访问按 OCI IAM 域列出的电子表格插件
Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) 使用身份域为 OCI 以及 Oracle 和非 Oracle 应用(无论是 SaaS、云托管还是内部部署)提供身份验证、单点登录 (SSO) 和身份生命周期管理等身份和访问管理功能。
注意:
集成的应用程序创建、OAuth 配置和连接文件的创建应由admin 用户执行。
创建连接文件后,可以与任何用户共享该文件以启用域登录。
- OCI 中的用户必须具有必要的策略来管理 Oracle 自治数据库和 OCI IAM 域。有关所有服务的策略参考的更多信息,请参见 Policy Reference 。
-
Oracle Autonomous Database 必须可用。有关详细信息,请参阅预配 Autonomous Database 实例。
创建或使用域集成应用程序
- 使用身份域:
- 使用管理员账户登录到 Default 身份域的 OCI 控制台。
- 在 OCI 控制台导航菜单上,单击集成的应用程序。
- 在集成应用程序列表页上,选择添加应用程序。
- 在“添加应用程序”窗口中,依次选择机密应用程序和启动工作流。
在“添加应用程序详细信息”页中,使用下表配置应用程序详细信息和显示设置。
表 19-1 应用程序详细信息及其说明
选项 说明 名称 输入机密应用程序的名称。最多可以输入 125 个字符。
请考虑尽量缩短应用程序名称。在此示例中,使用电子表格插件。
说明 输入机密应用程序的说明。最多可以输入 250 个字符。 应用程序图标 此字段是可选的。可以跳过此字段。
单击上载以添加表示应用程序的图标。此图标显示在“我的应用”页和“应用程序”页上的应用程序名称旁边
应用程序 URL 此字段是可选的。您可以跳过此字段。 输入用户成功登录后将被重定向到的 URL(HTTP 或 HTTPS)。
定制登录 URL 此字段是可选的。您可以跳过此字段。 在定制登录 URL 字段中,可以指定定制登录 URL。但是,如果使用的是 Oracle Identity Cloud Service 提供的默认登录页面,则将此字段留空。
定制注销 URL 此字段是可选的。您可以跳过此字段。 在定制注销 URL 字段中,可以指定定制注销 URL。但是,如果使用的是 Oracle Identity Cloud Service 提供的默认登录页面,则将此字段留空。
定制错误 URL 此字段是可选的。您可以跳过此字段。 只有在发生故障时,才能输入用户必须重定向到的错误页面 URL。如果未指定,将使用租户特定的错误页 URL。
在“我的应用程序”中显示 请勿选中此复选框。 仅当希望在用户的“我的应用程序”页面上列出机密应用程序时,才选中此复选框。在这种情况下,您需要将应用程序配置为资源服务器。
用户可以请求访问权限 请勿选中此复选框。 仅当您希望最终用户能够从其我的应用程序页面请求访问应用程序时,才选中该复选框。
标记 跳转此字段。 仅当要向机密应用程序添加标记以组织和标识标记时,才单击添加标记。
- 单击下一步以转到配置 OAuth 选项卡。
-
在配置 OAuth 选项卡的资源服务器配置向导上:
选择立即将此应用程序配置为资源服务器,以便立即保护应用程序的资源,并使应用程序在我的应用程序页上可见。
使用下表填写配置需要受 OAuth 保护的应用程序 API 部分中打开的信息。
表 19-2 用于配置应用程序 API 的选项及其说明
选项 说明 访问标记失效 保留默认值 3600 秒。 定义与机密应用程序关联的访问令牌保持有效的时间(秒)。
允许刷新标记 请勿选中此复选框。 选择是否要在使用“资源所有者”、“授权代码”或“断言”授权类型时使用获取的刷新令牌时才选中此复选框。
刷新标记失效 不选择此选项。 您可以定义与访问令牌一起返回并与机密应用程序关联的刷新令牌保持有效的时间(以秒为单位)。
主要受众 输入 " ords/"。
这是处理机密应用程序访问令牌的主要收件人。
次要受众 跳转此字段。 您必须输入处理机密应用程序访问令牌的次要收件人,然后单击添加。在此示例中,您没有任何次要收件人。
添加(允许的范围) 要指定希望应用程序访问的其他应用程序的哪些部分,请单击此按钮将这些范围添加到机密应用程序。
应用程序必须与外部合作伙伴或机密应用程序安全地交互。此外,来自一个 Oracle Cloud 服务的应用程序必须与其他 Oracle Cloud 服务中的应用程序安全地交互。每个应用程序都有应用程序范围,用于确定其哪些资源可供其他应用程序使用。 - 单击添加范围,然后选择添加。
在“添加范围”向导中,指定以下字段值:
- 范围: oracle.dbtools.auth.privileges.builtin.ResourceModules
-
显示名称:这是可选字段。
- 说明:这是可选字段。
单击添加。
您已将
oracle.dbtools.auth.privileges.builtin.ResourceModules添加为范围。同样,向机密应用程序添加以下范围:oracle.dbtools.sdw.useroracle.dbtools.ords.db-api.developeradp_lmd_privilegeadp_analytics_privilege
注意:
一个域只能有一个机密应用程序可以使用每个范围,因此,如果希望多个应用程序使用范围,则第二个应用程序可以是将引用机密应用程序范围的移动应用程序。 -
在 Add Confidential Application 向导的 "Client Configuration" 对话框中,
单击 Configure this application as a client now (立即将此应用程序配置为客户机)可立即为您的应用程序配置授权信息。
- 在打开的 Authorization(授权)和 Token Issuance Policy(标记发布策略)部分中,使用下表填写信息。
表 19-3 "Client Configuration"(客户机配置)选项及其说明
选项 说明 资源所有者 请勿选择此字段。 仅当资源所有者与机密应用程序(如计算机操作系统或高权限应用程序)具有信任关系时才使用,因为机密应用程序在使用密码获取访问令牌后必须放弃密码。
客户端凭据 请勿选择此字段。 仅当授权范围仅限于受客户机控制的受保护资源或在授权服务器中注册的受保护资源时才使用。
JWT 断言 请勿选择此字段。 仅当要使用以断言表示的现有信任关系,并且在授权服务器中没有直接用户审批步骤时使用。
SAML2 断言 请勿选择此字段。 仅当要使用以 SAML2 断言表示的现有信任关系并且在授权服务器中没有直接用户审批步骤时使用。
刷新令牌 请勿选择此字段。 仅当您希望授权服务器提供刷新令牌,然后使用它来获取新的访问令牌时,才选择此授权类型。
授权码 请勿选择此字段。 仅当希望通过使用授权服务器作为客户机应用程序和资源所有者之间的中介来获取授权代码时,才选择此授权类型。
隐式 选择此字段。 如果应用程序无法对客户端身份证明保密以用于授权服务器的验证,则选中此复选框。例如,您的应用程序使用脚本语言(例如 JavaScript)在 Web 浏览器中实施。访问令牌通过浏览器重定向返回给客户端,以响应资源所有者授权请求(而不是中间授权)。
设备码 请勿选择此字段。 仅当客户端无法接收来自 OAuth 授权服务器的请求时,才选择设备代码授权类型,例如,客户端无法充当 HTTP 服务器,例如游戏机、流媒体播放器、数字图片帧等。
TLS 客户端验证 请勿选择此字段。 仅选择 TLS Client Authentication 授权类型以使用客户机证书向客户机进行验证。如果令牌请求附带 X.509 客户端证书,并且请求的客户端配置有 TLS Client Authentication 授权类型,OAuth 服务将使用请求中的 Client_ID 来标识客户端,并使用客户端配置中的证书验证客户端证书。仅当两个值匹配时,才能成功验证客户机。
允许非 HTTPS URL 请勿选择此字段。 仅当要将 HTTP URL 用于重定向 URL 、注销 URL 或注销后重定向 URL 字段时,才选中此复选框。例如,如果要在内部发送请求,希望进行非加密通信,或者希望与 OAuth 1.0 向后兼容,则可以使用 HTTP URL。
重定向 URL 输入验证后用户重定向到的以下应用程序 URL:https://static.oracle.com/cdn/spreadsheet/red-4/redirector.html 注意:
提供绝对 URL。不支持相对 URL注销 URL 跳转此字段。
您将输入从机密应用程序注销后将重定向到的 URL。注销后重定向 URL 输入在注销应用程序后要将用户重定向到的以下 URL。https://static.oracle.com/cdn/spreadsheet/red-4/redirector.html
客户机类型 选择机密。
可用的客户机类型为 Trusted 和 Confidential 。仅当客户机可以生成自签名用户断言时,才选择 Trusted 。
允许的操作 跳转此字段。它是可选的。
-
仅当要允许访问应用程序的令牌自测端点时,才选中潜在客户复选框。
- 仅当要确保仅从用户的权限生成访问权限时,才选中代表复选框。这样,客户端应用程序可以访问用户有权访问的端点,即使客户端应用程序本身通常没有访问权限也是如此。
ID 令牌加密算法 默认值为
none。允许的客户端 IP 地址 跳转此字段。它是可选的。 已授权资源 选择全部。
您可以选择以下任一选项以允许客户端应用程序访问授权资源:
- All - 访问域中的任何资源(全部)。请参阅访问所有资源。
- Tagged(标记) - 访问具有匹配标记(标记)的任何资源。请参阅访问具有匹配标记的资源。
- Specific(特定) - 仅访问客户端与资源(特定)之间存在明确关联的那些资源。请参见 Accessing Resources With Specific Scope 。
注意:
用于定义授权资源的选项仅对机密应用程序可用。移动应用程序没有定义信任范围的选项。资源 跳转此字段。它是可选的。 仅当您希望应用程序从其他应用程序访问 API 时,才能在添加机密应用程序页的令牌发布策略部分中单击添加。
授予对 Identity Cloud Service 管理 API 的客户端访问权限 跳转此字段。它是可选的。 单击添加以允许机密应用程序访问 Oracle Identity Cloud Service API。
在添加应用程序角色窗口中,选择要分配给此应用程序的应用程序角色。这样,您的应用就可以访问每个分配的应用角色都可以访问的 REST API。
-
- 单击下一步以转至添加机密应用程序向导的“配置策略”选项卡。
- 在 Add Confidential Application(添加机密应用程序)向导的 Web Tier Policy(Web 层策略)页面上,单击 Skip and do later(跳过,以后再执行)。
- 单击完成。
已在停用状态下添加应用程序。它必须被激活才能发挥作用。
记录在添加的应用程序对话框中出现的客户机 ID 和客户机密钥。
将此 ID 和密钥用作连接设置的一部分,以与机密应用程序集成。客户端 ID 和客户端密钥等效于您的应用程序与 Oracle Identity Cloud Service 通信的凭据(如 ID 和密码)。
您已创建类型为“客户端”的机密应用程序,该应用程序已分配所需范围。
为 Autonomous Database Schema 启用 IAM 登录
-
创建 ORDS JWT 概要文件。请参阅
https://docs.oracle.com/en/learn/secure-ords-oci-iam/index.html#task-2-create-an-ords-jwt-profile. - 确保具有支持 JWT 的 ORDS 版本 23.3 或更高版本。
- 在“SQL Worksheet(SQL 工作表)”的“Navigator(导航器)”选项卡中,从“Schema(方案)”下拉列表中选择
ORDS_METADATA。 - 从“对象类型”下拉列表中选择
Packages。 - 在“搜索”字段中键入
ORDS_SECURITY。搜索函数检索以ORDS_SECURITY开头的所有条目。 -
展开
ORDS_SECURITY软件包。 - 右键单击
CREATE_JWT_PROFILE,然后单击RUN。这将打开RUN CODE对话框。在“Run Code …(运行代码…)”对话框中,指定以下字段值:- P_ISSUER -https://identity.oraclecloud.com/ 。此字段必须为非空值,并且必须在单个逗号内填充。
- P_AUDIENCE - ords/ 。此字段必须为非 NULL 值。
- P_JWK_URL - 在 /admin/v1/SigningCert/jwk 中附加 DOMAIN URL 。它必须是以 https:// 开头的非空值,并标识授权服务器以 JSON Web 密钥 (JWK) 格式提供的公共验证密钥。
您可以在 OCI 控制台的身份和安全导航菜单的域菜单中存在的“域信息”选项卡中查看域 URL 。
有关更多详细信息,请参见:https://docs.oracle.com/en/cloud/paas/iam-domains-rest-api/api-security-signing-certificates-jwk.html 。
- P_DESCRIPTION - 输入此配置文件的说明。例如,“ JWT Demo confluence ”。
- P_ALLOWED_AGE -"0"
- P_ALLOWED_SKEW -"0"
单击 Run Script 。
配置 JWT 配置文件后,最终用户可以通过呈现 JWT 配置文件中指定的 JWT 令牌来访问 ORDS 受保护的资源。
创建连接文件
-
单击“连接”窗格标题上的添加按钮可添加连接。这将打开“添加新连接”对话框。
- 在“添加新连接”对话框上指定以下字段:
- 连接名称:输入连接的名称。
- Autonomous Database URL :输入要连接到的 Autonomous Database 的 URL。从 Autonomous Database 的 Web UI 复制整个 URL。例如,输入或复制以下链接 "https://<hostname>-<databasename>.adb.<region>.oraclecloudapps.com/" 以连接到数据库。
- 选择连接类型: OCI IAM
- 域 URL :从“域信息”选项卡输入域 URL 。
- 客户端 ID :输入从创建域集成应用程序中记录的客户端 ID 。
- OAuth 客户端 ID :输入从创建域集成应用程序中记录的客户端密钥。
- 方案:输入用于为 Autonomous Database 方案启用 IAM 登录的相同方案。
创建连接后,您可以与此域的其他用户共享该连接。








