存取 OCI IAM 網域的試算表增益集

Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) 使用識別網域提供身分識別和存取管理功能,例如 OCI 的認證、單一登入 (SSO) 和識別生命週期管理,以及 Oracle 和非 Oracle 應用程式 (無論是 SaaS、雲端代管還是內部部署)。

您可以搭配 Oracle Identity and Access Management (IAM) 連線使用試算表增益集。您必須:

附註:

整合應用程式建立、OAuth 組態及建立連線檔案應由 admin 使用者執行。

建立連線檔案之後,即可與任何使用者共用連線檔案以啟用網域登入。

先決條件
  • OCI 中的使用者必須具備管理 Oracle Autonomous Databases 和 OCI IAM 網域的必要原則。如需所有服務的原則參照詳細資訊,請參閱原則參照
  • 必須提供 Oracle Autonomous Database。如需詳細資訊,請參閱佈建 Autonomous Database 執行處理

建立或使用網域整合應用程式

若要在 Oracle Cloud Infrastructure (OCI) 中使用網域整合應用程式,請依照下列步驟建立及設定識別網域,然後設定原則和整合:
  1. 使用識別網域:
    • 使用管理員帳戶登入 OCI 主控台至預設識別網域。
    • 在 OCI 主控台導覽功能表上,按一下整合的應用程式
    • 整合的應用程式清單頁面上,選取新增應用程式
    • 在「新增」應用程式視窗中,選取機密應用程式,然後選取啟動工作流程



      在「新增應用程式詳細資訊」頁面中,使用下表來設定應用程式詳細資訊和顯示設定值。

      表格 19-1 應用程式詳細資訊及其描述

      選項 描述
      名稱

      輸入機密應用程式的名稱。您最多可以輸入 125 個字元。

      請考慮盡量縮短您的應用程式名稱。在此範例中,使用試算表增益集

      描述 輸入機密應用程式的描述。您最多可以輸入 250 個字元。
      應用程式圖示

      這是選用的欄位。您可以略過此欄位。

      按一下上傳,即可新增代表應用程式的圖示。此圖示會出現在「我的應用程式」頁面與「應用程式」頁面上的應用程式名稱旁邊。

      應用程式 URL 這是選用的欄位。您可以略過此欄位。

      輸入使用者成功登入後重新導向至該處的 URL (HTTP 或 HTTPS)。

      自訂登入 URL 這是選用的欄位。您可以略過此欄位。

      自訂登入 URL 欄位中,您可以指定自訂登入 URL。不過,如果您使用的是 Oracle Identity Cloud Service 提供的預設登入頁面,請將此欄位留白。

      自訂登出 URL 這是選用的欄位。您可以略過此欄位。

      自訂登出 URL 欄位中,您可以指定自訂登出 URL。不過,如果您使用的是 Oracle Identity Cloud Service 提供的預設登入頁面,請將此欄位留白。

      自訂錯誤 URL 這是選用的欄位。您可以略過此欄位。

      只有在發生失敗時,您才可以輸入要將使用者重新導向至的錯誤頁面 URL。若未指定,將會使用租用戶特定的錯誤頁面 URL。

      顯示在我的 App 中 請勿選取此核取方塊。

      只有當您要在使用者的「我的應用程式」頁面上列出機密應用程式時,才選取此核取方塊。在此情況下,您需要將應用程式設定為資源伺服器。

      使用者可以要求存取權 請勿選取此核取方塊。

      只有在您希望一般使用者能夠從其我的應用程式頁面要求存取應用程式時,才選取此核取方塊。

      標記 略過這個欄位。

      只有在您要將標記新增至機密應用程式以組織及識別標記時,才按一下新增標記

    • 下一步,繼續設定 OAuth 頁籤。
    • 在「資源伺服器組態」精靈的設定 OAuth 頁籤上:

      選取立即將此應用程式設定為資源伺服器,即可保護您應用程式的資源,並讓應用程式顯示在我的應用程式頁面中。



      使用下表填入開啟之設定需要受 OAuth 保護的應用程式 API 區段中的資訊。

      表格 19-2 設定應用程式 API 的選項及其描述

      選項 描述
      存取權杖到期日 保留預設值 3600 秒。

      定義與您的機密應用程式關聯的存取權杖有效期限 (秒)。

      是否允許重新整理權杖 請勿選取此核取方塊。

      只有當您要使用「資源所有者」、「授權代碼」或「宣告」授權類型時,所取得的重新整理記號時,才選取此核取方塊。

      重新整理權杖到期日 請勿選取此選項。

      您可以定義以您的存取權杖傳回並與您的機密應用程式關聯之重新整理權杖的傳回時間 (秒) 維持有效。

      主要對象

      輸入 " ords/ "。

      這是處理機密應用程式存取權杖的主要收件者。

      次要對象 略過這個欄位。

      您必須輸入處理機密應用程式存取記號的次要收件者,然後按一下新增。在此範例中,您沒有任何次要收件人。

      新增 (允許的範圍)

      若要指定應用程式要存取的其他應用程式部分,請按一下此按鈕,將這些範圍新增至您的機密應用程式。

      應用程式必須與外部合作夥伴或機密應用程式安全地互動。此外,一個 Oracle Cloud 服務的應用程式必須與其他 Oracle Cloud 服務中的應用程式安全地互動。每個應用程式都有應用程式範圍,可決定其他應用程式可用的資源。
    • 按一下新增範圍,然後選取新增



      在「新增範圍」精靈中,指定下列欄位值:
      • 範圍oracle.dbtools.auth.privileges.builtin.ResourceModules
      • 顯示名稱:這是選用欄位。

      • 說明:此為選擇性欄位。

      按一下新增

      您已新增 oracle.dbtools.auth.privileges.builtin.ResourceModules 作為範圍。

      將下列範圍新增至機密應用程式:
      • oracle.dbtools.sdw.user
      • oracle.dbtools.ords.db-api.developer
      • adp_lmd_privilege
      • adp_analytics_privilege

      附註:

      網域只能有一個機密應用程式使用每個範圍,因此如果您要讓多個應用程式使用某個範圍,第二個應用程式可以是將參照機密應用程式範圍的行動應用程式。



    • 新增機密應用程式精靈的「從屬端組態」對話方塊中,

      按一下立即將此應用程式設定為從屬端,即可立即設定應用程式的授權資訊。



    • 在開啟的授權權杖發行原則段落中,使用下表填入資訊。

      表格 19-3 從屬端組態選項及其描述

      選項 描述
      資源擁有者 請勿選取此欄位。

      僅在資源擁有者與機密應用程式 (例如電腦作業系統或具有高度權限的應用程式) 具有信任關係時使用,因為機密應用程式在使用密碼取得存取權杖之後必須捨棄密碼。

      從屬端證明資料 請勿選取此欄位。

      只有在授權範圍受限於從屬端控制下的受保護資源,或在授權伺服器註冊的受保護資源時才使用。

      JWT 宣告 請勿選取此欄位。

      只有當您要使用以宣告表示的現有信任關係,且在授權伺服器上沒有直接使用者核准步驟時,才使用。

      SAML2 宣告 請勿選取此欄位。

      只有當您要使用以 SAML2 宣告表示且在授權伺服器上沒有直接使用者核准步驟的現有信任關係時,才使用。

      重新整理記號 請勿選取此欄位。

      只有當您要讓授權伺服器提供的重新整理權杖,然後使用它來取得新的存取權杖時,才選取此授權類型。

      授權碼 請勿選取此欄位。

      只有當您要使用授權伺服器作為從屬端應用程式與資源擁有者之間的中介,來取得授權代碼時,才選取此授權類型。

      隱含 選取此欄位。

      如果應用程式無法將從屬端證明資料保密以用於向授權伺服器認證,請選取此核取方塊。例如,您的應用程式會使用指令碼語言 (例如 JavaScript) 在 Web 瀏覽器中實作。存取權杖會透過瀏覽器重新導向傳回給從屬端,以回應資源擁有者授權要求 (而非中介授權)。

      裝置碼 請勿選取此欄位。

      只有在用戶端無法接收來自 OAuth 授權伺服器的要求時,才選取裝置代碼授權類型。例如,它無法作為 HTTP 伺服器,例如遊戲主控台、串流媒體播放器、數位圖片框架等等。

      TLS 從屬端認證 請勿選取此欄位。

      選取 TLS 從屬端認證授權類型,只使用從屬端憑證向從屬端進行認證。如果記號要求隨附 X.509 從屬端憑證,而要求的從屬端設定了 TLS 從屬端認證授權類型,則 OAuth 服務會在要求中使用 Client_ID 來識別從屬端,並以從屬端組態中的憑證驗證從屬端憑證。只有在兩個值相符時,才能成功驗證用戶端。

      允許使用非 HTTPS URL 請勿選取此欄位。

      只有當您要在重新導向 URL登出 URL登出後重新導向 URL 欄位使用 HTTP URL 時,才選取此核取方塊。例如,如果您是在內部傳送要求、想要非加密通訊或想要與 OAuth 1.0 回溯相容,則可以使用 HTTP URL。

      重新導向 URL 輸入下列應用程式 URL,使用者在認證後會被重新導向至該處,https://static.oracle.com/cdn/spreadsheet/red-4/redirector.html

      附註:

      請提供絕對 URL。不支援相對 URL
      登出 URL

      略過這個欄位。

      您將輸入在登出機密應用程式後要重新導向的 URL。
      登出後重新導向 URL

      輸入在登出應用程式之後,要將使用者重新導向至該處的下列 URL. https://static.oracle.com/cdn/spreadsheet/red-4/redirector.html

      從屬端類型

      選取機密

      可用的從屬端類型為信任機密。只有在從屬端能夠產生自行簽署的使用者宣告時,才選擇信任

      允許的作業

      略過這個欄位。此為選擇性參數。

      • 若要允許存取您應用程式的權杖自我檢查端點,請勾選自我檢查核取方塊。

      • 只有在要確定可以單獨從使用者的權限產生存取權限時,才選取代表核取方塊。這可讓用戶端應用程式存取使用者可存取的端點,即使用戶端應用程式本身通常無法存取。
      ID 權杖加密演算法

      預設值為 none

      允許的從屬端 IP 位址 略過這個欄位。此為選擇性參數。
      授權的資源

      選取全部

      您可以選取下列任一選項,以允許從屬端應用程式存取授權的資源:

      附註:

      定義授權資源的選項僅適用於機密應用程式。行動應用程式沒有定義信任範圍的選項。
      資源 略過這個欄位。此為選擇性參數。

      只有當您要應用程式從其他應用程式存取 API 時,請在新增機密應用程式頁面的權杖發行原則區段中,按一下新增

      授權從屬端存取 Identity Cloud Service 管理 API 略過這個欄位。此為選擇性參數。

      按一下新增,即可讓您的機密應用程式存取 Oracle Identity Cloud Service API。

      新增應用程式角色視窗中,選取您要指派給此應用程式的應用程式角色。這可讓您的應用程式存取每個指派的應用程式角色可存取的 REST API。

    • 按一下下一步,繼續前往新增機密應用程式精靈的「設定原則」頁籤。
    • 新增機密應用程式精靈的 Web 層原則頁面中,按一下略過並稍後執行



    • 按一下完成。

      已將應用程式新增為停用狀態。它必須啟用才能運作。

      記錄已新增應用程式對話方塊中出現的從屬端 ID從屬端密碼

      您可以使用此 ID 和加密密碼作為連線設定值的一部分,以與您的機密應用程式整合,「從屬端 ID 」和從屬端加密密碼等同於您的應用程式與 Oracle Identity Cloud Service 通訊時所使用的證明資料 (例如 ID 和密碼)。

您已建立指定所需範圍的「用戶端類型」機密應用程式。

啟用 Autonomous Database 綱要的 IAM 登入

先決條件
下列指示可讓 ORDS 驗證 JWT Bearer 權杖並授予受保護資源的存取權。您可以設定 JWT 設定檔詳細資訊,確保已正確設定發照者、受眾和 JWK URL。
  • 在「SQL 工作表」的「導覽器」頁籤上,從「綱要」下拉式清單中選取 ORDS_METADATA
  • 從「物件類型」下拉式清單中選取 Packages
  • 在「搜尋」欄位中輸入 ORDS_SECURITY。搜尋函數會擷取開頭為 ORDS_SECURITY 的所有項目。
  • 展開 ORDS_SECURITY 套裝軟體。



  • CREATE_JWT_PROFILE 上按一下滑鼠右鍵,然後按一下 RUN。這會開啟 RUN CODE 對話方塊。
    在「執行程式碼…」對話方塊中,指定下列欄位值:
    • P_ISSUER - https://identity.oraclecloud.com/ 。此欄位必須為非空值,且必須以單一逗號填入。
    • P_AUDIENCE - ords/ 。此欄位必須是非空值的值。
    • P_JWK_URL - 使用 /admin/v1/SigningCert/jwk 附加 DOMAIN URL 。它必須是以 https:// 開頭的非空值,並且以 JSON Web Key (JWK) 格式識別授權伺服器所提供的公開驗證金鑰。

      您可以在 OCI 主控台之識別與安全導覽功能表的網域功能表中的「網域資訊」頁籤中,檢視網域 URL



      如需更多明細,請參閱:https://docs.oracle.com/en/cloud/paas/iam-domains-rest-api/api-security-signing-certificates-jwk.html

    • P_DESCRIPTION - 輸入此設定檔的描述。例如," JWT Demo confluence "。
    • P_ALLOWED_AGE -"0"
    • P_ALLOWED_SKEW -"0"



    按一下執行命令檔

    設定 JWT 設定檔之後,一般使用者可以藉由提供 JWT 設定檔中指定的 JWT 記號來存取 ORDS 保護的資源。

建立連線檔案

  1. 按一下「連線」窗格標頭上的新增按鈕,即可新增連線。這會開啟「新增連線」對話方塊。

  2. 在「新增連線」對話方塊中指定下列欄位:
    • 連線名稱:輸入連線的名稱。
    • Autonomous Database URL :輸入您要連線之 Autonomous Database 的 URL。從 Autonomous Database 的 Web UI 複製整個 URL。例如,輸入或複製下列連結 "https://<hostname>-<databasename>.adb.<region>.oraclecloudapps.com/" 以連線至資料庫。
    • 選取連線類型: OCI IAM
    • 網域 URL :從網域資訊頁籤輸入網域 URL
    • 從屬端 ID :輸入您從建立網域整合應用程式記錄的從屬端 ID
    • OAuth 用戶端 ID :輸入您從建立網域整合應用程式記錄的用戶端密碼
    • 綱要:輸入您用來啟用 Autonomous Database 綱要的 IAM 登入的相同綱要。

建立連線之後,您可以與此網域的其他使用者共用連線。