Gruppen verwalten

In diesem Thema werden die Grundlagen der Arbeit mit Gruppen beschrieben.

Wichtig

Wenn Ihr Mandant mit Oracle Identity Cloud Service föderiert ist, finden Sie weitere Informationen zum Verwalten von Gruppen unter Oracle Identity Cloud Service-Benutzer und -Gruppen in der Oracle Cloud Infrastructure-Konsole verwalten.

Erforderliche IAM-Policy

Wenn Sie Mitglied der Administratorengruppe sind, haben Sie den erforderlichen Zugriff zum Verwalten von Gruppen.

Wenn Sie mit Policys nicht vertraut sind, finden Sie weitere Informationen unter Erste Schritte mit Policys und Allgemeine Policys. Weitere Informationen zum Schreiben von Policys für Gruppen oder andere IAM-Komponenten finden Sie unter Details zu IAM ohne Identitätsdomains.

Ressourcen taggen

Wenden Sie Tags auf Ihre Ressourcen an, um diese entsprechend Ihren Geschäftsanforderungen zu organisieren. Wenden Sie Tags beim Erstellen einer Ressource an, oder aktualisieren Sie die Ressource später mit den gewünschten Tags. Allgemeine Informationen zum Anwenden von Tags finden Sie unter Ressourcentags.

Mit Gruppen arbeiten

Wenn Sie eine Gruppe erstellen, müssen Sie einen eindeutigen, nicht änderbaren Namen für die Gruppe angeben. Der Name muss in allen Gruppen in Ihrem Mandanten eindeutig sein. Sie müssen für die Gruppe auch eine Beschreibung angeben (obwohl es sich um eine leere Zeichenfolge handeln kann). Dies ist eine nicht eindeutige, änderbare Beschreibung für die Gruppe. Oracle weist der Gruppe auch eine eindeutige ID zu, die als Oracle Cloud-ID (OCID) bezeichnet wird. Weitere Informationen finden Sie unter Ressourcen-IDs.

Hinweis

Wenn Sie eine Gruppe löschen und dann eine neue Gruppe mit demselben Namen erstellen, werden diese als unterschiedliche Gruppen betrachtet, weil sie unterschiedliche OCIDs haben.

Eine Gruppe hat erst dann Berechtigungen, wenn Sie mindestens eine Policy schreiben, die dieser Gruppe Berechtigung für den Mandanten oder ein Compartment erteilt. Beim Schreiben der Policy können Sie die Gruppe entweder mit dem eindeutigen Namen oder der OCID der Gruppe angeben. Selbst wenn Sie den Gruppennamen in der Policy angeben, verwendet IAM intern die OCID, um die Gruppe zu bestimmen. Informationen zum Schreiben von Policys finden Sie unter Policys verwalten.

Sie können eine Gruppe nur löschen, wenn sie leer ist.

Informationen zur Anzahl der Gruppen, die Sie haben können, finden Sie unter Servicelimits.

Wenn Sie mit einem Identitätsprovider föderieren, erstellen Sie Zuordnungen zwischen den Gruppen des Identitätsproviders und Ihren IAM-Gruppen. Weitere Informationen finden Sie unter Mit Identitätsprovidern föderieren.

Konsole verwenden

So erstellen Sie eine Gruppe

Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Domains. Eine Liste der Gruppen in Ihrem Mandanten wird angezeigt.
Klicken Sie auf Gruppe erstellen.
Geben Sie Folgendes ein:
- Name: Ein eindeutiger Name für die Gruppe. Der Name muss in allen Gruppen in Ihrem Mandanten eindeutig sein. Sie können diese Angabe später nicht ändern. Der Name muss 1-100 Zeichen lang sein und kann folgende Zeichen enthalten: Kleinbuchstaben a-z, Großbuchstaben A-Z, 0-9 sowie Punkt (.), Bindestrich (-) und Unterstrich (_). Leerzeichen sind nicht zulässig. Geben Sie keine vertraulichen Informationen ein.
- Beschreibung: Eine aussagekräftige Beschreibung. Sie können diese später bei Bedarf ändern.
- Tags: Wenn Sie über Berechtigungen zum Erstellen einer Ressource verfügen, sind Sie auch berechtigt, Freiformtags auf diese Ressource anzuwenden. Um ein definiertes Tag anzuwenden, benötigen Sie die Berechtigungen zum Verwenden des Tag-Namespace. Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Sie Tags anwenden sollen, überspringen Sie diese Option, oder fragen Sie einen Administrator. Sie können Tags später anwenden.
Klicken Sie auf Gruppe erstellen.

Als Nächstes können Sie Benutzer zu der Gruppe hinzufügen oder eine Policy für die Gruppe schreiben. Siehe So erstellen Sie eine Policy.

So fügen Sie einer Gruppe einen Benutzer hinzu

Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Domains. Eine Liste der Gruppen in Ihrem Mandanten wird angezeigt.
Suchen Sie die Gruppe in der Liste.
Klicken Sie auf die Gruppe. Die zugehörigen Details werden angezeigt
Klicken Sie auf Benutzer zu Gruppe hinzufügen.
Wählen Sie den Benutzer in der Dropdown-Liste aus, und klicken Sie auf Benutzer hinzufügen.

So entfernen Sie einen Benutzer aus einer Gruppe

Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Domains. Eine Liste der Gruppen in Ihrem Mandanten wird angezeigt.
Suchen Sie die Gruppe in der Liste.
Klicken Sie auf die Gruppe, um die zugehörigen Details anzuzeigen. Eine Liste der Benutzer in der Gruppe wird angezeigt.
Suchen Sie den Benutzer in der Liste.
Klicken Sie für den Benutzer aus, den Sie entfernen möchten, auf Entfernen.
Bestätigen Sie den Vorgang, wenn Sie dazu aufgefordert werden.

So löschen Sie eine Gruppe

Voraussetzung: Um eine Gruppe löschen zu können, darf sie keine Benutzer enthalten.

Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Domains. Eine Liste der Gruppen in Ihrem Mandanten wird angezeigt.
Suchen Sie die Gruppe in der Liste.
Klicken Sie für die zu löschende Gruppe auf Löschen.
Bestätigen Sie den Vorgang, wenn Sie dazu aufgefordert werden.

So aktualisieren Sie die Beschreibung einer Gruppe

Diese Option ist nur über die API verfügbar. Wenn Sie keinen Zugriff auf die API haben und die Beschreibung einer Gruppe aktualisieren müssen, wenden Sie sich an Oracle Support.

So wenden Sie Tags auf eine Gruppe an

Anweisungen finden Sie unter Ressourcentags.

API verwenden

Informationen zur Verwendung der API und zu Signieranforderungen finden Sie unter REST-API-Dokumentation und Sicherheitszugangsdaten. Informationen zu SDKs finden Sie unter SDKs und die CLI.

Hinweis

Aktualisierungen werden nicht über alle Regionen hinweg sofort wirksam

Ihre IAM-Ressourcen befinden sich in Ihrer Hauptregion. Um eine Policy für alle Regionen durchzusetzen, repliziert der IAM-Service Ihre Ressourcen in jeder Region. Wenn Sie eine Policy, einen Benutzer oder eine Gruppe erstellen oder ändern, werden die Änderungen zuerst in der Hauptregion wirksam und werden dann an die anderen Regionen propagiert. Es kann mehrere Minuten dauern, bis die Änderungen in allen Regionen wirksam werden. Beispiel: Angenommen, Sie haben eine Gruppe mit Berechtigungen zum Starten von Instanzen im Mandanten. Wenn Sie "UserA" zu dieser Gruppe hinzufügen, kann "UserA" innerhalb einer Minute Instanzen in Ihrer Hauptregion starten. "UserA" kann jedoch erst Instanzen in anderen Regionen starten, wenn der Replikationsprozess abgeschlossen ist. Dieser Prozess kann mehrere Minuten dauern. Wenn "UserA" vor Abschluss des Replikationsvorgangs versucht, eine Instanz zu starten, wird ein Fehler ("Nicht autorisiert") angezeigt.

Verwenden Sie die folgenden API-Vorgänge zum Verwalten von Gruppen:

CreateGroup
ListGroups
GetGroup
UpdateGroup: Sie können nur die Beschreibung der Gruppe aktualisieren.
DeleteGroup
ListUserGroupMemberships: Mit dieser Option können Sie eine Liste abrufen, welche Benutzer einer Gruppe angehören oder in welchen Gruppen Benutzer Mitglieder sind.
AddUserToGroup: Dieser Vorgang gibt ein UserGroupMembership-Objekt mit einer eigenen OCID zurück.
GetUserGroupMembership
RemoveUserFromGroup: Dieser Vorgang löscht ein UserGroupMembership-Objekt.

Informationen zu API-Vorgängen, die sich auf Gruppenzuordnungen für Identitätsprovider beziehen, finden Sie unter Mit Identitätsprovidern föderieren.