Hướng dẫn thiết lập Liên kết Danh tính giữa Google Cloud và Oracle Cloud
Thiết lập Liên kết Danh tính sẽ cho phép người dùng đăng nhập vào Oracle Cloud Infrastructure (OCI) bằng thông tin xác thực của tổ chức GCP IAM, thay vì phải đăng nhập bằng tên người dùng-mật khẩu mới trong OCI. Điều này giúp cải thiện quản lý thông tin đăng nhập và bảo mật bằng cách có một nơi trung tâm để lưu trữ tất cả thông tin đăng nhập của người dùng.
Chúng ta sẽ thực hiện các bước theo tài liệu của Oracle: Nhiệm vụ 6: Thiết lập Liên kết Danh tính (Tùy chọn) với một số cập nhật giao diện người dùng. Đây là một bước tùy chọn tiếp theo cho bài viết "Cách tạo Cơ sở dữ liệu Tự động Oracle trên Google Cloud" mà chúng tôi đã viết trước đó.
Các yêu cầu cần có
- Có tài khoản OCI
- Có tài khoản GCP và bảng điều khiển quản trị GCP Workspace IAM tại https://admin.google.com. Lưu ý rằng điều này yêu cầu bạn có và liên kết một tên miền DNS riêng (ví dụ: example.com) với bảng điều khiển quản trị Google Cloud.
1. Tạo nhóm trong Bảng điều khiển Quản trị GCP
Mặc dù không hoàn toàn cần thiết, bước này giúp xác nhận việc cấp phát thông tin Just-in-time (JIT) hoạt động như mong muốn. Bạn có thể tạo bất kỳ nhóm nào, nhưng chúng tôi khuyên bạn nên tạo ít nhất một tên nhóm đã có sẵn trong OCI và GCP ("odbg-db-family-administrators") và một nhóm khác chỉ có trong GCP ("example-group415") cho mục đích POC.
Chúng tôi tạo một số nhóm trong bảng điều khiển GCP: https://admin.google.com/u/1/ac/groups. Nếu bạn đã theo dõi từ bài viết "Cơ sở dữ liệu Oracle trên Google Cloud", chúng tôi đã tạo các nhóm để truy cập Cơ sở dữ liệu Tự động dựa trên tài liệu của Oracle: Nhiệm vụ 5: Thiết lập Kiểm soát Truy cập Dựa trên Vai trò.
2. Tạo một ứng dụng SAML tùy chỉnh mới trong GCP
Đi đến https://admin.google.com/u/1/ac/apps/unified và nhấp vào Thêm ứng dụng > Thêm ứng dụng SAML tùy chỉnh.
Chúng tôi đã thêm các chi tiết ứng dụng sau:
- Tên ứng dụng: OracleCloudFederation
- Mô tả: Cấu hình liên kết danh tính giữa Google Cloud và Oracle Cloud cho việc sử dụng Cơ sở dữ liệu Oracle trên Google Cloud.
Nhấp vào TIẾP TỤC.
Ở trang tiếp theo, Tải xuống Metadata. Giữ trang này mở trong thời gian này.
3. Thêm IdP SAML trong OCI
Đăng nhập vào tài khoản OCI của bạn. Đi đến ☰ Menu > Danh tính & Bảo mật > Tên miền > Mặc định (hoặc tên miền khác) > Liên kết > Hành động > Thêm IdP SAML.
Chúng tôi đặt tên cho nhà cung cấp danh tính SAML một tên ngẫu nhiên:
Nhập metadata IdP đã tải xuống từ GCP:
Giữ trang này mở.
4. Thêm IdP SAML trong GCP
Nhấp vào Xuất metadata SAML để xuất chi tiết metadata SAML của OCI.
Chuyển chế độ xem từ Tập tin metadata sang Xuất thủ công.
Quay lại trang quản trị GCP. Nhấp vào TIẾP TỤC.
Sao chép và dán các giá trị OCI vào GCP như sau:
| GCP | OCI |
|---|---|
| ACS URL | URL dịch vụ người tiêu dùng xác nhận |
| Entity ID | ID nhà cung cấp |
Giữ các chi tiết Name ID ở mặc định của chúng.
Nhấp vào TIẾP TỤC.
5. Thêm ánh xạ thuộc tính trong GCP
Ở trang tiếp theo, thêm các thuộc tính sau:
- Tên → FirstName
- Họ → LastName
- Email chính → PrimaryEmail
Dưới phần Thành viên nhóm, thêm tất cả các nhóm của người dùng mà bạn muốn được gửi đến OCI. Nhập thuộc tính ứng dụng MemberOf. Nhấp vào HOÀN TẤT.
6. Bật quyền truy cập người dùng trong GCP
Ở trang tiếp theo hiển thị chi tiết ứng dụng SAML, nhấp vào Quyền truy cập người dùng.
Chuyển sang BẬT cho mọi người. Nhấp vào LƯU.
7. Hoàn tất việc tạo ứng dụng SAML trong OCI
Quay lại trang OCI. Chúng tôi đã hoàn tất việc nhập tập tin metadata IdP của GCP. Nhấp vào Tiếp theo.
Thay đổi Định dạng Name ID yêu cầu thành Địa chỉ email. Nhấp vào Tiếp theo và Tạo IdP.
8. Kích hoạt và thêm vào chính sách IdP
Bây giờ chúng ta muốn kích hoạt ứng dụng IdP mới tạo và thêm nó như một tùy chọn vào chính sách đăng nhập. Nhấp vào ứng dụng.
Nhấp vào nút Kích hoạt IdP (dưới Hành động hoặc trong banner).
Tiếp theo, chúng ta cần thêm ứng dụng IdP vào chính sách IdP. Quay lại trang Liên kết và nhấp vào Chính sách Nhà cung cấp Danh tính Mặc định.
Dưới phần Quy tắc nhà cung cấp danh tính, chỉnh sửa quy tắc IdP đầu tiên.
Thêm ứng dụng IdP mới tạo vào danh sách Gán nhà cung cấp danh tính. Nhấp vào Lưu thay đổi.
Bây giờ bạn có thể đăng nhập nhưng không có bất kỳ nhóm nào.
9. Thiết lập JIT
Để cho phép các nhóm người dùng trong GCP xuất hiện trong OCI và đồng bộ hóa thông tin thành viên nhóm của người dùng, chúng ta cần kích hoạt việc cấp phát Just-in-time (JIT) để thông tin thành viên nhóm có thể được chia sẻ từ GCP đến OCI.
Quay lại trang Liên kết và nhấp vào ứng dụng IdP.
Nhấp vào Hành động > Cấu hình JIT.
Kích hoạt các cài đặt sau:
- Kích hoạt cấp phát Just-In-Time (JIT)
- Tạo một người dùng miền danh tính mới
- Cập nhật người dùng miền danh tính hiện có
Thêm các thông tin ánh xạ thuộc tính người dùng:
| Loại thuộc tính người dùng IdP | Tên thuộc tính người dùng IdP | Ánh xạ đến | Thuộc tính người dùng miền danh tính |
|---|---|---|---|
| NameID | Giá trị NameID | → | Tên người dùng |
| Thuộc tính | LastName | → | Họ |
| Thuộc tính | PrimaryEmail | → | Email làm việc chính |
| Thuộc tính | FirstName | → | Tên |
Bây giờ, chúng ta gán ánh xạ nhóm. Nhập các giá trị sau:
- Tên thuộc tính thành viên nhóm:
MemberOf - Gán thành viên nhóm ngầm định: Chọn cái này
- Khi gán thành viên nhóm...: Gộp với các thành viên nhóm hiện có
- Khi một nhóm không được tìm thấy...: Bỏ qua nhóm bị thiếu
Nhấp vào Cập nhật.
10. Xác minh đăng nhập Liên kết
Chúng ta đã hoàn tất! Bây giờ, chúng ta cần kiểm tra đăng nhập OCI bằng thông tin xác thực GCP.
Đăng xuất khỏi OCI nếu cần. Đăng nhập vào tài khoản OCI của bạn tại https://cloud.oracle.com. Bạn sẽ thấy tùy chọn đăng nhập GCP ở đây.
Đăng nhập bằng nút đó, điều này sẽ dẫn bạn đến đăng nhập GCP của bạn, và đăng nhập OCI của bạn sẽ thành công.
ℹ Khắc phục sự cố: nếu đăng nhập không thành công, hãy kiểm tra lại các cài đặt JIT của OCI có đúng không.
Chúng tôi sẽ đăng xuất và đăng nhập lại với tư cách quản trị viên OCI để chúng tôi có thể thấy tất cả các nhóm và người dùng đã được thêm vào.
Tại đây, chúng tôi có thể thấy người dùng GCP của tôi đã được thêm vào danh sách người dùng OCI.
Và tôi có thể thấy rằng người dùng mới đó là thành viên của nhóm "odbg-db-family-administrators", nhóm mà người dùng đó có trong GCP. Lưu ý rằng trong khi người dùng cũng nằm trong nhóm GCP "example-group415", nhóm này không được chuyển vào OCI vì nhóm đó chưa bao giờ được tạo trong OCI ngay từ đầu. JIT chỉ khớp với các nhóm có sẵn trong cả OCI và GCP.
Bạn đã thành công trong việc tạo một liên kết danh tính từ GCP đến OCI.
Tham khảo
- Tài liệu Oracle: Nhiệm vụ 6: Thiết lập Liên kết Danh tính (Tùy chọn)
Tuyên bố bảo vệ
Thông tin được cung cấp trên kênh/bài viết/truyện này chỉ nhằm mục đích thông tin và không thể được sử dụng như một phần của bất kỳ thỏa thuận hợp đồng nào. Nội dung không đảm bảo việc cung cấp bất kỳ tài liệu, mã, hoặc chức năng nào, và không nên là cơ sở duy nhất để đưa ra quyết định mua hàng. Các bài viết trên trang này là của riêng tôi và không nhất thiết phản ánh quan điểm hoặc công việc của Oracle hoặc Mythics, LLC.
Bài viết này được cấp phép theo Giấy phép Quốc tế Creative Commons Attribution 4.0.
