Nota:

• Este tutorial requiere acceso a Oracle Cloud. Para registrarse en una cuenta gratuita, consulte Introducción a la capa gratuita de Oracle Cloud Infrastructure.
• Utiliza valores de ejemplo para las credenciales, el arrendamiento y los compartimentos de Oracle Cloud Infrastructure. Al finalizar el laboratorio, sustituya estos valores por otros específicos de su entorno en la nube.

Configuración de políticas de conexión para Oracle Analytics Cloud y aplicaciones APEX en OCI

Introducción

Las políticas de conexión del dominio de identidad de Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) son un elemento clave para gestionar el acceso a las aplicaciones desplegadas en Oracle Cloud Infrastructure (OCI).

Este tutorial se inspira en un caso de uso de cliente y describe cómo un proveedor de software independiente o un proveedor de servicios de aplicación pueden implantar políticas de conexión para permitir la autenticación de las aplicaciones que entregan a los usuarios finales, al tiempo que evitan que accedan a la consola de OCI.

Para este tutorial, se utilizan dos aplicaciones: una aplicación Oracle Analytics Cloud y una aplicación APEX que se ejecuta en el servicio Autonomous Transaction Processing (ATP).

Objetivos

• Cree y configure un compartimento y un dominio de identidad para las aplicaciones.
• Despliegue una aplicación de Oracle Analytics Cloud y una aplicación APEX mediante ATP.
• Integre estas dos aplicaciones con los dominios de identidad de OCI IAM.
• Configure las políticas de conexión para permitir el acceso a la aplicación y evitar que los usuarios de la aplicación se conecten a la consola de OCI.

Arquitectura

En este tutorial se utiliza la siguiente arquitectura:

• Compartimentos: compartimento en el que se crean el dominio de aplicación y las instancias de Oracle Analytics Cloud y ATP para este tutorial
• Dominios:
  • Dominio por Defecto
  • Dominio de Aplicaciones
• Grupos:
  • Dominio de Aplicaciones:
    • Grupo de usuarios de aplicaciones; solo puede acceder a las aplicaciones del dominio.
    • Grupo de usuarios de aprovisionamiento de Oracle Analytics Cloud y ATP; solo puede aprovisionar y gestionar instancias de Oracle Analytics Cloud y ATP en el dominio.
  • Dominio por Defecto:
    • Grupo de usuarios con permisos para gestionar todos los recursos del compartimento utilizado en este tutorial; estos realizan todas las actividades administrativas para el dominio de aplicaciones.
• Políticas de conexión:
  • Política de conexión por defecto:
    • Regla 1: permite el acceso al grupo de usuarios de aprovisionamiento de Oracle Analytics Cloud y ATP.
    • Regla 2: deniega el acceso.
  • Política de conexión de aplicaciones:
    • Aplicaciones: Oracle Analytics Cloud y aplicaciones APEX.
    • Regla: permite el acceso al grupo de usuarios de la aplicación.

Requisitos

• Acceso a un arrendamiento de OCI con dominios de identidad
• Conocimientos del modelo de OCI IAM, como compartimentos, dominios de identidad, grupos y políticas.
• Cree un usuario en el dominio por defecto que pueda gestionar todos los recursos del compartimento que utilizará para el tutorial.

Tarea 1: Configurar un compartimento

1. Conéctese a la consola de OCI en el dominio por defecto con un usuario que tenga permisos para gestionar recursos en el arrendamiento o en el nivel de compartimento desde el que creará el compartimento del tutorial como compartimento secundario.

2. Cree un compartimento para el tutorial.

   

3. Asegúrese de que el usuario de dominio por defecto con el que está conectado está en un grupo que tiene permisos de gestión en este compartimento. Si no es así, cree (o pida a los administradores del arrendamiento que creen) una política con la siguiente plantilla:

   Allow group <group to which your user belongs> to manage all-resources in compartment <compartment name>
   

Tarea 2: Configuración del dominio de aplicaciones

1. En este compartimento recién creado, cree un dominio de identidad para los usuarios de aplicaciones. Para este tutorial, puede utilizar un dominio gratuito. Se trata de una práctica recomendada, ya que separa los usuarios de la aplicación de los usuarios administradores.

   

2. En el dominio recién creado, cree un grupo para los usuarios de la aplicación. Por ahora, no agregas ningún usuario a este grupo. Lo hará más adelante en el tutorial, cuando realice pruebas.

   

3. Cree un grupo para los usuarios que pueden aprovisionar instancias de Oracle Analytics Cloud y ATP, y asigne un usuario a este grupo. Puede que necesite crear un usuario para este fin.

   

   

4. Cree políticas para permitir a los usuarios de este grupo crear instancias de Oracle Analytics Cloud y ATP en el compartimento que ha creado para este tutorial.

   Allow group <apps_domain>/<oac_provisioning_group> to manage analytics_instances in compartment <compartment name>
   Allow group <apps_domain>/<oac_provisioning_group> to manage autonomous_databases in compartment <compartment name>
   

Tarea 3: Configurar la aplicación Oracle Analytics Cloud

1. Inicie sesión en el dominio de aplicaciones que creó en la tarea 2 con el usuario que agregó al grupo que gestiona las instancias de Oracle Analytics Cloud y ATP.

2. Cree la instancia de Oracle Analytics Cloud. Con la consola de OCI, debe aprovisionar la instancia de Oracle Analytics Cloud con un usuario que pertenezca al dominio en el que se crearán y gestionarán los usuarios de la aplicación. El motivo es que el proceso de aprovisionamiento de Oracle Analytics Cloud crea automáticamente una aplicación de Oracle Analytics Cloud en el dominio en el que el usuario aprovisiona la conexión.

   

   Nota: Si ha utilizado la API de OCI para aprovisionar la instancia de Oracle Analytics Cloud, puede aprovisionar la instancia de Oracle Analytics Cloud con un usuario de otro dominio, pero esto queda fuera del ámbito del presente tutorial.

3. Verifique que la instancia de Oracle Analytics Cloud está enlazada al dominio de identidad al que se ha conectado. Para ello, vaya al dominio de identidad que ha creado en la tarea 2 y vaya a Oracle Cloud Services. Debe ver una aplicación creada automáticamente por el proceso de aprovisionamiento de Oracle Analytics Cloud en OCI.

   

4. Asigne un rol de aplicación de Oracle Analytics Cloud al grupo de usuarios de la aplicación.

   

Tarea 4: Configuración de la aplicación APEX

1. Cree una instancia de ATP.

   

2. Cree un espacio de trabajo de APEX e instale en él una aplicación APEX de ejemplo. Vaya a Application Gallery y seleccione una de las aplicaciones de ejemplo (por ejemplo, la aplicación Sample Calendar).

   

3. Desconéctese del dominio con este usuario de aprovisionamiento de Oracle Analytics Cloud y ATP. Ahora deberá conectarse con el usuario que ha utilizado al principio del tutorial, que tiene permisos para gestionar todos los recursos del compartimento del tutorial.

4. Integre la aplicación de ejemplo con el dominio de identidad de OCI siguiendo esta guía.

   • Cree una aplicación confidencial en el dominio de aplicaciones para la aplicación APEX que instaló en el paso anterior.
   • Cree una nueva credencial web en el espacio de trabajo de APEX.
   • Cree un nuevo esquema de autenticación para la aplicación APEX.

Tarea 5: Configurar políticas de conexión

1. Inicie sesión en el dominio por defecto y cambie la política de conexión por defecto del dominio de aplicaciones. Para empezar, cambie la regla de conexión por defecto para permitir solo el acceso a los miembros del grupo de aprovisionamiento de Oracle Analytics Cloud y ATP.

   Nota: Para este tutorial, mantenemos la regla tan sencilla como se ve a continuación, pero debe prescribir el acceso con MFA para un caso de uso de producción.

   

2. Agregue otra regla de inicio de sesión a la política de inicio de sesión predeterminada. Esta regla se evalúa después de la primera regla y deniega el acceso al dominio a todos los usuarios.

   

   Ahora debe tener dos reglas en la política de conexión por defecto, como se muestra a continuación.

   

3. Cree una nueva política de conexión para permitir a los usuarios de la aplicación conectarse solo a sus aplicaciones.

   

4. Asocie a esta nueva política la aplicación APEX creada en la tarea 4 y la aplicación Oracle Analytics Cloud aprovisionadas automáticamente en la tarea 3.

   

5. Cree una regla de conexión para esta política para permitir a los usuarios del grupo de aplicaciones conectarse a estas dos aplicaciones.

   

Nota: Cambio de dominio

Si, en lugar de las aplicaciones basadas en Oracle Analytics Cloud u Oracle Integration, necesita desplegar aplicaciones web personalizadas, debe omitir los pasos 1 y 2 de esta tarea y, en su lugar, simplemente cambiar el dominio y, por lo tanto, evitar que se seleccione en la página de conexión de la consola de OCI.

En la página principal Dominio, edite el dominio y evite que se seleccione en la página de conexión de la consola de OCI. Esto impedirá el acceso de la consola web de OCI al dominio (incluidos los usuarios de la aplicación y el administrador del dominio).

Tarea 6: prueba

1. Cree un nuevo usuario en el dominio de aplicaciones y agréguelo al grupo de aplicaciones creado en las tareas anteriores.

   

2. Inicie sesión en la consola de OCI con el usuario recién creado, seleccione el dominio de aplicaciones y confirme que se deniega el acceso.

   

3. Conéctese a la aplicación APEX con el usuario recién creado y confirme que puede conectarse correctamente.

   

4. Conéctese a la aplicación Oracle Analytics Cloud con el usuario recién creado y confirme que puede conectarse correctamente.

   

Enlaces relacionados

• Blog de explicación de políticas de conexión

• Documentación de políticas de conexión

Pasos Siguientes

Las políticas de conexión no son solo un elemento clave de la autenticación de aplicaciones en OCI, sino que también son muy fáciles de utilizar. En este tutorial se muestra lo sencillo que resulta asegurarse de tener un control completo sobre la autenticación de los usuarios de la aplicación y aplicar las políticas más adecuadas para su organización. Las políticas de conexión proporcionan una funcionalidad adicional más allá de lo que se utiliza en este tutorial (como la aplicación de MFA para grupos específicos de usuarios). Asegúrese de comprobar los recursos adicionales para comprender mejor para qué se pueden utilizar las políticas de conexión.

Agradecimientos

• Autores: Ricardo Malhado (arquitecto principal de soluciones en la nube), Arno Schots (director de arquitectos en la nube de EMEA)

Más recursos de aprendizaje

Explore otros laboratorios en docs.oracle.com/learn o acceda a más contenido de aprendizaje gratuito en el canal YouTube de Oracle Learning. Además, visite education.oracle.com/learning-explorer para convertirse en un explorador de Oracle Learning.

Para obtener documentación sobre los productos, visite Oracle Help Center.

---

Título e Información de Copyright

Configure Sign-on Policies for Oracle Analytics Cloud and APEX Apps on OCI

F82267-01

June 2023

Copyright © 2023, Oracle and/or its affiliates.