Federazione (facoltativo)

Scopri come impostare la federazione delle identità per Oracle AI Database@Google Cloud.

L'impostazione della federazione identità per Oracle AI Database@Google Cloud è facoltativa. Federation consente agli utenti di connettersi alla tenancy OCI associata al servizio utilizzando le credenziali IAM e amministratore di Google Cloud. Sebbene la maggior parte delle operazioni quotidiane del database venga eseguita nell'ambiente Google Cloud e non richieda l'uso di Oracle Cloud Console, alcuni task di gestione del database richiedono l'accesso a OCI.

Utilizzare le istruzioni riportate di seguito per rendere IAM e amministratore di Google Cloud il provider di identificazione per la tenancy OCI.

1. Nella console di Oracle Cloud andare a Identità e sicurezza, quindi selezionare Domini.

   

2. Nella vista elenco Domini selezionare il nome del dominio "Predefinito" per aprire la pagina dei dettagli del dominio. Facoltativamente, è possibile selezionare un altro dominio per configurare Single Sign-On (SSO) per tale dominio.

   

3. Selezionare Sicurezza nel menu di navigazione a sinistra della pagina Panoramica del dominio di Identity.

   

4. Nella pagina Sicurezza del dominio, selezionare Provider di identità nel menu di navigazione a sinistra.

   

5. Nella pagina Provider di identità selezionare Aggiungi IdP, quindi selezionare Aggiungi SAML IdP.

   

6. Immettere il nome che si desidera visualizzare nella pagina di login OCI quando si utilizza Single Sign-On (SSO) per accedere alla console di Oracle Cloud. Se si desidera, è possibile aggiungere una descrizione. Selezionare Avanti per continuare.

   Lasciare aperta questa finestra o scheda mentre si eseguono i passi successivi che richiedono la console di amministrazione di Google Cloud.

   

7. Dal browser Web, aprire un'altra scheda o finestra e passare alla console di amministrazione di Google Cloud all'indirizzo https://admin.google.com/ac/apps/unified.

   

8. Selezionare Aggiungi applicazione SAML personalizzata dal menu Aggiungi applicazione.

   
9. Immettere i dettagli riportati di seguito e selezionare Continua.
   • Nome applicazione: OracleCloudFederation
   • Descrizione: configura la federazione delle identità tra Google Cloud e Oracle Cloud per l'uso di Oracle AI Database@Google Cloud.
   

10. In Option1: Scarica metadati IdP, selezionare DOWNLOAD METADATA.

    

    Selezionare CONTINUA. Lasciare aperta questa finestra o scheda durante l'esecuzione dei passi successivi nella console di Oracle Cloud.

    

11. Tornare alla finestra o alla scheda che visualizza la console di Oracle Cloud. Selezionare Importa file XML metadati caricamento metadati IdP. Nella sezione Carica metadati provider di identità selezionare Seleziona uno..., quindi passare al file XML scaricato nel passo precedente dalla console di amministrazione di Google Cloud e caricare il file.

    

12. Selezionare Esporta metadati SAML.

    

13. Nella finestra di dialogo Esporta metadati SAML selezionare Esportazione manuale. Copiare i valori ID provider e URL servizio consumer asserzioni in un file blocco note nel computer locale. Lasciare aperta questa finestra o scheda mentre si eseguono i passi successivi che richiedono la console di amministrazione di Google Cloud.

    

14. Torna alla scheda o alla finestra che visualizza la console di amministrazione di Google Cloud. Nella pagina Dettagli provider di servizi immettere quanto riportato di seguito.

    • URL ACS: immettere il valore "URL servizio consumer asserzioni" copiato dalla console di Oracle Cloud nel passo precedente.
    • ID entità: immettere il valore "ID provider" copiato dalla console di Oracle Cloud nel passo precedente.

    Selezionare CONTINUA.

    

15. Nella pagina MAPPING attributi selezionare ADD MAPPING.

    

16. Aggiungere i seguenti mapping di attributi:

    • Nome → FirstName
    • Cognome → LastName
    • Posta elettronica primaria → PrimaryEmail

    Ad esempio, per l'attributo Informazioni di base "Nome", immettere l'attributo applicazione FirstName.

    

17. Nella pagina Mapping attributi, nella sezione Appartenenza al gruppo, aggiungere i seguenti gruppi creati per il controllo dell'accesso basato sui ruoli (RBAC). L'attributo App per i gruppi è MemberOf. Selezionare FINISH per continuare.

    • odbg-adbs-db-administrators
    • odbg-costmgmt-administrators
    • odbg-db-family-administrators
    • odbg-db-family-readers
    • odbg-dbmgmt-administrators
    • odbg-exa-cdb-administrators
    • odbg-exa-infra-administrators
    • odbg-exa-pdb-administrators
    • odbg-exadb-vm-cluster-administrators
    • odbg-exascale-db-storage-vault-administrators
    • odbg-metrics-readers
    • odbg-network-administrators
    • odbg-network-readers
    • odbg-vm-cluster-administrator
    

    La console di amministrazione di Google Cloud reindirizza automaticamente alla pagina dei dettagli per l'applicazione SAML creata.

18. Espandere la sezione Accesso utente.

    

19. Nella sezione Stato servizio, selezionare ON per tutti, quindi selezionare SAVE.

    

20. Tornare alla finestra o alla scheda che visualizza la console di Oracle Cloud. Nella pagina Aggiungi provider di identità SAML selezionare Mappa identità utente. Immettere i valori riportati di seguito.

    • Formato ID nome richiesto: selezionare "Indirizzo e-mail".
    • Attributo utente del provider di identità: selezionare "ID nome asserzione SAML"
    • Attributo utente del dominio di Identity: selezionare "Nome utente"
    

21. Nella pagina Aggiungi provider di identità SAML selezionare Rivedi e crea.

    Rivedere i dettagli del provider di identità SAML, quindi selezionare Crea IdP.

    

22. Per attivare il provider di identità (IdP), selezionare Attiva.

    

    Dopo aver visualizzato il messaggio di conferma che il provider di identità è stato attivato, il provider di identità viene attivato.

23. Selezionare Aggiungi a criterio IdP.

    

24. Nella pagina Criteri del provider di identità (IdP) selezionare Criteri del provider di identità predefinito nella colonna Nome della lista di criteri.

    

25. Nella pagina dei dettagli dei criteri Criterio provider di identità predefinito, nella sezione Regole del provider di identità, selezionare Modifica regola IdP.

    

26. Nella pagina Modifica regola provider di identità, trovare il campo Assegna provider di identità. Il campo visualizza "Nome utente-Password". Aggiungere "Google Cloud Federation", quindi selezionare Salva modifiche.

    

    Dopo aver aggiunto "Google Cloud Federation":

    

27. Nella pagina dei dettagli per il provider di identità Google Cloud Federation, selezionare Configura JIT.

    

28. Nella pagina Configura provisioning JIT (Just-in-time) abilitare il provisioning JIT (Just-In-Time) utilizzando lo switch di attivazione/disattivazione. Rimani su questa pagina per i prossimi passi.

    

29. Nella pagina Configura provisioning Just-in-time (JIT), selezionare Crea un nuovo utente del dominio di Identity e Aggiorna l'utente del dominio di Identity esistente.

    

30. Nella pagina Configura provisioning JIT (Just-in-time) mappare gli attributi utente come indicato di seguito.

    Tipo di attributo utente IdP	Nome attributo utente IdP	Mappa a	Attributi utente del dominio di Identity
    NameID	Valore NameID	→	userName
    Attribute	LastName	→	familyName
    Attribute	PrimaryEmail	→	primaryEmailAddress
    Attribute	FirstName	→	firstName

    

31. Nella pagina Configura provisioning Just-in-time (JIT), attivare/disattivare lo switch Assegna mapping gruppo per abilitare il mapping gruppo configurato. La sezione Assegna mapping gruppo si espande per visualizzare le opzioni di configurazione del mapping gruppo (vedere il passo successivo).

    

32. Nella pagina Configura provisioning JIT (Just-in-time) selezionare o immettere i valori riportati di seguito.

    • Nome attributo appartenenza al gruppo: MemberOf
    • Assegna appartenenza implicita al gruppo: selezionare il pulsante di opzione per abilitare questa opzione.
    • Quando si assegna l'appartenenza al gruppo...: Unisci con le appartenenze al gruppo esistenti
    • Quando un gruppo non viene trovato...: Ignora il gruppo mancante

    Selezionare Salva modifiche dopo aver selezionato e immesso i valori.

    

    Ora sono stati completati i passi necessari per configurare la federazione delle identità tra OCI e Google Cloud.

33. Per eseguire il test dell'SSO, procedere come segue:

    1. Disconnettersi dalla console di Oracle Cloud
    2. Nella sezione Oppure accedi con della schermata di login, selezionare Google Cloud Federation.