Documentazione dell'infrastruttura Oracle Cloud

Federazione (facoltativo)

Scopri come impostare la federazione delle identità per Oracle AI Database@Azure.

L'impostazione della federazione identità per Oracle AI Database@Azure è facoltativa. Federation consente agli utenti di connettersi alla tenancy OCI associata al servizio utilizzando le credenziali ID Azure Entra. Sebbene la maggior parte delle operazioni quotidiane del database venga eseguita nell'ambiente Azure e non richieda l'uso di OCI Console, alcuni task di gestione del database richiedono l'accesso a OCI.

Utilizzare le istruzioni riportate di seguito per impostare Azure Entra ID come provider di identificazione per la tenancy OCI.

  1. Connettersi al portale di Azure.
  2. Cercare "Microsoft Entra ID" e selezionare Microsoft Entra ID nei risultati della ricerca per passare alla pagina Entra ID Panoramica.
  3. In Gestisci selezionare Applicazioni aziendali.
    Immagine del portale Azure che mostra la pagina delle applicazioni Entra ID Enterprise.
  4. Nella pagina Tutte le applicazioni selezionare Nuova applicazione.
    Immagine del portale Azure che mostra la pagina Tutte le applicazioni del servizio Entra ID.
  5. Cercare "Oracle Cloud Infrastructure Console" e selezionare il risultato della ricerca per andare alla pagina dell'applicazione.
    Immagine del portale Azure che visualizza i risultati della ricerca dell'applicazione Entra ID Enterprise.
  6. Nel pannello Console di Oracle Cloud Infrastructure, immettere un Nome per il nome visualizzato dell'applicazione nell'ambiente Azure. Ad esempio, "Oracle Cloud Infrastructure Console", "OCI Console" o "OCI Console Contoso Sales". Selezionare quindi Crea per continuare.
    Immagine del portale Azure che mostra la denominazione di una nuova applicazione Enterprise in Entra ID
  7. Nella pagina Panoramica della nuova applicazione, selezionare Imposta Single Sign-On.
    Immagine del portale Azure che mostra un utente che seleziona "Imposta Single Sign-On" nell'applicazione enterprise OCI Console.
  8. Nella pagina Single Sign-On selezionare SAML per selezionare il protocollo SAML (Security Assertion Markup Language).
    Immagine del portale Azure che mostra la selezione del protocollo SAML per l'accesso Singel.

    Il portale reindirizza alla pagina Accesso basato su SAML. Lasciare aperta questa finestra del browser sul computer mentre si esegue la serie successiva di passi in OCI Console. In OCI Console, verrà esportato un file XML dei metadati SAML. Si tornerà ad Azure per caricare il file XML e continuare con la configurazione Single Sign-On.

    Immagine del portale Azure che mostra la pagina di configurazione della connessione SAML.

  9. Nella console di Oracle Cloud andare a Identità e sicurezza, quindi selezionare Domini.

    Immagine che mostra la pagina Identità e sicurezza di OCI Console.

  10. Nella vista elenco Domini selezionare il nome del dominio "Predefinito" per aprire la pagina dei dettagli del dominio. Facoltativamente, è possibile selezionare un altro dominio per configurare Single Sign-On (SSO) per tale dominio.

    Immagine della vista lista di OCI Console per i domini di Identity.

  11. Selezionare la scheda Federazione nel menu di navigazione della pagina Dettagli del dominio di Identity.

    Immagine che mostra la pagina di panoramica del dominio di Identity di OCI Console con un utente che passa il puntatore del mouse sul collegamento Sicurezza.
    Applicazioni integrate

  12. Nella pagina Federazione per il dominio, selezionare Azioni, quindi aggiungere IDP SAML nella sezione Provider di identità.

    Immagine della pagina di sicurezza del dominio di OCI Console con un utente che passa il puntatore del mouse sul collegamento Provider di identità.

  13. Nella pagina Aggiungi dettagli immettere il nome che si desidera visualizzare nella pagina di login OCI durante il Single Sign-On (SSO). Facoltativamente, aggiungere una descrizione. Ad esempio:

    • Nome: EntraID
    • Descrizione: Woodgrove Bank Azure Microsoft EntraID
    Immagine della console OCI che mostra i campi del nome e della descrizione per il file IdP.

    Selezionare Avanti per continuare.

  14. Nella pagina Scambio di metadati selezionare Esporta metadati SAML.

    Immagine della console OCI che mostra la pagina dei metadati di Exchange e il pulsante Esporta metadati SAML.

  15. Nel pannello Esporta metadati SAML, trovare la sezione File metadati e selezionare Scarica XML. Lasciare aperta la finestra del browser in cui viene visualizzata OCI Console sul computer mentre si completa la serie di passi successiva.

    Immagine della console OCI che mostra il pannello Esporta metadati SAML.

  16. Tornare alla finestra del browser che visualizza la pagina Accesso basato su SAML del portale di Azure e selezionare Carica file di metadati.

    Immagine del portale Azure che mostra il pulsante Carica file di metadati nella pagina di accesso basato su SAML.

  17. Nella finestra popup Carica file di metadati selezionare il logo della cartella per selezionare il file di metadati XML SAML esportato da OCI Console. Selezionare Aggiungi per continuare.

    Immagine del portale Azure che mostra il caricamento del file di metadati XML SAML.

  18. Nel pannello Configurazione SAML di base, trovare il campo URL risposta (URL servizio consumer asserzioni). Copia il valore in questo campo negli Appunti del computer. Non modificare gli altri campi popolati.

    Immagine del portale Azure che mostra il pannello Configurazione SAML di base.

  19. Modificare il valore copiato di URL risposta (URL servizio consumer asserzioni) sostituendo /fed/v1/ con /ui/v1/myconsole. Incollare quindi l'URL modificato nel campo Connetti URL e fare clic su Salva per continuare.

    Ad esempio, se il campo URL risposta (URL servizio consumer asserzioni) contiene il valore seguente:

    https://idcs-123a4b56example1de45fgh6i789j012.identity.oraclecloud.com/fed/v1/

    Quindi incollare la versione modificata dell'URL come mostrato nell'esempio seguente:

    https://idcs-123a4b56example1de45fgh6i789j012.identity.oraclecloud.com/ui/v1/myconsole
    Immagine del portale di Azure che mostra il pannello Configurazione SAML di base con un valore incollato nel campo URR Sign on.

  20. Nella finestra popup Test Single Sign-On con la console di Oracle Cloud Infrastructure, selezionare No, verrà eseguito il test più tardi.

    Immagine del portale di Azure che mostra la finestra popup Configurazione SAML di base che offre un test dell'accesso.

  21. Nella sezione Attributi e richieste, selezionare Modifica.

    Immagine del portale Azure che mostra la sezione Attributi e richieste della pagina di impostazione dell'accesso basata su SAML.

  22. Nella sezione Richiesta obbligatoria selezionare la richiesta di risarcimento Identificativo utente univoco (ID nome).

    Immagine del portale Azure che mostra la pagina Attributi e richieste del flusso di lavoro di impostazione dell'accesso basato su SAML.

  23. Nel campo Attributo di origine selezionare l'identificativo utente univoco appropriato per l'organizzazione.

    • user.mail: selezionare questo valore se gli account utente dell'organizzazione utilizzano un indirizzo e-mail come identificativo univoco.
    • user.userprincipalname: selezionare questo valore se gli account utente dell'organizzazione utilizzano UserPrincipalName come identificativo univoco. Se si utilizza questa opzione, assicurarsi che il dominio di Identity OCI non sia configurato per richiedere un indirizzo di posta elettronica negli account utente. Vedere Indirizzo di posta elettronica dell'utente richiesto per la creazione dell'account per informazioni sulla configurazione di un dominio di Identity in modo che i nuovi utenti possano essere creati senza un indirizzo di posta elettronica.

    Selezionare Salva, quindi selezionare X per chiudere la finestra di dialogo Gestisci sinistro e tornare alla pagina Accesso basato su SAML.

    Immagine del portale Azure che mostra la finestra di dialogo Gestisci richiesta del flusso di lavoro di impostazione dell'accesso basato su SAML.

  24. Nella pagina Accesso basato su SAML, nella sezione Certificati SAML, individuare il campo XML metadati federazione e selezionare Scarica. Lasciare aperta questa finestra del browser sul computer mentre si esegue la serie successiva di passi in OCI Console.

    Immagine del portale Azure che mostra il collegamento per il download di Federation Metadata XML nel flusso di lavoro di accesso basato su SAML in Entra ID.

  25. Tornare alla pagina Aggiungi provider di identità SAML nella console OCI. Selezionare Importa metadati IdP (carica file XML dei metadati). Nella sezione Carica metadati provider di identità, selezionare il collegamento seleziona uno... per selezionare il file XML dei metadati IdP scaricato dal collegamento di download XML metadati federazione nel passo precedente.

    Immagine della console OCI che mostra la pagina Aggiungi provider di identità SAML.

  26. Dopo aver caricato il file XML, il nome del file viene visualizzato sotto la sezione Carica provider di identificazione. Selezionare Avanti per continuare.

    Immagine della console OCI che mostra la pagina Aggiungi provider di identità SAML con un file caricato visualizzato nella pagina.

  27. Nella pagina Mappa identità utente selezionare quanto segue, quindi selezionare Successivo per continuare:

    • Formato ID nome richiesto: selezionare l'identificativo univoco specificato al passo 24 (indirizzo e-mail o UserPrincipalName).
    • Attributo utente provider di identità: ID nome asserzione SAML
    • Attributo utente del dominio di Identity: specificare l'indirizzo di posta elettronica o il nome utente primario, come configurato nel passo 24.
    Immagine della console OCI che mostra la pagina Mappa identità utente del flusso di lavoro Aggiungi provider di identità SAML.

  28. Nella pagina Rivedi e crea del workflow Aggiungi provider di identità SAML, esaminare le informazioni visualizzate, quindi selezionare Crea IdP.

    Immagine della console OCI che mostra la pagina Rivedi e crea del flusso di lavoro Aggiungi provider di identità SAML.
    Aggiungi provider SAML
  29. Nella pagina Federazione della sezione Provider di identità selezionare tre punti (…) accanto al provider di identità creato e Attivare IdP. Attendere che il messaggio "Provider di identità Microsoft EntraID Demo sia stato attivato" venga visualizzato nella pagina prima di continuare.
    Demo di Microsoft EntraID
  30. Nella pagina Federazione della sezione Criteri provider di identità, selezionare Crea criterio IdP.
    Crea criterio IdP
    Crea criterio IdP 2
  31. Nella pagina Federazione in Policy del provider di identità (IdP) selezionare Criterio del provider di identità predefinito.
    Immagine della console OCI che mostra la pagina dei criteri del provider di identità (IdP),

  32. Nella pagina dei dettagli dei criteri Criterio provider di identità predefinito, nella sezione Regole del provider di identità, selezionare Modifica regola IdP.

    Immagine della console OCI che mostra la pagina dei dettagli dei criteri del provider di identità predefinito,

  33. Nel pannello Modifica regola provider di identità, nel campo Assegna provider di identità, immettere il valore "EntraID". Per impostazione predefinita, nel campo viene visualizzato "Nome utente-Password".

    Selezionare Salva modifiche per continuare.

    Immagine della console OCI che mostra il pannello Modifica provider di identità.
    Criterio demo EntraID
  34. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Domini.
    Importante

    Nei passi che seguono, puoi configurare l'applicazione riservata OCI per il provisioning degli utenti EntraID in OCI. Tenere presente che tutti gli utenti devono includere i valori di campo riportati di seguito oppure il provisioning dell'utente in OCI non riesce.

    • Nome
    • Cognome
    • Nome visualizzato
    • Indirizzo di posta elettronica (se il dominio di Identity OCI richiede un indirizzo di posta elettronica)

    Per determinare se il dominio di Identity OCI richiede un indirizzo di posta elettronica per creare nuovi utenti, vedere Indirizzo di posta elettronica dell'utente richiesto per la creazione dell'account.

    Per informazioni sulla configurazione dell'identificativo univoco per gli utenti di Azure, vedere il passo 24 di questo task.

    Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Domini.
  35. Selezionare Dominio predefinito. Selezionare quindi Applicazioni integrate.
    Dominio predefinito
  36. Selezionare Aggiungi applicazione.

  37. Nella finestra Aggiungi applicazione, selezionare Applicazione riservata, quindi selezionare Avvia workflow.

    Immagine della console OCI che mostra il workflow Aggiungi applicazione.

  38. Nella pagina Aggiungi dettagli applicazione del workflow Aggiungi applicazione riservata, immettere quanto riportato di seguito.

    • Nome: immettere un nome per l'applicazione riservata. È possibile immettere un massimo di 125 caratteri.
    • Descrizione: immettere una descrizione per l'applicazione riservata. È possibile immettere un massimo di 250 caratteri.

    Rivedere le impostazioni facoltative, quindi selezionare Successivo.

    Immagine della console OCI che mostra la pagina Aggiungi dettagli applicazione del workflow Aggiungi applicazione riservata.

  39. Nella pagina Configurare OAuth, nella sezione Configurazione client, selezionare Configurare l'applicazione come client ora.

    Immagine della console OCI che mostra la pagina Configura OAuth del workflow Aggiungi applicazione riservata.

  40. Nella pagina Configura OAuth, nella sezione Configurazione client, selezionare Credenziali client.

    Immagine della console OCI che mostra la pagina Configura OAuth del workflow Aggiungi applicazione riservata con le opzioni della sezione Configurazione client visualizzate.

  41. Nella pagina Configura OAuth, scorrere verso il basso e trovare la sezione Criterio di emissione token. In Risorse autorizzate, selezionare Specifico, quindi selezionare Aggiungi ruoli applicazione per aprire la sezione Ruoli applicazione del workflow.

    Immagine della console OCI che mostra la pagina Configura OAuth del workflow Aggiungi applicazione riservata con la sezione Aggiungi ruoli visualizzata.

  42. Nella sezione Ruoli applicazione, selezionare Aggiungi ruoli e cercare "Amministratore utente". Nell'elenco dei risultati della ricerca, selezionare Amministratore utenti, quindi selezionare Aggiungi.

    Immagine della console OCI che mostra la pagina Configura OAuth del workflow Aggiungi applicazione riservata con il pannello Aggiungi ruoli applicazione visualizzato.

  43. Con la visualizzazione del ruolo Amministratore utenti nell'elenco Ruoli applicazione, selezionare Successivo.

    Immagine della console OCI che mostra la pagina Configura OAuth del workflow Aggiungi applicazione riservata con i ruoli applicazione "Amministratore utente" visualizzati.

  44. Nella pagina Configura criterio, rivedere la selezione predefinita e selezionare Fine.

    Immagine della console OCI che mostra la pagina Configura criterio del workflow Aggiungi applicazione riservata.

  45. Nella scheda Applicazioni integrate della pagina dei dettagli del dominio "Predefinito", selezionare il nome dell'applicazione Entra ID creata per aprire la pagina dei dettagli dell'applicazione.

    Immagine della console OCI che mostra la vista lista delle applicazioni integrate in un dominio di identità OCI.

  46. Selezionare Attiva nella pagina dei dettagli.

    Immagine della console OCI che mostra la pagina dei dettagli dell'applicazione che include un pulsante "Attiva".

    Verificare che lo stato dell'applicazione sia "Attivo".

    Immagine della console OCI che mostra un'applicazione in stato "Attivo".

  47. Trova la sezione Informazioni generali della pagina dei dettagli per l'applicazione Entra ID. In questa sezione, effettuare le operazioni riportate di seguito.

    • Copiare il valore ID client in un blocco note o in un'altra posizione del computer per utilizzarlo in un comando CLI descritto nel passo successivo.
    • Selezionare Mostra segreto e copiare il segreto client nel file con l'ID client.
    Immagine della console OCI che viene visualizzata

    Selezionare Mostra segreto da nascondere dopo aver copiato il segreto per continuare.

    Immagine della console OCI che mostra la finestra di dialogo Segreto client.

  48. Utilizzare i valori ID client e Segreto client per creare il comando seguente.

    echo -n <clientID>:<clientsecret> | base64 --wrap=0

    Ad esempio:

    echo -n 7a5715example8b7429cdexample74a:63n8765exmaple49asbcs56abc235784 | base64 --wrap=0

  49. Eseguire il comando nella OCI Cloud Shell (CLI). Selezionare l'icona Cloud Shell nell'intestazione di OCI Console, quindi selezionare Cloud Shell per aprire l'interfaccia CLI nella finestra del browser. Incollare il comando nell'interfaccia CLI, quindi eseguire il comando.

    Per ulteriori informazioni, vedere i seguenti argomenti:

    Immagine dell'intestazione della console OCI con l'icona Cloud Shell selezionata.
  50. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Domini.
  51. Selezionare Dominio predefinito per aprire la pagina dei dettagli per il dominio "Predefinito".

  52. Nella pagina Panoramica del dominio, copiare l'URL dominio in un blocco note o in un'altra posizione del computer.

    Ad esempio:

    https://idcs-638a9b18aexampleb77becf0f123d691.identity.oraclecloud.com:443

    Immagine della console OCI che mostra la pagina dei dettagli per il dominio "Predefinito".

  53. Tornare alla pagina Applicazione enterprise del portale di Azure con i dettagli di Accesso basato su SAML visualizzati nel passo 25. Selezionare Provisioning nella sezione Gestisci.

    Immagine del portale Azure che mostra la pagina dei dettagli di accesso basata su SAML.

  54. Nella pagina Provisioning immettere quanto riportato di seguito.

    • Modalità di provisioning: Automatico

    • URL tenant: modificare l'URL copiato dal passo 53 come indicato di seguito.

      • Rimuovi ":443" alla fine dell'URL
      • Aggiungi "/admin/v1" alla fine dell'URL

      Ad esempio:

      https://idcs-638a9b18aexampleb77becf0f123d691.identity.oraclecloud.com/admin/v1

      Dopo aver modificato l'URL, incollarlo nel campo URL tenant.

    • Token segreto: incollare il segreto di cifratura base64 copiato dalla console OCI nel passo 49.

    Selezionare Test connessione, quindi selezionare Salva per continuare.

    Immagine del portale Azure che mostra la pagina Provisioning accesso basato su SAML.
    Importante

    Attendere il messaggio che conferma che la connessione è riuscita. Il messaggio viene visualizzato nell'angolo in alto a destra della pagina.

  55. Nella pagina Provisioning selezionare Provisioning degli utenti Microsoft Entra ID nella sezione Mapping.

    Immagine del portale Azure che mostra la pagina Provisioning accesso basato su SAML.

  56. Nella pagina Mapping attributi, individuare la sezione Mapping e selezionare Aggiungi nuovo mapping.

    Immagine del portale Azure che mostra la pagina Mapping attributi di accesso basati su SAML.

  57. Nella pagina Modifica attributo immettere quanto riportato di seguito.

    • Tipo di mapping: espressione
    • Espressione: CBool("true")

    • Attributo di destinazione: selezionare la stringa che termina con ":isFederatedUser". Ad esempio:

      urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:isFederateUser

    Selezionare OK per continuare.

    Immagine del portale Azure che mostra la pagina Modifica attributo di accesso basato su SAML.

  58. Nella pagina Mapping attributi, selezionare di nuovo Aggiungi nuovo mapping per aggiungere un secondo mapping.

  59. Nella pagina Modifica attributo immettere quanto riportato di seguito.

    • Tipo di mapping: espressione
    • Espressione: CBool("true")

    • Attributo di destinazione: selezionare la stringa che termina con ":bypassNotification". Ad esempio:

      urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:bypassNotification

    Selezionare OK per continuare.

    Immagine del portale Azure che mostra la pagina Modifica attributo di accesso basato su SAML.

  60. Passare alla pagina Panoramica sulle applicazioni aziendali di Azure per l'applicazione creata nei passi da 3 a 6 di questo task, quindi selezionare Assegna utenti e gruppi.

    Immagine del portale di Azure che mostra la pagina Panoramica dell'applicazione enterprise per l'applicazione creata nei passi da 3 a 6.
    Importante

    Tutti gli utenti devono includere i valori di campo riportati di seguito oppure le assegnazioni utente in OCI non riescono.

    • Nome
    • Cognome
    • Nome visualizzato
    • Indirizzo di posta elettronica (se il dominio di Identity OCI richiede un indirizzo di posta elettronica)

    Per determinare se il dominio di Identity OCI richiede un indirizzo di posta elettronica per creare nuovi utenti, vedere Indirizzo di posta elettronica dell'utente richiesto per la creazione dell'account.

    Per informazioni sulla configurazione dell'identificativo univoco per gli utenti di Azure, vedere il passo 24 di questo task.

  61. Selezionare Aggiungi utente/gruppo e aggiungere gli utenti e i gruppi che si desidera includere nella federazione identità. Dopo aver immesso gli utenti e i gruppi, questi vengono sincronizzati con l'account OCI.

    Immagine del portale di Azure che mostra la pagina Aggiungi utente/gruppo per l'applicazione creata nei passi da 3 a 6.