Federação (Opcional)

Saiba como configurar a federação de identidades para o Oracle AI Database@Google Cloud.

A configuração da federação de identidades para o Oracle AI Database@Google Cloud é opcional. A federação permite que os usuários acessem a tenancy do OCI associada ao serviço usando as credenciais do Google Cloud IAM e Admin. Embora a maioria das operações diárias de banco de dados seja executada no ambiente do Google Cloud e não exija o uso da Console do Oracle Cloud, algumas tarefas de gerenciamento de banco de dados exigem o acesso à OCI.

Use as instruções a seguir para tornar o Google Cloud IAM & Admin o provedor de identificação da tenancy do OCI.

1. Na Console do Oracle Cloud, navegue até Identidade e Segurança e selecione Domínios.

   

2. Na exibição de lista Domínios, selecione o nome do domínio "Padrão" para abrir a página de detalhes do domínio. Opcionalmente, você pode selecionar outro domínio para configurar o sign-on único (SSO) para esse domínio.

   

3. Selecione Segurança no menu de navegação esquerdo da página Visão Geral do domínio de Identidades.

   

4. Na página Segurança do domínio, selecione Provedores de identidade no menu de navegação esquerdo.

   

5. Na página Provedores de identidade, selecione Adicionar IdP e, em seguida, Adicionar SAML IdP.

   

6. Informe o Nome que você deseja exibir na página de log-in do OCI ao usar o Sign-on Único (SSO) para acessar a Console do Oracle Cloud. Você pode adicionar uma Descrição. Selecione Próximo para continuar.

   Deixe esta janela ou guia aberta enquanto você executa as próximas etapas que exigem o Console de administração do Google Cloud.

   

7. No Web browser, abra outra guia ou janela e navegue até a Console de administração do Google Cloud em https://admin.google.com/ac/apps/unified.

   

8. Selecione Adicionar aplicativo SAML personalizado no menu Adicionar aplicativo.

   
9. Informe os seguintes detalhes e selecione Continuar:
   • Nome do aplicativo: OracleCloudFederation
   • Descrição: Configura a federação de identidade entre o Google Cloud e o Oracle Cloud para o uso do Oracle AI Database@Google Cloud.
   

10. Em Option1: Fazer DOWNLOAD de metadados IdP, selecione Fazer DOWNLOAD de metadados.

    

    Selecione CONTINUAR. Deixe esta janela ou guia aberta enquanto você executa as próximas etapas na Console do Oracle Cloud.

    

11. Retorne à janela ou guia que exibe a Console do Oracle Cloud. Selecione Importar arquivo XML de metadados IdP Fazer Upload de metadados. Na seção Fazer upload de metadados do provedor de identidades, selecione selecionar um... e navegue até o arquivo XML submetido a download na etapa anterior da console de administração do Google Cloud e faça upload do arquivo.

    

12. Selecione Exportar metadados SAML.

    

13. Na caixa de diálogo Exportar metadados SAML, selecione Exportação manual. Copie os valores de ID do Provedor e URL de serviço do consumidor de asserção em um arquivo de bloco de notas na máquina local. Deixe esta janela ou guia aberta enquanto você executa as próximas etapas que exigem o console de administração do Google Cloud.

    

14. Retorne à guia ou janela que exibe o console de administração do Google Cloud. Na página Detalhes do provedor de serviço, informe o seguinte:

    • URL do ACS: Informe o valor "URL do serviço do consumidor de asserção" copiado da Console do Oracle Cloud na etapa anterior.
    • ID da Entidade: Informe o valor "ID do Provedor" copiado da Console do Oracle Cloud na etapa anterior.

    Selecione CONTINUAR.

    

15. Na página Mapeamento de atributos, selecione ADICIONAR MAPPING.

    

16. Adicione os seguintes mapeamentos de atributo:

    • Nome → FirstName
    • Sobrenome → LastName
    • E-mail principal → PrimaryEmail

    Por exemplo, para o atributo Informações Básicas "Nome", informe o Atributo do aplicativo FirstName.

    

17. Na página Mapeamento de atributo, na seção Associação de grupo, adicione os seguintes grupos criados para o controle de acesso baseado em função (RBAC). O atributo do Aplicativo para os grupos é MemberOf. Selecione FINISH para continuar.

    • odbg-adbs-db-administrators
    • odbg-costmgmt-administrators
    • odbg-db-family-administrators
    • odbg-db-family-readers
    • odbg-dbmgmt-administrators
    • odbg-exa-cdb-administrators
    • odbg-exa-infra-administrators
    • odbg-exa-pdb-administrators
    • odbg-exadb-vm-cluster-administrators
    • odbg-exascale-db-storage-vault-administrators
    • odbg-metrics-readers
    • odbg-network-administrators
    • odbg-network-readers
    • odbg-vm-cluster-administrator
    

    O console de administração do Google Cloud redireciona automaticamente para a página de detalhes do aplicativo SAML que você criou.

18. Expanda a seção Acesso do usuário.

    

19. Na seção Status do serviço, selecione ON para todos e, em seguida, SAVE.

    

20. Retorne à janela ou guia que exibe a Console do Oracle Cloud. Na página Adicionar provedor de identidades SAML, selecione Mapear identidade do usuário. Informe os seguintes valores:

    • Formato do ID do Nome Solicitado: Selecione "Endereço de e-mail".
    • Atributo do usuário do provedor de identidades: Selecione "ID do Nome da asserção SAML"
    • Atributo do usuário do domínio de identidades: Selecione o "Nome do Usuário"
    

21. Na página Adicionar provedor de identidades SAML, selecione Revisar e Criar.

    Revise os detalhes do provedor de identidades SAML e selecione Criar IdP.

    

22. Selecione Ativar para ativar o provedor de identidades (IdP).

    

    Depois de ver a mensagem de confirmação de que o provedor de identidades foi ativado, o provedor de identidades será ativado.

23. Selecione Adicionar à política IdP.

    

24. Na página Políticas do provedor de identidades (IdP), selecione Política do Provedor de Identidades Padrão na coluna Nome da lista de políticas.

    

25. Na página de detalhes da política Política do Provedor de Identidades Padrão, na seção Regras do provedor de identidades, selecione Editar regra IdP.

    

26. Na página Editar regra do provedor de identidades, localize o campo Designar provedores de identidades. O campo exibe "Username-Password". Adicione "Google Cloud Federation" e selecione Salvar alterações.

    

    Depois de adicionar "Google Cloud Federation":

    

27. Na página de detalhes do provedor de identidades da Google Cloud Federation, selecione Configurar JIT.

    

28. Na página Configurar provisionamento just-in-time (JIT), ative Ativar provisionamento just-in-time (JIT) usando a chave de alternância. Permaneça nesta página para os próximos passos.

    

29. Na página Configurar provisionamento JIT (Just-in-time), selecione Criar um novo usuário do domínio de identidades e Atualizar o usuário do domínio de identidades existente.

    

30. Na página Configurar provisionamento JIT (Just-in-time), mapeie os atributos do usuário da seguinte forma:

    Tipo de atributo do usuário do IdP	Nome do atributo do usuário do IdP	Mapeia para	Atributos de usuário do domínio de identidades
    NameID	Valor NameID	→	userName
    Atributo	LastName	→	familyName
    Atributo	PrimaryEmail	→	primaryEmailAddress
    Atributo	FirstName	→	firstName

    

31. Na página Configurar provisionamento JIT (Just-in-time), alterne a opção Designar mapeamento de grupo para ativar o mapeamento de grupo configurado. A seção Atribuir mapeamento de grupo se expande para exibir opções de configuração de mapeamento de grupo (consulte a próxima etapa).

    

32. Na página Configurar provisionamento JIT (Just-in-time), selecione ou informe os seguintes valores:

    • Nome do atributo de associação do grupo: MemberOf
    • Designar associação de grupo implícita: Selecione o botão de opção para ativar essa opção
    • Ao designar a associação de grupo...: Mesclar com associações de grupo existentes
    • Quando um grupo não for encontrado...: Ignore o grupo ausente

    Selecione Salvar alterações depois de selecionar e informar os valores.

    

    Agora você concluiu as etapas necessárias para configurar a federação de identidade entre o OCI e o Google Cloud.

33. Para testar a SSO:

    1. Sair do Console do Oracle Cloud
    2. Na seção Ou acessar com da tela de log-in, selecione Google Cloud Federation.