Documentazione dell'infrastruttura Oracle Cloud

Accedere all'add-in Foglio di calcolo per domini IAM OCI

Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) utilizza i domini di Identity per fornire funzioni di gestione accessi e identità, come autenticazione, Single Sign-On (SSO) e gestione del ciclo di vita delle identità per OCI, nonché per applicazioni Oracle e non Oracle, in hosting sul cloud o in locale. SaaS

È possibile abilitare l'uso dei componenti aggiuntivi del foglio di calcolo con la connessione Oracle Identity and Access Management (IAM). A questo scopo, è necessario:

Una volta stabilita la connessione, può essere condivisa con qualsiasi utente del dominio fornendo il file di connessione e utilizzando le credenziali del dominio dell'utente.

Requisiti indispensabili

Creare o utilizzare un'applicazione integrata di dominio

Per utilizzare un'applicazione integrata di dominio in Oracle Cloud Infrastructure (OCI), effettuare le operazioni riportate di seguito per creare e configurare un dominio di Identity, quindi impostare criteri e integrazioni.
  1. Usare un dominio di Identity:
    • Connettersi a OCI Console con un account amministratore nel dominio di Identity Predefinito.
    • Nel menu di navigazione della console OCI fare clic su Applicazioni integrate.
    • Nella pagina elenco Applicazioni integrate selezionare Aggiungi applicazione.
    • Nella finestra Aggiungi applicazione, selezionare Applicazione riservata, quindi Avvia workflow.


      Segue la descrizione dell'immagine add-details.png
      Descrizione dell'illustrazione add-details.png

      Nella pagina Aggiungi dettagli applicazione, utilizzare la tabella riportata di seguito per configurare i dettagli dell'applicazione e le impostazioni di visualizzazione.

      Tabella 3-6 Dettagli dell'applicazione e loro descrizione

      Opzione Descrizione
      Nome

      Immettere un nome per l'applicazione riservata. È possibile immettere un massimo di 125 caratteri.

      Considera di mantenere i nomi delle tue applicazioni il più breve possibile. In questo esempio, utilizzare Addins foglio di calcolo.
      Descrizione Immettere una descrizione per l'applicazione riservata. È possibile immettere un massimo di 250 caratteri.
      Icona applicazione

      Questo campo è facoltativo. È possibile saltare questo campo.

      Fare clic su Carica per aggiungere un'icona che rappresenta l'applicazione. Questa icona viene visualizzata accanto al nome dell'applicazione nella pagina Applicazioni personali e nella pagina Applicazioni.

      URL applicazione Questo campo è facoltativo. È possibile saltare questo campo.

      Immettere l'URL (HTTP o HTTPS) a cui verrà reindirizzato l'utente dopo un login riuscito.
      URL di login personalizzato Questo campo è facoltativo. È possibile saltare questo campo.

      Nel campo URL di login personalizzato è possibile specificare un URL di login personalizzato. Tuttavia, se si utilizza una pagina di login predefinita fornita da Oracle Identity Cloud Service, lasciare vuoto questo campo.

      URL di logout personalizzato Questo campo è facoltativo. È possibile saltare questo campo.

      Nel campo URL di logout personalizzato è possibile specificare un URL di logout personalizzato. Tuttavia, se si utilizza una pagina di login predefinita fornita da Oracle Identity Cloud Service, lasciare vuoto questo campo.

      URL degli errori personalizzato Questo campo è facoltativo. È possibile saltare questo campo.

      È possibile inserire l'URL della pagina di errore a cui un utente deve essere reindirizzato, solo in caso di errore. Se non specificato, verrà utilizzato l'URL della pagina di errore specifica del tenant.
      Visualizza nelle applicazioni personali Non selezionare questa casella di controllo.

      Selezionare la casella di controllo solo se si desidera che l'applicazione riservata venga elencata per gli utenti nelle relative pagine Applicazioni personali. In questo caso è necessario configurare l'applicazione come server delle risorse.
      L'utente può richiedere l'accesso. Non selezionare questa casella di controllo.

      Selezionare la casella di controllo solo se si desidera che gli utenti finali possano richiedere l'accesso all'applicazione dalla pagina Applicazioni personali.

      Tag Ignora questo campo.

      Fare clic su Aggiungi tag solo se si desidera aggiungere tag alle applicazioni riservate per organizzarle e identificarle.

    • Fare clic su Avanti per passare alla scheda Configura OAuth.

    • Nella procedura guidata Configurazione server risorse della scheda Configura OAuth effettuare le operazioni riportate di seguito.

      Selezionare Configura questa applicazione come server risorse ora per proteggere le risorse per l'applicazione e per renderla visibile nella pagina Applicazioni personali.


      Segue la descrizione di resource-server.png
      Descrizione dell'illustrazione resource-server.png

      Utilizzare la tabella riportata di seguito per inserire le informazioni nella sezione Configurare le API dell'applicazione che devono essere protette da OAuth visualizzata.

      Tabella 3-7 Opzioni e relative descrizioni per configurare le API dell'applicazione

      Opzione Descrizione
      Scadenza token di accesso Mantenere il valore predefinito di 3600 secondi.

      Definire per quanto tempo (in secondi) il token di accesso associato all'applicazione riservata rimane valido.
      Token di aggiornamento consentito Non selezionare questa casella di controllo.

      Selezionare questa casella di controllo solo se si desidera utilizzare il token d'aggiornamento ottenuto quando si utilizzano i tipi d'autorizzazione Proprietario risorsa, Codice d'autorizzazione o Asserzione.

      Scadenza token di aggiorn. Non selezionare l'opzione.

      È possibile definire per quanto tempo (in secondi) il token di aggiornamento, restituito con il token di accesso e associato all'applicazione riservata, rimane valido.
      Destinatari principali

      Immettere "ordini/".

      Si tratta del destinatario principale in cui viene elaborato il token di accesso dell'applicazione riservata.
      Destinatari secondari Ignora questo campo.

      Immettere i destinatari secondari in cui viene elaborato il token di accesso dell'applicazione riservata e fare clic su Aggiungi. In questo esempio non si dispone di destinatari secondari.

      Aggiungi (ambito consentito)

      Per specificare a quali parti di altre applicazioni si desidera che l'applicazione acceda, fare clic su questo pulsante per aggiungere tali ambiti all'applicazione riservata.

      Le applicazioni devono interagire in modo sicuro con partner esterni o applicazioni riservate. Inoltre, le applicazioni di un servizio Oracle Cloud devono interagire in modo sicuro con le applicazioni di un altro servizio Oracle Cloud. Ogni applicazione dispone di ambiti applicativi che determinano quali risorse sono disponibili per altre applicazioni.
    • Fare clic su Aggiungi ambiti e selezionare Aggiungi.


      Segue la descrizione dell'immagine add-scope.png
      Descrizione dell'illustrazione add-scope.png

      Nella procedura guidata Aggiungi ambito specificare il seguente valore di campo:
      • Ambito: oracle.dbtools.auth.privileges.builtin.ResourceModules

      • Nome visualizzato: campo facoltativo.

      • Descrizione: campo facoltativo.

      Fare clic su Aggiungi.

      È stato aggiunto oracle.dbtools.auth.privileges.builtin.ResourceModules come ambito.

      Aggiungere gli ambiti riportati di seguito all'applicazione riservata.
      • oracle.dbtools.sdw.user
      • oracle.dbtools.ords.db-api.developer
      • adp_lmd_privilege
      • adp_analytics_privilege
      Nota

      Solo un'applicazione riservata per un dominio può utilizzare ciascun ambito, pertanto se si desidera che più applicazioni utilizzino un ambito, la seconda applicazione può essere un'applicazione mobile che farà riferimento all'ambito dell'applicazione riservata.


      Segue la descrizione dell'immagine add-scopes.png
      Descrizione dell'illustrazione add-scopes.png

    • Nella finestra di dialogo Configurazione client della procedura guidata Aggiungi applicazione riservata,

      Fare clic su Configura questa applicazione come client ora per configurare ora le informazioni di autorizzazione per l'applicazione.


      Segue la descrizione del client-configuration.png
      Descrizione dell'illustrazione client-configuration.png

    • Nelle sezioni Autorizzazione e Criterio di emissione token aperte, utilizzare la tabella seguente per inserire le informazioni.

      Tabella 3-8 Opzioni di configurazione del client e relative descrizioni

      Opzione Descrizione
      Proprietario risorsa Non selezionare questo campo.

      Utilizzare solo quando il proprietario della risorsa ha una relazione di attendibilità con l'applicazione riservata, ad esempio un sistema operativo per computer o un'applicazione con privilegi elevati, poiché l'applicazione riservata deve eliminare la password dopo averla utilizzata per ottenere il token di accesso.
      Credenziali client Non selezionare questo campo.

      Utilizzare solo quando l'ambito dell'autorizzazione è limitato alle risorse protette sotto il controllo del client o alle risorse protette registrate con il server di autorizzazione.
      Asserzione JWT Non selezionare questo campo.

      Utilizzare solo quando si desidera utilizzare una relazione di attendibilità esistente espressa come asserzione e senza un passo di approvazione diretta dell'utente nel server di autorizzazione.
      Asserzione SAML2 Non selezionare questo campo.

      Utilizzare solo quando si desidera utilizzare una relazione di attendibilità esistente espressa come asserzione SAML2 e senza un passo di approvazione diretta dell'utente nel server di autorizzazione.
      Token di aggiornamento Non selezionare questo campo.

      Selezionare questo tipo di privilegio solo se si desidera che venga fornito un token di aggiornamento dal server di autorizzazione, quindi utilizzarlo per ottenere un nuovo token di accesso.

      Codice di autorizzazione Non selezionare questo campo.

      Selezionare questo tipo di privilegio solo se si desidera ottenere un codice di autorizzazione utilizzando un server di autorizzazione come intermediario tra l'applicazione client e il proprietario della risorsa.
      Implicito Selezionare questo campo.

      Se l'applicazione non è in grado di mantenere riservate le credenziali client per l'autenticazione con il server di autorizzazione, selezionare questa casella di controllo. Ad esempio, l'applicazione viene implementata in un browser Web utilizzando un linguaggio di script come JavaScript. Un token di accesso viene restituito al client tramite un reindirizzamento del browser in risposta alla richiesta di autorizzazione del proprietario della risorsa (anziché un'autorizzazione intermedia).
      Codice dispositivo Non selezionare questo campo.

      Selezionare il tipo di privilegio Codice dispositivo solo se il client non è in grado di ricevere richieste dal server di autorizzazione OAuth, ad esempio non può fungere da server HTTP come console di gioco, lettori multimediali di streaming, cornici digitali e altri.

      Autenticazione client TLS Non selezionare questo campo.

      Selezionare il tipo di privilegio TLS Client Authentication solo per utilizzare il certificato client per l'autenticazione con il client. Se una richiesta di token viene fornita con un certificato client X.509 e il client richiesto viene configurato con il tipo di privilegio Autenticazione client TLS, il servizio OAuth utilizza Client_ID nella richiesta per identificare il client e convalidare il certificato client con il certificato nella configurazione del client. Il client viene autenticato correttamente solo se i due valori corrispondono.

      Consenti URL non HTTPS Non selezionare questo campo.

      Selezionare questa casella di controllo solo se si desidera utilizzare URL HTTP per i campi URL di reindirizzamento, URL di logout o URL di reindirizzamento successivo al logout. Ad esempio, se si inviano richieste internamente, si desidera una comunicazione non cifrata o si desidera essere compatibili con le versioni precedenti con OAuth 1.0, è possibile utilizzare un URL HTTP.

      URL di reindirizzamento Immettere il seguente URL applicazione in cui l'utente viene reindirizzato dopo l'autenticazione, https://static.oracle.com/cdn/spreadsheet/red-4/redirector.html
      Nota

      Fornire un URL assoluto. URL relativi non supportati
      URL di logout

      Ignora questo campo.

      Immettere l'URL in cui si verrà reindirizzati dopo aver eseguito il logout dall'applicazione riservata.
      URL di reindirizzamento dopo il logout

      Immettere l'URL seguente in cui reindirizzare l'utente dopo aver eseguito il logout dall'applicazione. https://static.oracle.com/cdn/spreadsheet/red-4/redirector.html
      Tipo di client

      Selezionare Riservato.

      I tipi di client disponibili sono Trusted e Confidential. Scegliere Trusted solo se il client è in grado di generare asserzioni utente con firma automatica.

      Operazioni consentite

      Salta questo campo. È facoltativo.

      • Selezionare la casella di controllo Presentazione solo se si desidera consentire l'accesso a un endpoint di introspezione token per l'applicazione.

      • Selezionare la casella di controllo Per conto di solo se si desidera assicurarsi che i privilegi di accesso possano essere generati solo dai privilegi dell'utente. Ciò consente all'applicazione client di accedere agli endpoint ai quali l'utente ha accesso, anche se l'applicazione client di per sé non dispone normalmente dell'accesso.
      Algoritmo di cifratura token ID

      L'impostazione predefinita è none.

      Indirizzo IP client consentito Salta questo campo. È facoltativo.
      Risorse autorizzate

      Selezionare Tutto.

      È possibile selezionare una delle opzioni riportate di seguito per consentire a un'applicazione client di accedere alle risorse autorizzate.

      Nota

      L'opzione per definire una risorsa autorizzata è disponibile solo per le applicazioni riservate. Le applicazioni mobile non hanno la possibilità di definire un ambito attendibile.
      Risorse Salta questo campo. È facoltativo.

      Solo se si desidera che l'applicazione acceda alle API da altre applicazioni, fare clic su Aggiungi nella sezione Criterio di emissione token della pagina Aggiungi applicazione riservata.

      Concedere l'accesso client alle API di amministrazione di Identity Cloud Service Salta questo campo. È facoltativo.

      Fare clic su Aggiungi per consentire all'applicazione riservata di accedere alle API di Oracle Identity Cloud Service.

      Nella finestra Aggiungi ruolo applicazione selezionare i ruoli applicazione che si desidera assegnare all'applicazione. Ciò consente all'applicazione di accedere alle interfacce API REST a cui possono accedere tutti i ruoli applicazione assegnati.

    • Fare clic su Successivo per passare alla scheda Configura criteri della procedura guidata Aggiungi applicazione riservata.
    • Nella pagina Aggiungi applicazione riservata della procedura guidata Criterio livello Web, fare clic su Ignora ed esegui in seguito.


      Segue la descrizione di web-tier-policy.png
      Descrizione dell'illustrazione web-tier-policy.png

    • Fare clic su Fine.

      L'applicazione è stata aggiunta con stato disattivato.

      Registrare i campi ID cliente e Segreto cliente visualizzati nella finestra Applicazione aggiunta.

      Utilizzare questo ID e questo segreto come parte delle impostazioni di connessione per l'integrazione con l'applicazione riservata. ID client e Segreto client sono equivalenti a una credenziale (ad esempio, un ID e una password) utilizzata dall'applicazione per comunicare con Oracle Identity Cloud Service.

È stata creata un'applicazione riservata di tipo Client assegnata agli ambiti desiderati.

Abilitare il login IAM per lo schema Autonomous Database

Prerequisiti:
Le seguenti istruzioni consentono a ORDS di convalidare i token JWT bearer e di concedere l'accesso alle risorse protette. È possibile impostare i dettagli del profilo JWT, verificando che l'emittente, l'audience e l'URL JWK siano configurati correttamente.
  • Nella scheda Navigator del foglio di lavoro SQL, selezionare ORDS_METADATA dall'elenco a discesa Schema.
  • Selezionare Packages dall'elenco a discesa Tipo di oggetto.
  • Digitare ORDS_SECURITY nel campo Cerca. La funzione di ricerca recupera tutte le voci che iniziano con ORDS_SECURITY.

  • Espandere il pacchetto ORDS_SECURITY.


    Segue la descrizione di run-package.png
    Descrizione dell'illustrazione run-package.png

  • Fare clic con il pulsante destro del mouse su CREATE_JWT_PROFILE e fare clic su RUN. Viene visualizzata una finestra di dialogo RUN CODE.
    Nella finestra di dialogo Run Code (Codice esecuzione…), specificare i seguenti valori di campo:
    • P_ISSUER: https://identity.oraclecloud.com/. Questo campo deve essere un valore non nullo e deve essere compilato con una virgola singola.
    • P_AUDIENCE-ords/. Questo campo deve essere un valore non nullo.
    • P_JWK_URL: consente di aggiungere l'URL DOMINIO con /admin/v1/SigningCert/jwk. Deve essere un valore non nullo che inizi con https:// e identifichi la chiave di verifica pubblica fornita dal server di autorizzazione in formato JWK (JSON Web Key).

      È possibile visualizzare l'URL dominio nella scheda Informazioni dominio presente nel menu Domini del menu di navigazione Identità e sicurezza della console OCI.


      Segue la descrizione dell'immagine domain.png
      Descrizione dell'immagine domain.png

      Per ulteriori informazioni, vedere https://docs.oracle.com/en/cloud/paas/iam-domains-rest-api/api-security-signing-certificates-jwk.html.

    • P_DESCRIPTION: immettere la descrizione del profilo. Ad esempio, "JWT Demo confluence".
    • P_ALLOWED_AGE-"0"
    • P_ALLOWED_SKEW-"0"


    Segue la descrizione di run-code.png
    Descrizione dell'illustrazione run-code.png

    Fare clic su Esegui script.

    Una volta configurato il profilo JWT, gli utenti finali possono accedere alle risorse protette ORDS presentando i token JWT specificati nel profilo JWT.

Creare un file di connessione

  1. Fare clic su Aggiungi nell'intestazione del riquadro Connessioni per aggiungere una connessione. Viene visualizzata la finestra di dialogo Aggiungi nuova connessione.

  2. Specificare i campi riportati di seguito nella finestra di dialogo Aggiungi nuova connessione.
    • Nome connessione: immettere il nome della connessione.
    • URL di Autonomous Database: immettere l'URL dell'Autonomous Database a cui si desidera connettersi. Copiare l'intero URL dall'interfaccia utente Web di Autonomous Database. Ad esempio, immettere o copiare il collegamento seguente "https://<nomehost>-<nomebase>.adb.<regione>.oraclecloudapps.com/" per connettersi al database.
    • Selezionare il tipo di connessione: OCI IAM
    • URL dominio: immettere l'URL dominio nella scheda Informazioni dominio.
    • ID client: immettere l'ID client registrato da Crea un'applicazione integrata di dominio.
    • OAuth ID client: immettere il segreto client registrato da Creare un'applicazione integrata di dominio.
    • Schema: immettere lo stesso schema utilizzato per Abilitare il login IAM per lo schema Autonomous Database.

Una volta creata la connessione, è possibile condividerla con altri utenti di questo dominio.