Documentazione di Oracle Cloud Infrastructure

Configura più aree di identità per Oracle Integration Generation 2

Per Oracle Integration Generation 2, lo striping primario viene federato automaticamente utilizzando gruppi preconfigurati. Tuttavia, puoi creare ambienti separati per un singolo servizio o applicazione cloud (ad esempio, creare un ambiente per lo sviluppo e uno per la produzione), in cui ogni ambiente ha requisiti di identità e sicurezza diversi. L'implementazione di uno o più striping secondari consente di creare e gestire più istanze di Oracle Identity Cloud Service per proteggere le applicazioni e i servizi Oracle Cloud.

Nota

Una volta eseguito il provisioning, non è possibile modificare lo striping di Oracle Identity Cloud Service o modificare l'associazione dell'istanza di Oracle Integration a un altro dominio IAM.

Non utilizza domini di Identity Questo argomento si applica solo alle tenancy che non utilizzano i domini di Identity. Vedere Differenze tra tenancy con e senza domini di Identity.

È possibile federare manualmente uno o più striping secondari con Oracle Cloud Infrastructure utilizzando la federazione SAML IDP in cui più striping di Oracle Identity Cloud Service sono associati allo stesso account cloud. Si noti che il proprietario dell'account gestisce sia le righe primarie che secondarie, ma le identità all'interno delle righe sono isolate l'una dall'altra.

Per informazioni sui vantaggi derivanti dall'uso di più istanze di Oracle Identity Cloud Service, vedere Informazioni su più istanze.

Attenersi alla procedura riportata di seguito per federare manualmente uno striping secondario per l'account cloud. È necessario essere il proprietario del conto.

  1. Definisci convenzione di denominazione striping
  2. Creare un gruppo IDCS per gli utenti dello striping secondario
  3. Creare un client OAuth nello striping secondario
  4. Crea un gruppo Oracle Cloud Infrastructure per gli utenti Stripe secondari
  5. Creare la Federazione e il relativo mapping di gruppi
  6. Crea un criterio Oracle Cloud Infrastructure per gli utenti federati per creare istanze
  7. Fornire l'accesso a uno striping federato nel gruppo di console di Oracle Cloud Infrastructure per gli utenti dello striping secondario
  8. Crea istanze di Oracle Integration nel compartimento striping secondario

Definisci convenzione di denominazione striping

È consigliabile definire un valore <stripename> per tutte le entità create in modo specifico per lo striping. È importante identificare in modo univoco le configurazioni associate a uno striping, soprattutto quando sono configurate più striping.

Nelle sezioni seguenti verrà utilizzato stripename in queste entità:

Entità Convenzione di denominazione

Gruppo IDCS

stripename_administrators

Gruppo OCI

oci_stripename_administrators

Compartimento

stripename_compartment

Provider di identità

stripename_service

Criteri

stripename_adminpolicy

Istruzione criteri

allow group oci_stripename_administrators to manage integration-instances in compartment stripename_compartment

Creare un gruppo IDCS per gli utenti dello striping secondario

In IDCS, creare un gruppo nello striping secondario e aggiungere utenti dallo striping secondario al gruppo.

  1. Aggiungere un gruppo nello striping secondario e denominarlo stripename_administrators. Vedere Definire una convenzione di denominazione degli striping. Ad esempio, denominarlo stripe2_administrators. Fare clic su Fine.
    Per ulteriori informazioni, vedere Crea gruppi in Amministrazione di Oracle Identity Cloud Service.

    A questi amministratori verrà concessa l'autorizzazione per creare istanze di Oracle Integration. Questo gruppo IDCS verrà mappato con un gruppo Oracle Cloud Infrastructure.

  2. Aggiungere utenti dallo striping secondario al gruppo.

Creare un client OAuth nello striping secondario

Creare un'applicazione riservata IDCS che utilizzi le credenziali client OAuth e a cui sia assegnato il ruolo di amministratore del dominio IDCS. È necessario creare un'applicazione riservata per ogni striping secondario.

  1. Un amministratore IDCS può collegarsi alla console di amministrazione IDCS secondaria.
  2. Aggiungere un'applicazione riservata.
    1. Passare alla scheda Applicazioni.
    2. Fare clic su Aggiungi.
    3. Scegliere Applicazione riservata.
    4. Assegnare un nome all'applicazione Client_Credentials_For_SAML_Federation.
    5. Successivo.

    Segue la descrizione di add_confidential_application.png

  3. Configurare le impostazioni client.
    1. Fare clic su Configure this application as a client now.
    2. In Autorizzazione selezionare Credenziali client.

      Segue la descrizione di add_confidential_application_client_tab.png

    3. In Concedere l'accesso client alle API di amministrazione di Identity Cloud Service fare clic su Aggiungi e selezionare il ruolo applicazione amministratore del dominio di Identity.

      Segue la descrizione di add_confidential_application_app_roles.png

    4. Fare clic due volte su Avanti.
  4. Fare clic su Fine. Una volta creata l'applicazione, annotare l'ID client e il segreto client. Queste informazioni saranno necessarie nei prossimi passi per la federazione.

    Segue la descrizione di application_added.png

  5. Fare clic su Attiva e confermare l'attivazione dell'applicazione.

Crea un gruppo Oracle Cloud Infrastructure per gli utenti Stripe secondari

Questo gruppo è necessario perché la federazione IDP SAML di Oracle Cloud Infrastructure richiede il mapping dei gruppi per federare gli utenti dall'IDP (IDCS) federato e l'appartenenza ai gruppi nativi OCI è necessaria per definire e concedere le autorizzazioni (criteri) di Oracle Cloud Infrastructure per gli utenti federati.

  1. Nella console di Oracle Cloud Infrastructure, aprire il menu di navigazione e fare clic su Identità e sicurezza. In Identità fare clic su Gruppi.

    Questo gruppo Oracle Cloud Infrastructure verrà mappato con il gruppo IDCS creato.

  2. Creare un gruppo e denominarlo oci_stripename_administrators. Ad esempio, denominarlo oci_stripe2_administrators.

    Segue la descrizione di create_oci_group_dialog.png

Creare la Federazione e il relativo mapping di gruppi

Ora che hai creato i gruppi IDCS e Oracle Cloud Infrastructure e le informazioni client necessarie, crea il provider di identità IDCS e mappa i gruppi.

  1. Accedi alla console di Oracle Cloud Infrastructure. Selezionare il dominio di Identity dello striping primordiale (identitycloudservice) e immettere le relative credenziali utente.

    Tenere presente che il mapping dei gruppi per uno striping secondario utilizza l'accesso utente dello striping primordiale. Questo è importante, poiché l'aggiunta di più strisce aggiunge più opzioni a questo elenco a discesa.

  2. Aprire il menu di navigazione e fare clic su Identità e sicurezza, quindi su Federazione.
  3. Fare clic su Aggiungi provider di identità.
  4. Nella schermata visualizzata completare i campi come indicato di seguito.
    Campo Voce

    Nome

    <stripename>_service

    descrizione;

    Federation with IDCS secondary stripe

    Digitare

    Oracle Identity Cloud Service

    URL di base di Oracle Identity Cloud Service

    Immettere questo URL nel formato seguente:

    https://idcs-xxxx.identity.oraclecloud.com

    Sostituire la parte del dominio <idcs-xxxx> con lo striping IDCS secondario.

    ID client/ Segreto client

    Immettere le informazioni create nello striping secondario e annotate durante la procedura Crea un client OAuth nello striping secondario.

    Forza autenticazione

    Selezionare questa opzione
  5. Fare clic su Continua.
  6. Mappare lo striping secondario IDCS e i gruppi OCI creati in precedenza.
    Eseguire il mapping del gruppo di striping secondario IDCS (creato in Create a IDCS Group for Secondary Stripe Users) e del gruppo OCI (creato in Create a Oracle Cloud Infrastructure Group for Secondary Stripe Users).
  7. Fare clic su Aggiungi provider.
    Federazione striping secondaria completata. Si noti che viene visualizzato il mapping dei gruppi.

    Segue la descrizione di striping_federation.png

  8. Verificare lo striping secondario e configurare la visibilità per gli amministratori e gli utenti dello striping secondario.

Creare un criterio di Oracle Cloud Infrastructure per gli utenti federati per creare istanze

Al termine della federazione, impostare i criteri di Oracle Cloud Infrastructure che consentono agli utenti federati dello striping IDCS secondario di creare istanze di Oracle Integration. Come pattern comune, il criterio viene applicato a un compartimento.

  1. Creare un compartimento in cui è possibile creare istanze di Oracle Integration per lo striping IDCS secondario. Assegnare un nome al compartimento stripename_compartment.
    Ad esempio, creare un compartimento denominato stripe2_compartment.
  2. Creare un criterio che consenta agli utenti federati di creare istanze di Oracle Integration nel compartimento. Assegnare un nome al criterio stripename_adminpolicy (ad esempio, stripe2_adminpolicy).
    In Costruzione guidata criteri selezionare Mostra editor manuale.

    • Sintassi: allow group stripename_administrators toverb resource-typein compartmentstripename_compartment

    • Criterio: allow group oci_stripe2_administrators to manage integration-instances in compartment stripe2_compartment

    Questo criterio consente a un utente membro del gruppo nel criterio di creare un'istanza di Oracle Integration (istanza-integrazione) nel compartimento denominato stripe2_compartment.

Fornire l'accesso a uno striping federato nel gruppo di console di Oracle Cloud Infrastructure per gli utenti dello striping secondario

Eseguire passi aggiuntivi per consentire all'amministratore dello striping secondario e a tutti gli altri utenti dello striping secondario di visualizzare gli striping nella federazione.

  1. In Oracle Identity Cloud Service creare un gruppo denominato stripe2_federation_administrators.
  2. Aggiungere al gruppo gli utenti che si desidera possano visualizzare la federazione e creare utenti e gruppi nella console di Oracle Cloud Infrastructure in tale striping.
  3. Nella console di Oracle Cloud Infrastructure, utilizzando l'utente striping primario con l'autorizzazione corretta, creare un gruppo Oracle Cloud Infrastructure denominato oci_stripe2_federation_administrators.
  4. Eseguire il mapping dei gruppi stripe2_federation_administrators e oci_stripe2_federation_administrators.
  5. Utilizzare gli esempi di istruzioni riportati di seguito per definire un criterio che conceda l'accesso agli striping federati.
    Molti esempi mostrano come concedere l'accesso a uno striping federato specifico utilizzando una clausola where che identifica lo striping secondario. È possibile ottenere l'OCID della federazione dalla vista federazione nella console di Oracle Cloud Infrastructure.
    Consente agli amministratori di striping secondari di... Istruzione criteri

    Crea gruppi (uso)

    allow group oci_stripe2_federation_administrators to use groups in tenancy

    Elenca i provider di identità nella federazione (ispezione)

    allow group oci_stripe2_federation_administrators to inspect identity-providers in tenancy

    Tenere presente che se gli amministratori degli striping secondari sono tenuti a creare gruppi, questo criterio è obbligatorio quando viene inclusa una clausola WHERE.

    Accesso a una stripe federata specifica (uso)

    allow group oci_stripe2_federation_administrators to use identity-providers in tenancy where target.identity-provider.id=“ocid1.saml2idp.oc1..aaaaaaaaa…”

    Gestire TUTTO o SOLO un provider di identità di striping secondario specifico (gestione)

    • ALL:

      allow group oci_stripe2_federation_administrators to manage identity-providers in tenancy

    • SOLO provider di identità stripe secondario specifico:

      allow group oci_stripe2_federation_administrators to manage identity-providers in tenancy where target.identity-provider.id = "ocid1.saml2idp.oc1..aaaaaaaaa…"

Quando ci si collega come utente nel gruppo Oracle Identity Cloud Service precedente, è possibile creare utenti e gruppi nella console di Oracle Cloud Infrastructure e assegnare le autorizzazioni come si farebbe in uno striping primario.

Informazioni aggiuntive sulle clausole Where

Si supponga di definire un criterio per un gruppo (come nell'esempio riportato di seguito) che utilizza il verbo manage con una clausola WHERE che lo limita a un provider di identità (ocid) specifico.

Criterio di esempio:

allow group OCISecStripeAdmin to manage identity-providers in tenancy where target.identity-provider.id='ocid1.saml2idp.oc1..aaaaaaaa...’

Quando un utente del gruppo accede alla console di Oracle Cloud Infrastructure e passa alla pagina Federazione, nella tabella viene visualizzato il messaggio seguente: Autorizzazione non riuscita o risorsa richiesta non trovata.

L'aggiunta del seguente criterio aggiuntivo consente agli utenti del gruppo di passare alla stessa pagina e visualizzare i provider di identità. Possono ispezionare entrambi, ma possono visualizzare solo i mapping di gruppo (lette) del provider di identità consentito:

Criterio di esempio aggiuntivo: allow group OCISecStripeAdmin to inspect identity-providers in tenancy

Crea istanze di Oracle Integration nel compartimento striping secondario

Con i criteri federazione e Oracle Cloud Infrastructure definiti, gli utenti federati possono accedere alla console di Oracle Cloud Infrastructure e creare istanze di Oracle Integration.

  1. Collegarsi come utente federato dallo striping secondario.
    Gli utenti dovranno selezionare lo striping secondario nel campo Provider di identità (idcs-secondary-stripe-service, in questo caso).
  2. Gli amministratori autorizzati possono utilizzare le istanze di Oracle Integration nel compartimento specificato (idcs-secondary-stripe-compartment, in questo caso).

    Segue la descrizione di striping_instance.png