Documentação do Oracle Cloud Infrastructure

Identity Federation

Saiba como criar uma federação de identidade para OracleDB para o Azure usando o Azure Active Directory.

Esta etapa de admissão final é opcional. Se os administradores do Azure acreditarem que um ou mais usuários do OracleDB para o Azure precisarão usar a Console do OCI para executar tarefas, eles deverão ativar a federação de identidades entre o Azure e o OCI para permitir que os usuários usem um único conjunto de credenciais para fazer log-in nos dois ambientes de nuvem.

Para o caminho de integração guiada, não há processo automatizado para configurar a federação de identidade. Em vez disso, o portal OracleDB para o Azure fornece um link para instruções das etapas que um usuário autorizado do Azure deve executar para configurar a federação de identidades entre os dois ambientes de nuvem.

Importante

Os registros de usuário no Azure Active Directory devem conter um sobrenome e um endereço de e-mail válido para trabalhar com a federação de identidades OracleDB para o Azure.

Mais informações

Consulte Instruções de Política do Oracle Cloud Infrastructure IAM para o Oracle Database Service for Azure para obter detalhes sobre as políticas do OCI IAM necessárias ao configurar a federação de identidades para o OracleDB for Azure.

Instruções

Para criar um aplicativo confidencial para OracleDB para o Azure na sua conta do OCI
  1. Navegue até a Console do OCI em https://cloud.oracle.com.
  2. Informe o Nome da Conta do Cloud, também conhecido como nome da tenancy, e clique em Próximo.
  3. Selecione o domínio de identidades que deseja acessar. Para OracleDB para o Azure, você usará o domínio Padrão.
  4. Acesse com seu nome de usuário e senha de administração.
  5. Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Domínios.
  6. Na lista de domínios, clique no nome do domínio que deseja exibir. Para OracleDB para o Azure, você usará o domínio Padrão.
  7. Na página Visão Geral do domínio, clique em Aplicativos na lista de links em Domínio de identidades.
  8. Clique em Adicionar aplicativo e selecione Aplicativo Confidencial.
  9. Clique em Iniciar workflow.
  10. No workflow Adicionar Aplicativo Confidencial, digite um Nome para seu aplicativo. Por exemplo, "AzureSCIMProvisioningApplication".
  11. Clique em Próximo no final da página.
  12. Na página Configurar OAuth, na seção Configuração do Cliente, selecione Configurar este aplicativo como cliente agora.
  13. Em Autorização, selecione Credenciais do Cliente.
  14. Em Tipo de cliente, selecione Confidencial.
  15. Na seção Política de emissão de token, selecione Adicionar Atribuições de Aplicativo.
  16. Na tabela Atribuições de aplicativo, clique no botão Adicionar atribuições.
  17. No painel Adicionar atribuições de aplicativo, na lista de atribuições de aplicativo, selecione Administrador de Usuário e clique em Adicionar.
  18. Clique em Próximo.
  19. Na página Configurar política, em Política da Camada Web, selecione Ignorar e fazer mais tarde.
  20. Clique em Concluir para criar o aplicativo.

  21. Na página de detalhes do aplicativo que você acabou de criar, na seção Informações Gerais, localize os campos ID do Cliente e Segredo do cliente. Copie esses valores em um editor de texto e formate-os da seguinte forma, usando um caractere de dois-pontos (":") como delimitador entre eles:

    <client_id>:<client_secret>
  22. Crie um valor codificado em base64 usando essa string e armazene-o em um local seguro. Você precisará do valor codificado em base64 durante a configuração da federação.
Para fazer download dos metadados do provedor de serviços SAML do domínio do OCI IAM

O OCI permite que você use um URL especial para fazer download dos metadados do provedor de serviços SAML. O URL de download é formatado da seguinte forma:

https://idcs-<Service-Instance-Number>.identity.oraclecloud.com/fed/v1/metadata

Para Obter os Metadados do Provedor de Serviços do OCI IAM

  1. Navegue até a Console do OCI em https://cloud.oracle.com.
  2. Informe o Nome da Conta do Cloud, também conhecido como nome da tenancy, e clique em Próximo.
  3. Selecione o domínio de identidades que deseja acessar. Para OracleDB para o Azure, você usará o domínio Padrão.
  4. Acesse com seu nome de usuário e senha.
  5. Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Domínios.
  6. Na lista de domínios, clique no nome do domínio que deseja exibir. Para OracleDB para o Azure, você usará o domínio Padrão.
  7. Na página Visão Geral do domínio, clique em Definições na lista de links em Domínio de identidades.

  8. Na página Definições de Domínio, em Acessar certificado de assinatura, marque a opção Configurar acesso do cliente.

    Isso permite que um cliente acesse a certificação de assinatura para o domínio de identidades sem acessar o domínio.

  9. Clique em Salvar alterações.
  10. Retorne à visão geral do domínio de identidades clicando no nome do domínio de identidades ("Domínio padrão") na trilha de navegação estrutural. Clique em Copiar ao lado do URL do Domínio em Informações do domínio e salve o URL em um aplicativo no qual você possa editá-lo.
  11. Em uma nova guia do browser, cole o URL copiado e adicione /fed/v1/metadata ao final.

    Por exemplo:

    https://idcs-<unique_id>.identity.oraclecloud.com:443/fed/v1/metadata
  12. Os metadados do domínio de identidades são exibidos no browser. Salve-o como um arquivo XML com o nome IDCSMetadata.xml.

O Que Vem a Seguir?

Crie um controlador de serviço SAML no portal do Azure. Consulte Para criar um controlador de serviço SAML em sua conta do Azure para obter instruções.

Para criar um controlador de serviço SAML em sua conta do Azure
Observação

Antes de iniciar esta tarefa, você precisará fazer download dos metadados do provedor de serviços SAML do domínio de identidades do OCI. Consulte Para fazer download dos metadados do provedor de serviços SAML do domínio do OCI IAM para obter instruções.

  1. Acesse o portal do Azure.
  2. Em Serviços do Azure, clique em Azure Active Directory.
  3. No painel esquerdo, clique em Aplicativos empresariais.
  4. Clique em + Novo Aplicativo.
  5. Clique em + Criar seu próprio aplicativo.
  6. Especifique um nome para seu aplicativo no campo de nome. Por exemplo, "Provedor de Serviços SAML do Domínio do OCI IAM".
  7. Selecione o botão de opção Integrar qualquer outro aplicativo que você não encontrar na galeria (Não galeria).
  8. Clique em Criar. O Azure levará alguns minutos para criar o aplicativo.
  9. Na página Visão Geral do seu aplicativo, clique em Sign-on único no painel esquerdo em Gerenciar.
  10. Selecione SAML para o método de sign-on único.
  11. Clique em Fazer upload do arquivo de metadados.
  12. Na caixa de diálogo Fazer upload do arquivo de metadados, clique no ícone de pasta e navegue até o arquivo de metadados do ID do OCI salvo localmente (IDCSMetadata.xml)
  13. Selecione o arquivo de metadados e clique em Adicionar. Os metadados pré-configurados do arquivo são usados para criar o aplicativo.
  14. No painel Configuração Básica do SAML, clique em Salvar. Feche o painel depois que a operação de salvamento for concluída.
  15. Localize o campo XML de Metadados da Federação na seção Certificado de Assinatura SAML e clique no link Fazer Download. Você usará esse arquivo para criar um recurso do Provedor de Identidades no OCI. Esse recurso permitirá que o serviço de Identidade do OCI seja federado com o Azure Active Directory.
  16. No painel esquerdo, clique em Usuários e grupos.
  17. Clique em + Adicionar usuário/grupo.

  18. No painel Adicionar Designação, selecione Nenhuma Selecionada em Usuários e grupos ou Usuários.

  19. Procure e selecione o usuário ou o grupo que você deseja designar ao aplicativo. Por exemplo, você pode pesquisar um nome de usuário, como odsauser1@liilca.com. Pesquise e adicione outros usuários ou grupos, conforme necessário.

  20. Revise a lista de Itens selecionados e clique em Selecionar.

  21. No painel Adicionar Designação, selecione Designar na parte inferior do painel.

O Que Vem a Seguir?

Crie um recurso de provedor de identidades para o Azure Active Directory na Console do OCI. Consulte Para criar um recurso do provedor de identidades no OCI IAM para Azure Active Directory para obter instruções.

Para criar um recurso do provedor de identidades no OCI IAM para Azure Active Directory
Observação

Para concluir esta tarefa, você precisará do arquivo XML de Metadados da Federação baixado do portal do Azure. Este download é descrito em Para criar um controlador de serviço SAML na sua conta do Azure.

  1. Acesse sua conta do OCI em https://cloud.oracle.com.
  2. Informe o nome da tenancy.
  3. Selecione o domínio "Padrão".
  4. Forneça as credenciais do usuário. Certifique-se de que o usuário do OCI tenha os privilégios administrativos necessários para configurar a federação de identidades na sua conta do OCI.
  5. Abra o menu de navegação e clique em Identidade e Segurança.
  6. Clique em Domínios no cabeçalho Identidade.
  7. Selecione seu compartimento.
  8. Na lista de domínios, localize o domínio Padrão e clique no nome do domínio.
  9. Clique em Provedores de identidades em Segurança.
  10. Clique no botão Adicionar IdP e selecione a opção Adicionar IdP SAML.
  11. Em Adicionar detalhes, forneça um nome para o provedor de identidades. Opcionalmente, você pode adicionar uma descrição do provedor de identidades. Clique em Próximo.
  12. Na tela Configurar IdP, selecione Importar metadados do provedor de identidades.
  13. Arraste e solte o arquivo XML de Metadados da Federação na caixa Metadados do provedor de identidades ou clique no link selecionar um e, em seguida, navegue até o arquivo e selecione-o no sistema de arquivos local. Clique em Próximo.
  14. Na tela Mapear atributos, selecione o ID do Nome como o atributo do usuário do provedor de identidades. Selecione Nome do Usuário como o atributo do usuário do domínio de identidades e Endereço de e-mail como o formato NameID Solicitado.
  15. Clique em Criar IdP.
  16. Opcional. Na tela Exportar, clique no botão Fazer Download no campo de metadados do Provedor de serviços para fazer download dos metadados do provedor de identidades SAML.
  17. Opcional. Teste as definições de configuração do IdP para confirmar se ele está funcionando corretamente. Você pode usar as credenciais do IdP para acessar o domínio de identidades por meio de um site externo.
  18. Em Ativar IdP, clique em Ativar e em Concluir.

O Que Vem a Seguir?

Ative a sincronização de usuários e grupos no controlador de serviço SAML do Azure. Consulte Para ativar a sincronização de usuários e grupos no controlador de serviço SAML do Azure para obter instruções.

Para criar Grupos de Usuários e Políticas do OCI IAM para OracleDB for Azure

Será necessário criar políticas no OCI IAM para ativar a autorização para grupos de usuários do OracleDB para o Azure pelo Azure Active Directory. Consulte Gerenciando o Acesso a Recursos para obter uma visão geral das políticas no OCI IAM.

Consulte Instruções de Política do Oracle Cloud Infrastructure IAM para o Oracle Database Service for Azure, por exemplo, instruções de política.

  1. Navegue até a Console do OCI em https://cloud.oracle.com.
  2. Informe o Nome da Conta do Cloud, também conhecido como nome da tenancy, e clique em Próximo.
  3. Selecione o domínio de identidades que deseja acessar. Para OracleDB para o Azure, você usará o domínio Padrão.
  4. Acesse com seu nome de usuário e senha de administração.
  5. Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Domínios.
  6. Na lista de domínios, clique no nome do domínio que deseja exibir. Para OracleDB para o Azure, você usará o domínio Padrão.
  7. Na página Visão Geral do domínio, clique em Grupos na lista de links em Domínio de identidades.
  8. Clique em Criar grupo e informe o nome do grupo. Por exemplo, odsa-db-family-administrators.
  9. Informe uma descrição do grupo.
  10. Clique em Criar para criar o grupo.
  11. Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Políticas.
  12. Clique em Criar Política.
  13. Digite um nome para a política. Por exemplo: my_odsa_compartment_odsa-db-family-administrators.
  14. Digite uma descrição para a política.
  15. Para Compartimento, selecione o compartimento OracleDB para o Azure.
  16. Na seção Criador de Política, ative Mostrar editor manual e copie e cole sua política no campo Criador de Política.
  17. Selecione Criar Outra Política se quiser criar outra política após criar a política que você está configurando no momento.
  18. Clique em Criar.
  19. Repita as etapas de 12 a 18 para criar as políticas adicionais necessárias para os seus usuários.
Para criar OracleDB para grupos de usuários do Azure no Azure para federação de identidade do OCI IAM

Os grupos de usuários do OCI IAM criados em Para criar Grupos de Usuários e Políticas do OCI IAM para OracleDB para o Azure precisam de um conjunto correspondente de grupos de usuários no Azure Active Directory para ativar a autorização do usuário OracleDB para o Azure. Crie os seguintes grupos no Azure e designe seus usuários do Azure a eles conforme necessário:

  • oci-direct-readers

  • network-oci-direct-users

  • exadb-oci-direct-users

  • ocimcs-administrator

  1. Acesse o portal do Azure.
  2. Na Homepage, selecione Azure Active Directory.
  3. Na página Active Directory, selecione Grupos.
  4. Clique em Novo grupo.
  5. Na página Novo Grupo, para Tipo de grupo, escolha Segurança.
  6. Informe um Nome de grupo e uma Descrição do grupo.
  7. Clique em Nenhum proprietário selecionado em Proprietários e selecione um proprietário de grupo e, em seguida, clique em Selecionar.
  8. Clique em Nenhum membro selecionado em Membros e selecione membros do grupo e, em seguida, clique em Selecionar.
  9. Clique em Criar.
  10. Repita as etapas de 4 a 9 para criar todos os grupos discutidos neste tópico.
Para ativar a sincronização de usuários e grupos no controlador de serviço SAML do Azure
  1. Na sua conta do Azure, navegue até o controlador de serviço SAML que você criou usando as instruções em Para criar um controlador de serviço SAML na sua conta do Azure:
    1. Em Serviços do Azure, clique em Azure Active Directory.
    2. No painel esquerdo, clique em Aplicativos empresariais.
    3. Na lista de Aplicativos Empresariais, clique no nome do seu aplicativo. Será exibida a página Visão Geral do aplicativo.
  2. Clique em Provisionamento no painel esquerdo.
  3. Clique em Conceitos Básicos.
  4. Na página Provisionamento, selecione "Automático" como o Modo de Provisionamento.

  5. Na seção Credenciais Administrativas, forneça o URL do tenant e o token secreto base64 discutidos nas duas últimas etapas de Para criar um aplicativo confidencial para OracleDB para o Azure na sua conta do OCI.

  6. Clique em Testar Conexão.
  7. Se a configuração da conexão for bem-sucedida, clique em Salvar.

O Que Vem a Seguir?

Você pode designar usuários adicionais do Azure aos grupos de usuários OracleDB para o Azure. Consulte Adicionando OracleDB para Usuários do Azure no Azure após a Conclusão do seu Registro para obter mais informações.