Oracle Cloud Infrastructure - Dokumentation

Lebenszyklus zum Verwalten von Benutzern

Der Benutzerlebenszyklus beschreibt den Prozessfluss, mit dem ein Benutzeraccount in einer Identitätsdomain basierend auf bestimmten Ereignissen oder Zeitfaktoren erstellt, verwaltet und gelöscht wird.

Ein Benutzeraccount durchläuft verschiedene Phasen im Lebenszyklus. Die Phasen sind: "Nicht vorhanden", "Deaktiviert", "Aktiviert" und "Gelöscht".

Sie können Geschäftsanforderungen für jeden Übergang im Benutzerlebenszyklus definieren. Verwenden Sie die in der folgenden Tabelle aufgeführten Beispielszenarios, um die Verknüpfung zwischen Benutzerlebenszyklusübergängen und Geschäftszielen herzustellen.

Aktueller Status Vorgänge Beispielszenario Prozessbeschreibung
Nicht vorhanden erstellen Personalmanagement (HR) erfasst Benutzerprofildaten für eine Neueinstellung.

Wenn das Startdatum der Neueinstellung nicht in der Zukunft liegt, wird der Benutzeraccount mit dem Status Aktiviert eingeführt.

Liegt das Startdatum der Neueinstellung hingegen in der Zukunft, wird der Benutzeraccount mit dem Status "Deaktiviert" erstellt.
Deaktiviert Aktivieren Das Startdatum des Benutzers ist eingetreten.

Der Benutzeraccount wird aktiviert, und der Benutzer kann sich jetzt anmelden und diesen Oracle Cloud-Service verwenden. Der Benutzer kann auf alle Gruppen, Anwendungen und Administrationsrollenberechtigungen zugreifen, die dem Benutzeraccount zugewiesen sind.
aktiviert Ändern Der Benutzer wird auf eine neue Position befördert. HR ändert die Stellenbezeichnung des Benutzers.

Dem Benutzeraccount werden neue Gruppen, Anwendungen und Administrationsrollen zugewiesen. Alte irrelevante Gruppen, Anwendungen und Administrationsrollen werden aus dem Benutzeraccount entfernt.
aktiviert Deaktivieren Der Benutzer nimmt ein Jahr Sabbatical vom Unternehmen. HR deaktiviert den Benutzeraccount am letzten Arbeitstag des Benutzers manuell. Der Benutzer tritt nach einem bestimmten Zeitraum wieder in das Unternehmen ein. HR aktiviert den Benutzeraccount. Der Benutzeraccount wird deaktiviert, und der Benutzer kann sich nicht mehr anmelden und diesen Oracle Cloud-Service verwenden. Der Benutzeraccount kann erneut aktiviert werden.
aktiviert Löschen Der Benutzer tritt aus dem Unternehmen aus. HR löscht den Benutzeraccount am letzten Arbeitstag des Benutzers manuell.

Der Benutzeraccount wird entfernt. Alle dem Benutzeraccount zugewiesenen Gruppen, Anwendungen und Administrationsrollenberechtigungen werden im Rahmen des Workflows entzogen.

Wenn Sie den Benutzer entfernen (löschen), verbleiben die Auditdaten des Benutzers im System. Informationen zum manuellen (und sofortigen) Löschen der Auditdaten des gelöschten Benutzers finden Sie unter Auditdaten für einen gelöschten Benutzer löschen.

Die folgenden Begriffe sind im Zusammenhang mit dem Benutzerlebenszyklusmanagement wichtig:

  • Benutzeraccount: Ein Benutzeraccount stellt einen Benutzer in einer Identitätsdomain dar und ermöglicht dem Benutzer den Zugriff auf den Oracle Cloud-Service, zu dem er gehört. In einer Identitätsdomain besteht eine Eins-zu-eins-Beziehung zwischen einem Benutzer und einem Benutzeraccount. Standardmäßig können alle Benutzer ihre Accounts verwenden, um Selfservicefunktionen auszuführen. Benutzer können ihre Profile aktualisieren, ihre Kennwörter zurücksetzen, ihre Accounts entsperren und ihre E-Mail-Voreinstellungen ändern.

  • Administratorrolle: Sie können einen Benutzeraccount mit administrativen Funktionen in IAM ausstatten. Dazu weisen Sie Benutzeraccounts Administratorrollen zu. Weitere Informationen finden Sie unter Rollen Benutzer zuweisen.

  • Gruppe: Identitätsdomains bieten eine einfache und kontrollierte Berechtigungsverwaltung mithilfe von Gruppen. Gruppen sind die Bindeglieder zwischen Benutzeraccounts und Anwendungen in der Identitätsdomain. Gruppen sollen die Administration von Berechtigungen erleichtern, die Sie Benutzeraccounts oder anderen Gruppen erteilen. Siehe Gruppen verwalten.

  • Anwendung: Oracle-Anwendungen sind ein vollständiges und modulares Set von Unternehmensanwendungen, die von Grund auf cloud-fähig und in gemischten Umgebungen nahtlos verfügbar sind.

    Sie können Identitätsdomains in IAM verwenden, um Zugriff auf Oracle-Anwendungen auf zwei Arten zu erteilen:

    • Direkt: Benutzer den Anwendungen zuweisen

    • Indirekt: Gruppen den Anwendungen zuweisen. Alle Benutzer, die Mitglieder der Gruppen sind, erhalten Zugriff auf die Anwendungen.

    Neben der Zugriffsberechtigung für Benutzer und Gruppen auf Oracle-Anwendungen können Sie Benutzern und Gruppen Zugriff auf Berechtigungen in Anwendungen erteilen. Beispiel: Sie erteilen mit IAM John Doe und Jane Doe Zugriff auf Oracle Java Cloud Service. John Doe soll über Administratorberechtigungen für Oracle Java Cloud Service verfügen, Jane Doe soll jedoch nur Benutzerberechtigungen haben.

    Jede Berechtigung in einer Oracle-Anwendung wird durch eine Anwendungsrolle dargestellt. Wenn also John Doe der Anwendungsadministratorrolle von Oracle Java Cloud Service zugewiesen wurde, kann John Doe nicht nur auf diesen Oracle Cloud-Service zugreifen, sondern auch als Administrator darin arbeiten.

    Weitere Informationen dazu, wie Sie mit IAM Benutzern und Gruppen Zugriffsrechte für Anwendungen und Anwendungsrollen erteilen und entziehen können, finden Sie unter Anwendungen verwalten.