Remarque :

• Ce tutoriel nécessite un accès à Oracle Cloud. Pour vous inscrire à un compte gratuit, reportez-vous à Introduction au niveau gratuit d'Oracle Cloud Infrastructure.
• Il utilise des exemples de valeur pour les informations d'identification Oracle Cloud Infrastructure, la location et les compartiments. A la fin de votre atelier, remplacez ces valeurs par celles propres à votre environnement cloud.

Configuration de stratégies de connexion pour Oracle Analytics Cloud et les applications APEX sur OCI

Introduction

Les stratégies de connexion de domaine d'identité Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) sont des éléments clés pour la gestion de l'accès aux applications déployées sur Oracle Cloud Infrastructure (OCI).

Ce tutoriel s'inspire d'un cas d'utilisation client et décrit comment un fournisseur de services d'application ou un fournisseur ISV peut implémenter des stratégies de connexion pour permettre l'authentification des applications qu'il fournit aux utilisateurs finaux tout en les empêchant d'accéder à la console OCI.

Pour ce tutoriel, deux applications sont utilisées : une application Oracle Analytics Cloud et une application APEX exécutée sur le service Autonomous Transaction Processing (ATP).

Objectifs

• Créez et configurez un compartiment et un domaine d'identité pour les applications.
• Déployez une application Oracle Analytics Cloud et une application APEX à l'aide d'ATP.
• Intégrez ces deux applications aux domaines d'identité OCI IAM.
• Configurez des stratégies de connexion pour autoriser l'accès à l'application, tout en empêchant les utilisateurs de l'application de se connecter à la console OCI.

Architecture

Ce tutoriel utilise l'architecture suivante :

• Compartiments : compartiment dans lequel le domaine d'application et les instances Oracle Analytics Cloud et ATP sont créés pour ce tutoriel
• Domaines:
  • Domaine par défaut
  • Domaine d'applications
• Groupes:
  • Domaine d'applications :
    • Groupe d'utilisateurs d'applications ; peut uniquement accéder aux applications du domaine.
    • Groupe d'utilisateurs de provisionnement Oracle Analytics Cloud et ATP ; peut uniquement provisionner et gérer des instances Oracle Analytics Cloud et ATP dans le domaine.
  • Domaine par défaut :
    • Groupe d'utilisateurs disposant de droits d'accès permettant de gérer toutes les ressources du compartiment utilisé dans ce tutoriel ; ils effectuent toutes les activités administratives pour le domaine d'applications.
• Stratégies de connexion :
  • Stratégie de connexion par défaut :
    • Règle 1 : autorise l'accès au groupe d'utilisateurs de provisionnement Oracle Analytics Cloud et ATP.
    • Règle 2 : refuse l'accès.
  • Stratégie de connexion aux applications :
    • Applications : applications Oracle Analytics Cloud et APEX.
    • Règle : autorise l'accès au groupe d'utilisateurs de l'application.

Prérequis

• Accès à une location OCI avec des domaines d'identité
• Compréhension du modèle OCI IAM, à savoir les compartiments, les domaines d'identité, les groupes et les stratégies.
• Créez un utilisateur dans le domaine par défaut qui peut gérer toutes les ressources du compartiment que vous utiliserez pour le tutoriel.

Tâche 1 : configuration d'un compartiment

1. Connectez-vous à la console OCI dans le domaine par défaut avec un utilisateur disposant des droits d'accès permettant de gérer les ressources dans la location ou au niveau du compartiment à partir duquel vous créerez ensuite le compartiment du tutoriel en tant que compartiment enfant.

2. Créez un compartiment pour le tutoriel.

   

3. Assurez-vous que l'utilisateur de domaine par défaut avec lequel vous êtes connecté se trouve dans un groupe disposant de droits d'accès de gestion sur ce compartiment. Sinon, créez (ou demandez aux administrateurs de location de créer) une stratégie à l'aide du modèle suivant :

   Allow group <group to which your user belongs> to manage all-resources in compartment <compartment name>
   

Tâche 2 : configuration du domaine d'applications

1. Dans ce compartiment nouvellement créé, créez un domaine d'identité pour les utilisateurs d'applications. Dans le cadre de ce tutoriel, vous pouvez utiliser un domaine gratuit. Il s'agit de la meilleure pratique, car elle sépare les utilisateurs de l'application des utilisateurs administrateurs.

   

2. Dans le domaine nouvellement créé, créez un groupe pour les utilisateurs de l'application. Pour l'instant, n'ajoutez aucun utilisateur à ce groupe. Vous le ferez ultérieurement dans le tutoriel, lorsque vous effectuerez des tests.

   

3. Créez un groupe pour les utilisateurs qui peuvent provisionner des instances Oracle Analytics Cloud et ATP, et affectez un utilisateur à ce groupe. Vous devrez peut-être créer un utilisateur à cette fin.

   

   

4. Créez des stratégies pour permettre aux utilisateurs de ce groupe de créer des instances Oracle Analytics Cloud et ATP dans le compartiment créé pour ce tutoriel.

   Allow group <apps_domain>/<oac_provisioning_group> to manage analytics_instances in compartment <compartment name>
   Allow group <apps_domain>/<oac_provisioning_group> to manage autonomous_databases in compartment <compartment name>
   

Tâche 3 : configuration de l'application Oracle Analytics Cloud

1. Connectez-vous au domaine d'applications que vous avez créé dans la tâche 2 avec l'utilisateur que vous avez ajouté au groupe qui gère les instances Oracle Analytics Cloud et ATP.

2. Créer l'instance Oracle Analytics Cloud. A l'aide de la console OCI, vous devez provisionner l'instance Oracle Analytics Cloud avec un utilisateur appartenant au domaine sur lequel les utilisateurs de l'application seront créés et gérés. La raison en est que le processus de provisionnement Oracle Analytics Cloud crée automatiquement une application Oracle Analytics Cloud dans le domaine sur lequel l'utilisateur provisionne sa connexion.

   

   Remarque : si vous avez utilisé l'API OCI pour provisionner l'instance Oracle Analytics Cloud, vous pouvez provisionner l'instance Oracle Analytics Cloud avec un utilisateur d'un autre domaine, mais cela ne fait pas partie du présent tutoriel.

3. Vérifiez que l'instance Oracle Analytics Cloud est liée au domaine d'identité auquel vous êtes connecté. Pour ce faire, accédez au domaine d'identité que vous avez créé dans la tâche 2 et accédez à Oracle Cloud Services. Une application doit être créée automatiquement par le processus de provisionnement Oracle Analytics Cloud dans OCI.

   

4. Affectez un rôle d'application Oracle Analytics Cloud au groupe d'utilisateurs d'application.

   

Tâche 4 : configuration de l'application APEX

1. Créez une instance ATP.

   

2. Créez un espace de travail APEX et installez-y un exemple d'application APEX. Accédez à la galerie d'applications et sélectionnez l'une des applications échantillon (par exemple, l'application Sample Calendar).

   

3. Déconnectez-vous du domaine avec cet utilisateur de provisionnement Oracle Analytics Cloud et ATP. Vous devez maintenant vous connecter avec l'utilisateur que vous avez utilisé au début du tutoriel, qui dispose des droits d'accès permettant de gérer toutes les ressources du compartiment du tutoriel.

4. Intégrez l'application échantillon au domaine d'identité OCI, en suivant ce guide.

   • Créez une application confidentielle dans le domaine d'applications pour l'application APEX que vous avez installée à l'étape précédente.
   • Créez des informations d'identification Web dans votre espace de travail APEX.
   • Créez un modèle d'authentification pour l'application APEX.

Tâche 5 : configuration des stratégies de connexion

1. Connectez-vous au domaine par défaut et modifiez la stratégie de connexion par défaut du domaine d'applications. Commencez par modifier la règle de connexion par défaut pour autoriser uniquement l'accès aux membres du groupe de provisionnement Oracle Analytics Cloud et ATP.

   Remarque : dans le cadre de ce tutoriel, la règle reste aussi simple que vous pouvez le voir ci-dessous, mais vous devez en prescrire l'accès avec l'authentification à plusieurs facteurs pour un cas d'emploi de production.

   

2. Ajoutez une autre règle de connexion à la stratégie de connexion par défaut. Cette règle est évaluée après la première règle et refuse l'accès au domaine à chaque utilisateur.

   

   La stratégie de connexion par défaut doit comporter deux règles, comme illustré ci-dessous.

   

3. Créez une stratégie de connexion pour permettre aux utilisateurs de l'application de se connecter uniquement à leurs applications.

   

4. Associez à cette nouvelle stratégie l'application APEX créée dans la tâche 4 et l'application Oracle Analytics Cloud provisionnée automatiquement dans la tâche 3.

   

5. Créez une règle de connexion pour cette stratégie afin de permettre aux utilisateurs du groupe d'applications de se connecter à ces deux applications.

   

Remarque : Activation/désactivation de domaine

Si, au lieu d'applications basées sur Oracle Analytics Cloud ou Oracle Integration, vous devez déployer des applications Web personnalisées, ignorez les étapes 1 et 2 de cette tâche. Vous devez simplement activer/désactiver le domaine et ainsi l'empêcher d'être sélectionné sur la page de connexion à la console OCI.

Sur la page principale du domaine, modifiez le domaine et empêchez-le d'être sélectionné sur la page de connexion à la console OCI. Cela empêchera la console Web OCI d'accéder au domaine (y compris les utilisateurs de l'application et l'administrateur de domaine).

Tâche 6 : Test

1. Créez un utilisateur dans le domaine d'applications et ajoutez-le au groupe d'applications créé dans les tâches précédentes.

   

2. Connectez-vous à la console OCI avec le nouvel utilisateur, en sélectionnant le domaine d'applications et vérifiez que l'accès est refusé.

   

3. Connectez-vous à l'application APEX avec le nouvel utilisateur et confirmez que vous pouvez vous connecter.

   

4. Connectez-vous à l'application Oracle Analytics Cloud avec le nouvel utilisateur et confirmez que vous pouvez vous connecter.

   

Liens connexes

• Blog sur l'explication des stratégies de connexion

• Documentation relative aux stratégies de connexion

Etapes suivantes

Les stratégies de connexion ne sont pas seulement un élément clé de l'authentification des applications dans OCI, elles sont également très faciles à utiliser. Ce tutoriel explique à quel point il est simple de s'assurer que vous disposez d'un contrôle total sur l'authentification des utilisateurs d'application, en appliquant les stratégies adaptées à votre organisation. Les stratégies de connexion fournissent des fonctionnalités supplémentaires au-delà de ce qui est utilisé dans ce tutoriel (par exemple, l'application de l'authentification à plusieurs facteurs pour des groupes d'utilisateurs spécifiques). Vérifiez les ressources supplémentaires pour avoir une meilleure compréhension des stratégies de connexion à utiliser.

Remerciements

• Auteurs - Ricardo Malhado (architecte principal de solutions cloud), Arno Schots (directeur d'architectes cloud EMEA)

Ressources de formation supplémentaires

Explorez d'autres ateliers sur docs.oracle.com/learn ou accédez à davantage de contenu de formation gratuit sur le canal Oracle Learning YouTube. En outre, accédez à education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour consulter la documentation produit, consultez Oracle Help Center.

---

Informations relatives au titre et au copyright

Configure Sign-on Policies for Oracle Analytics Cloud and APEX Apps on OCI

F82267-01

June 2023

Copyright © 2023, Oracle and/or its affiliates.