    NameID	Valor NameID	→	userName
    Atributo	LastName	→	familyName
    Atributo	PrimaryEmail	→	primaryEmailAddress
    Atributo	FirstName	→	firstName

    

31. En la página Configurar aprovisionamiento justo a tiempo (JIT), cambie el conmutador Asignar asignación de grupo para activar la asignación de grupo que ha configurado. La sección Asignar asignación de grupo se amplía para mostrar las opciones de configuración de asignación de grupo (consulte el paso siguiente).

    

32. En la página Configurar aprovisionamiento justo a tiempo (JIT), seleccione o introduzca los siguientes valores:

    • Nombre de atributo de miembros del grupo: MemberOf
    • Asignar miembro de grupo implícito: seleccione el botón de radio para activar esta opción
    • Al asignar miembros de grupo...: Fusionar con miembros de grupo existentes
    • Cuando no se encuentre un grupo... Ignore el grupo que falta

    Seleccione Guardar cambios después de seleccionar e introducir los valores.

    

    Ahora ha completado los pasos necesarios para configurar la federación de identidad entre OCI y Google Cloud.

33. Para probar el inicio de sesión único:

    1. Desconexión en la consola de Oracle Cloud
    2. En la sección O conectarse con de la pantalla de conexión, seleccione Federación de Google Cloud.