網域層級管理員角色

除了在每個環境中指派給使用者的預先定義角色之外,還有網域層級的管理員角色。這些角色如下所述:

網域層級的管理員角色 權限
識別網域管理員

擁有 Identity Cloud Service 中某個識別網域的超級使用者權限。

識別網域管理員可以:

  • 管理使用者、群組、應用程式、系統組態,以及安全性設定
  • 啟用及停用「多重因素驗證」(MFA)、設定 MFA 設定,以及設定驗證因素
  • 建立會自我登錄的設定檔,以管理不同組的使用者、核准原則及應用程式

任何指派給識別網域管理員角色的使用者,都可以在環境中管理使用者和預先定義的角色指派。這類使用者也可以檢視「使用者登入」報表,以及「角色指派稽核」報表。

只要識別網域管理員被指派預先定義的角色,即可執行下列 EPM Automate 命令: 只要識別網域管理員也被指派預先定義的角色,即可執行下列 REST API

識別網域管理員可將其部分職責委派給具有下方列所列其中一個角色的其他使用者。

安全管理員 可以管理某個識別網域的 Oracle Identity Cloud Service 系統組態,以及安全性設定。安全管理員可以自訂介面、預設設定、通知及密碼原則,還能設定 MFA,以及管理 Microsoft Active Directory (AD) 橋接器、佈建橋接器、識別提供者,及受信任的夥伴憑證。
應用程式管理員

可以建立、更新、啟動、停用及刪除應用程式。應用程式管理員也可以授予及撤銷群組和使用者的應用程式存取權。

「應用程式管理員」無法執行 assignRolesunassignRole EPM Automate 命令,或是相對應的將使用者指派給某個預先定義的角色移除使用者的角色指派 REST API
使用者管理員

可以管理某個識別網域的使用者、群組及群組成員資格。

「使用者管理員」無法執行 addUsersremoveUsersupdateUsers EPM Automate 命令,或是相對應的將使用者新增至某個識別網域移除某個識別網域的使用者更新使用者 REST API
使用者主管

可以管理 Oracle Identity Cloud Service 中的所有使用者,或是所選取群組的使用者。使用者主管可以更新、啟動、停用、移除使用者帳戶,以及解除鎖定使用者帳戶。使用者主管也可以重設密碼、重設多重因素,以及產生使用者帳戶的略過碼。

「使用者主管」無法執行 removeUsersupdateUsers EPM Automate 命令,或是相對應的移除某個識別網域的使用者更新使用者 REST API
諮詢中心管理員 可以管理 Oracle Identity Cloud Service 中的所有使用者,或是所選取群組的使用者。諮詢中心管理員可檢視使用者的詳細資料以及解除鎖定使用者帳戶。服務中心管理員也可以重設密碼、重設多重因素,以及產生使用者帳戶的略過碼。
稽核管理員

可為 Oracle Identity Cloud Service 中的識別網域執行報表。

「稽核管理員」無法執行 roleAssignmentAuditReportinvalidLoginReport EPM Automate 命令,或是相對應的適用於 OCI 的角色指派稽核報表OCI 的無效登入報表 REST API

管理員可以使用 Oracle Cloud ConsoleIAM 介面管理上述權限。

Note:

  • 服務管理員不必被指派 識別網域管理員角色,即可對使用者指派或取消指派預先定義的角色。若只想允許識別網域管理員指派預先定義的角色,您可以傳送要求給 Oracle。如需詳細資料,請參閱 Oracle Enterprise Performance Management Cloud 操作手冊中的要求不允許服務管理員在 OCI(Gen 2) 環境中指派預先定義的角色
  • 僅被指派網域層級管理員角色的使用者不會計入「具名使用者授權」計數。只有指派給預先定義角色的使用者才會納入「具名使用者授權」計數。