OCI IAM 도메인별 스프레드시트 추가 기능 액세스

Oracle Cloud Infrastructure Identity and Access Management(OCI IAM)는 ID 도메인을 사용하여 인증, SSO(Single Sign-On), OCI용 ID 수명 주기 관리, SaaS, 클라우드 호스팅 또는 온프레미스 등 Oracle 및 비Oracle 애플리케이션용 ID 및 액세스 관리 기능을 제공합니다.

Oracle Identity and Access Management(IAM) 연결에서 스프레드시트 추가 기능을 사용할 수 있습니다. 다음 작업을 수행해야 합니다.

주:

통합 애플리케이션 생성, OAuth 구성 및 연결 파일 생성은 admin 사용자가 수행해야 합니다.

연결 파일이 생성된 후에는 모든 사용자와 공유하여 도메인 로그인을 사용으로 설정할 수 있습니다.

필요 조건
  • OCI 사용자는 Oracle Autonomous Databases 및 OCI IAM 도메인을 관리하는 데 필요한 정책을 가지고 있어야 합니다. 모든 서비스의 정책 참조에 대한 자세한 내용은 정책 참조를 참조하십시오.
  • Oracle Autonomous Database를 사용할 수 있어야 합니다. 자세한 내용은 Autonomous Database 인스턴스 프로비저닝을 참조하십시오.

도메인 통합 애플리케이션 생성 또는 사용

OCI(Oracle Cloud Infrastructure)에서 도메인 통합 애플리케이션을 사용하려면 다음 단계에 따라 ID 도메인을 생성 및 구성한 다음 정책 및 통합을 설정합니다.
  1. ID 도메인 사용:
    • 관리자 계정을 사용하여 OCI 콘솔에 기본 ID 도메인에 사인인합니다.
    • OCI 콘솔 탐색 메뉴에서 통합 애플리케이션을 누릅니다.
    • 통합 애플리케이션 목록 페이지에서 애플리케이션 추가를 선택합니다.
    • 애플리케이션 추가 창에서 기밀 애플리케이션, 워크플로우 시작 순으로 선택합니다.



      응용 프로그램 세부 정보 추가 페이지에서 다음 표를 사용하여 응용 프로그램 세부 정보 및 표시 설정을 구성합니다.

      표 19-1 응용 프로그램 세부 정보 및 해당 설명

      옵션 설명
      이름

      기밀 애플리케이션의 이름을 입력합니다. 최대 125자까지 입력할 수 있습니다.

      응용 프로그램 이름은 가능한 짧게 유지하십시오. 이 예에서는 스프레드시트 추가 기능을 사용합니다.

      설명 기밀 애플리케이션에 대한 설명을 입력합니다. 최대 250자까지 입력할 수 있습니다.
      응용 프로그램 아이콘

      이 필드는 선택사항입니다. 이 필드를 건너뛸 수 있습니다.

      업로드를 눌러 애플리케이션을 나타내는 아이콘을 추가합니다. 이 아이콘은 [내 앱] 페이지 및 [애플리케이션] 페이지에 있는 애플리케이션의 이름 옆에 나타납니다.

      응용 프로그램 URL 이 필드는 선택사항입니다. 이 필드를 건너뛸 수 있습니다.

      성공적으로 로그인한 후 사용자가 재지정될 URL(HTTP 또는 HTTPS)을 입력하십시오.

      사용자정의 로그인 URL 이 필드는 선택사항입니다. 이 필드를 건너뛸 수 있습니다.

      사용자 정의 로그인 URL 필드에서 사용자 정의 로그인 URL을 지정할 수 있습니다. 그러나 Oracle Identity Cloud Service에서 제공하는 기본 로그인 페이지를 사용하는 경우 이 필드를 비워 둡니다.

      사용자정의 로그아웃 URL 이 필드는 선택사항입니다. 이 필드를 건너뛸 수 있습니다.

      사용자 정의 로그아웃 URL 필드에서 사용자 정의 로그아웃 URL을 지정할 수 있습니다. 그러나 Oracle Identity Cloud Service에서 제공하는 기본 로그인 페이지를 사용하는 경우 이 필드를 비워 둡니다.

      사용자정의 오류 URL 이 필드는 선택사항입니다. 이 필드를 건너뛸 수 있습니다.

      실패 시에만 사용자를 재지정해야 하는 오류 페이지 URL을 입력할 수 있습니다. 지정되지 않은 경우 테넌트별 오류 페이지 URL이 사용됩니다.

      내 앱에 표시 이 확인란을 선택하지 마십시오.

      내 앱 페이지에서 기밀 애플리케이션이 사용자에게 나열되도록 하려는 경우에만 체크박스를 선택합니다. 이 경우 응용 프로그램을 리소스 서버로 구성해야 합니다.

      사용자가 액세스를 요청할 수 있음 이 확인란을 선택하지 마십시오.

      일반 사용자가 내 앱 페이지에서 앱에 대한 액세스를 요청할 수 있도록 하려는 경우에만 체크박스를 선택합니다.

      태그 이 필드를 건너뜁니다.

      기밀 애플리케이션을 구성 및 식별하기 위해 태그를 추가하려는 경우에만 태그 추가를 누릅니다.

    • 다음을 눌러 OAuth 구성 탭으로 이동합니다.
    • OAuth 구성 탭의 리소스 서버 구성 마법사에서 다음을 수행합니다.

      지금 이 응용 프로그램을 리소스 서버로 구성을 선택하여 응용 프로그램의 리소스를 보호하고 내 응용 프로그램 페이지에 응용 프로그램을 표시합니다.



      다음 표를 사용하여 열리는 OAuth 보호가 필요한 애플리케이션 API 구성 섹션의 정보를 입력합니다.

      표 19-2 응용 프로그램 API를 구성하기 위한 옵션 및 설명

      옵션 설명
      액세스 토큰 만료 기본값을 3600초로 유지합니다.

      기밀 애플리케이션과 연관된 액세스 토큰이 유효한 상태로 유지되는 기간(초)을 정의합니다.

      새로고침 토큰 허용 이 확인란을 선택하지 마십시오.

      리소스 소유자, 권한 부여 코드 또는 검증 권한 부여 유형을 사용할 때 가져오는 새로고침 토큰을 사용하려면 이 체크박스를 선택합니다.

      새로고침 토큰 만료 이 옵션을 선택하지 마십시오.

      액세스 토큰과 함께 반환되고 기밀 애플리케이션과 연관된 새로고침 토큰이 유효한 상태로 유지되는 기간(초)을 정의할 수 있습니다.

      기본 대상

      "ords/"를 입력합니다.

      기밀 애플리케이션의 액세스 토큰이 처리되는 기본 수신자입니다.

      보조 대상 이 필드를 건너뜁니다.

      기밀 애플리케이션의 액세스 토큰을 처리할 보조 수신자를 입력하고 추가를 눌러야 합니다. 이 예에서는 보조 수신자가 없습니다.

      추가(허용된 범위)

      응용 프로그램에 액세스할 다른 응용 프로그램의 일부를 지정하려면 이 단추를 눌러 기밀 응용 프로그램에 해당 범위를 추가합니다.

      애플리케이션은 외부 파트너 또는 기밀 애플리케이션과 안전하게 상호 작용해야 합니다. 또한 한 Oracle Cloud 서비스의 애플리케이션은 다른 Oracle Cloud 서비스의 애플리케이션과 안전하게 상호 작용해야 합니다. 각 응용 프로그램에는 다른 응용 프로그램에서 사용할 수 있는 리소스를 결정하는 응용 프로그램 범위가 있습니다.
    • 범위 추가를 누르고 추가를 선택합니다.



      범위 추가 마법사에서 다음 필드 값을 지정합니다.
      • 범위: oracle.dbtools.auth.privileges.builtin.ResourceModules
      • 표시 이름: 선택적 필드입니다.

      • 설명: 선택적 필드입니다.

      추가를 누릅니다.

      범위로 oracle.dbtools.auth.privileges.builtin.ResourceModules을 추가했습니다.

      마찬가지로 기밀 애플리케이션에 다음 범위를 추가합니다.
      • oracle.dbtools.sdw.user
      • oracle.dbtools.ords.db-api.developer
      • adp_lmd_privilege
      • adp_analytics_privilege

      주:

      도메인에 대해 하나의 기밀 애플리케이션만 각 범위를 사용할 수 있으므로 두 개 이상의 애플리케이션에서 범위를 사용하려면 두 번째 애플리케이션이 기밀 애플리케이션 범위를 참조하는 모바일 애플리케이션일 수 있습니다.



    • 기밀 응용 프로그램 추가 마법사의 [클라이언트 구성] 대화상자에서

      지금 애플리케이션에 대한 권한 부여 정보를 구성하려면 지금 이 애플리케이션을 클라이언트로 구성을 누릅니다.



    • 열려 있는 권한 부여토큰 발행 정책 섹션에서 다음 표를 사용하여 정보를 입력합니다.

      표 19-3 클라이언트 구성 옵션 및 해당 설명

      옵션 설명
      리소스 소유자 이 필드를 선택하지 마십시오.

      기밀 응용 프로그램이 액세스 토큰을 얻기 위해 암호를 사용한 후 암호를 폐기해야 하므로 리소스 소유자가 기밀 응용 프로그램(예: 컴퓨터 운영 체제 또는 높은 권한의 응용 프로그램)과 신뢰 관계를 갖는 경우에만 사용합니다.

      클라이언트 인증서 이 필드를 선택하지 마십시오.

      권한 부여 범위가 클라이언트 제어 하에서 보호된 리소스 또는 권한 부여 서버에 등록된 보호된 리소스로 제한되는 경우에만 사용합니다.

      JWT 검증 이 필드를 선택하지 마십시오.

      권한 부여 서버에서 직접 사용자 승인 단계 없이 검증으로 표현된 기존 신뢰 관계를 사용하려는 경우에만 사용합니다.

      SAML2 검증 이 필드를 선택하지 마십시오.

      권한 부여 서버에서 직접 사용자 승인 단계 없이 SAML2 검증으로 표현된 기존 신뢰 관계를 사용하려는 경우에만 사용합니다.

      토큰 새로고침 이 필드를 선택하지 마십시오.

      권한 부여 서버에서 새로 고침 토큰을 제공하려는 경우에만 이 권한 부여 유형을 선택한 다음 새 액세스 토큰을 가져오는 데 사용합니다.

      승인 코드 이 필드를 선택하지 마십시오.

      권한 부여 서버를 클라이언트 응용 프로그램과 리소스 소유자 간의 중개자로 사용하여 권한 부여 코드를 가져오려는 경우에만 이 권한 부여 유형을 선택합니다.

      암시적 이 필드를 선택하십시오.

      애플리케이션이 권한 부여 서버 인증에 사용할 클라이언트 인증서를 기밀로 유지할 수 없는 경우 이 체크박스를 선택합니다. 예를 들어, 응용 프로그램은 JavaScript와 같은 스크립팅 언어를 사용하여 웹 브라우저에서 구현됩니다. 액세스 토큰은 중간 권한 부여가 아닌 리소스 소유자 권한 부여 요청에 대한 응답으로 브라우저 재지정을 통해 클라이언트에 반환됩니다.

      장치 코드 이 필드를 선택하지 마십시오.

      클라이언트가 OAuth 권한 부여 서버에서 요청을 수신할 수 없는 경우에만 장치 코드 권한 부여 유형을 선택합니다. 예를 들어, 게임 콘솔, 스트리밍 매체 플레이어, 디지털 그림 프레임 등의 HTTP 서버로 작동할 수 없습니다.

      TLS 클라이언트 인증 이 필드를 선택하지 마십시오.

      클라이언트 인증을 위해 클라이언트 인증서를 사용할 경우에만 TLS Client Authentication(TLS 클라이언트 인증) 권한 부여 유형을 선택합니다. 토큰 요청에 X.509 클라이언트 인증서가 포함되고 요청된 클라이언트가 TLS 클라이언트 인증 권한 부여 유형으로 구성된 경우 OAuth 서비스는 요청에서 Client_ID를 사용하여 클라이언트를 식별하고 클라이언트 구성의 인증서로 클라이언트 인증서를 검증합니다. 두 값이 일치하는 경우에만 클라이언트가 성공적으로 인증됩니다.

      비HTTPS URL 허용 이 필드를 선택하지 마십시오.

      재지정 URL, 로그아웃 URL 또는 사후 로그아웃 재지정 URL 필드에 HTTP URL을 사용하려는 경우에만 이 체크박스를 선택합니다. 예를 들어 내부적으로 요청을 전송하거나, 암호화되지 않은 통신을 원하거나, OAuth 1.0과 역호환되도록 하려는 경우 HTTP URL을 사용할 수 있습니다.

      재지정 URL 인증 후 사용자가 재지정되는 애플리케이션 URL https://static.oracle.com/cdn/spreadsheet/red-4/redirector.html을 입력합니다.

      주:

      절대 URL을 제공하십시오. 상대 URL은 지원되지 않음
      로그아웃 URL

      이 필드를 건너뜁니다.

      기밀 애플리케이션에서 로그아웃한 후 재지정될 URL을 입력합니다.
      사후 로그아웃 재지정 URL

      애플리케이션에서 로그아웃한 후 사용자를 재지정할 URL을 입력합니다. https://static.oracle.com/cdn/spreadsheet/red-4/redirector.html

      클라이언트 유형

      기밀을 선택합니다.

      사용 가능한 클라이언트 유형은 신뢰됨기밀입니다. 클라이언트가 자체 서명된 사용자 검증을 생성할 수 있는 경우에만 신뢰됨을 선택합니다.

      허용된 작업

      이 필드를 건너뜁니다. 선택사항입니다.

      • 응용 프로그램에 대한 토큰 검사 끝점에 대한 액세스를 허용하려는 경우에만 Introspect 확인란을 선택합니다.

      • 사용자의 권한만으로 액세스 권한을 생성할 수 있도록 하려면 대신 확인란을 선택합니다. 이렇게 하면 클라이언트 애플리케이션 자체가 일반적으로 액세스 권한을 가지지 않는 경우에도 사용자가 액세스할 수 있는 엔드포인트에 클라이언트 애플리케이션이 액세스할 수 있습니다.
      ID 토큰 암호화 알고리즘

      기본값은 none입니다.

      허용된 클라이언트 IP 주소 이 필드를 건너뜁니다. 선택사항입니다.
      인증된 리소스

      모두를 선택합니다.

      다음 옵션 중 하나를 선택하여 클라이언트 응용 프로그램이 권한이 부여된 리소스에 액세스하도록 허용할 수 있습니다.

      주:

      권한이 부여된 리소스를 정의하는 옵션은 기밀 애플리케이션에만 사용할 수 있습니다. 모바일 애플리케이션에는 신뢰 범위를 정의할 수 있는 옵션이 없습니다.
      리소스 이 필드를 건너뜁니다. 선택사항입니다.

      애플리케이션이 다른 애플리케이션의 API에 액세스하도록 하려는 경우에만 기밀 애플리케이션 추가 페이지의 토큰 발행 정책 섹션에서 추가를 누릅니다.

      Identity Cloud Service 관리 API에 액세스할 권한을 클라이언트에 부여합니다 이 필드를 건너뜁니다. 선택사항입니다.

      기밀 애플리케이션이 Oracle Identity Cloud Service API에 액세스할 수 있도록 하려면 추가를 누릅니다.

      앱 롤 추가 창에서 이 애플리케이션에 지정할 애플리케이션 롤을 선택합니다. 이렇게 하면 애플리케이션이 지정된 각 애플리케이션 역할이 접근할 수 있는 REST API에 접근할 수 있습니다.

    • 다음을 눌러 기밀 애플리케이션 추가 마법사의 [구성] 정책 탭으로 이동합니다.
    • 기밀 애플리케이션 추가 마법사의 웹 계층 정책 페이지에서 건너뛰기 후 나중에 수행을 누릅니다.



    • 완료를 누릅니다.

      애플리케이션이 비활성화된 상태로 추가되었습니다. 작동하려면 활성화해야 합니다.

      애플리케이션 추가됨 대화상자에 표시되는 클라이언트 ID클라이언트 암호를 기록합니다.

      이 ID 및 암호를 접속 설정의 일부로 사용하여 기밀 애플리케이션과 통합할 수 있습니다. 클라이언트 ID클라이언트 암호는 애플리케이션이 Oracle Identity Cloud Service와 통신하는 데 사용하는 인증서(예: ID 및 암호)와 같습니다.

원하는 범위가 지정된 클라이언트 유형의 기밀 애플리케이션을 생성했습니다.

Autonomous Database 스키마에 대해 IAM 로그인 사용

필요 조건:
다음 지침을 통해 ORDS는 JWT 베어러 토큰을 검증하고 보호된 리소스에 대한 액세스 권한을 부여할 수 있습니다. JWT 프로파일 세부정보를 설정하여 발행자, 대상자 및 JWK URL이 올바르게 구성되었는지 확인할 수 있습니다.
  • SQL Worksheet의 Navigator 탭에 있는 Schema drop-down list에서 ORDS_METADATA를 선택합니다.
  • Object type drop-down list에서 Packages를 선택합니다.
  • Search 필드에 ORDS_SECURITY를 입력합니다. 검색 함수는 ORDS_SECURITY로 시작하는 모든 항목을 검색합니다.
  • ORDS_SECURITY 패키지를 확장합니다.



  • CREATE_JWT_PROFILE을 마우스 오른쪽 단추로 누르고 RUN을 누릅니다. 그러면 RUN CODE 대화상자가 열립니다.
    코드 실행… 대화상자에서 다음 필드 값을 지정합니다.
    • P_ISSUER- https://identity.oraclecloud.com/. 이 필드는 Null이 아닌 값이어야 하며 단일 쉼표로 채워야 합니다.
    • P_AUDIENCE-ords/ 이 필드는 Null이 아닌 값이어야 합니다.
    • P_JWK_URL - /admin/v1/SigningCert/jwk를 사용하여 DOMAIN URL을 추가합니다. https://로 시작하는 널이 아닌 값이어야 하며, 권한 부여 서버에서 제공하는 공용 확인 키를 JWK(JSON Web Key) 형식으로 식별해야 합니다.

      OCI 콘솔의 ID 및 보안 탐색 메뉴에 있는 도메인 메뉴에 있는 [도메인 정보] 탭에서 도메인 URL을 볼 수 있습니다.



      자세한 내용은 https://docs.oracle.com/en/cloud/paas/iam-domains-rest-api/api-security-signing-certificates-jwk.html을 참조하십시오.

    • P_DESCRIPTION - 이 프로파일에 대한 설명을 입력합니다. 예를 들어, "JWT Demo confluence"입니다.
    • P_ALLOWED_AGE-"0"
    • P_ALLOWED_SKEW-"0"



    스크립트 실행를 누릅니다.

    JWT 프로파일이 구성되면 일반 사용자는 JWT 프로파일에 지정된 JWT 토큰을 제공하여 ORDS 보호 리소스에 액세스할 수 있습니다.

연결 파일 생성

  1. 접속을 추가하려면 [접속] 창의 머리글에 있는 추가 단추를 누릅니다. 그러면 새 연결 추가 대화상자가 열립니다.

  2. 새 연결 추가 대화 상자에서 다음 필드를 지정합니다.
    • 접속 이름: 접속의 이름을 입력합니다.
    • Autonomous Database URL: 접속할 Autonomous Database의 URL을 입력합니다. Autonomous Database의 웹 UI에서 전체 URL을 복사합니다. 예를 들어, 다음 링크 "https://<hostname>-<databasename>.adb.<region>.oraclecloudapps.com/"를 입력하거나 복사하여 데이터베이스에 연결합니다.
    • OCI IAM 연결 유형을 선택합니다.
    • 도메인 URL: 도메인 정보 탭에서 도메인 URL을 입력합니다.
    • 클라이언트 ID: 도메인 통합 애플리케이션 생성에서 기록한 클라이언트 ID를 입력합니다.
    • OAuth 클라이언트 ID: 도메인 통합 애플리케이션 생성에서 기록한 클라이언트 암호를 입력합니다.
    • 스키마: Enable IAM Login for Autonomous Database Schema에 사용할 동일한 스키마를 입력합니다.

연결이 생성된 후 이 도메인의 다른 사용자와 공유할 수 있습니다.