要将创建 Oracle Content Management 实例的任务委派给非联合用户(不是通过 SSO 登录的用户),主账户管理员必须创建一个组并将用户添加到该组,创建必需的策略,为用户授予应用程序管理员角色,并创建机密应用程序。用户随后可以生成访问令牌并创建实例。
注:
即使您在辅助
Oracle Identity Cloud Service (IDCS) 域中创建实例,您也需要在
主 IDCS 域中执行本主题中所述的步骤。
- 创建要委派给的用户的组。
- 以主账户管理员身份登录到 Oracle Cloud。
- 在 Infrastructure 控制台中,单击左上角的
以打开导航菜单,再单击身份下的身份和安全性,然后单击组。
- 单击创建组。
- 输入名称和说明,然后单击创建。
- 添加要委派给的用户。
- 打开您创建的组。
- 单击将用户添加到组。
- 开始键入用户的名称,然后选择该用户并单击添加。
- 创建策略以允许该组管理 Oracle Content Management 实例。
- 在 Infrastructure 控制台中,单击左上角的
以打开导航菜单,再单击身份和安全,然后在身份下单击策略。您可能需要使用左侧的滚动条向下滚动以查看菜单选项。
- 选择区间。通过选择根区间可以将策略应用于所有区间,也可以选择特定区间。
- 单击创建策略。
- 输入名称和说明。
- 在“语句”框中,输入以下项之一,将
YourGroupName
替换为您创建的组的名称,如果需要,将 compartment_id
替换为您选择的特定区间的 ID:
- 如果您选择了根区间:
allow group YourGroupName to manage oce-instance-family in tenancy
- 如果您选择了特定区间:
allow group YourGroupName to manage oce-instance-family in compartment_id
- 单击创建。
- 如果您委派的用户不是管理员,则还必须创建
OCE_Internal_Storage_Policy
,此角色允许 Oracle Content Management 访问对象存储。通常,此策略会在创建实例的过程中自动创建,但是不允许非管理员创建策略,因此该后台流程将失败,除非您手动创建策略,否则这会离开 Oracle Content Management 而不访问对象存储。
- 在“策略”页上,确保选择了适当的区间。通过选择根区间可以将策略应用于所有区间,也可以选择特定区间。
- 单击创建策略。
- 输入
OCE_Internal_Storage_Policy
作为名称,然后输入说明。
- 在“语句”框中,输入下面的语句之一,必要时将
compartment_id
替换为您选择的特定区间的 ID:
- 如果您选择了根区间:
Allow service CEC to manage object-family in tenancy
- 如果您选择了特定区间:
Allow service CEC to manage object-family in compartment compartment_id
- 单击创建。
- 在 IDCS 中为自己和委派用户授予应用程序管理员角色,以便您可以亲自生成自己的访问令牌。
- 根据您的订阅,可以通过下列方式之一访问 IDCS 控制台:
- 通过 Infrastructure Console 中的“联合”选项
- 在 Infrastructure 控制台中,单击左上角的
以打开导航菜单,再单击身份和安全性,然后在身份下单击联合。
- 在“联合”页上,单击 Oracle Identity Cloud Service,然后在身份提供者详细信息页上,单击指向 Oracle Identity Cloud Service 控制台的链接。将在新窗口中打开 IDCS 控制台。
- 如果您看不到“联合”选项,请使用 Infrastructure Classic 控制台,这可以通过欢迎电子邮件访问:
- 在“欢迎使用 Oracle Cloud”电子邮件中,单击入门链接,然后输入您的用户名和密码。
- 在 Infrastructure Classic 控制台中,单击左上角的
以打开导航菜单,再单击用户,然后单击身份。将在新窗口中打开 IDCS 控制台。
- 依次单击
、安全和管理员。
- 展开应用程序管理员部分。
- 单击添加。
- 选择您自己和委派的用户,然后单击确定。这些是 IDCS 用户,不同于 Oracle Cloud 用户,因此如果您看不到所需的委派用户,请在 IDCS 中创建他们。
停留在 IDCS 控制台中以完成下一步。
- 创建机密应用程序。
- 在 IDCS 控制台中,单击
,然后单击应用程序。如果看不到“应用程序”选项,则您没有应用程序管理员角色。
- 单击添加,然后选择机密应用程序。
- 在“详细信息”页上,输入
OCE Trusted App
作为名称,然后单击下一步。
- 在客户端页上:
- 选择立即将此应用程序配置为客户端。
- 对于允许的授权类型,选择资源所有者、客户端身份证明和 JWT 断言。
- 在“授予对 Identity Cloud Service 管理 API 的客户端访问权限”下,单击添加,选择应用程序管理员,然后单击添加。
- 单击下一步。
- 在“资源”页上,选择暂时跳过,然后单击下一步。
- 在“Web 层策略”页上,选择暂时跳过,然后单击下一步。
- 在“授权”页上,单击完成。
- 创建应用程序后,单击激活。
停留在此页上以完成下一步。
当您或委派的用户准备创建
Oracle Content Management 实例时,需要生成 IDCS 访问令牌并在创建实例时输入访问令牌。
注:
该令牌一小时后失效,因此您可能需要重新生成令牌,例如,稍后您希望创建另一个实例时。
要生成访问令牌,请执行以下操作:
- 如果您还没有查看您创建的机密应用程序,请在 IDCS 控制台中将其打开。
- 在“应用程序详细信息”页上,单击生成访问令牌,选择定制范围,选择应用程序管理员,然后单击下载令牌。
如果您不想在单独环境中创建多个实例、在另一个区域中创建您的实例或创建专用实例,则可以跳至创建您的实例。