Documentación de Oracle Cloud Infrastructure

Identity Federation

Descubra cómo crear una federación de identidades para OracleDB for Azure con Azure Active Directory.

Este paso final de vinculación es opcional. Si los administradores de Azure creen que uno o más usuarios de OracleDB para Azure tendrán que utilizar la consola de OCI para realizar tareas, deben activar la federación de identidades entre Azure y OCI para permitir a los usuarios utilizar un único juego de credenciales para conectarse a ambos entornos de nube.

Para la ruta de vinculación guiada, no hay ningún proceso automatizado para configurar la federación de identidad. En su lugar, el portal OracleDB para Azure proporciona un enlace a las instrucciones para los pasos que debe realizar un usuario autorizado de Azure para configurar la federación de identidad entre los dos entornos en la nube.

Importante

Los registros de usuario de Azure Active Directory deben contener un apellido y una dirección de correo electrónico válida para trabajar con OracleDB para la federación de identidad de Azure.

Más información

Consulte Sentencias de política de IAM de Oracle Cloud Infrastructure para Oracle Database Service for Azure para obtener más información sobre las políticas de OCI IAM necesarias al configurar la federación de identidad para OracleDB para Azure.

Instrucciones

Para crear una aplicación confidencial para OracleDB para Azure en su cuenta de OCI
  1. Navegue a la consola de OCI en https://cloud.oracle.com.
  2. Introduzca su Nombre de cuenta de nube, también conocido como su nombre de arrendamiento, y haga clic en Siguiente.
  3. Seleccione el dominio de identidad al que desea conectarse. Para OracleDB para Azure, utilizará el dominio por defecto.
  4. Conéctese con su nombre de usuario y contraseña de administrador.
  5. Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Dominios.
  6. En la lista de dominios, haga clic en el nombre del dominio que desea ver. Para OracleDB para Azure, utilizará el dominio por defecto.
  7. En la página Visión general del dominio, haga clic en Aplicaciones en la lista de enlaces de Dominio de identidad.
  8. Haga clic en Agregar aplicación y seleccione Aplicación confidencial.
  9. Haga clic en Iniciar flujo de trabajo.
  10. En el flujo de trabajo Agregar aplicación confidencial, introduzca un Nombre para la aplicación. Por ejemplo, "AzureSCIMProvisioningApplication".
  11. Haga clic en Siguiente en la parte inferior de la página.
  12. En la página Configurar OAuth, en la sección Configuración del cliente, seleccione Configurar esta aplicación como un cliente ahora.
  13. En Autorización, seleccione Credenciales de cliente.
  14. En Tipo de cliente, seleccione Confidencial.
  15. En la sección Política de emisión de tokens, seleccione Agregar roles de aplicación.
  16. En la tabla Roles de aplicación, haga clic en el botón Agregar roles.
  17. En el panel Agregar roles de aplicación, en la lista de roles de aplicación, seleccione Administrador de usuarios y, a continuación, haga clic en Agregar.
  18. Haga clic en Siguiente.
  19. En la página Configurar política, en Política de nivel web, seleccione Omitir y realizarlo posteriormente.
  20. Haga clic en Terminar para crear la aplicación.

  21. En la página de detalles de la aplicación que acaba de crear, en la sección Información general, busque los campos ID de cliente y Secreto de cliente. Copie estos valores en un editor de texto y aplíqueles el siguiente formato utilizando dos puntos (":") como delimitador entre ellos:

    <client_id>:<client_secret>
  22. Cree un valor codificado en base64 mediante esta cadena y almacénelo en un lugar seguro. Necesitará el valor codificado en base64 durante la configuración de federación.
Descarga de metadatos del proveedor de servicios de SAML del dominio de OCI IAM

OCI permite utilizar una URL especial para descargar los metadatos del proveedor de servicios de SAML. La URL de descarga tiene el siguiente formato:

https://idcs-<Service-Instance-Number>.identity.oraclecloud.com/fed/v1/metadata

Obtención de metadatos del proveedor de servicios de OCI IAM

  1. Navegue a la consola de OCI en https://cloud.oracle.com.
  2. Introduzca su Nombre de cuenta de nube, también conocido como su nombre de arrendamiento, y haga clic en Siguiente.
  3. Seleccione el dominio de identidad al que desea conectarse. Para OracleDB para Azure, utilizará el dominio por defecto.
  4. Conéctese con su nombre de usuario y contraseña.
  5. Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Dominios.
  6. En la lista de dominios, haga clic en el nombre del dominio que desea ver. Para OracleDB para Azure, utilizará el dominio por defecto.
  7. En la página Visión general del dominio, haga clic en Configuración en la lista de enlaces de Dominio de identidad.

  8. En la página Configuración de dominio, en Acceder a certificado de firma, marque Configurar acceso de cliente.

    Esto permite a un cliente acceder a la certificación de firma del dominio de identidad sin estar conectado al dominio.

  9. Haga clic en Guardar cambios.
  10. Vuelva a la visión general del dominio de identidad haciendo clic en el nombre del dominio de identidad ("Dominio por defecto") en la pista de navegación de la ruta. Haga clic en Copiar junto a la URL de dominio en Información de dominio y guarde la URL en una aplicación donde pueda editarla.
  11. En un nuevo separador del explorador, pegue la URL que ha copiado y agregue /fed/v1/metadata al final.

    Por ejemplo:

    https://idcs-<unique_id>.identity.oraclecloud.com:443/fed/v1/metadata
  12. Los metadatos del dominio de identidad se mostrarán en el explorador. Guárdelos como un archivo XML con el nombre IDCSMetadata.xml.

Siguiente paso

Cree un principal de servicio de SAML en el portal de Azure. Consulte Creación de un principal de servicio de SAML en su cuenta de Azure para obtener instrucciones.

Creación de un principal de servicio de SAML en su cuenta de Azure
Nota

Antes de iniciar esta tarea, deberá descargar los metadatos del proveedor de servicios de SAML del dominio de identidad de OCI. Consulte Descarga de metadatos del proveedor de servicios de SAML del dominio de OCI IAM para obtener instrucciones.

  1. Conéctese al portal de Azure.
  2. En Azure services, haga clic en Azure Active Directory.
  3. En el panel de la izquierda, haga clic en Enterprise applications.
  4. Haga clic en + New Application.
  5. Haga clic en + Create your own application.
  6. Proporcione un nombre para la aplicación en el campo de nombre. Por ejemplo, "OCI IAM Domain SAML Service Provider".
  7. Seleccione el botón de radio Integrate any other application you don't find in the galley (Non-gallery).
  8. Haga clic en Crear. Azure tardará unos instantes en crear la aplicación.
  9. En la página Overview de la aplicación, haga clic en Single sign-on en el panel de la izquierda, en Manage.
  10. Seleccione SAML para el método de conexión única.
  11. Haga clic en Upload metadata file.
  12. En el cuadro de diálogo Upload metadata file, haga clic en el icono de carpeta y, a continuación, vaya al archivo de metadatos de ID de OCI guardado localmente (IDCSMetadata.xml).
  13. Seleccione el archivo de metadatos y, a continuación, haga clic en Add. Se utilizarán los metadatos preconfigurados del archivo para crear la aplicación.
  14. En el panel Basic SAML Configuration, haga clic en Save. Cierre el panel una vez que se haya completado la operación de guardado.
  15. Busque el campo Federation Metadata XML en la sección SAML Signing Certificate y haga clic en el enlace Download. Utilizará este archivo para crear un recurso de proveedor de identidad en OCI. Este recurso permitirá que el servicio de identidad de OCI se federe con Azure Active Directory.
  16. En el panel de la izquierda, haga clic en Users and groups.
  17. Haga clic en + Add user/group.

  18. En el panel Add Assignment, seleccione None Selected en Users and groups o Users.

  19. Busque y seleccione el usuario o el grupo que desee asignar a la aplicación. Por ejemplo, puede buscar un nombre de usuario como odsauser1@liilca.com. Busque y agregue usuarios o grupos adicionales, según sea necesario.

  20. Revise la lista de Selected items y, a continuación, haga clic en Select.

  21. En el panel Add Assignment, seleccione Assign en la parte inferior del panel.

Siguiente paso

Cree un recurso de proveedor de identidad para Azure Active Directory en la consola de OCI. Consulte Creación de un recurso de proveedor de identidad en OCI IAM para Azure Active Directory para obtener instrucciones.

Creación de un recurso de proveedor de identidad en OCI IAM para Azure Active Directory
Nota

Para completar esta tarea, necesitará descargar el archivo XML de metadatos de federación del portal de Azure. Esta descarga se describe en Creación de un principal de servicio de SAML en su cuenta de Azure.

  1. Conéctese a su cuenta de OCI en https://cloud.oracle.com.
  2. Proporcione el nombre del arrendamiento.
  3. Seleccione el dominio por defecto.
  4. Proporcione las credenciales de usuario. Asegúrese de que el usuario de OCI tiene los privilegios administrativos necesarios para configurar la federación de identidad en su cuenta de OCI.
  5. Abra el menú de navegación y haga clic en Identidad y seguridad.
  6. Haga clic en Dominios, en la cabecera Identidad.
  7. Seleccione su compartimento.
  8. En la lista de dominios, busque el dominio Por defecto y haga clic en el nombre del dominio.
  9. Haga clic en Proveedores de identidad en Seguridad.
  10. Haga clic en el botón Agregar IdP y seleccione la opción Agregar IDP de SAML.
  11. En Agregar detalles, proporcione un nombre para el proveedor de identidad. Si lo desea, puede agregar una descripción del proveedor de identidad. Haga clic en Siguiente.
  12. En la pantalla Configurar IdP, seleccione Importar metadatos de proveedor de identidad.
  13. Arrastre y suelte el archivo XML de metadatos de federación en el cuadro Metadatos de proveedor de identidad o haga clic en el enlace seleccionar uno, vaya hasta el archivo y selecciónelo en el sistema de archivos local. Haga clic en Siguiente.
  14. En la pantalla Asignar atributos, seleccione el ID de nombre como atributo de usuario del proveedor de identidad. Seleccione Nombre de usuario como el atributo de usuario del dominio de identidad y Dirección de correo electrónico como Formato de identificador de nombre solicitado.
  15. Haga clic en Crear IdP.
  16. opcional. En la pantalla Exportar, haga clic en el botón Descargar del campo de metadatos Proveedor de servicios para descargar los metadatos del proveedor de identidad de SAML.
  17. opcional. Pruebe los valores de configuración para proveedor de identidad (IdP) para confirmar que el IdP funciona correctamente. Puede utilizar las credenciales de IdP para conectarse al dominio de identidad a través de un sitio web externo.
  18. En Activar IdP, haga clic en Activar y, a continuación, en Terminar.

Siguiente paso

Active la sincronización de usuarios y grupos en el principal de servicio de SAML de Azure. Consulte Activación de la sincronización de usuarios y grupos en el principal de servicio de SAML de Azure para obtener instrucciones.

Para crear grupos de usuarios y políticas de OCI IAM para OracleDB for Azure

Deberá crear políticas en OCI IAM para activar la autorización para OracleDB para grupos de usuarios de Azure por Azure Active Directory. Consulte Gestión de acceso a recursos para obtener una visión general de las políticas de OCI IAM.

Consulte Sentencias de política de Oracle Cloud Infrastructure IAM para Oracle Database Service for Azure para ver ejemplos de sentencias de políticas.

  1. Navegue a la consola de OCI en https://cloud.oracle.com.
  2. Introduzca su Nombre de cuenta de nube, también conocido como su nombre de arrendamiento, y haga clic en Siguiente.
  3. Seleccione el dominio de identidad al que desea conectarse. Para OracleDB para Azure, utilizará el dominio por defecto.
  4. Conéctese con su nombre de usuario y contraseña de administrador.
  5. Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Dominios.
  6. En la lista de dominios, haga clic en el nombre del dominio que desea ver. Para OracleDB para Azure, utilizará el dominio por defecto.
  7. En la página Visión general del dominio, haga clic en Grupos en la lista de enlaces de Dominio de identidad.
  8. Haga clic en Crear grupo e introduzca el nombre del grupo. Por ejemplo, odsa-db-family-administrators.
  9. Introduzca una descripción del grupo.
  10. Haga clic Crear para crear el grupo.
  11. Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Políticas.
  12. Haga clic en Crear política.
  13. Introduzca un nombre para la política. Por ejemplo: my_odsa_compartment_odsa-db-family-administrators.
  14. Introduzca una descripción para la política.
  15. En Compartimento, seleccione OracleDB para el compartimento de Azure.
  16. En la sección Creador de política, active Mostrar editor manual y, a continuación, copie y pegue la política en el campo Creador de política.
  17. Seleccione Crear otra política si desea crear otra política después de crear la política que está configurando actualmente.
  18. Haga clic en Crear.
  19. Repita los pasos del 12 al 18 para crear las políticas adicionales que necesita para los usuarios.
Para crear OracleDB para grupos de usuarios de Azure en Azure para la federación de identidades de OCI IAM

Los grupos de usuarios de OCI IAM que ha creado en Creación de grupos de usuarios y políticas de OCI IAM para OracleDB for Azure necesitan un juego correspondiente de grupos de usuarios en Azure Active Directory para activar OracleDB para la autorización de usuario de Azure. Cree los siguientes grupos en Azure y asígneles los usuarios de Azure según sea necesario:

  • oci-direct-readers

  • network-oci-direct-users

  • exadb-oci-direct-users

  • ocimcs-administrator

  1. Conéctese al portal de Azure.
  2. En la página inicial, seleccione Azure Active Directory.
  3. En la página Active Directory, seleccione Groups.
  4. Haga clic en New group.
  5. En la página New group, en Group type, seleccione Security.
  6. Introduzca un Group name y una Group description.
  7. Haga clic en No owners selected en Owners, seleccione un propietario de grupo y, a continuación, haga clic en Select.
  8. Haga clic en No members selected en Members y seleccione miembros de grupo y, a continuación, haga clic en Select.
  9. Haga clic en Crear.
  10. Repita los pasos del 4 al 9 para crear todos los grupos tratados en este tema.
Activación de la sincronización de usuarios y grupos en el principal de servicio de SAML de Azure
  1. En su cuenta de Azure, vaya hasta el principal de servicio de SAML que ha creado mediante las instrucciones de Creación de un principal de servicio de SAML en su cuenta de Azure:
    1. En Azure services, haga clic en Azure Active Directory.
    2. En el panel de la izquierda, haga clic en Enterprise applications.
    3. En la lista Enterprise Applications, haga clic en el nombre de su aplicación. Aparece la página Overview de la aplicación.
  2. Haga clic en Provisioning en el panel de la izquierda.
  3. Haga clic en Get Started.
  4. En la página Provisioning, seleccione "Automatic" como Provisioning Mode.

  5. En la sección Admin Credentials, proporcione la URL de inquilino y el token secreto base64 que se trata en los dos últimos pasos de Creación de una aplicación confidencial para OracleDB para Azure en su cuenta de OCI.

  6. Haga clic en Probar Conexión.
  7. Si la configuración de la conexión es correcta, haga clic en Save.

Siguiente paso

Puede asignar usuarios de Azure adicionales a OracleDB para grupos de usuarios de Azure. Consulte Adición de OracleDB para usuarios de Azure en Azure después de completar su registro para más información.