Aprovisionamiento y configuración de servicios de Oracle Cloud Infrastructure

Aquí se proporciona un resumen del aprovisionamiento y la configuración de Oracle WebLogic Server para OCI y otros servicios necesarios para las aplicaciones de extensión de Oracle Fusion, incluida la configuración de seguridad de Single Sign-On (SSO) y los servicios web. Consulte la documentación completa del producto para obtener más información.

Configuración	Necesario	Notas
Dominio básico (no JRF)	N/A	none
Configurar Dominio SSL (Posterior a la Creación)	Necesario	ninguno
Configuración de la base de datos	Necesario	ninguno
Autenticación de Oracle Identity Cloud Service WebLogic	Necesario	ninguno
Integración de API de usuario y grupo de OPSS con Oracle Identity Cloud Service	Opcional	Necesario si la aplicación utiliza Oracle Platform Security Services (OPSS) para crear políticas de autorización
Dominio con JRF Activado	Necesario	ninguno
Equilibrador de Carga y SSL Activado	Necesario	Debe configurarse como equilibrador de carga público. Además, deberá obtener un certificado de CA e importarlo al equilibrador de carga.
Peering de VCN local	Opcional	Necesario si las VCN de Oracle WebLogic Server para OCI y las instancias de base de datos son diferentes.
Versión de Oracle WebLogic Server Mínima	Necesario	12.2.1.3 o posterior
Subred privada para dominio de WLS	Opcional	ninguno
Edición de Oracle WebLogic Server	Necesario	Enterprise Edition
Nodos del Servidor de Oracle WebLogic Server	Necesario	Mínimo 1, máximo 8. Oracle Java Cloud Service - SaaS Extension soporta 1, 2 o 4 nodos.
Forma de VM de Weblogic	Necesario	1 OCPU/8 GB de RAM o forma más grande.

Realizar pasos previos para el despliegue de Oracle WebLogic Server para OCI

Se necesitan varios requisitos previos para poder desplegar Oracle WebLogic Server para OCI.

La documentación de Oracle WebLogic Server para OCI proporciona información detallada sobre los requisitos de configuración necesarios para poder desplegar Oracle WebLogic Server para OCI. A continuación, se muestra un resumen de los pasos de requisitos previos con algunos requisitos clave. Consulte la documentación del producto Oracle WebLogic Server para OCI para obtener más información sobre cada opción, requisito y paso.

Cree una base de datos en Oracle Cloud Infrastructure.
Un dominio activado para JRF soporta Oracle Application Development Framework (ADF). Al crear un dominio con Oracle WebLogic Server para OCI y asociarlo a una base de datos existente, Oracle WebLogic Server para OCI realiza lo siguiente:
- Provisiona los esquemas para soportar los componentes de JRF en la base de datos seleccionada
- Provisiona orígenes de datos en el dominio que proporcionan conectividad a la base de datos seleccionada
- Despliega los componentes y bibliotecas de JRF en el dominio
Seleccione una de estas opciones de base de datos:
- Oracle Autonomous Transaction Processing (recomendado)
- Sistemas de base de datos de máquinas virtuales y hardware dedicado soportados por Oracle Cloud Infrastructure
Consulte la documentación del producto Oracle WebLogic Server para OCI para obtener más información.
Oracle WebLogic Server para OCI puede crear una red virtual en la nube y una o más subredes en Oracle Cloud Infrastructure para un nuevo dominio de Oracle WebLogic Server o puede elegir crear su propia VCN y subred manualmente antes de crear un dominio.
Oracle recomienda crear Oracle WebLogic Server para OCI en una subred privada por motivos de seguridad. Cree una subred para el nodo bastión.
1. Para acceder a la consola de administración de Oracle WebLogic Server y al panel de control de Oracle Enterprise Manager, cree túneles de puertos dinámicos con el nodo bastión y utilice un proxy SOCKS5 con el puerto seleccionado.
2. Acceda a la consola de administración de Oracle WebLogic Server en una subred privada.
  No se puede acceder a las instancias informáticas de Oracle WebLogic Server asignadas a una subred privada desde Internet pública. Para acceder a la consola de administración de Oracle WebLogic Server para administrar dichas instancias, puede utilizar la instancia de bastión creada en una subred pública y un reenvío dinámico de puertos con una utilidad de shell seguro (SSH).
3. Del mismo modo, acceda a Fusion Middleware Control Console en una subred privada, de nuevo mediante la instancia bastion con reenvío dinámico de puertos.
4. Cree una regla de ruta para permitir que las instancias informáticas de Oracle WebLogic Server para OCI accedan a la red pública de Internet. En la tabla de rutas de la subred privada, cree una regla con Destino 0.0.0.0/0, Tipo de destino Gateway de NAT.
En la instancia de Oracle Identity Cloud Service asociada a la instancia de Oracle Fusion Applications, cree una aplicación confidencial y, a continuación, identifique su ID de cliente y su secreto de cliente.
1. En la consola de Oracle Identity Cloud Service, seleccione el separador Aplicación, haga clic en Agregar y en la ventana Agregar Aplicación y en Aplicación Confidencial.
2. En la página Detalles, proporcione un nombre a la nueva aplicación. Otros detalles son opcionales.
3. En la página Cliente, seleccione Configurar esta Aplicación como Cliente Ahora.
4. En Autorización, active los siguientes tipos de concesión permitidos: Propietario de recursos, Credenciales de cliente y Afirmación JWT.
5. Haga clic en Siguiente y en la página Autorización, en Terminar para guardar la aplicación.
6. Realice una copia del ID del cliente y el secreto del cliente en el cuadro de notificación Aplicación agregada.
7. Ahora que se crea y guarda la aplicación, haga clic en el separador Configuración y amplíe la sección Configuración de Cliente.
8. En Política de emisión de token, en la subsección Otorgar acceso al cliente a las API de administración de Identity Cloud Service, haga clic en el botón Agregar y seleccione el rol de administrador de dominio de identidad.
9. Haga clic en Guardar.
10. Active la nueva aplicación. Seleccione Aplicaciones y, a continuación, seleccione la aplicación. Haga clic en Activar junto al nombre de la aplicación.
Preparar secretos de Vault: clave de cifrado y secretos para contraseñas.
Una clave de cifrado permite cifrar el contenido de los secretos necesarios para Oracle WebLogic Server para OCI. Puede utilizar una clave existente o Oracle Cloud Infrastructure Vault para crear un almacén y una clave de cifrado.
Utilice secretos en Oracle Cloud Infrastructure Vault para almacenar las contraseñas que necesita para crear un dominio en Oracle WebLogic Server para OCI. Debe proporcionar secretos para estas contraseñas:
- Contraseña de administrador para el nuevo dominio
- Contraseña del administrador de la base de datos
- Secreto de cliente para la aplicación confidencial que creó en Oracle Identity Cloud Service para la autenticación
1. Cree una instancia de servicio de Vault en la consola de Oracle Cloud Infrastructure, seleccionando Vault, en el área Seguridad.
2. Cree una clave de cifrado. Seleccione la instancia de almacén y haga clic en Clave de cifrado maestra.
3. Para crear secretos para las contraseñas mencionadas anteriormente, navegue hasta Vault que contiene la clave de cifrado. Realice los siguientes pasos para cada uno de los secretos que necesita crear.
4. Haga clic en Secretos y luego en Crear Secreto.
5. Introduzca un nombre para identificar el secreto.
6. Seleccione la clave de cifrado.
  La clave se utiliza para cifrar el contenido secreto mientras se importan al almacén.
7. En Contenido Secreto, introduzca la contraseña que desea almacenar en este secreto.
  Asegúrese de que la contraseña cumple las reglas para la cuenta con la que se utilizará. Las contraseñas introducidas en texto sin formato tienen codificación base64 antes de enviarlas a Oracle WebLogic Server para OCI.
8. Haga clic en Crear secreto.
9. Cuando se crea el secreto, haga clic en el nombre. Copie el OCID del secreto.

Creación de una instancia de Oracle WebLogic Server para OCI

Cree una instancia de dominio activada para JRF de Oracle WebLogic Server para OCI para alojar las aplicaciones Java.

La documentación de Oracle WebLogic Server para OCI proporciona información detallada sobre los pasos para crear la instancia de Oracle WebLogic Server para OCI. A continuación, se muestra un resumen de los pasos. Consulte la documentación del producto Oracle WebLogic Server para OCI para obtener más información sobre cada paso.

En Marketplace, cree una pila introduciendo parámetros que creen automáticamente un dominio. Al crear un dominio habilitado para JRF, especifique una base de datos Oracle Autonomous Transaction Processing u Oracle Cloud Infrastructure Database. También puede especificar una subred pública (regional o específica de dominio de disponibilidad) o una subred privada para el dominio. Debe especificar Oracle WebLogic Server 12c como versión para un dominio habilitado para JRF si desea utilizar una base de datos Oracle Autonomous Transaction Processing.

Utilice Marketplace para especificar la información de pila inicial. En la consola de Oracle Cloud Infrastructure, navegue hasta la sección Mercado y seleccione Aplicaciones.
En el campo Buscar, escriba Oracle WebLogic Server Cloud y seleccione la pila deseada para crear.
Las opciones de pila corresponden a diferentes ediciones y ofertas de licencia. Oracle puede cambiar las ofertas disponibles de vez en cuando. En el momento de esta publicación, Oracle ofreció opciones de licencia Bring Your Own License (BYOL) y Universal Credit Model (UCM). Por ejemplo: Enterprise Edition BYOL, Standard Edition BYOL o Enterprise Edition UCM.
En el menú emergente, seleccione la versión preferida y seleccione el compartimento de destino. Confirme que ha revisado y aceptado las condiciones y restricciones estándar de Oracle activando la casilla de control y, a continuación, haga clic en Iniciar pila.
En el paso Información de pila, puede cambiar el nombre por defecto, agregar una descripción y aplicar etiquetas. A continuación, haga clic en Siguiente.
En la página Configurar Variables del Asistente, configure los parámetros de instancia. Necesitará especificar el prefijo de nombre de recurso y una forma y un recuento de OCPU para las instancias de cálculo. Introduzca la clave pública SSH, seleccione el número de servidores gestionados que desea crear, un nombre de usuario para el administrador de Oracle WebLogic Server y el OCID del secreto que contiene la contraseña para este administrador.
En la misma página, seleccione Configuración Avanzada de Instancia de WLS y configure los parámetros avanzados para un dominio. Puede cambiar los números de puerto predeterminados y eliminar la aplicación de ejemplo aquí.
Seleccione las VCN que ha creado para la instancia de Oracle WebLogic Server. Configure los parámetros de red y los puertos de consola de WebLogic Server según sea necesario.
Seleccione Provisionar Equilibrador de Carga y configure la red de equilibrador de carga para HTTPS.
Es posible que observe que el valor de timeout predeterminado genera un problema. Oracle sugiere definir el timeout del equilibrador de carga en 60 segundos como punto de inicio y, a continuación, ajustar si es necesario. Una vez que se haya completado el aprovisionamiento de Oracle WebLogic Server para OCI, vaya al equilibrador de carga en la consola de Oracle Cloud Infrastructure y cambie los valores de configuración allí.
Seleccione Activar autenticación mediante Identity Cloud Service. Introduzca su nombre de inquilino, que también se denomina ID de instancia. Introduzca el ID de cliente de la aplicación confidencial que creó anteriormente e introduzca el OCID del secreto que contiene el secreto de cliente de esa aplicación.
En la sección Base de Datos, seleccione Provisionar con JRF y, a continuación, introduzca los detalles de la base de datos que ha creado anteriormente. La base de datos no es para los datos de la aplicación: contiene los esquemas de infraestructura necesarios para el dominio con JRF. Tendrá que proporcionar el compartimento, la base de datos, VCN si es diferente de WebLogic Server VCN y el OCID del secreto que contiene la contraseña para la cuenta de administrador de la base de datos.
Revise el resumen del asistente y, a continuación, haga clic en Crear.

Crear Origen de Base de Datos para Datos de Aplicación

Cree un origen de base de datos para almacenar datos para las aplicaciones Java que se ejecutarán en Oracle WebLogic Server para OCI.

Puede utilizar Oracle Autonomous Transaction Processing u Oracle Cloud Infrastructure Database (sistema de base de datos) para almacenar los datos de la aplicación.

Oracle WebLogic Server para OCI proporciona dos scripts de utilidad para ayudarle a crear orígenes de datos de Oracle Autonomous Transaction Processing: un script de descarga que descarga los archivos de cartera en un nodo y un script de creación que crea el origen de datos mediante los archivos de cartera y las propiedades de origen de datos que proporcione. Para ejecutar los scripts, debe acceder a los nodos del dominio WebLogic como usuario opc. Los scripts se encuentran en /opt/scripts/utils y solo se pueden ejecutar como usuario oracle.

Utilice la Consola de Administración de Oracle WebLogic Server para crear un origen de datos y establecer una conexión con Oracle Cloud Infrastructure Database (sistema de base de datos). Después de verificar el nombre de PDB del sistema de base de datos, utilice la consola de administración de Oracle WebLogic Server para crear un origen de datos de Java Database Connectivity (JDBC).

Cualquiera que sea el origen de datos que utilice, la base de datos debe permitir que las instancias de cálculo de Oracle WebLogic Server accedan al puerto de recepción de la base de datos (1521 por defecto). Actualice la lista de control de acceso (ACL), si es necesario.

Los detalles de estos pasos de creación y configuración de origen de base de datos se encuentran en la documentación del producto Oracle WebLogic Server para OCI.

Configurar Autenticación Basada en OAuth en Oracle Identity Cloud Service para RESTful Web Services

Para activar las interacciones de datos de RESTful Web Services, puede configurar Oracle Identity Cloud Service para gestionar la autenticación basada en OAuth modificando la aplicación confidencial.

Cuando se despliega Oracle WebLogic Server para OCI, se registra con la instancia de Oracle Identity Cloud Service asociada a la instancia de Fusion Applications SaaS, que se federa para conexión única (SSO), y Fusion Applications actúa como proveedor de identidad. Sin embargo, esto sólo permite la autenticación de transferencia de usuarios. Para proteger los servicios web basados en REST, utilice el intercambio de tokens basado en OAuth entre Oracle Web Services Manager y Oracle Identity Cloud Service.

Todos los dominios habilitados para JRF incluyen Oracle Web Services Manager, que proporciona un marco de políticas para gestionar y proteger los servicios web de forma coherente en toda la organización. Tanto Oracle Web Services Manager como Oracle Identity Cloud Service soportan el protocolo OAuth. El cliente de servicio web solicita un token de acceso mediante la autenticación con el servidor de autorización (Oracle Identity Cloud Service) y la presentación del permiso de autorización. El agente del servidor de Oracle Web Services Manager valida el token de acceso y, a continuación, acepta la solicitud del cliente si es válida.

Configure OAuth para el proveedor de servicios web importando certificados y creando asociaciones de políticas globales. Los pasos detallados para configurar OAuth para el proveedor de servicios web están en la documentación del producto Oracle WebLogic Server para OCI.

Establezca la confianza entre Oracle Web Services Manager en el dominio de cliente y Oracle Identity Cloud Service mediante la importación de certificados y la creación de anexos de políticas globales. La política global afecta a todos los clientes de servicio web desplegados en este dominio. También puede crear políticas para aplicaciones individuales.

Conéctese al nodo Servidor de Administración del dominio cliente como usuario opc.
```
ssh -i <path_to_private_key> opc@<node_public_ip>
```
Cambie el usuario a oracle.
```
sudo su - oracle
```

Copie y pegue el texto siguiente en un archivo nuevo denominado config_owsm_client.py.

def config_policyset(policy_set_name,subject_type):
    try:
        beginWSMSession()
        createWSMPolicySet(policy_set_name,subject_type,resource_scope,desc,is_enabled)
        attachWSMPolicy(policy)
        setWSMPolicyOverride(policy,'token.uri',token_uri)
        setWSMPolicyOverride(policy,'oauth2.client.csf.key',csf_key)
        validateWSMPolicySet(policy_set_name)
    finally:
        commitWSMSession()
        displayWSMPolicySet(policy_set_name)
 
ip='<admin_server_IP>'
port='<admin_server_port>'
user='<admin_user>'
pwd='<password>'
client_id='<idcs_app_client_id>'
client_secret='<idcs_app_client_secret>'
token_uri = '<token_endpoint>'
dn_list = '<dn_list>'

Actualice las variables en config_owsm_client.py.
- Dirección IP de este nodo
- Número de puerto del servidor de administración (el valor por defecto es 7001)
- Nombre de usuario y contraseña del administrador del dominio
- ID de cliente y secreto de la aplicación confidencial en Oracle Identity Cloud Service creada para el dominio
- Punto final de token de Oracle Identity Cloud Service
- Nombre distinguido (DN) que se utilizará para el certificado generado en Oracle Web Services Manager
- Nombre de la aplicación cliente de servicio web desplegada en el dominio
Por ejemplo:
```
ip='203.0.113.30'
port='7001'
user='weblogic'
pwd='<password>'
client_id='ABCD1234efgh5678IJKL9012'
client_secret='<idcs_app_client_secret>'
token_uri = 'https://idcs-1234abcd5678EFGH9012ijkl.identity.oraclecloud.com/oauth2/v1/token'
dn_list = 'CN=OWSM, OU=ST, O=Oracle, L=RedWood, ST=CA, C=US'
app_resource = 'resource=oauth-client'
```

Copie y pegue el texto siguiente en config_owsm_client.py y después de las declaraciones de variables.

connect(user, pwd,'t3://' + ip + ':' + port)

csf_key = 'idcs.oauth2.client.credentials'
createCred(map='oracle.wsm.security',key=csf_key,user=client_id,password=client_secret)

is_enabled = true
policy = 'oracle/oauth2_config_client_policy'
resource_scope = 'Domain("*")'
desc = ''
config_policyset('oauth-ps-config-rest-connection','rest-connection')
config_policyset('oauth-ps-config-rest-client','rest-client')
config_policyset('oauth-ps-config-ws-connection','ws-connection')
config_policyset('oauth-ps-config-ws-client','ws-client')
config_policyset('oauth-ps-config-ws-callback','ws-callback')
refreshWSMCache()

svc = getOpssService(name='KeyStoreService')
try:
   svc.createKeyStore(appStripe='owsm', name='keystore', password='',permission=true)
except Exception, ex:
   ex_msg = str(ex)
   if 'Keystore keystore in stripe owsm already exists' in ex_msg:
      print 'Keystore keystore in stripe owsm already exists. Continue...'
   else:
      raise
svc.generateKeyPair(appStripe='owsm', name='keystore', password='', dn=dn_list, keysize='2048', alias='orakey', keypassword='')
 
svc.exportKeyStoreCertificate(appStripe='owsm', name='keystore', password='', alias='orakey', keypassword='', type='TrustedCertificate', filepath='/tmp/orakey.cert')

Ejecute config_owsm_client.py mediante WLST.

/u01/app/oracle/middleware/oracle_common/common/bin/wlst.sh config_owsm_client.py

Verifique que el script se ejecutó correctamente revisando la salida. Por ejemplo:

...
Credential created successfully.
Session started for modification.
The policy set was created successfully in the session.
Policy reference "oracle/oauth2_config_client_policy" added.
...
Creating policy set oauth-ps-config-rest-connection in repository.
Session committed successfully.
...
Session started for modification.
The policy set was created successfully in the session.
Policy reference "oracle/oauth2_config_client_policy" added.
...
Creating policy set oauth-ps-config-rest-client in repository.
Session committed successfully.
...
Keystore created
Key pair generated
Certificate exported.

Cambie el propietario del archivo de certificado generado al usuario opc.
```
exit
sudo chown opc:opc /tmp/orakey.cert
```

Descargue el archivo de certificado como usuario opc.

scp -i <path_to_private_key> opc@<node_public_ip>:/tmp/orakey.cert .

Actualice la aplicación confidencial preconfigurada para el cliente de servicios web importando el certificado orakey.cert que acaba de descargar y creando un ámbito para las aplicaciones Oracle Cloud basadas en Fusion.
1. En la consola de Oracle Identity Cloud Service, en el menú de navegación, haga clic en Aplicaciones y, a continuación, haga clic en la aplicación confidencial creada para el dominio de cliente.
2. Haga clic en el separador Configuración y, en Configuración de Cliente, seleccione Confianza para Tipo de Cliente.
3. Para Certificado, haga clic en Importar.
4. Para alias de certificado, introduzca un nombre único. Por ejemplo, orakey_jh305082020.
5. Seleccione el archivo orakey.cert que ha descargado en el paso anterior y, a continuación, haga clic en Importar.
6. Haga clic en Agregar Ámbito.
7. Seleccione Oracle Applications Cloud (Fusion), con un ámbito similar al siguiente ejemplo:
  urn:opc:resource:fa:instanceid=201911110urn:opc:resource:consumer::all
8. Haga clic en Agregar y, a continuación, en Guardar.
Se necesita grantPermission para cualquier aplicación que consuma servicios REST. WSIdentityPermission se debe otorgar antes de que la propagación de identidad tenga lugar porque Oracle WebLogic Server para OCI no lo permite por defecto y sin ella, se devolverá AccessControlException. Aplique grantPermission con wlst. Por ejemplo:
```
grantPermission(appStripe=None, codeBaseURL='file:${common.components.home}/modules/oracle.wsm.common/wsm-agent-core.jar',principalClass=None,principalName=None,permClass='oracle.wsm.security.WSIdentityPermission',permTarget=app_resource, permActions='assert')
```
Puede desplegar y validar esta configuración de OAuth con Oracle WebLogic Server para OCI desplegando y probando la aplicación cliente de servicio web de ejemplo, como se describe en la documentación del producto Oracle WebLogic Server para OCI. También puede desplegar y probar su propia aplicación cliente de servicio web.

Configurar SOAP Services para Propagación de Identidad

Si la aplicación Java necesita acceder a un punto final de Oracle Applications SOAP Web Services basado en Fusion, debe realizar algunos pasos de configuración manual para configurar la propagación de identidad.

Debido a que la configuración de seguridad para las interacciones de servicio web de SOAP requiere ponerse en contacto con el soporte de Oracle para obtener un certificado, Oracle recomienda utilizar protocolos de servicio web de REST siempre que sea posible. La propagación de identidad de REST está preconfigurada, lo que evita este requisito de ticket de soporte y configuración manual.

Los WSDL de SOAP de Fusion Applications contienen un certificado X509 en formato binario que se debe importar al almacén de claves de certificado de máquina cliente. Esto permite que la aplicación cliente pueda cifrar solicitudes de servicio web en Fusion Applications y que el entorno de Fusion Applications descifre la solicitud correctamente. Además, se debe generar un certificado en la máquina cliente y luego importarlo al almacén de claves del certificado del entorno de Fusion Applications. Oracle Support puede ayudar a importar el certificado a un entorno de Fusion Applications.

Los dos certificados permiten SSL bidireccional que es un requisito de la implantación de SAML en Fusion Applications y forma parte de la especificación WS-Security 1.1.

Para configurar el entorno para la propagación de identidades para servicios web SOAP, utilizará Oracle WebLogic Server para OCI como cliente SOAP y el servicio Fusion Applications será un servicio SOAP. Utilizará políticas de Oracle Web Services Manager (OWSM) para la propagación de identidades.

Exporte su certificado de fábrica de Oracle WebLogic Server para OCI.
1. Conéctese a la consola de Oracle Enterprise Manager, por ejemplo, navegando a:
  http://<PublicIp>: 7001/em
2. Haga clic en Dominio de WebLogic y seleccione Seguridad y, a continuación, seleccione Almacén de claves.
3. En la tabla Almacén de claves, expanda owsm y seleccione la fila del almacén de claves, haga clic en el botón Gestionar.
4. Seleccione la entrada de orakey y haga una nota del valor Nombre de Asunto en esa fila.
5. Haga clic en Exportar.
  Se abre una ventana Certificado que muestra el certificado orakey.
6. Haga clic en Exportar Certificado y guarde el archivo exportado como orakey_<WLSOCI_NAME>.cert.
Envíe una solicitud de servicio con My Oracle Support para establecer la confianza en Fusion Applications.
Oracle Support configurará la instancia de Fusion Apps para que confíe en las llamadas desde WebLogic Server con la información de certificado que acaba de exportar. Tendrá que proporcionar todos los siguientes detalles:
- Nombre de servicio de Oracle Fusion Applications Cloud, dominio de identidad y centro de datos
- Certificado orakey exportado
- Instrucciones para Oracle Support que indiquen explícitamente su solicitud. Por ejemplo:
Estoy abriendo esta solicitud de servicio para solicitar un intercambio de certificados para establecer confianza y activar la afirmación de SAML para WS SOAP entre mi instancia de Oracle WebLogic Server para OCI Marketplace y los servicios en la nube de Fusion Applications. Se adjunta el certificado de mi instancia de Oracle WebLogic Server para OCI. Necesito importar ese certificado a mi instancia de Fusion Applications y exportar el certificado de OWSM de Fusion Applications y el certificado de OWSM cloudca (los que empiezan por CN=<podname>_fasvc, DC=cloud, DC=com" and "CN=Cloud9CA-2, DC=cloud, DC=com) y adjuntarlos a esta solicitud de servicio. Además, reinicie Fusion Applications según sea necesario al final para que el intercambio de certificados sea efectivo.
Supervise el ticket de soporte y proporcione la información adicional solicitada por Oracle Support. Oracle Support agregará el certificado al almacén de claves de instancia de Fusion Applications y configurará la confianza del emisor para activar la afirmación SAML para los servicios web de SOAP. Oracle Support le notificará cuando finalice la tarea y le enviará una copia de:
- Certificado OWSM orakey de las aplicaciones Oracle Fusion
- Certificado OWSM cloudca de las aplicaciones Oracle Fusion
Necesitará estos certificados para el próximo paso.
Importe el certificado orakey de Fusion Applications a Oracle WebLogic Server para OCI:
1. Conéctese a la consola de Oracle Enterprise Manager, por ejemplo, navegando a:
  http://<PublicIp>: 7001/em
2. Haga clic en Dominio de WebLogic y seleccione Seguridad y, a continuación, seleccione Almacén de claves.
3. En la tabla Almacén de Claves, expanda owsm y seleccione la fila del almacén de claves, haga clic en el botón Gestionar y, a continuación, haga clic en Importar.
4. En el cuadro Importar Certificado, seleccione Certificado Protegido. Introduzca un alias como orakey_mysaasenv. Seleccione el archivo que contiene la opción Certificado o Cadena de Certificados y haga clic en Examinar... para seleccionar el certificado orakey proporcionado por Oracle Support.
5. Importe el certificado cloudca de la misma manera, utilizando un alias como cloudca_faehyp71.
  Puede que ya tenga un certificado cloudca en la tabla, pero puede que no sea el certificado correcto. Después de importar el certificado cloudca proporcionado por el soporte de oracle, puede verificar que tiene el certificado correcto inspeccionando su nombre de asunto. Debe ser similar al siguiente ejemplo, apuntando a la instancia de Fusion Applications:
  
  CN=FAEncryption, DC=cloud,DC=oracle, DC=com

Ahora debe ver los certificados con sus alias que se muestran en la tabla Gestionar certificados: owsm/almacén de claves.