Nota:

• Questa esercitazione richiede l'accesso a Oracle Cloud. Per iscriversi a un account gratuito, consulta Inizia a utilizzare Oracle Cloud Infrastructure Free Tier.
• Utilizza valori di esempio per le credenziali, la tenancy e i compartimenti di Oracle Cloud Infrastructure. Al termine del laboratorio, sostituisci questi valori con quelli specifici del tuo ambiente cloud.

Configurare i criteri di accesso per le applicazioni Oracle Analytics Cloud e APEX in OCI

Introduzione

I criteri di accesso del dominio di Identity di Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) sono un elemento chiave per la gestione dell'accesso alle applicazioni distribuite su Oracle Cloud Infrastructure (OCI).

Questa esercitazione si ispira a un caso d'uso del cliente e descrive in che modo un ISV o un provider di servizi applicativi può implementare criteri di accesso per consentire l'autenticazione delle applicazioni fornite agli utenti finali impedendo loro di accedere alla console OCI.

Per questa esercitazione vengono utilizzate due applicazioni: un'applicazione Oracle Analytics Cloud e un'applicazione APEX in esecuzione sul servizio ATP (Autonomous Transaction Processing).

Obiettivi

• Creare e configurare un compartimento e un dominio di Identity per le applicazioni.
• Distribuire un'applicazione Oracle Analytics Cloud e un'applicazione APEX utilizzando ATP.
• Integra queste due applicazioni con i domini di identità IAM OCI.
• Configurare i criteri di accesso per consentire l'accesso all'applicazione e impedire agli utenti dell'applicazione di collegarsi alla console OCI.

Architettura

Questa esercitazione utilizza l'architettura seguente:

• Compartimenti: compartimento in cui vengono create sia il dominio dell'applicazione che le istanze Oracle Analytics Cloud e ATP per questa esercitazione
• Domini:
  • Dominio predefinito
  • Dominio applicazioni
• Gruppi:
  • Dominio applicazioni:
    • Gruppo di utenti di applicazioni; può accedere solo alle applicazioni nel dominio.
    • Gruppo di utenti di provisioning di Oracle Analytics Cloud e ATP; può eseguire solo il provisioning e la gestione delle istanze di Oracle Analytics Cloud e ATP nel dominio.
  • Dominio predefinito:
    • Gruppo di utenti con autorizzazioni per gestire tutte le risorse nel compartimento utilizzato in questa esercitazione; eseguono tutte le attività amministrative per il dominio delle applicazioni.
• Criteri di accesso:
  • Criterio di accesso predefinito:
    • Regola 1: consente di accedere al gruppo di utenti di provisioning di Oracle Analytics Cloud e ATP.
    • Regola 2: nega l'accesso.
  • Criterio di accesso alle applicazioni:
    • Applicazioni: applicazioni Oracle Analytics Cloud e APEX.
    • Regola: consente l'accesso al gruppo di utenti dell'applicazione.

Prerequisiti

• Accesso a una tenancy OCI con domini di Identity
• Comprensione del modello IAM OCI, ovvero compartimenti, domini di Identity, gruppi e criteri.
• Crea un utente nel dominio predefinito che può gestire tutte le risorse del compartimento che utilizzerai per l'esercitazione.

Task 1: configurare un compartimento

1. Collegarsi alla console OCI nel dominio predefinito con un utente che dispone delle autorizzazioni per gestire le risorse nella tenancy o a livello di compartimento da cui creare il compartimento di esercitazione come compartimento figlio.

2. Creare un compartimento per l'esercitazione.

   

3. Assicurarsi che l'utente del dominio predefinito a cui si è collegati si trovi in un gruppo che dispone delle autorizzazioni di gestione per questo compartimento. In caso contrario, creare (o chiedere agli amministratori della tenancy di creare) un criterio utilizzando il modello seguente:

   Allow group <group to which your user belongs> to manage all-resources in compartment <compartment name>
   

Task 2: Configurare il dominio delle applicazioni

1. In questo compartimento appena creato creare un dominio di Identity per gli utenti delle applicazioni. Ai fini di questa esercitazione, è possibile utilizzare un dominio gratuito. Si tratta della procedura ottimale poiché separa gli utenti dell'applicazione dagli utenti amministratore.

   

2. Nel dominio appena creato creare un gruppo per gli utenti dell'applicazione. Per il momento non aggiungere utenti a questo gruppo. Lo si farà in seguito nell'esercitazione, quando si eseguono test.

   

3. Creare un gruppo per gli utenti che possono eseguire il provisioning delle istanze di Oracle Analytics Cloud e ATP e assegnare un utente a questo gruppo. Potrebbe essere necessario creare un utente per questo scopo.

   

   

4. Creare criteri per consentire agli utenti di questo gruppo di creare istanze di Oracle Analytics Cloud e ATP nel compartimento creato per questa esercitazione.

   Allow group <apps_domain>/<oac_provisioning_group> to manage analytics_instances in compartment <compartment name>
   Allow group <apps_domain>/<oac_provisioning_group> to manage autonomous_databases in compartment <compartment name>
   

Task 3: configurare l'applicazione Oracle Analytics Cloud

1. Collegarsi al dominio Applicazioni creato nel task 2 con l'utente aggiunto al gruppo che gestisce le istanze di Oracle Analytics Cloud e ATP.

2. Creare l'istanza Oracle Analytics Cloud. Utilizzando la console OCI, è necessario eseguire il provisioning dell'istanza di Oracle Analytics Cloud con un utente appartenente al dominio in cui verranno creati e gestiti gli utenti dell'applicazione. Il motivo è che il processo di provisioning di Oracle Analytics Cloud crea automaticamente un'applicazione Oracle Analytics Cloud nel dominio di cui l'utente esegue il provisioning.

   

   Nota: se per eseguire il provisioning dell'istanza di Oracle Analytics Cloud è stata utilizzata l'API OCI, è possibile eseguire il provisioning dell'istanza di Oracle Analytics Cloud con un utente di un altro dominio, ma ciò non rientra nell'ambito della presente esercitazione.

3. Verificare che l'istanza di Oracle Analytics Cloud sia associata al dominio di Identity al quale si è collegati. A tale scopo, andare al dominio di Identity creato nel task 2 e andare a Oracle Cloud Services. Dovrebbe essere visualizzata un'applicazione creata automaticamente dal processo di provisioning di Oracle Analytics Cloud in OCI.

   

4. Assegnare un ruolo applicazione Oracle Analytics Cloud al gruppo di utenti dell'applicazione.

   

Task 4: configurare l'applicazione APEX

1. Creare un'istanza ATP.

   

2. Creare un'area di lavoro APEX e installarla in un'applicazione APEX di esempio. Andare alla Galleria applicazioni e selezionare una delle applicazioni di esempio, ad esempio l'applicazione Calendario di esempio.

   

3. Uscire dal dominio con questo utente di provisioning di Oracle Analytics Cloud e ATP. Dovrai accedere con l'utente utilizzato all'inizio dell'esercitazione, che dispone delle autorizzazioni per gestire tutte le risorse nel compartimento dell'esercitazione.

4. Integra l'applicazione di esempio con il dominio di Identity OCI seguendo questa guida.

   • Creare un'applicazione riservata nel dominio delle applicazioni per l'applicazione APEX installata nel passo precedente.
   • Creare una nuova credenziale Web nell'area di lavoro APEX.
   • Creare un nuovo schema di autenticazione per l'applicazione APEX.

Task 5: Configura criteri di accesso

1. Accedere al dominio predefinito e modificare il criterio di accesso predefinito del dominio delle applicazioni. Iniziare modificando la regola di accesso predefinita per consentire l'accesso solo ai membri del gruppo di provisioning di Oracle Analytics Cloud e ATP.

   Nota: ai fini di questa esercitazione, la regola viene mantenuta semplice come descritto di seguito, ma è necessario prescrivere l'accesso a MFA per un caso d'uso di produzione.

   

2. Aggiungere un'altra regola di accesso al criterio di accesso predefinito. Questa regola viene valutata dopo la prima regola e nega l'accesso al dominio a ogni utente.

   

   Ora dovresti avere due regole nel criterio di accesso predefinito, come mostrato di seguito.

   

3. Creare un nuovo criterio di accesso per consentire agli utenti dell'applicazione di accedere solo alle proprie applicazioni.

   

4. Associare a questo nuovo criterio sia l'applicazione APEX creata nel task 4 che l'applicazione Oracle Analytics Cloud di cui è stato eseguito automaticamente il provisioning nel task 3.

   

5. Creare una regola di accesso per questo criterio per consentire agli utenti del gruppo di applicazioni di accedere a queste due applicazioni.

   

Nota: attivazione/disattivazione dominio

Se, anziché le applicazioni basate su Oracle Analytics Cloud o Oracle Integration, è necessario distribuire applicazioni Web personalizzate, saltare i passi 1 e 2 di questo task e, invece, solo attivare o disattivare il dominio e impedire quindi la selezione nella pagina di accesso della console OCI.

Nella pagina principale del dominio modificare il dominio e impedire che il dominio venga selezionato nella pagina di accesso della console OCI. Ciò impedisce l'accesso della console Web OCI al dominio (inclusi gli utenti dell'applicazione e l'amministratore del dominio).

Task 6: Test

1. Creare un nuovo utente nel dominio delle applicazioni e aggiungerlo al gruppo di applicazioni creato nei task precedenti.

   

2. Collegarsi alla console OCI con l'utente appena creato, selezionando il dominio delle applicazioni e confermando che l'accesso è negato.

   

3. Accedere all'applicazione APEX con l'utente appena creato e confermare che è possibile collegarsi correttamente.

   

4. Effettuare l'accesso all'applicazione Oracle Analytics Cloud con il nuovo utente creato e confermare l'accesso.

   

Collegamenti correlati

• Blog sulla spiegazione delle politiche di accesso

• Documentazione sui criteri di accesso

Passi successivi

I criteri di accesso non sono solo un elemento chiave dell'autenticazione dell'applicazione in OCI, ma sono anche molto facili da usare. Questa esercitazione descrive quanto sia semplice verificare di avere il controllo completo sull'autenticazione degli utenti delle applicazioni, applicando i criteri ben ponderati per la tua organizzazione. I criteri di accesso forniscono funzionalità aggiuntive oltre a quelle utilizzate in questa esercitazione (ad esempio, l'applicazione dell'autenticazione MFA per gruppi specifici di utenti). Assicurati di controllare le risorse aggiuntive per comprendere più a fondo i criteri di accesso utilizzabili.

Conferme

• Autori - Ricardo Malhado (Principal Cloud Solution Architect), Arno Schots (Direttore EMEA Cloud Architects)

Altre risorse di apprendimento

Esplora altri laboratori su docs.oracle.com/learn o accedi a contenuti di formazione gratuiti sul canale YouTube di Oracle Learning. Inoltre, visitare education.oracle.com/learning-explorer per diventare Explorer di Oracle Learning.

Per la documentazione sul prodotto, visitare il sito Oracle Help Center.

---

Titolo e informazioni sul copyright

Configure Sign-on Policies for Oracle Analytics Cloud and APEX Apps on OCI

F82267-01

June 2023

Copyright © 2023, Oracle and/or its affiliates.