Administratorrollen auf Domainebene

Neben den vordefinierten Rollen, die den Benutzern in den einzelnen Umgebungen zugewiesen werden, gibt es auch Administratorrollen auf Domainebene. Diese Rollen sind im Folgenden beschrieben:

Administratorrolle auf Domainebene Berechtigungen
Identitätsdomainadministrator

Verfügt über Superuser-Berechtigungen für eine Identitätsdomain in Identity Cloud Service.

Der Identitätsdomainadministrator kann folgende Aktionen ausführen:

  • Benutzer, Gruppen, Anwendungen, Systemkonfigurationen und Sicherheitseinstellungen verwalten
  • Multifaktor-Authentifizierung (MFA) aktivieren und deaktivieren, MFA-Einstellungen konfigurieren und Authentifizierungsfaktoren konfigurieren
  • Selbstregistrierungsprofile zur Verwaltung verschiedener Sets von Benutzern, Genehmigungs-Policys und Anwendungen erstellen

Alle Benutzer mit der Rolle Identitätsdomainadministrator können Benutzer und Zuweisungen vordefinierter Rollen in der Umgebung verwalten. Außerdem können diese Benutzer den Benutzeranmeldebericht und den Auditbericht für die Rollenzuweisung anzeigen.

Der Identitätsdomainadministrator kann folgende EPM Automate-Befehle ausführen, sofern ihm auch eine vordefinierte Rolle zugewiesen ist: Der Identitätsdomainadministrator kann folgende REST-APIs ausführen, sofern ihm auch eine vordefinierte Rolle zugewiesen ist:

Der Identitätsdomainadministrator kann einige seiner Verantwortlichkeiten an andere Benutzer delegieren, die über eine der im Folgenden aufgeführten Rollen verfügen.

Sicherheitsadministrator Kann die Oracle Identity Cloud Service-Systemkonfiguration und -Sicherheitseinstellungen für eine Identitätsdomain verwalten. Der Sicherheitsadministrator kann die Benutzeroberfläche, Standardeinstellungen, Benachrichtigungen und Kennwort-Policys anpassen, MFA konfigurieren und die Microsoft Active Directory-(AD-)-Bridge, die Provisioning-Bridge, Identitätsprovider und vertrauenswürdige Partnerzertifikate verwalten.
Anwendungsadministrator

Kann Anwendungen erstellen, aktualisieren, aktivieren, deaktivieren und löschen. Anwendungsadministratoren können außerdem Gruppen und Benutzern Zugriff auf Anwendungen erteilen und den Zugriff entziehen.

Der Anwendungsadministrator kann den EPM Automate-Befehl assignRoles oder unassignRole oder die entsprechende REST-API zum Zuweisen von Benutzern zu vordefinierten Rolle oder Entfernen der Rollenzuweisung von Benutzern nicht ausführen.
Benutzeradministrator

Kann Benutzer, Gruppen und Gruppenmitgliedschaften für eine Identitätsdomain verwalten.

Der Benutzeradministrator kann den EPM Automate-Befehl addUsers, removeUsers oder updateUsers oder die entsprechendeREST-API zum Hinzufügen von Benutzern zu einer Identitätsdomain, Entfernen von Benutzern aus einer Identitätsdomain oder Aktualisieren von Benutzern nicht ausführen.
Benutzermanager

Kann alle Benutzer oder die Benutzer ausgewählter Gruppen in Oracle Identity Cloud Service verwalten. Benutzermanager können Benutzeraccounts aktualisieren, aktivieren, deaktivieren, entfernen und entsperren. Benutzermanager können auch Kennwörter zurücksetzen, Authentifizierungsfaktoren zurücksetzen und Umgehungscodes für Benutzeraccounts generieren.

Der Benutzermanager kann den EPM Automate-Befehl removeUsers oder updateUsers oder die entsprechende REST-API zum Entfernen von Benutzern aus einer Identitätsdomain oder Aktualisieren von Benutzern nicht ausführen.
Helpdeskadministrator Kann alle Benutzer oder die Benutzer ausgewählter Gruppen in Oracle Identity Cloud Service verwalten. Helpdeskadministratoren können die Details eines Benutzers anzeigen und die Sperre eines Benutzeraccounts aufheben. Helpdeskadministratoren können außerdem Kennwörter zurücksetzen, Authentifizierungsfaktoren zurücksetzen und Umgehungscodes für Benutzeraccounts generieren.
Auditadministrator

Kann Berichte für eine Identitätsdomain in Oracle Identity Cloud Service ausführen.

Der Auditadministrator kann den EPM Automate -Befehl roleAssignmentAuditReport oder invalidLoginReport oder die entsprechende REST-API zum Auditbericht zur Rollenzuweisung für OCI oder Bericht zu ungültigen Anmeldungen für OCI nicht ausführen.

Die Administratoren können die oben aufgeführten Berechtigungen auf der IAM-Oberfläche der Oracle Cloud-Konsole verwalten.

Note:

  • Serviceadministratoren können Benutzern vordefinierte Rollen zuweisen oder die Rollenzuweisung aufheben, ohne dass ihnen die Rolle Identitätsdomainadministrator zugewiesen ist. Wenn Sie nur der Rolle Identitätsdomainadministrator das Zuweisen vordefinierter Rollen erlauben möchten, können Sie eine entsprechende Anfrage an Oracle senden. Informationen hierzu finden Sie unter Nichtzulassen der Zuweisung vordefinierter Rollen in OCI (Gen 2)-Umgebungen für Serviceadministratoren anfordern in der Dokumentation zu Vorgängen in Oracle Enterprise Performance Management Cloud.
  • Benutzer, denen nur eine Administratorrolle auf Domainebene zugewiesen ist, werden für Named User-Lizenzen nicht gezählt. Nur Benutzer, die den vordefinierten Rollen zugewiesen sind, werden für Named User-Lizenzen gezählt.