Esegui provisioning e configura servizi Oracle Cloud Infrastructure

In questa sezione viene fornito un riepilogo del provisioning e della configurazione per Oracle WebLogic Server for OCI e altri servizi richiesti per le applicazioni di estensione Oracle Fusion, tra cui Single Sign-On (SSO) e la configurazione di sicurezza dei servizi Web. Per informazioni dettagliate, vedere la documentazione completa del prodotto.

Configurazione	Obbligatorio	Note
Dominio di base (non JRF)	N/A	nessuno
Configura dominio SSL (dopo la creazione)	Obbligatorio	nessuno
Configurazione del database	Obbligatorio	nessuno
Autenticazione di Oracle Identity Cloud Service WebLogic	Obbligatorio	nessuno
Integrare le API utente e gruppo OPSS con Oracle Identity Cloud Service	Opzionale	Obbligatorio se l'applicazione utilizza Oracle Platform Security Services (OPSS) per creare i criteri di autorizzazione
Dominio abilitato per JRF	Obbligatorio	nessuno
Load balancer e SSL abilitati	Obbligatorio	Deve essere configurato come load balancer pubblico. Inoltre, sarà necessario ottenere un certificato CA e importarlo nel load balancer.
Peering VCN locale	Opzionale	Obbligatorio se i VCN per Oracle WebLogic Server for OCI e le istanze di database sono diversi.
Versione minima Oracle WebLogic Server	Obbligatorio	12.2.1.3 o versione successiva
Subnet privata per dominio WLS	Opzionale	nessuno
Oracle WebLogic Server Edition	Obbligatorio	Enterprise Edition
Nodi server Oracle WebLogic Server	Obbligatorio	Minimo 1, massimo 8. Oracle Java Cloud Service - SaaS Extension ha supportato 1, 2 o 4 nodi.
Forma VM Weblogic	Obbligatorio	1 OCPU / 8 GB di RAM o forma maggiore.

Eseguire i passi dei prerequisiti per la distribuzione di Oracle WebLogic Server for OCI

Per poter distribuire Oracle WebLogic Server per OCI sono necessari alcuni prerequisiti.

La documentazione di Oracle WebLogic Server for OCI fornisce informazioni dettagliate sui prerequisiti di configurazione richiesti prima di poter distribuire Oracle WebLogic Server for OCI. Di seguito è riportato un riepilogo dei passi dei prerequisiti con alcuni requisiti chiave. Per informazioni dettagliate su ogni scelta, requisito e passo, consultare la documentazione del prodotto Oracle WebLogic Server for OCI.

Creare un database in Oracle Cloud Infrastructure.
Un dominio abilitato per JRF supporta Oracle Application Development Framework (ADF). Quando si crea un dominio con Oracle WebLogic Server for OCI e si associa a un database esistente, Oracle WebLogic Server for OCI effettua le operazioni riportate di seguito.
- Provisioning degli schemi per supportare i componenti JRF nel database selezionato
- Provisioning delle origini dati nel dominio che forniscono connettività al database selezionato
- Distribuisce i componenti e le librerie JRF nel dominio
Scegliere una delle opzioni di database riportate di seguito.
- Oracle Autonomous Transaction Processing (consigliato)
- Oracle Cloud Infrastructure ha supportato sistemi DB Bare Metal e Virtual Machine
Per i dettagli, consulta la documentazione del prodotto Oracle WebLogic Server for OCI.
Oracle WebLogic Server for OCI può creare una rete cloud virtuale e una o più subnet in Oracle Cloud Infrastructure per un nuovo dominio Oracle WebLogic Server oppure è possibile scegliere di creare manualmente la propria VCN e la propria subnet prima di creare un dominio.
Oracle consiglia di creare Oracle WebLogic Server per OCI in una subnet privata per motivi di sicurezza. Creare una subnet per il nodo bastion.
1. Per accedere alla console di amministrazione di Oracle WebLogic Server e al dashboard Oracle Enterprise Manager, creare un tunnel delle porte dinamico con il nodo bastione e utilizzare un proxy SOCKS5 con la porta selezionata.
2. Accedere alla console di amministrazione di Oracle WebLogic Server in una subnet privata.
  Le istanze di calcolo Oracle WebLogic Server assegnate a una subnet privata non sono accessibili da Internet pubblico. Per accedere alla console di amministrazione di Oracle WebLogic Server per amministrare tali istanze, è possibile utilizzare l'istanza bastion creata su una subnet pubblica e l'inoltro dinamico della porta con una utility SSH (Secure Shell).
3. Analogamente, accedere alla Fusion Middleware Control Console in una subnet privata, di nuovo utilizzando l'istanza bastion con inoltro dinamico della porta.
4. Creare una regola di instradamento per consentire l'accesso a Internet pubblico alle istanze di computazione di Oracle WebLogic Server for OCI. Nella tabella di instradamento per la subnet privata, creare una regola con destinazione 0.0.0.0/0, tipo di destinazione Gateway NAT.
Nell'istanza di Oracle Identity Cloud Service associata all'istanza di Oracle Fusion Applications, creare un'applicazione riservata, quindi identificarne l'ID client e il segreto client.
1. In Oracle Identity Cloud Service Console selezionare la scheda Applicazione, fare clic su Aggiungi, quindi nella finestra Aggiungi applicazione selezionare Applicazione riservata.
2. Nella pagina Dettagli assegnare un nome alla nuova applicazione. Altri dettagli sono facoltativi.
3. Selezionare Configura questa applicazione come client ora nella pagina Client.
4. In Autorizzazione abilitare i tipi di concessione consentiti seguenti: Proprietario risorsa, Credenziali client e Asserzione JWT.
5. Fare clic su Successivo e nella pagina Autorizzazione fare clic su Fine per salvare l'applicazione.
6. Creare una copia dell'ID client e del segreto client nella casella di notifica Applicazione aggiunta.
7. Ora che l'applicazione viene creata e salvata, fare clic sulla scheda Configurazione ed espandere la sezione Configurazione client.
8. In Criterio di emissione token, nella sezione secondaria Concedi accesso client alle API di amministrazione di Identity Cloud Service fare clic sul pulsante Aggiungi e selezionare il ruolo Amministratore dominio di Identity.
9. Fare clic su Salva.
10. Attivare la nuova applicazione. Selezionare Applicazioni, quindi l'applicazione. Fare clic su Attiva accanto al nome dell'applicazione.
Preparare i segreti di Vault: una chiave di cifratura e segreti per le password.
Una chiave di cifratura consente di cifrare i contenuti dei segreti richiesti per Oracle WebLogic Server for OCI. È possibile utilizzare una chiave esistente oppure Oracle Cloud Infrastructure Vault per creare un vault e una chiave di cifratura.
Utilizzare i segreti in Oracle Cloud Infrastructure Vault per memorizzare le password necessarie per creare un dominio all'interno di Oracle WebLogic Server for OCI. Fornire i segreti per queste password:
- Password amministratore per il nuovo dominio
- Password amministratore per il database
- Segreto client per l'applicazione riservata creata in Oracle Identity Cloud Service per l'autenticazione
1. Creare un'istanza di servizio Vault nella console di Oracle Cloud Infrastructure selezionando Vault nell'area Sicurezza.
2. Creare una chiave di cifratura. Selezionare l'istanza Vault e fare clic su Chiave di cifratura principale.
3. Per creare segreti per le password di cui sopra, passare al Vault che contiene la chiave di cifratura. Completare la procedura riportata di seguito per ognuno dei segreti che è necessario creare.
4. Fare clic su Segreti e quindi su Crea segreto.
5. Immettere un nome per identificare il segreto.
6. Selezionare la chiave di cifratura.
  La chiave viene utilizzata per cifrare il contenuto segreto durante l'importazione nel vault.
7. In Contenuto segreto immettere la password che si desidera memorizzare in questo segreto.
  Assicurarsi che la password soddisfi le regole per l'account con cui verrà utilizzata. Le password immesse in testo normale sono con codifica base64 prima di essere inviate a Oracle WebLogic Server for OCI.
8. Fare clic su Crea segreto.
9. Quando viene creato il segreto, fare clic sul nome. Copiare l'OCID per il segreto.

Creare un'istanza di Oracle WebLogic Server per OCI

Creare un'istanza di dominio abilitata per JRF di Oracle WebLogic Server for OCI per ospitare le applicazioni Java.

La documentazione di Oracle WebLogic Server for OCI fornisce informazioni dettagliate sui passi necessari per creare l'istanza di Oracle WebLogic Server for OCI. Di seguito è riportato un riepilogo dei passi. Per informazioni dettagliate su ogni passo, consultare la documentazione del prodotto Oracle WebLogic Server for OCI.

In Marketplace creare uno stack immettendo parametri che creano automaticamente un dominio. Quando si crea un dominio abilitato per JRF, è necessario specificare un database Oracle Autonomous Transaction Processing o Oracle Cloud Infrastructure Database. È inoltre possibile specificare una subnet pubblica (regionale o specifica del dominio di disponibilità) o una subnet privata per il dominio. È necessario specificare Oracle WebLogic Server 12c come versione per un dominio abilitato per JRFse si desidera utilizzare un database Oracle Autonomous Transaction Processing.

Utilizzare Marketplace per specificare le informazioni sullo stack iniziale. Nella console di Oracle Cloud Infrastructure passare alla sezione Marketplace e selezionare Applicazioni.
Nel campo Cerca digitare Oracle WebLogic Server Cloud e selezionare lo stack desiderato da creare.
Le scelte di stack corrispondono a diverse edizioni e offerte di licenza. Oracle può modificare di volta in volta le offerte disponibili. Al momento della pubblicazione, Oracle ha offerto le opzioni di licenza Bring Your Own License (BYOL) e Universal Credit Model (UCM). Ad esempio Enterprise Edition BYOL, Standard Edition BYOL o Enterprise Edition UCM.
Nel menu popup selezionare la versione preferita e selezionare il compartimento target. Confermare di aver esaminato e accettato i termini e le restrizioni standard di Oracle selezionando la casella di controllo, quindi fare clic su Avvia stack.
Se si desidera, nel passo Informazioni stack è possibile modificare il nome predefinito, aggiungere una descrizione e applicare tag. Quindi fare clic su Successivo.
Nella pagina Configura variabili della procedura guidata configurare i parametri dell'istanza. È necessario specificare il prefisso del nome della risorsa e un conteggio di forme e OCPU per le istanze di calcolo. Immettere la chiave pubblica SSH, selezionare il numero di server gestiti da creare, un nome utente per l'amministratore Oracle WebLogic Server e l'OCID del segreto che contiene la password per questo amministratore.
Nella stessa pagina, selezionare Configurazione avanzata istanza WLS e configurare parametri avanzati per un dominio. È possibile modificare i numeri di porta predefiniti e rimuovere l'applicazione di esempio qui.
Selezionare i VCN creati per l'istanza di Oracle WebLogic Server. Configurare i parametri di rete e le porte della console del server WebLogic in base alle esigenze.
Selezionare Esegui provisioning load balancer e configurare la rete load balancer per HTTPS.
È possibile che il valore di timeout predefinito causi un problema. Oracle suggerisce di impostare il timeout del load balancer su 60 secondi come punto di partenza e, se necessario, di impostarlo. Al termine del provisioning di Oracle WebLogic Server for OCI, andare al load balancer nella console di Oracle Cloud Infrastructure e modificare le impostazioni di configurazione.
Selezionare Abilita autenticazione mediante Identity Cloud Service. Immettere il nome tenant, denominato anche ID istanza. Immettere l'ID client dell'applicazione riservata creata in precedenza e immettere l'OCID del segreto che contiene il segreto client dell'applicazione.
Nella sezione Database, selezionare Esegui provisioning con JRF, quindi immettere i dettagli del database creato in precedenza. Il database non è per i dati dell'applicazione: contiene gli schemi di infrastruttura richiesti per il dominio abilitato per JRF. Sarà necessario fornire il compartimento, il database, VCN se diverso da WebLogic Server VCN e l'OCID del segreto che contiene la password per l'account amministratore del database.
Controllare il riepilogo nella procedura guidata e quindi fare clic su Crea.

Crea un'origine database per i dati dell'applicazione

Crea un'origine di database per memorizzare i dati delle applicazioni Java che verranno eseguiti su Oracle WebLogic Server for OCI.

È possibile scegliere di utilizzare Oracle Autonomous Transaction Processing o Oracle Cloud Infrastructure Database (DB System) per memorizzare i dati dell'applicazione.

In Oracle WebLogic Server for OCI sono disponibili due script di utility che consentono di creare le origini dati di Oracle Autonomous Transaction Processing: uno script di download che scarica i file wallet in un nodo e uno script di creazione che crea l'origine dati utilizzando i file wallet e le proprietà dell'origine dati fornite. Per eseguire gli script, è necessario accedere ai nodi nel dominio WebLogic come utente opc. Gli script si trovano in /opt/scripts/utils e possono essere eseguiti solo come utente oracle.

Utilizzare la console di amministrazione di Oracle WebLogic Server per creare un'origine dati e stabilire una connessione con un Oracle Cloud Infrastructure Database (sistema DB). Dopo aver verificato il nome PDB per il sistema DB, utilizzare la console di amministrazione di Oracle WebLogic Server per creare un'origine dati JDBC (Java Database Connectivity).

Qualunque sia l'origine dati utilizzata, il database deve consentire alle istanze di calcolo Oracle WebLogic Server di accedere alla porta di ascolto del database (1521 per impostazione predefinita). Aggiornare la lista di controllo dell'accesso (ACL), se necessario.

I dettagli di questi passi di creazione e configurazione dell'origine di database si trovano nella documentazione del prodotto Oracle WebLogic Server for OCI.

Configurare l'autenticazione basata su OAuth in Oracle Identity Cloud Service per i Web Service RESTful

Per abilitare le interazioni dati di RESTful Web Service, è possibile configurare Oracle Identity Cloud Service per gestire l'autenticazione basata su OAuth modificando l'applicazione riservata.

Quando Oracle WebLogic Server for OCI viene distribuito, viene registrata con l'istanza di Oracle Identity Cloud Service associata all'istanza di Fusion Applications SaaS, federata a sua volta per Single Sign-On (SSO), con Fusion Applications che funge da provider di identità. Ciò consente, tuttavia, solo l'autenticazione pass-through dell'utente. Per proteggere i servizi Web basati su REST, utilizzare lo scambio di token basato su OAuth tra Oracle Web Services Manager e Oracle Identity Cloud Service.

Tutti i domini abilitati per JRFincludono Oracle Web Services Manager, che fornisce un framework criteri per gestire e proteggere i Web Service in modo coerente all'interno dell'organizzazione. Sia Oracle Web Services Manager che Oracle Identity Cloud Service supportano il protocollo OAuth. Il client del Web Service richiede un token di accesso autenticandosi con il server di autorizzazione (Oracle Identity Cloud Service) e presentando la concessione di autorizzazione. L'agente lato server Oracle Web Services Manager convalida il token di accesso, quindi accetta la richiesta client se valida.

Configurare OAuth per il provider di servizi Web importando i certificati e creando allegati ai criteri globali. I passi dettagliati per configurare OAuth per il provider di servizi Web si trovano nella documentazione del prodotto Oracle WebLogic Server for OCI.

Stabilire la fiducia tra Oracle Web Services Manager nel dominio client e Oracle Identity Cloud Service importando certificati e creando allegati criteri globali. Il criterio globale interessa tutti i client Web Service distribuiti in questo dominio. In alternativa, è possibile creare criteri per singole applicazioni.

Connettersi al nodo Server di amministrazione nel dominio client come utente opc.
```
ssh -i <path_to_private_key> opc@<node_public_ip>
```
Impostare l'utente oracle.
```
sudo su - oracle
```

Copiare e incollare il testo seguente in un nuovo file denominato config_owsm_client.py.

def config_policyset(policy_set_name,subject_type):
    try:
        beginWSMSession()
        createWSMPolicySet(policy_set_name,subject_type,resource_scope,desc,is_enabled)
        attachWSMPolicy(policy)
        setWSMPolicyOverride(policy,'token.uri',token_uri)
        setWSMPolicyOverride(policy,'oauth2.client.csf.key',csf_key)
        validateWSMPolicySet(policy_set_name)
    finally:
        commitWSMSession()
        displayWSMPolicySet(policy_set_name)
 
ip='<admin_server_IP>'
port='<admin_server_port>'
user='<admin_user>'
pwd='<password>'
client_id='<idcs_app_client_id>'
client_secret='<idcs_app_client_secret>'
token_uri = '<token_endpoint>'
dn_list = '<dn_list>'

Aggiornare le variabili in config_owsm_client.py.
- L'indirizzo IP di questo nodo
- Il numero di porta del server di amministrazione (l'impostazione predefinita è 7001)
- Il nome utente e la password dell'amministratore del dominio
- ID client e segreto dell'applicazione riservata in Oracle Identity Cloud Service creata per il dominio
- L'endpoint del token Oracle Identity Cloud Service
- Il nome distinto (DN) da utilizzare per il certificato generato in Oracle Web Services Manager
- Il nome dell'applicazione client del servizio Web distribuita nel dominio
Ad esempio:
```
ip='203.0.113.30'
port='7001'
user='weblogic'
pwd='<password>'
client_id='ABCD1234efgh5678IJKL9012'
client_secret='<idcs_app_client_secret>'
token_uri = 'https://idcs-1234abcd5678EFGH9012ijkl.identity.oraclecloud.com/oauth2/v1/token'
dn_list = 'CN=OWSM, OU=ST, O=Oracle, L=RedWood, ST=CA, C=US'
app_resource = 'resource=oauth-client'
```

Copiare e incollare il testo seguente in config_owsm_client.py e dopo le dichiarazioni delle variabili.

connect(user, pwd,'t3://' + ip + ':' + port)

csf_key = 'idcs.oauth2.client.credentials'
createCred(map='oracle.wsm.security',key=csf_key,user=client_id,password=client_secret)

is_enabled = true
policy = 'oracle/oauth2_config_client_policy'
resource_scope = 'Domain("*")'
desc = ''
config_policyset('oauth-ps-config-rest-connection','rest-connection')
config_policyset('oauth-ps-config-rest-client','rest-client')
config_policyset('oauth-ps-config-ws-connection','ws-connection')
config_policyset('oauth-ps-config-ws-client','ws-client')
config_policyset('oauth-ps-config-ws-callback','ws-callback')
refreshWSMCache()

svc = getOpssService(name='KeyStoreService')
try:
   svc.createKeyStore(appStripe='owsm', name='keystore', password='',permission=true)
except Exception, ex:
   ex_msg = str(ex)
   if 'Keystore keystore in stripe owsm already exists' in ex_msg:
      print 'Keystore keystore in stripe owsm already exists. Continue...'
   else:
      raise
svc.generateKeyPair(appStripe='owsm', name='keystore', password='', dn=dn_list, keysize='2048', alias='orakey', keypassword='')
 
svc.exportKeyStoreCertificate(appStripe='owsm', name='keystore', password='', alias='orakey', keypassword='', type='TrustedCertificate', filepath='/tmp/orakey.cert')

Eseguire config_owsm_client.py utilizzando WLST.

/u01/app/oracle/middleware/oracle_common/common/bin/wlst.sh config_owsm_client.py

Verificare che lo script sia stato eseguito riesaminando l'output. Ad esempio:

...
Credential created successfully.
Session started for modification.
The policy set was created successfully in the session.
Policy reference "oracle/oauth2_config_client_policy" added.
...
Creating policy set oauth-ps-config-rest-connection in repository.
Session committed successfully.
...
Session started for modification.
The policy set was created successfully in the session.
Policy reference "oracle/oauth2_config_client_policy" added.
...
Creating policy set oauth-ps-config-rest-client in repository.
Session committed successfully.
...
Keystore created
Key pair generated
Certificate exported.

Modificare il proprietario del file di certificato generato nell'utente opc.
```
exit
sudo chown opc:opc /tmp/orakey.cert
```

Scaricare il file di certificato come utente opc.

scp -i <path_to_private_key> opc@<node_public_ip>:/tmp/orakey.cert .

Aggiornare l'applicazione riservata preconfigurata per il client dei servizi Web importando il certificato orakey.cert appena scaricato e creando un ambito per le applicazioni Oracle Cloud basate su Fusion.
1. Nella console di Oracle Identity Cloud Service, nel menu di navigazione fare clic su Applicazioni, quindi fare clic sull'applicazione riservata creata per il dominio client.
2. Fare clic sulla scheda Configurazione, quindi in Configurazione client selezionare Trusted for Client Type.
3. Per Certificato, fare clic su Importa.
4. Per Alias certificato, immettere un nome univoco. Ad esempio, orakey_jh305082020.
5. Selezionare il file orakey.cert scaricato nel passo precedente, quindi fare clic su Importa.
6. Fare clic su Aggiungi ambito.
7. Selezionare Oracle Applications Cloud (Fusion), con un ambito simile a questo esempio:
  urn:opc:resource:fa:instanceid=201911110urn:opc:resource:consumer::all
8. Fare clic su Aggiungi, quindi su Salva.
È necessario un grantPermission per qualsiasi applicazione che utilizzerà i servizi REST. È necessario concedere WSIdentityPermission prima che la propagazione delle identità venga eseguita perché Oracle WebLogic Server for OCI non consente per impostazione predefinita e senza di essa verrà restituito un valore AccessControlException. Applicare grantPermission utilizzando wlst. ad esempio:
```
grantPermission(appStripe=None, codeBaseURL='file:${common.components.home}/modules/oracle.wsm.common/wsm-agent-core.jar',principalClass=None,principalName=None,permClass='oracle.wsm.security.WSIdentityPermission',permTarget=app_resource, permActions='assert')
```
È possibile distribuire e convalidare questa impostazione OAuth con Oracle WebLogic Server for OCI distribuendo ed eseguendo il test dell'applicazione client Web Service di esempio, come descritto nella documentazione del prodotto Oracle WebLogic Server for OCI. In alternativa, è possibile distribuire ed eseguire il test della propria applicazione client Web Service.

Configura servizi SOAP per propagazione identità

Se l'applicazione Java deve accedere a un endpoint di Oracle Applications SOAP Web Services basato su Fusion, è necessario eseguire alcuni passi di configurazione manuale per impostare la propagazione delle identità.

Poiché la configurazione di sicurezza per le interazioni del Web Service SOAP richiede di contattare il Supporto Oracle per ottenere un certificato, Oracle consiglia di utilizzare i protocolli del Web Service REST quando possibile. La propagazione delle identità di REST è preconfigurata, il che evita questo requisito manuale di configurazione e supporto del ticket.

I WSDL SOAP Fusion Applications contengono un certificato X509 in formato binario che deve essere importato nel keystore dei certificati del computer client. In questo modo l'applicazione client può cifrare le richieste di servizio Web a Fusion Applications e l'ambiente Fusion Applications può decifrare la richiesta correttamente. Inoltre, è necessario generare un certificato sul computer client e quindi importarlo nel keystore dei certificati dell'ambiente Fusion Applications. Il Supporto Oracle può aiutare l'importazione del certificato in un ambiente Fusion Applications.

I due certificati abilitano SSL bidirezionale, che è un requisito dell'implementazione SAML in Fusion Applications e fa parte della specifica WS-Security 1.1.

Per configurare l'ambiente per la propagazione delle identità per i servizi Web SOAP, utilizzare Oracle WebLogic Server for OCI come client SOAP e il servizio Fusion Applications sarà un servizio SOAP. I criteri di Oracle Web Services Manager (OWSM) verranno utilizzati per la propagazione delle identità.

Esportare il certificato orakey Oracle WebLogic Server per OCI.
1. Collegarsi alla console di Oracle Enterprise Manager, ad esempio passando a:
  http://<PublicIp>:7001/em
2. Fare clic su Dominio WebLogic, selezionare Sicurezza, quindi selezionare Keystore.
3. Nella tabella Keystore espandere owsm e selezionare la riga del keystore, fare clic sul pulsante Gestisci.
4. Selezionare la voce orakey e annotare il valore Nome oggetto nella riga.
5. Fare clic su Esporta.
  Viene visualizzata una finestra Certificato che mostra il certificato orakey.
6. Fare clic su Esporta certificato e salvare il file esportato come orakey_<WLSOCI_NAME>.cert.
File di una richiesta di servizio con My Oracle Support per stabilire la fiducia nelle Fusion Applications.
Il Supporto Oracle configura l'istanza Fusion Apps in modo che i richiami attendibili dal server WebLogic che contiene le informazioni sul certificato appena esportate. È necessario fornire tutti i dettagli riportati di seguito.
- Nome del servizio cloud Oracle Fusion Applications, dominio di Identity e data center
- Certificato orakey esportato
- Istruzioni per il Supporto Oracle che specificano esplicitamente la richiesta. Ad esempio:
Sto aprendo questa RS per richiedere uno scambio di certificati per stabilire l'affidabilità e abilitare l'asserzione SAML per SOAP WS tra l'istanza di Oracle WebLogic Server for OCI Marketplace e i servizi cloud Fusion Applications. Il certificato è allegato dall'istanza di Oracle WebLogic Server for OCI. È necessario importare il certificato nell'istanza di Fusion Applications e esportare il certificato orakey di Fusion Applications OWSM e il certificato cloudca OWSM (che inizia con CN=<podname>_fasvc, DC=cloud, DC=com" and "CN=Cloud9CA-2, DC=cloud, DC=com) e collegarli a questa RS. Inoltre, riavviare Fusion Applications in base alle esigenze alla fine affinché lo scambio dei certificati sia efficace.
Monitorare il ticket di supporto e fornire tutte le informazioni aggiuntive richieste dal Supporto Oracle. Il Supporto Oracle aggiungerà il certificato al keystore dell'istanza Fusion Applications e imposterà Issuer Trust per abilitare l'asserzione SAML per i Web Service SOAP. Il Supporto Oracle avviserà l'utente al termine del task e invierà una copia di:
- Certificato OWSM orakey delle applicazioni Oracle Fusion
- Certificato OWSM cloudca delle applicazioni Oracle Fusion
Questi certificati saranno necessari per il passo successivo.
Importare il certificato orakey di Fusion Applications in Oracle WebLogic Server per OCI:
1. Collegarsi alla console di Oracle Enterprise Manager, ad esempio passando a:
  http://<PublicIp>:7001/em
2. Fare clic su Dominio WebLogic, selezionare Sicurezza, quindi selezionare Keystore.
3. Nella tabella Keystore espandere owsm e selezionare la riga del keystore, fare clic sul pulsante Gestisci, quindi fare clic su Importa.
4. Nella casella Importa certificato selezionare Certificato protetto. Immettere un alias come orakey_mysaasenv. Selezionare il file che contiene l'opzione Certificato o Catena di certificati, quindi fare clic su Sfoglia... per selezionare il certificato orakey fornito dal Supporto Oracle.
5. Importare il certificato cloudca allo stesso modo, utilizzando un alias come cloudca_faehyp71.
  È possibile che nella tabella sia già presente un certificato cloudca, ma potrebbe non essere il certificato corretto. Dopo aver importato il certificato cloudca fornito dal supporto oracle, è possibile verificare di disporre del certificato corretto ispezionandone il nome oggetto. Deve essere simile al seguente esempio, indicando l'istanza di Fusion Applications:
  
  CN=FAEncryption,DC=cloud,DC=oracle,DC=com

È ora necessario visualizzare i certificati con i relativi alias elencati nella tabella Gestisci certificati: owsm/keystore.