Tarefa 8: Configurar Federação de Identidade (Opcional)

Saiba como configurar a federação de identidades para o Oracle Database@Azure.

A configuração da federação de identidades para o Oracle Database@Azure é opcional. A federação permite que os usuários acessem a tenancy do OCI associada ao serviço usando as credenciais do Azure Entra ID. Embora a maioria das operações diárias de banco de dados seja executada no ambiente do Azure e não exija o uso da Console do OCI, algumas tarefas de gerenciamento de banco de dados exigem acesso à OCI.

Use as instruções a seguir para tornar o Azure Entra ID o provedor de identificação da sua tenancy do OCI.

1. Acesse o portal do Azure em https://portal.azure.com/.

2. Procure "Microsoft Entra ID" e selecione Microsoft Entra ID nos resultados da pesquisa para navegar até a página Visão Geral do Entra ID.

3. Em Gerenciar, selecione Aplicativos empresariais.

   

4. Na página Todos os aplicativos, selecione Novo aplicativo.

   

5. Procure "Console do Oracle Cloud Infrastructure" e selecione o resultado da pesquisa para navegar até a página do aplicativo.

   

6. No painel Console do Oracle Cloud Infrastructure, digite um Nome para o nome para exibição do aplicativo no seu ambiente do Azure. Por exemplo: "Console do Oracle Cloud Infrastructure", "Console do OCI" ou "Vendas do Contoso da Console do OCI". Em seguida, selecione Criar para continuar.

   

7. Na página Visão Geral do novo aplicativo, selecione Configurar sign-on único.

   

8. Na página de sign-on Único, selecione SAML para selecionar o protocolo SAML (Security Assertion Markup Language).

   

   O portal redireciona para a página Sign-on Baseado em SAML. Deixe esta janela do browser aberta no seu computador enquanto você executa a próxima série de etapas na Console do OCI. Na Console do OCI, você exportará um arquivo XML de metadados SAML. Você retornará ao Azure para fazer upload do arquivo XML e continuar com a configuração de Sign-on Único.

   

9. Na Console do OCI, navegue até Identidade e Segurança e selecione Domínios.

   

10. Na exibição de lista Domínios, selecione o nome do domínio "Padrão" para abrir a página de detalhes do domínio. Opcionalmente, você pode selecionar outro domínio para configurar o logon único (SSO) para esse domínio.

    

11. Selecione Segurança no menu de navegação da página Visão Geral do domínio de identidades.

    

12. Na página Segurança do domínio, selecione Provedores de identidades no menu de navegação.

    

13. Na página Provedores de identidades, selecione Adicionar IdP e, em seguida, selecione Adicionar SAML IdP.

    

14. Na página Adicionar detalhes, digite o Nome que você deseja exibir na sua página de log-in do OCI durante o sign-on único (SSO). Se desejar, adicione uma descrição. Por exemplo:

    Nome: EntraID

    Descrição: Woodgrove Bank Azure Microsoft EntraID

    Clique em Próximo para continuar.

    

15. Na página Alterar metadados, clique em Exportar metadados SAML.

    

16. No painel Exportar metadados SAML, localize a seção Arquivo de metadados e selecione Fazer Download de XML. Deixe a janela do browser que exibe a Console do OCI aberta no seu computador enquanto você conclui a próxima série de etapas.

    

17. Retorne à janela do browser que exibe a página Sign-on baseado em SAML do portal do Azure e selecione Fazer upload do arquivo de metadados.

    

18. Na janela pop-up Fazer upload do arquivo de metadados, selecione o logotipo da pasta para selecionar o arquivo de metadados SAML XML que você exportou da Console do OCI. Selecione Adicionar para continuar.

    

19. No painel Configuração Básica do SAML, localize o campo URL de Resposta (URL de Serviço do Consumidor de Asserção). Copie o valor deste campo para a área de transferência do computador. Não edite nenhum dos outros campos preenchidos.

    

20. Edite o valor copiado de URL de Resposta (URL de Serviço do Consumidor de Asserção) substituindo /fed/v1/ por /ui/v1/myconsole. Em seguida, cole o URL editado no campo URL de Sign-on e clique em Salvar para continuar.

    Por exemplo, se o campo URL de Resposta (URL do Serviço do Consumidor de Asserção) tiver o seguinte valor:

    https://idcs-123a4b56example1de45fgh6i789j012.identity.oraclecloud.com/fed/v1/

    Em seguida, cole a versão editada do URL conforme o exemplo a seguir mostra:

    https://idcs-123a4b56example1de45fgh6i789j012.identity.oraclecloud.com/ui/v1/myconsole

    

21. Na janela pop-up Testar sign-on único com a Console do Oracle Cloud Infrastructure, selecione Não, vou testar mais tarde.

    

22. Na seção Atributos e Reivindicações, selecione Editar.

    

23. Na seção Reivindicação obrigatória, selecione a reivindicação Identificador de Usuário Exclusivo (ID do Nome).

    

24. No campo Atributo de origem, selecione o identificador de usuário exclusivo apropriado para sua organização:

    • user.mail: Selecione esse valor se as contas de usuário da sua organização usarem um endereço de e-mail como o identificador exclusivo.
    • user.userprincipalname: Selecione esse valor se as contas de usuário da sua organização usarem UserPrincipalName como o identificador exclusivo. Se você usar essa opção, certifique-se de que seu domínio de identidades do OCI não esteja configurado para exigir um endereço de e-mail em contas de usuário. Consulte Requerendo Endereço de E-mail do Usuário para Criação de Conta para obter informações sobre como configurar um domínio de identidades para que novos usuários possam ser criados sem um endereço de e-mail.

    Selecione Salvar, depois selecione X para fechar a caixa de diálogo Gerenciar reivindicação e voltar para a página Sign-on baseado em SAML.

    

25. Na página Sign-on Baseado em SAML, na seção Certificados SAML, localize o campo XML de Metadados da Federação e selecione Fazer Download. Deixe esta janela do browser aberta no seu computador enquanto você executa a próxima série de etapas na Console do OCI.

    

26. Retorne à página Adicionar provedor de identidades SAML na Console do OCI. Selecione Importar metadados IdP (Fazer upload do arquivo XML de metadados). Na seção Fazer upload de metadados do provedor de identidades, selecione o link selecionar um... para selecionar o arquivo XML de metadados IdP baixado do link de download XML de Metadados da Federação na etapa anterior.

    

27. Depois de fazer upload do arquivo XML, o nome do arquivo é exibido abaixo da seção Fazer upload do provedor de identificação. Selecione Próximo para continuar.

    

28. Na página Mapear identidade do usuário, selecione o seguinte e, em seguida, selecione Próximo para continuar:

    • Formato de ID do Nome Solicitado: Selecione o identificador exclusivo especificado na etapa 24 (endereço de e-mail ou UserPrincipalName).
    • Atributo do usuário do provedor de identidades: ID do Nome da asserção SAML
    • Atributo do usuário do domínio de identidades: Especifique o endereço de e-mail ou o nome de usuário principal, conforme configurado na etapa 24.
    

29. Na página Revisar e Criar do workflow Adicionar provedor de identidades SAML, revise as informações exibidas e selecione Criar IdP.

    

30. Na página O Que Vem a Seguir? do fluxo de trabalho Adicionar provedor de identidades SAML, selecione Ativar para Ativar o IdP. Aguarde até que a mensagem "EntraID identity provider has been enabled" seja exibida na página antes de continuar.

    
31. Na página O Que Vem a Seguir? do fluxo de trabalho Adicionar provedor de identidades SAML, selecione Adicionar à política IdP.

32. Na página Políticas do provedor de identidades (IdP), selecione Política do Provedor de Identidades Padrão.

    

33. Na página de detalhes da política Política do Provedor de Identidades Padrão, na seção Regras de teste de identidade, selecione Editar regra IdP.

    

34. No painel Editar regra de provedor de identidades, no campo Designar provedores de identidades, digite o valor "EntraID". O campo exibe "Username-Password" por padrão.

    Selecione Salvar alterações para continuar.

    
35. Importante
    
    

    Nas etapas a seguir, você configura o Aplicativo Confidencial do OCI para que provisione usuários do EntraID no OCI. Observe que todos os usuários devem incluir os seguintes valores de campo ou o provisionamento do usuário no OCI falhará:

    • Nome
    • Sobrenome
    • Nome para exibição
    • endereço de e-mail (se o domínio de identidades do OCI exigir um endereço de e-mail)

    Para descobrir se o seu domínio de identidades do OCI requer um endereço de e-mail para criar novos usuários, consulte Requerendo Endereço de E-mail do Usuário para Criação de Conta. Consulte a etapa 24 nesta tarefa para obter informações sobre como configurar o identificador exclusivo para usuários do Azure.

    Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Domínios.
36. Selecione Domínio Padrão. Em seguida, selecione Aplicativos integrados.
37. Selecione Adicionar aplicativo.

38. Na janela Adicionar aplicativo, selecione Aplicativo Confidencial e, em seguida, selecione Iniciar workflow.

    

39. Na página Adicionar detalhes do aplicativo do workflow Adicionar Aplicativo Confidencial, informe o seguinte:

    • Nome: Digite um nome para o aplicativo confidencial. Você pode inserir até 125 caracteres.
    • Descrição: Digite uma descrição para o aplicativo confidencial. Você pode inserir até 250 caracteres.

    Revise as configurações opcionais e selecione Próximo.

    

40. Na página Configurar OAuth, na seção Configuração do cliente, selecione Configurar este aplicativo como cliente agora.

    

41. Na página Configurar OAuth, na seção Configuração do cliente, selecione Credenciais do Cliente

    

42. Na página Configurar OAuth, role para baixo e localize a seção Política de emissão de token. Em Recursos autorizados, selecione Específico e marque Adicionar atribuições de aplicativo para abrir a seção Atribuições de aplicativo do workflow.

    

43. Na seção Atribuições de aplicativo, selecione Adicionar atribuições e procure "Administrador de Usuário". Na lista de resultados da pesquisa, selecione Administrador de Usuários e Adicionar.

    

44. Com a função Administrador de Usuário sendo exibida na lista Atribuições de Aplicativo, selecione Próximo.

    

45. Na página Configurar política, revise a seleção padrão e selecione Finalizar.

    

46. Na guia Aplicativos integrados da página de detalhes do domínio "Padrão", selecione o nome do aplicativo Entra ID que você criou para abrir a página de detalhes do aplicativo.

    

47. Selecione Ativar na página de detalhes.

    

    Confirme se o status do aplicativo é "Ativo".

    

48. Localize a seção Informações Gerais da página de detalhes do aplicativo Entra ID. Nesta seção, faça o seguinte:

    • Copie o valor Client ID em um bloco de notas ou outro local do computador para usar em um comando da CLI discutido na próxima etapa.
    • Selecione Mostrar segredo e copie o segredo do cliente para o arquivo com seu ID de Cliente.
    

    Feche a caixa de diálogo Segredo do cliente após copiar o segredo para continuar.

    

49. Use o ID do Cliente e os valores secretos do Cliente para criar o comando a seguir.

    echo -n <clientID>:<clientsecret> | base64 --wrap=0

    Por exemplo:

    echo -n 7a5715example8b7429cdexample74a:63n8765exmaple49asbcs56abc235784 | base64 --wrap=0

50. Execute o comando no OCI Cloud Shell (CLI). Selecione o ícone do Cloud Shell no cabeçalho da Console do OCI e, em seguida, selecione Cloud Shell para abrir a interface CLI na janela do browser. Cole o comando na CLI e execute o comando.

    Consulte os seguintes tópicos para obter mais informações:

    • Usando o Cloud Shell
    • Política do Serviço IAM Obrigatória
    
51. Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Domínios.
52. Selecione Domínio Padrão para abrir a página de detalhes do domínio "Padrão".

53. Na página Visão Geral do domínio, copie a URL do Domínio para um bloco de notas ou outro local no computador.

    Por exemplo:

    https://idcs-638a9b18aexampleb77becf0f123d691.identity.oraclecloud.com:443

    

54. Retorne à página Aplicativo Empresarial do portal do Azure exibindo detalhes do Sign-on baseado em SAML mostrados na etapa 25. Selecione Provisionamento na seção Gerenciar.

    

55. Na página Provisioning, informe o seguinte:

    • Modo de Provisionamento: Automático

    • URL do Tenant: Edite o URL copiado da etapa 53 da seguinte forma:

      • Remover ":443" no final do URL
      • Adicione "/admin/v1" ao final do URL

      Por exemplo:

      https://idcs-638a9b18aexampleb77becf0f123d691.identity.oraclecloud.com/admin/v1

      Após editar o URL, cole-o no campo URL do Tenant.

    • Token Secreto: Cole o segredo de criptografia base64 copiado da Console do OCI na etapa 49.

    Selecione Testar Conexão e Salvar para continuar.

    
    Importante
    
    Aguarde a mensagem que confirma que a conexão foi bem-sucedida. A mensagem é exibida no canto superior direito da página.

56. Na página Provisionamento, selecione Provisionar Usuários do Microsoft Entra ID na seção Mapeamentos.

    

57. Na página Mapeamento de Atributo, localize a seção Mapeamentos e selecione Adicionar Novo Mapeamento.

    

58. Na página Editar Atributo, informe o seguinte:

    • Tipo de mapeamento: Expressão
    • Expressão: CBool("true")

    • Atributo de destino: Selecione a string que termina em ":isFederatedUser". Por exemplo:

      urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:isFederateUser

    Selecione OK para continuar.

    

59. Na página Mapeamento de Atributo, selecione Adicionar Novo Mapeamento novamente para adicionar um segundo mapeamento.

60. Na página Editar Atributo, informe o seguinte:

    • Tipo de mapeamento: Expressão
    • Expressão: CBool("true")

    • Atributo de destino: Selecione a string que termina em ":bypassNotification". Por exemplo:

      urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:bypassNotification

    Selecione OK para continuar.

    

61. Navegue até a página Visão Geral de Aplicativos Empresariais do Azure para o aplicativo criado nas etapas de 3 a 6 desta tarefa e selecione Designar usuários e grupos.

    
    Importante
    
    

    Todos os usuários devem incluir os seguintes valores de campo ou as designações de usuário no OCI falharão:

    • Nome
    • Sobrenome
    • Nome para exibição
    • endereço de e-mail (se o domínio de identidades do OCI exigir um endereço de e-mail)

    Para descobrir se o seu domínio de identidades do OCI requer um endereço de e-mail para criar novos usuários, consulte Requerendo Endereço de E-mail do Usuário para Criação de Conta. Consulte a etapa 24 nesta tarefa para obter informações sobre como configurar o identificador exclusivo para usuários do Azure.

62. Selecione Adicionar usuário/grupo e adicione os usuários e grupos que você deseja incluir na federação de identidades. Depois que você informar os usuários e grupos, eles serão sincronizados com sua conta do OCI.