注意:

設定 OCI 上 Oracle Analytics Cloud 和 APEX App 的登入原則

簡介

Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) 識別網域登入原則是管理對部署在 Oracle Cloud Infrastructure (OCI) 上應用程式之存取的關鍵元素。

本教學課程由客戶使用案例所啟發,並且概述 ISV 或應用軟體服務提供者如何導入登入原則,以允許對提供給終端使用者的應用軟體進行認證,同時防止這些應用軟體存取 OCI 主控台。

本教學課程使用兩個應用程式:在 Autonomous Transaction Processing (ATP) 服務上執行的 Oracle Analytics Cloud 應用程式和 APEX 應用程式。

目標

架構

本教學課程使用下列架構:

必要條件

作業 1:設定區間

  1. 以具有管理租用戶資源權限的使用者或區間層次的使用者身分,登入預設網域中的 OCI 主控台,然後將教學課程區間建立為子項區間。

  2. 建立教學課程的區間。

    建立區間

  3. 確定您登入的預設網域使用者位於具備此區間管理權限的群組中。如果不是,請使用下列樣板建立 (或要求您的租用戶管理員建立) 原則:

    Allow group <group to which your user belongs> to manage all-resources in compartment <compartment name>

作業 2:設定應用程式網域

  1. 在此新建立的區間中,為應用程式使用者建立識別網域。就本教學課程而言,您可以使用免費網域。這是最佳做法,因為它會將應用程式使用者與管理員使用者分開。

    建立網域

  2. 在新建立的網域中,為應用程式使用者建立群組。目前請勿新增任何使用者至此群組。您稍後會在教學課程中執行測試。

    建立群組

  3. 為可佈建 Oracle Analytics Cloud 和 ATP 執行處理的使用者建立群組,並且指定此群組的使用者。您可能需要為此目的建立使用者。

    建立使用者群組

    新增使用者到群組

  4. 建立原則,讓此群組的使用者能夠在您為此教學課程建立的區間中建立 Oracle Analytics Cloud 和 ATP 執行處理。

    Allow group <apps_domain>/<oac_provisioning_group> to manage analytics_instances in compartment <compartment name>
Allow group <apps_domain>/<oac_provisioning_group> to manage autonomous_databases in compartment <compartment name>

任務 3:設定 Oracle Analytics Cloud 應用程式

  1. 使用您新增至管理 Oracle Analytics Cloud 和 ATP 執行處理之群組的使用者登入在作業 2 中建立的應用程式網域。

  2. 建立 Oracle Analytics Cloud 執行處理。使用 OCI 主控台時,您需要佈建 Oracle Analytics Cloud 執行處理,此執行處理的使用者屬於將建立及管理的「網域」。原因在於 Oracle Analytics Cloud 佈建處理作業會自動在使用者佈建 Oracle Analytics Cloud 應用程式的網域中建立該應用程式。

    建立分析執行處理

    注意:如果您使用 OCI API 佈建 Oracle Analytics Cloud 執行處理,可以使用來自其他網域的使用者佈建 Oracle Analytics Cloud 執行處理,但這在目前教學課程的範圍內。

  3. 確認 Oracle Analytics Cloud 執行處理已連結至您登入的識別網域。若要這麼做,請前往您在作業 2 中建立的識別網域,前往 Oracle Cloud Services 。您應該會看到由 OCI 中的 Oracle Analytics Cloud 佈建處理作業自動建立的應用程式。

    Oracle Analytics Cloud 應用程式

  4. 將 Oracle Analytics Cloud Application 角色指定給應用程式使用者群組。

    Oracle Analytics Cloud 應用程式角色

作業 4:設定 APEX 應用程式

  1. 建立 ATP 實例。

    建立可承諾量執行環境

  2. 建立 APEX 工作區並在其中安裝範例 APEX 應用程式。前往「應用程式庫」並選取其中一個範例應用程式 (例如範例行事曆應用程式)。

    APEX 應用程式庫

  3. 使用此 Oracle Analytics Cloud 和 ATP 佈建使用者登出網域。您現在必須使用教學課程開頭所使用的使用者登入,此使用者具有管理教學課程區間中所有資源的權限。

  4. 依照此指南,將範例應用程式與 OCI 識別網域整合。

    • 在應用程式網域中建立機密應用程式,針對您在上一步安裝的 APEX 應用程式。
    • 在您的 APEX 工作區中建立新的 Web 證明資料。
    • 為 APEX 應用程式建立新的認證配置。

作業 5:設定登入原則

  1. 登入預設網域並變更應用程式網域的預設登入原則。從變更「預設登入規則」開始,只允許存取 Oracle Analytics Cloud 和 ATP 佈建群組的成員。

    注意:就本教學課程而言,我們會讓規則保持簡單如下方所示,但您應該使用 MFA 指定生產環境使用案例的存取權。

    預設政策

  2. 將其他「登入規則」新增至「預設登入原則」。此規則會在第一條規則之後評估,並拒絕每位使用者的網域存取權。

    預設原則 rule2

    您現在應該在「預設登入原則」中有兩個規則,如下所示。

    登入規則

  3. 建立新的登入原則,讓應用程式使用者只能登入其應用程式。

    新登入原則

  4. 與此新原則建立關聯,包括在作業 4 中建立的 APEX 應用程式,以及在作業 3 中自動佈建 Oracle Analytics Cloud 應用程式。

    新增 App

  5. 建立此原則的登入規則,以允許應用程式群組的使用者登入這兩個應用程式。

    建立此原則的登入規則

注意:網域切換

如果 (而非 Oracle Analytics CloudOracle Integration 型應用程式) 需要部署自訂 Web 應用程式,您應該略過此作業的步驟 1 和步驟 2,而只是切換網域,以避免在 OCI 主控台登入頁面上選取該網域。

在「網域」主要頁面中,編輯網域並防止在 OCI 主控台登入頁面中選取網域。這會防止 OCI Web 主控台存取網域 (包括應用程式使用者和網域管理員)。

編輯網域

作業 6:測試

  1. 在應用程式網域中建立新使用者,並將它新增至先前作業中建立的應用程式群組。

    新增使用者至應用程式群組

  2. 使用新建立的使用者登入 OCI 主控台、選取應用程式網域,以及確認存取被拒。

    網域拒絕存取

  3. 使用新建立的使用者登入 APEX 應用程式,並確認可以順利登入。

    允許 APEX 存取

  4. 使用新建立的使用者登入 Oracle Analytics Cloud 應用程式並確認您可以順利登入。

    登入 Oracle Analytics Cloud 應用程式

接下來的步驟

登入原則不僅是 OCI 中應用程式認證的關鍵元素,也非常容易使用。本教學課程說明,確保您完全掌控應用程式使用者的認證,並強制執行對組織至關重要的原則。「登入原則」提供本教學課程以外的其他功能 (例如針對特定使用者群組強制使用 MFA)。請檢查額外資源,以深入瞭解可以使用的登入原則。

確認書

其他學習資源

探索 docs.oracle.com/learn 的其他實驗室,或者存取更多 Oracle Learning YouTube 頻道上的免費學習內容。此外,請瀏覽 education.oracle.com/learning-explorer 以成為 Oracle Learning 檔案總管。

如需產品文件,請造訪 Oracle Help Center