Oracle Cloud Infrastructure - Dokumentation

Bekannte Probleme bei Identity Cloud Service-Instanzen in IAM

Bekannte Probleme bei der Migration von Identity Cloud Service-Instanzen zu OCI IAM.

Unerwartete Attributwerte nach Konvertierung

Nachdem Identity Cloud Service-Instanzen in OCI IAM in Identitätsdomains konvertiert wurden, können einige Attribute für einige Objekte in der Standardidentitätsdomain ein unerwartetes Ergebnis aufweisen. In der Konsole wird nichts anderes angezeigt. Wenn Sie jedoch Skripte und APIs verwenden, können sich diese Änderungen auf die Ergebnisse auswirken.

Folgende Attribute sind betroffen:

  • meta.lastModified
  • meta.version (etag)
  • idcsLastModifiedBy

Die Änderungen gelten für die folgenden Objekte, wenn sie innerhalb von etwa 3 Wochen vor der Konvertierung der Instanzen aktualisiert wurden:

  • Benutzer
  • Gruppen
  • Anwendungen
  • Einige Zugangsdaten (MFA TOTP)
  • Benutzerkennwort createdOn

Im Folgenden werden Details zu den Attributänderungen aufgeführt.

Wenn die Ressource zum ersten Mal im Rahmen der Migration erstellt wird:

  • meta.lastModified: meta.created wird auf das ursprüngliche Datum/die ursprüngliche Uhrzeit gesetzt, an dem die Ressource in IAM erstellt wird.
  • meta.version (Etag) ist das ursprüngliche Etag, das festgelegt wurde, als die Ressource in IAM erstellt wurde.
  • idcsLastModifiedBy, idcsCreatedBy wird auf den ursprünglichen Principal gesetzt, der die Ressource in IAM erstellt hat.

Wenn die Ressource vor Abschluss der Migration aktualisiert wird:

  • meta.lastModified wird auf das Datum/die Uhrzeit gesetzt, an dem die Ressource in Identity Cloud Service aktualisiert wird.
  • meta.version (etag) wird basierend auf dem Datum und der Uhrzeit festgelegt, an dem die Ressource in Identity Cloud Service aktualisiert wird.
  • idcsLastModifiedBy ist auf den Identity Service Principal festgelegt, der die Ressource in Identity Cloud Service aktualisiert hat.

Sie müssen nichts tun. Diese Attribute werden bei der nächsten Änderung des Objekts korrekt festgelegt.

Benutzer in einem Stripe können Auditdaten für andere Stripes anzeigen

In Identity Cloud Service-Instanzen kann ein Benutzer in einem Stripe, der zur Anzeige von AuditEvents autorisiert ist, sie nur aus diesem Stripe anzeigen. Bei der Migration zu OCI IAM wird eine Domainressource für jeden Stripe im Standard-Compartment des entsprechenden OCI-Mandanten erstellt. Da die Autorisierung zum Anzeigen von AuditEvents auf Compartments basiert, kann der Benutzer AuditEvents aus jedem Stripe im selben Compartment anzeigen.

Sie können das Verhalten beibehalten, das ein Benutzer in einem Stripe nur AuditEvents in diesem Stripe anzeigen kann, indem Sie ein Compartment für jeden Stripe erstellen und dann die Domainressource, die den Stripe darstellt, in sein eigenes Compartment verschieben.

Der OCI-Mandantenadministrator verfügt über die entsprechende Sichtbarkeit und Rechte, um alle dafür erforderlichen Identitätsdomainressourcen anzuzeigen.

  • Wenn Sie eine Domainressource in ein Compartment verschieben, werden alle Benutzer in dieser Domain in dieses neue Compartment verschoben, und sie erhalten implizit Zugriff auf Ressourcen in diesem Compartment.
  • Durch das Verschieben einer Domainressource in ein Compartment werden auch alle auditierbaren Ereignisse, die von der Domain in OCI Audit V2 ausgegeben werden, für dieses Compartment spezifisch.
  • Nur ein Benutzer mit Zugriff auf dieses Compartment kann die auditierbaren Ereignisse anzeigen, die von einer Domain in diesem Compartment ausgegeben werden.