Documentation Oracle Cloud Infrastructure

Accès au module d'extension de feuille de calcul par domaines OCI IAM

Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) utilise des domaines d'identité pour fournir des fonctionnalités de gestion des identités et des accès telles que l'authentification, l'accès avec connexion unique (SSO) et la gestion du cycle de vie des identités pour OCI, ainsi que pour les applications Oracle et non Oracle, qu'elles soient SaaS, hébergées dans le cloud ou sur site.

Vous pouvez activer l'utilisation des compléments de feuille de calcul avec la connexion Oracle Identity and Access Management (IAM). Vous devez :

Une fois la connexion établie, elle peut être partagée avec n'importe quel utilisateur du domaine en fournissant le fichier de connexion et en utilisant les informations d'identification du domaine de cet utilisateur.

Conditions préalables
  • Les utilisateurs dans OCI doivent disposer des stratégies nécessaires pour gérer les bases de données autonomes Oracle et les domaines OCI IAM. Pour plus d'informations sur la référence de stratégie de tous les services, reportez-vous à Référence de stratégie.

  • Une instance Oracle Autonomous Database doit être disponible. Pour plus d'informations, reportez-vous à Provisionnement d'une instance Autonomous Database.

Créer ou utiliser une application intégrée de domaine

Pour utiliser une application intégrée de domaine dans Oracle Cloud Infrastructure (OCI), procédez comme suit pour créer et configurer un domaine d'identité, puis configurer des stratégies et des intégrations :
  1. Utiliser un domaine d'identité :
    • Connectez-vous à la console OCI avec un compte d'administrateur au domaine d'identité par défaut.
    • Dans le menu de navigation de la console OCI, cliquez sur Applications intégrées.
    • Sur la page de liste Applications intégrées, sélectionnez Ajouter une application.
    • Dans la fenêtre Ajouter une application, sélectionnez Application confidentielle, puis Lancer le workflow.


      Description de l'image add-details.png
      description de l'illustration add-details.png,

      Sur la page Ajouter des détails d'application, utilisez le tableau suivant pour configurer les détails et les paramètres d'affichage de l'application.

      Tableau 3-6 Détails de la demande et leur description

      Option Description
      Nom

      Entrez le nom de l'application confidentielle. Vous pouvez saisir jusqu'à 125 caractères.

      Envisagez de limiter au maximum la longueur du nom de vos applications. Dans cet exemple, utilisez Compléments de feuille de calcul.
      Description Entrez la description de l'application confidentielle. Vous pouvez saisir jusqu'à 250 caractères.
      Icône de l'application

      Ce champ est facultatif. Vous pouvez ignorer ce champ.

      Cliquez sur Télécharger vers le serveur pour ajouter une icône représentant l'application. Cette icône apparaît en regard du nom de l'application sur les pages Mes demandes et Applications.

      URL de l'application Ce champ est facultatif. Vous pouvez ignorer ce champ.

      Entrez l'URL (HTTP ou HTTPS) vers laquelle l'utilisateur est réacheminé une fois connecté.
      URL de connexion personnalisée Ce champ est facultatif. Vous pouvez ignorer ce champ.

      Dans le champ URL de connexion personnalisée, vous pouvez indiquer une URL de connexion personnalisée. Toutefois, si vous utilisez une page de connexion (login) par défaut fournie par Oracle Identity Cloud Service, laissez ce champ vide.

      URL de déconnexion personnalisée Ce champ est facultatif. Vous pouvez ignorer ce champ.

      Dans le champ URL de déconnexion personnalisée, vous pouvez indiquer une URL de déconnexion personnalisée. Toutefois, si vous utilisez une page de connexion (login) par défaut fournie par Oracle Identity Cloud Service, laissez ce champ vide.

      URL d'erreur personnalisée Ce champ est facultatif. Vous pouvez ignorer ce champ.

      Vous pouvez entrer l'URL de page d'erreur vers laquelle un utilisateur doit être réacheminé, uniquement en cas d'échec. Si aucune valeur n'est indiquée, l'URL de l'erreur propre au locataire sera utilisée.
      Afficher dans Mes applications Ne cochez pas cette case.

      Cochez cette case uniquement si vous voulez que l'application confidentielle soit répertoriée sur la pages Mes applications des utilisateurs. Dans ce cas, vous devez configurer l'application en tant que serveur de ressource.
      L'utilisateur peut demander l'accès Ne cochez pas cette case.

      Cochez cette case si vous voulez que les utilisateurs finals puissent demander l'accès à l'application à partir de leur page Mes applications.

      Balises Ignorez ce champ.

      Cliquez sur Ajouter une balise uniquement si vous voulez ajouter des balises à vos applications confidentielles pour les organiser et les identifier.

    • Cliquez sur Suivant pour passer à l'onglet Configurer OAuth.

    • Dans l'assistant Configuration du serveur de ressources de l'onglet Configurer OAuth :

      Sélectionnez Configurer cette application en tant que serveur de ressources maintenant pour protéger les ressources de votre application maintenant et rendre l'application visible sur la page Mes applications.


      Description de l'image resource-server.png
      Description de l'illustration resource-server.png,

      Utilisez le tableau suivant pour renseigner les informations de la section Configurer les API d'application devant être protégées par OAuth qui s'ouvre.

      Tableau 3-7 Options et leurs descriptions pour configurer les API d'application

      Option Description
      Expiration de jeton d'accès Conservez la valeur par défaut de 3600 secondes.

      Définissez la durée (en secondes) pendant laquelle le jeton d'accès associé à l'application confidentielle reste valide.
      Jeton d'actualisation autorisé ? Ne cochez pas cette case.

      Cochez cette case uniquement si vous voulez utiliser le jeton d'actualisation que vous obtenez lorsque vous utilisez les types d'octroi Propriétaire de ressource, Code d'autorisation et Assertion.

      Expiration du jeton d'actualisation Ne sélectionnez pas cette option.

      Vous pouvez définir la durée (en secondes) pendant laquelle le jeton d'actualisation, renvoyé avec votre jeton d'accès et associé à l'application confidentielle, reste valide.
      Public principal

      Saisissez "ords/".

      Il s'agit du destinataire principal sur lequel le jeton d'accès de votre application confidentielle est traité.
      Publics secondaires Ignorez ce champ.

      Vous devez entrer les destinataires secondaires où le jeton d'accès de votre application confidentielle est traité, puis cliquez sur Ajouter. Dans cet exemple, vous n'avez aucun destinataire secondaire.

      Ajouter (portées autorisées)

      Pour spécifier les parties d'autres applications auxquelles l'application doit accéder, cliquez sur ce bouton pour ajouter ces portées à l'application confidentielle.

      Les applications doivent interagir de manière sécurisée avec les applications confidentielles ou partenaires externes. En outre, les applications d'un service Oracle Cloud doivent interagir de manière sécurisée avec les applications d'un autre service Oracle Cloud. Chaque application possède des portées qui déterminent ses ressources disponibles pour d'autres applications.
    • Cliquez sur Ajouter des portées et sélectionnez Ajouter.


      Description de l'image add-scope.png
      description de l'illustration add-scope.png,

      Dans l'assistant Ajouter une portée, indiquez la valeur de champ suivante :
      • Portée : oracle.dbtools.auth.privileges.builtin.ResourceModules

      • Nom d'affichage : ce champ facultatif.

      • Description : champ facultatif.

      Cliquez sur Ajouter.

      Vous avez ajouté oracle.dbtools.auth.privileges.builtin.ResourceModules en tant que portée.

      Ajoutez également les portées suivantes à l'application confidentielle :
      • oracle.dbtools.sdw.user
      • oracle.dbtools.ords.db-api.developer
      • adp_lmd_privilege
      • adp_analytics_privilege
      Remarque

      Une seule application confidentielle pour un domaine peut utiliser chaque portée. Par conséquent, si vous voulez que plusieurs applications utilisent une portée, la deuxième application peut être une application mobile qui fera référence à la portée de l'application confidentielle.


      Description de l'image add-scopes.png
      Description de l'illustration added-scopes.png

    • Dans la boîte de dialogue Configuration du client de l'assistant Ajouter une application confidentielle,

      Cliquez sur Configurer cette application comme client maintenant pour configurer les informations d'autorisation de l'application maintenant.


      Description de l'image client-configuration.png
      description de l'illustration client-configuration.png,

    • Dans les sections Autorisation et Stratégie d'émission de jeton qui s'ouvrent, utilisez le tableau suivant pour renseigner les informations.

      Tableau 3-8 Options de configuration du client et leur description

      Option Description
      Propriétaire de ressource Ne sélectionnez pas ce champ.

      A utiliser lorsque le propriétaire de la ressource possède une relation de confiance avec l'application confidentielle (système d'exploitation informatique, application disposant de privilèges importants, etc.), car l'application confidentielle doit ignorer le mot de passe après s'en être servie pour obtenir le jeton d'accès.
      Informations d'identification client Ne sélectionnez pas ce champ.

      A utiliser uniquement lorsque la portée d'autorisation est limitée aux ressources protégées sous le contrôle du client, ou aux ressources protégées inscrites auprès du serveur d'autorisation.
      Assertion JWT Ne sélectionnez pas ce champ.

      A utiliser lorsque vous souhaitez vous appuyer avec une relation d'approbation existante exprimée en tant qu'assertion et sans étape d'approbation directe par l'utilisateur sur le serveur d'autorisation.
      Assertion SAML2 Ne sélectionnez pas ce champ.

      A utiliser lorsque vous souhaitez vous appuyer dessus une relation d'approbation existante exprimée en tant qu'assertion SAML2 et sans étape d'approbation directe sur le serveur d'autorisation.
      Jeton d'actualisation Ne sélectionnez pas ce champ.

      Sélectionnez ce type d'octroi lorsque vous souhaitez qu'un jeton d'actualisation ait été fourni par le serveur d'autorisation, puis permette d'obtenir un nouveau jeton d'accès.

      Code d'autorisation Ne sélectionnez pas ce champ.

      Sélectionnez ce type d'octroi pour obtenir un numéro de code à l'aide d'un serveur d'autorisation faisant office d'intermédiaire entre l'application client et le propriétaire de ressource.
      Implicite Sélectionnez ce champ.

      Cochez cette case si l'application ne peut pas maintenir les informations d'identification client confidentielles lors de l'authentification auprès du serveur d'autorisation. Par exemple, votre application est implémentée dans un navigateur Web à l'aide d'un langage de script tel que JavaScript. Un jeton d'accès est renvoyé au client via un réacheminement de navigateur en réponse à la demande d'autorisation du propriétaire de la ressource (plutôt qu'une autorisation intermédiaire).
      Code de l'appareil Ne sélectionnez pas ce champ.

      Sélectionnez le type d'octroi Code de l'unité si le client n'est pas en mesures de recevoir des demandes du serveur d'autorisation OAuth, par exemple, lorsqu'il ne peut pas agir comme un serveur HTTP (consoles de jeu, lecteurs multimédias de transmission en continu, cadres numériques, etc.).

      Authentification client TLS Ne sélectionnez pas ce champ.

      Sélectionnez le type d'octroi Authentification du client TLS afin d'utiliser le certificat client pour l'authentification auprès du client. Si une requête de jeton s'accompagne d'un certificat client X.509 et que le client demandé est configuré avec le type d'octroi Authentification du client TLS, le service OAuth utilise Client_ID dans la demande pour identifier le client et valider le certificat client avec celui de la configuration du client. Le client est authentifié uniquement si les deux valeurs concordent.

      Autoriser les URL non HTTPS Ne sélectionnez pas ce champ.

      Cochez cette case uniquement si vous voulez utiliser des URL HTTP pour les champs URL du réacheminement, URL du réacheminement ou URL du réacheminement après déconnexion. Par exemple, si vous envoyez des demandes en interne, si vous voulez utiliser une communication non cryptée ou si vous voulez assurer la compatibilité amont avec OAuth 1.0, vous pouvez utiliser une URL HTTP.

      URL de réacheminement Entrez l'URL d'application suivante vers laquelle l'utilisateur est redirigé après l'authentification, https://static.oracle.com/cdn/spreadsheet/red-4/redirector.html
      Remarque

      Fournissez une URL absolue. Les URL relatives ne sont pas prises en charge
      URL de déconnexion

      Ignorez ce champ.

      Vous allez entrer l'URL vers laquelle vous allez être redirigé après vous être déconnecté de l'application confidentielle.
      URL de réacheminement post-déconnexion

      Entrez l'URL vers laquelle vous voulez réacheminer l'utilisateur après qu'il s'est déconnecté de l'application. https://static.oracle.com/cdn/spreadsheet/red-4/redirector.html
      Type de client

      Sélectionnez Confidentiel.

      Les types client disponibles sont Sécurisé et Confidentiel. Choisissez Sécurisé si le client peut générer les assertions utilisateur auto-signées.

      Opérations autorisées

      Ignorez ce champ. Elle est facultative.

      • Cochez la case Introspection uniquement si vous souhaitez autoriser l'accès à l'adresse d'introspection de jeton pour votre application.

      • Cochez la case Au nom uniquement pour vous assurer que le privilège d'accès peut être généré uniquement à partir des privilèges de l'utilisateur. Cela permet à l'application client d'accéder aux adresses auxquelles l'utilisateur a accès, même si l'application client elle-même n'y a normalement pas accès.
      Algorithme de cryptage de jeton d'ID

      La valeur par défaut est none.

      Adresse IP client autorisée Ignorez ce champ. Il est facultatif.
      Ressources autorisées

      Sélectionnez Tout.

      Vous pouvez sélectionner l'une des options suivantes pour permettre à l'application client d'accéder aux ressources autorisées :

      Remarque

      L'option permettant de définir une ressource autorisée est disponible uniquement pour les applications confidentielles. Les applications mobiles n'ont pas la possibilité de définir une portée d'approbation.
      Ressources Ignorez ce champ. Dans ce cas, l'option est facultative.

      Uniquement si vous souhaitez que votre application accède aux API à partir d'autres applications, cliquez sur Ajouter dans la section Stratégie d'émission de jeton de la page Ajouter une application confidentielle.

      Octroyer au client l'accès aux API d'administration d'Identity Cloud Service Ignorez ce champ. Dans ce cas, l'option est facultative.

      Cliquez sur Ajouter pour permettre à votre application confidentielle d'accéder aux API Oracle Identity Cloud Service.

      Dans la fenêtre Ajouter une application, sélectionnez les rôles d'application à affecter à cette application. Votre application peut ainsi accéder aux API REST auxquelles chacun des rôles d'application affectés peut accéder.

    • Cliquez sur Suivant pour accéder à l'onglet Configurer la stratégie de l'assistant Ajouter une application confidentielle.
    • Sur la page Ajouter une application confidentielle de l'assistant Stratégie de niveau Web, cliquez sur Sauter et faire plus tard.


      Description de l'image web-tier-policy.png
      Description de l'image web-tier-policy.png

    • Cliquez sur Terminer.

      L'application a été ajoutée à l'état Désactivé.

      Enregistrez les champs ID client et Clé secrète client qui apparaissent dans le champ Application ajoutée.

      Utilisez cet ID et cette clé secrète dans le cadre des paramètres de connexion pour effectuer l'intégration avec l'application confidentielle. L'ID client et la clé secrète client sont équivalents aux informations d'identification (par exemple, un ID et un mot de passe) utilisées par l'application pour communiquer avec Oracle Identity Cloud Service.

Vous avez créé une application confidentielle de type Client qui est affectée aux portées souhaitées.

Activation de la connexion IAM pour le schéma Autonomous Database

Prérequis :
Les instructions suivantes permettent à ORDS de valider les jetons de support JWT et d'accorder l'accès aux ressources protégées. Vous pouvez définir les détails du profil JWT en vous assurant que l'émetteur, le public et l'URL JWK sont correctement configurés.
  • Dans l'onglet Navigator de la feuille de calcul SQL, sélectionnez ORDS_METADATA dans la liste déroulante Schema.
  • Sélectionnez Packages dans la liste déroulante Type d'objet.
  • Saisissez ORDS_SECURITY dans le champ Rechercher. La fonction de recherche extrait toutes les entrées qui commencent par ORDS_SECURITY.

  • Développez le package ORDS_SECURITY.


    Description de l'exécution package.png
    Description de l'image run-package.png

  • Cliquez avec le bouton droit de la souris sur CREATE_JWT_PROFILE et cliquez sur RUN. La boîte de dialogue RUN CODE s'ouvre.
    Dans la boîte de dialogue Run Code…, indiquez les valeurs de champ suivantes :
    • P_ISSUER- https://identity.oraclecloud.com/. Ce champ doit être une valeur non NULL et doit être rempli à l'aide d'une seule virgule.
    • P_AUDIENCE-ords/. Ce champ doit être une valeur non NULL.
    • P_JWK_URL : ajoutez l'URL DOMAIN à la fin avec /admin/v1/SigningCert/jwk. Il doit s'agir d'une valeur non NULL commençant par https :// et identifier la clé de vérification publique fournie par le serveur d'autorisation au format de clé Web JSON (JWK).

      Vous pouvez afficher l'URL de domaine dans l'onglet Informations sur le domaine présent dans le menu Domaines du menu de navigation Identité et sécurité de la console OCI.


      Description de l'image domain.png
      description de l'illustration domain.png,

      Voir : https://docs.oracle.com/en/cloud/paas/iam-domains-rest-api/api-security-signing-certificates-jwk.htmlpour plus d'informations.

    • P_DESCRIPTION : entrez la description de ce profil. Par exemple, "JWT Demo confluence".
    • P_ALLOWED_AGE-"0"
    • P_ALLOWED_SKEW-"0"


    Description de l'exécution code.png
    Description de l'image run-code.png

    Cliquez sur Exécuter un script.

    Une fois le profil JWT configuré, les utilisateurs finaux peuvent accéder aux ressources protégées ORDS en présentant les jetons JWT spécifiés dans le profil JWT.

Créer un fichier de connexion

  1. Cliquez sur Ajouter dans l'en-tête du panneau Connexions pour ajouter une connexion. La boîte de dialogue Ajouter une nouvelle connexion s'ouvre.

  2. Indiquez les champs suivants dans la boîte de dialogue Ajouter une nouvelle connexion :
    • Nom de connexion : entrez le nom de la connexion.
    • URL d'Autonomous Database : entrez l'URL de la base de données Autonomous Database à laquelle vous souhaitez vous connecter. Copiez l'URL entière à partir de l'interface utilisateur Web d'Autonomous Database. Par exemple, saisissez ou copiez le lien "https ://<nom_hôte>-<nom_databas>.adb.<région>.oraclecloudapps.com/" pour vous connecter à la base de données.
    • Sélectionnez le type de connexion : OCI IAM
    • URL de domaine : entrez l'URL de domaine dans l'onglet Informations sur le domaine.
    • ID client : entrez l'ID client que vous avez enregistré à partir de Créer une application intégrée de domaine.
    • ID client OAuth : entrez la clé secrète client que vous avez enregistrée à partir de la page Créer une application intégrée de domaine.
    • Schéma : entrez le même schéma que celui utilisé pour activer la connexion IAM pour le schéma Autonomous Database.

Une fois la connexion créée, vous pouvez la partager avec d'autres utilisateurs de ce domaine.