Anmelde

Hinweis:

Anmelde-Policys f眉r die Oracle Cloud Infrastructure Identity and Access Management-(OCI IAM-)Identit盲tsdomain sind ein Schl眉sselelement f眉r die Verwaltung des Zugriffs auf Anwendungen, die in Oracle Cloud Infrastructure (OCI) bereitgestellt werden.

Dieses Tutorial ist von einem Kundenanwendungsfall inspiriert und beschreibt, wie ein ISV oder ein Application Services-Provider Anmelde-Policys implementieren kann, um die Authentifizierung f眉r die Anwendungen zu erm枚glichen, die sie Endbenutzern bereitstellen, w盲hrend dieser Zugriff auf die OCI-Konsole verhindert.

F眉r dieses Tutorial werden zwei Anwendungen verwendet: eine Oracle Analytics Cloud-Anwendung und eine APEX-Anwendung, die auf dem Autonomous Transaction Processing-(ATP-)Service ausgef眉hrt wird.

In diesem Tutorial wird die folgende Architektur verwendet:

Melden Sie sich bei der OCI-Konsole in der Standarddomain mit einem Benutzer an, der 眉ber Berechtigungen zum Verwalten von Ressourcen im Mandanten oder auf Compartment-Ebene verf眉gt, aus dem Sie dann das Tutorial-Compartment als untergeordnetes Compartment erstellen.

Erstellen Sie ein Compartment f眉r das Tutorial.

Stellen Sie sicher, dass der Standarddomainbenutzer, mit dem Sie angemeldet sind, zu einer Gruppe geh枚rt, die 眉ber Verwaltungsberechtigungen f眉r dieses Compartment verf眉gt. Andernfalls erstellen (oder bitten Sie Ihre Mandantenadministratoren, eine Policy mit der folgenden Vorlage zu erstellen):

Erstellen Sie in diesem neu erstellten Compartment eine Identit盲tsdomain f眉r die Anwendungsbenutzer. F眉r dieses Tutorial k枚nnen Sie eine kostenlose Domain verwenden. Dies ist die Best Practice, da Anwendungsbenutzer von Administratorbenutzern getrennt werden.

Erstellen Sie in der neu erstellten Domain eine Gruppe f眉r die Anwendungsbenutzer. F眉gen Sie dieser Gruppe derzeit keine Benutzer hinzu. Sie f眉hren es sp盲ter im Tutorial aus, wenn Sie Tests durchf眉hren.

Erstellen Sie eine Gruppe f眉r die Benutzer, die Oracle Analytics Cloud- und ATP-Instanzen bereitstellen k枚nnen, und weisen Sie dieser Gruppe einen Benutzer zu. M枚glicherweise m眉ssen Sie zu diesem Zweck einen Benutzer erstellen.

Erstellen Sie Policys, damit Benutzer dieser Gruppe Oracle Analytics Cloud- und ATP-Instanzen in dem Compartment erstellen k枚nnen, das Sie f眉r dieses Tutorial erstellt haben.

Melden Sie sich bei der Anwendungsdomain, die Sie in Aufgabe 2 erstellt haben, mit dem Benutzer an, den Sie der Gruppe hinzugef眉gt haben, die Oracle Analytics Cloud- und ATP-Instanzen verwaltet.

Erstellen Sie die Oracle Analytics Cloud-Instanz. Mit der OCI-Konsole m眉ssen Sie die Oracle Analytics Cloud-Instanz mit einem Benutzer bereitstellen, der zu der Domain geh枚rt, auf der Ihre Anwendungsbenutzer erstellt und verwaltet werden. Der Grund daf眉r ist, dass der Provisioning-Prozess von Oracle Analytics Cloud automatisch eine Oracle Analytics Cloud-Anwendung in der Domain erstellt, die der Benutzer bereitstellt, dass er angemeldet ist.

Hinweis: Wenn Sie die Oracle Analytics Cloud-Instanz mit der OCI-API bereitgestellt haben, k枚nnen Sie die Oracle Analytics Cloud-Instanz mit einem Benutzer aus einer anderen Domain bereitstellen. Dies liegt jedoch au脽erhalb des Geltungsbereichs des aktuellen Tutorials.

Pr眉fen Sie, ob die Oracle Analytics Cloud-Instanz an die Identit盲tsdomain gebunden ist, bei der Sie angemeldet sind. Gehen Sie dazu zur Identit盲tsdomain, die Sie in Aufgabe 2 erstellt haben, und gehen Sie zu Oracle Cloud Services. Es sollte eine Anwendung angezeigt werden, die automatisch vom Provisioning-Prozess von Oracle Analytics Cloud in OCI erstellt wird.

Weisen Sie der Gruppe der Anwendungsbenutzer eine Oracle Analytics Cloud-Anwendungsrolle zu.

Erstellen Sie eine ATP-Instanz.

Erstellen Sie einen APEX-Workspace, und installieren Sie ihn in einer Beispiel-APEX-Anwendung. Gehen Sie zur Anwendungsgalerie, und w盲hlen Sie eine der Beispielanwendungen aus (z.B. die Beispielkalender-App).

Melden Sie sich mit diesem Oracle Analytics Cloud- und ATP-Provisioning-Benutzer von der Domain ab. Jetzt m眉ssen Sie sich mit dem Benutzer anmelden, den Sie am Anfang des Tutorials verwendet haben. Dort k枚nnen Sie alle Ressourcen im Tutorial-Compartment verwalten.

Integrieren Sie die Beispielanwendung in die OCI-Identit盲tsdomain gem盲脽 dieser Anleitung.

Melden Sie sich bei der Standarddomain an, und 盲ndern Sie die Standardanmelde-Policy der Anwendungsdomain. 脛ndern Sie zun盲chst die Standardanmelderegel, um nur den Zugriff auf Mitglieder der Provisioning-Gruppe von Oracle Analytics Cloud und ATP zuzulassen.

Hinweis: F眉r dieses Tutorial behalten wir die Regel so einfach wie unten dargestellt. Sie sollten jedoch den Zugriff mit MFA f眉r einen Produktionsanwendungsfall verschreiben.

F眉gen Sie eine weitere Anmelderegel zur Standardanmelde-Policy hinzu. Diese Regel wird nach der ersten Regel ausgewertet und verweigert jedem Benutzer den Zugriff auf die Domain.

Die Standardanmelde-Policy sollte jetzt zwei Regeln enthalten, wie unten dargestellt.

Erstellen Sie eine neue Anmelde-Policy, damit Anwendungsbenutzer sich nur bei ihren Anwendungen anmelden k枚nnen.

Verkn眉pfen Sie diese neue Policy sowohl mit der in Aufgabe 4 erstellten APEX-Anwendung als auch mit der automatisch in Aufgabe 3 bereitgestellten Oracle Analytics Cloud-Anwendung.

Erstellen Sie eine Anmelderegel f眉r diese Policy, damit Benutzer aus der Anwendungsgruppe sich bei diesen beiden Anwendungen anmelden k枚nnen.

Hinweis: Domain-Togging

Wenn Sie anstelle von Oracle Analytics Cloud- oder Oracle Integration-basierten Anwendungen benutzerdefinierte Webanwendungen bereitstellen m眉ssen, sollten Sie die Schritte 1 und 2 dieser Aufgabe 眉berspringen und stattdessen einfach die Domain umschalten und so verhindern, dass sie auf der Anmeldeseite der OCI-Konsole ausgew盲hlt wird.

Bearbeiten Sie auf der Domainhauptseite die Domain, und verhindern Sie, dass die Domain auf der Anmeldeseite der OCI-Konsole ausgew盲hlt wird. Dadurch wird der Zugriff der OCI-Webkonsole auf die Domain (einschlie脽lich der Anwendungsbenutzer und des Domainadministrators) verhindert.

Erstellen Sie einen neuen Benutzer in der Anwendungsdomain, und f眉gen Sie ihn der Anwendungsgruppe hinzu, die in den vorherigen Aufgaben erstellt wurde.

Melden Sie sich mit dem neu erstellten Benutzer bei der OCI-Konsole an, w盲hlen Sie die Anwendungsdomain aus, und best盲tigen Sie, dass der Zugriff abgelehnt wurde.

Melden Sie sich mit dem neu erstellten Benutzer bei der APEX-Anwendung an, und best盲tigen Sie, dass Sie sich erfolgreich anmelden k枚nnen.

Melden Sie sich mit dem neu erstellten Benutzer bei der Oracle Analytics Cloud-Anwendung an, und best盲tigen Sie, dass Sie sich erfolgreich anmelden k枚nnen.

Erl盲uterungsblog zu Anmelde-Policys

Dokumentation zu Anmelde-Policys

Anmelde-Policys sind nicht nur ein Schl眉sselelement der Anwendungsauthentifizierung in OCI, sie sind auch sehr einfach zu verwenden. Dieses Tutorial zeigt, wie einfach es ist, sicherzustellen, dass Sie die vollst盲ndige Kontrolle 眉ber die Authentifizierung von Anwendungsbenutzern haben und die Policys durchsetzen, die f眉r Ihr Unternehmen sinnvoll sind. Anmelde-Policys bieten zus盲tzliche Funktionen, die 眉ber die in diesem Tutorial verwendeten Funktionen hinausgehen (z. B. die Durchsetzung von MFA f眉r bestimmte Benutzergruppen). Stellen Sie sicher, dass Sie die zus盲tzlichen Ressourcen pr眉fen, um ein umfassenderes Verst盲ndnis dar眉ber zu erlangen, wof眉r Anmelde-Policys verwendet werden k枚nnen.

Sehen Sie sich andere 脺bungen zu docs.oracle.com/learn an, oder greifen Sie auf weitere kostenlose Lerninhalte im Oracle Learning YouTube-Kanal zu. Besuchen Sie au脽erdem die Website education.oracle.com/learning-explorer, um Oracle Learning Explorer zu werden.

Produktdokumentation finden Sie im Oracle Help Center.

Configure Sign-on Policies for Oracle Analytics Cloud and APEX Apps on OCI

F82267-01

June 2023

Copyright 漏 2023, Oracle and/or its affiliates.