Benutzerzugriff auf Anwendungsumgebungen verwalten

Richten Sie Benutzer für die Arbeit mit Anwendungsumgebungen in der Oracle Cloud-Konsole ein.

In diesem Thema wird erklärt, wie Sie weitere Benutzer für die Arbeit mit Anwendungsumgebungen einrichten, die in der Oracle Cloud-Konsole verwaltet werden. Wenn Sie Benutzer hinzufügen müssen, um in der Anwendung zu arbeiten, lesen Sie die Anwendungsdokumentation.

Die Anwendungsumgebungsverwaltung kann zur Authentifizierung und Autorisierung in den Identity and Access Management Service-(IAM-)Service eingebunden werden. IAM verwendet Policys, um Gruppen Berechtigungen zu erteilen. Je nach den Gruppen, zu denen Benutzer gehören, haben sie Zugriff auf verschiedene Ressourcen (wie Anwendungsumgebungen).

Der beim Erstellen des Mandanten eingegebene Benutzer ist der Standardadministrator des Mandanten. Der Standardadministrator kann alle Aufgaben für alle Services ausführen, einschließlich der Erstellung von Gruppen, Policys und Benutzern, um Zugriff auf die Ressourcen zu erteilen.

Tipp

Dieses Thema erläutert die grundlegenden Prozeduren zum Erstellen bestimmter Benutzertypen in Ihrem Account für die ersten Schritte mit dem Management der Anwendungsumgebung. Ausführliche Informationen zum Verwalten von Benutzern in der Oracle Cloud-Konsole finden Sie unter Benutzer verwalten.

Mandantenadministrator hinzufügen

Sie können einen Mandantenadministrator hinzufügen, indem Sie einen Benutzer erstellen und zur Mandantenadministratorgruppe hinzufügen. Mitglieder der Administratorengruppe haben Zugriff auf alle Features und Services in der Oracle Cloud-Konsole.

So fügen Sie einen Mandantenadministrator hinzu:

Wählen Sie auf der Homepage der Oracle Cloud-Konsole die Option Benutzer zu Ihrem Mandanten hinzufügen aus. Die Liste der Benutzer in der aktuellen Domain wird angezeigt.
Wählen Sie Erstellen.
Geben Sie den Vor- und Nachnamen des Benutzers ein.
So legen Sie fest, dass sich der Benutzer mit seiner E-Mail-Adresse anmelden muss:
1. Lassen Sie das Umschaltfeld E-Mail-Adresse als Benutzername verwenden aktiviert.
2. Geben Sie im Feld Benutzername/E-Mail-Adresse die E-Mail-Adresse für den Benutzeraccount an.
So legen Sie die Anmeldung des Benutzers mit seinem Benutzernamen fest:
1. Heben Sie die Auswahl des Umschalters E-Mail-Adresse als Benutzername verwenden auf.
2. Geben Sie im Feld Benutzername den Benutzernamen ein, den der Benutzer für die Anmeldung bei der Konsole verwenden soll.
3. Geben Sie im Feld E-Mail die E-Mail-Adresse für den Benutzeraccount an.
Aktivieren Sie unter Gruppen das Kontrollkästchen Administratoren.
(Optional) Fügen Sie im Abschnitt Tags dem Benutzer ein oder mehrere Tags hinzu.
Wenn Sie über Berechtigungen zum Erstellen von Ressourcen verfügt, sind Sie auch berechtigt: Freiformtags auf diese Ressource anwenden. Um ein definiertes Tag anzuwenden, müssen Sie über die Berechtigungen zum Verwenden des Tag-Namespace verfügen. Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Tags angewendet werden sollen, überspringen Sie diese Option, oder fragen Sie einen Administrator. Sie können Tags später anwenden.
Wählen Sie Erstellen.

Eine Willkommens-E-Mail wird an die Adresse gesendet, die Sie für den neuen Benutzer eingegeben haben. Der neue Benutzer kann die Anweisungen zur Accountaktivierung in der E-Mail befolgen, um sich anzumelden und mit der Verwendung des Mandanten zu beginnen.

Benutzer mit eingeschränktem Zugriff hinzufügen

Für Benutzer, die keinen vollständigen Administratorzugriff haben sollen, können Sie Policys erstellen, die den zulässigen Zugriff definieren. Dieser Prozess besteht aus vier Schritten:

Suchen Sie die Identitätsdomain.
Erstellen Sie eine Gruppe.
Erstellen Sie eine Policy, die der Gruppe den entsprechenden Zugriff auf die Ressourcen erteilt.
Erstellen Sie einen Benutzer, und fügen Sie ihn der Gruppe hinzu.

Sie können Policys erstellen, die verschiedenen Gruppen unterschiedliche Zugriffsebenen erteilen. Beispiel: Sie können eine Policy erstellen, die vollständigen Umgebungsverwaltungsberechtigungen für eine Gruppe namens Environment-Admins erteilt. Sie können eine zweite Policy erstellen, die nur Überwachungsfunktionen für eine Gruppe namens Environment-Viewers erteilt.

Die folgenden Aufgaben führen Sie durch das Erstellen einer Gruppe, einer Policy und eines Benutzers im Identity and Access Management-(IAM-)Service. Entweder der Standardadministrator oder ein anderer Benutzer, dem Verwaltungszugriff auf IAM erteilt wurde, kann diese Aufgaben ausführen.

Identitätsdomain suchen

Eine Identitätsdomain ist ein Container für die Verwaltung von Benutzern und Rollen, die Föderation und das Provisioning von Benutzern, die Sicherung der Anwendungsintegration durch Oracle Single Sign-On-(SSO-)Konfiguration sowie die OAuth-Administration. Wenn Sie eine Policy schreiben, müssen Sie angeben, zu welcher Identitätsdomain die Gruppe gehört.

So suchen Sie die Identitätsdomains in Ihrem Mandanten:

Öffnen Sie das Navigationsmenü , und wählen Sie unter Infrastruktur Identität und Sicherheit aus. Wählen Sie unter Identität die Option Domains aus.

Die Listenseite Domains wird geöffnet. Alle Mandanten enthalten eine Standarddomain. Ihr Mandant kann auch die Domain OracleIdentityCloudService sowie andere von Ihrer Organisation erstellte Domains enthalten.

Gruppe erstellen

Erstellen Sie eine Gruppe auf der Listenseite Domains.

Öffnen Sie das Navigationsmenü , und wählen Sie unter Infrastruktur Identität und Sicherheit aus. Wählen Sie unter Identität die Option Domains aus.
Wählen Sie auf der Listenseite Domains die Domain aus, der Sie die Gruppe hinzufügen möchten.
Auf der Seite "Domaindetails" können Sie jetzt eine Gruppe erstellen. Ausführliche Schritte finden Sie unter So erstellen Sie eine Gruppe.

Policy erstellen

Bevor Sie die Policy erstellen, müssen Sie den richtigen Wert für den Ressourcentyp Ihrer Anwendung kennen. Der Ressourcentyp erteilt durch die Policy Zugriff. Informationen zum richtigen Ressourcentyp für Ihre Anwendung finden Sie unter Policy-Referenz für Anwendungsservices.

Wenn Sie die Domaindetails aus der vorherigen Aufgabe Gruppe erstellen noch verwenden, führen Sie je nach der angezeigten Option einen der folgenden Schritte aus:
- Wählen Sie im Navigationsbereich auf der linken Seite Policys aus.
- Wählen Sie Domains in den Navigationspfadlinks oben auf der Seite aus. Wählen Sie auf der Seite Domains links auf der Seite Policys aus.
Öffnen Sie andernfalls das Navigationsmenü , und wählen Sie unter Infrastruktur die Option Identität und Sicherheit aus. Wählen Sie unter Identität die Option Policys aus.
Die Liste der Policys wird angezeigt.
Wählen Sie Policy erstellen aus.
Geben Sie folgende Informationen ein:
- Name: Ein eindeutiger Name für die Policy. Der Name muss in allen Policys in Ihrem Mandanten eindeutig sein. Sie können diese Angabe später nicht ändern.
- Beschreibung: Eine benutzerfreundliche Beschreibung. Änderungen sind später bei Bedarf möglich.
- Compartment: Stellen Sie sicher, dass der Mandant (Root Compartment) ausgewählt ist.
Wählen Sie im Policy Builder-Abschnitt die Option Manuellen Editor anzeigen, um das Textfeld für Freiformtexteingaben anzuzeigen.
Geben Sie die Policy-Anweisungen ein, um Zugriff auf die erforderlichen Ressourcen zu erteilen.
Policys haben das folgende Format:
Allow '<identity_domain_name>'/'<group-name>' to <verb> <resource-type> in <location>
- <identity-domain-name> ist die Identitätsdomain, in der sich die Gruppe befindet.
- <your-group-name> ist die Gruppe, die Sie in einem vorherigen Schritt erstellt haben.
- <application-name> ist der entsprechende IAM-Ressourcenname für Ihre Anwendung. Eine Liste der Ressourcennamen finden Sie unter Policy-Referenz zu Anwendungsservices.
- <location> kann entweder ein Compartment-Name oder ein "Mandant" sein, um anzugeben, dass die Berechtigung allen Compartments im Mandanten erteilt wird.
Beispiel: Anweisungen zum Erstellen eines Umgebungsadministrators für Maxymiser in der Standarddomain lauten wie folgt:
```
Allow group 'Default'/'Environment-Admins' to manage maxymiser-environment-family in tenancy
Allow group 'Default'/'Environment-Admins' to read organizations-subscriptions in tenancy
Allow group 'Default'/'Environment-Admins' to read organizations-assigned-subscriptions in tenancy
Allow group 'Default'/'Environment-Admins'' to read organizations-subscription-regions in tenancy
Allow group 'Default'/'Environment-Admins' to read app-listing-environments in tenancy
Allow group 'Default'/'Environment-Admins' to read metrics in tenancy
Allow group 'Default'/'Environment-Admins' to inspect domains in tenancy
Allow group 'Default'/'Environment-Admins' to read announcements in tenancy 
```
Hinweis

Wenn sich die Gruppe in der Standardidentitätsdomain befindet, können Sie die Angabe von <identity-domain-name> in der Policy weglassen. Sie müssen nur den Gruppennamen angeben. Beispiele:
Allow group Environment-Admins to manage maxymiser-environment-family in tenancy
Wählen Sie Erstellen.

Tipp

Mit der Option Kopieren im Policy-Beispiel, das in der Policy-Referenz zu Anwendungsservices angezeigt wird, können Sie das Set von Policy-Anweisungen kopieren. Anschließend können Sie die Anweisungen in das Textfeld Policy Builder einfügen, sodass Sie nur die Werte für <identity-domain-name> und <your-group-name> aktualisieren müssen.

Benutzer erstellen

Wählen Sie auf der Homepage der Anwendungskonsole unter Schnellaktionen die Option Benutzer zu Ihrem Mandanten hinzufügen aus.
Wählen Sie Erstellen.
Geben Sie den Vor- und Nachnamen des Benutzers ein.
So legen Sie fest, dass sich der Benutzer mit seiner E-Mail-Adresse anmelden muss:
1. Lassen Sie das Umschaltfeld E-Mail-Adresse als Benutzername verwenden aktiviert.
2. Geben Sie im Feld Benutzername/E-Mail-Adresse die E-Mail-Adresse für den Benutzeraccount ein.
So legen Sie die Anmeldung des Benutzers mit seinem Benutzernamen fest:
1. Heben Sie die Auswahl des Umschalters E-Mail-Adresse als Benutzername verwenden auf.
2. Geben Sie im Feld Benutzername den Benutzernamen ein, den der Benutzer für die Anmeldung bei der Konsole verwenden soll.
3. Geben Sie im Feld E-Mail die E-Mail-Adresse für den Benutzeraccount ein.
Aktivieren Sie unter Gruppen das Kontrollkästchen für jede Gruppe, die Sie dem Benutzeraccount zuweisen möchten.
(Optional) Fügen Sie im Abschnitt Tags dem Benutzer ein oder mehrere Tags hinzu.
Wenn Sie über Berechtigungen zum Erstellen von Ressourcen verfügt, sind Sie auch berechtigt: Freiformtags auf diese Ressource anwenden. Um ein definiertes Tag anzuwenden, müssen Sie über die Berechtigungen zum Verwenden des Tag-Namespace verfügen. Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Tags angewendet werden sollen, überspringen Sie diese Option, oder fragen Sie einen Administrator. Sie können Tags später anwenden.
Wählen Sie Erstellen.

Policy-Referenz für Anwendungsservices

Hinweis

Die hier gezeigten Anwendungsservices unterstützen das Provisioning und die Verwaltung von Selfserviceumgebungen. Hilfe zum Schreiben von Policys für Anwendungsservices, die kein Selfservice-Provisioning unterstützen, finden Sie unter Oracle Cloud-Konsolenbenutzer hinzufügen.

Die folgenden Abschnitte enthalten Beispiel-Policys, mit denen Sie eine Umgebungsadministratorrolle und eine Umgebungs-Viewer-Rolle erstellen können. Um einen Benutzer mit dem über diese Policys erteilten Zugriff zu erstellen, können Sie die angegebene Policy für Ihren Service kopieren und einfügen. Ersetzen Sie dabei den Gruppennamen. Weitere Informationen finden Sie im Tipp oben in der Aufgabe Policy erstellen.

Berechtigungsstufe

Die Berechtigungsstufe wird durch das Verb in der Anweisung angegeben. Um einem anderen Benutzer Zugriff auf die Interaktion mit Ihren Umgebungen in der Oracle Cloud-Konsole zu erteilen, verwenden Sie eine der folgenden Verben in Ihren Policy-Anweisungen:

manage: Ermöglicht dem Benutzer die Ausführung aller Managementaufgaben für eine Umgebung, einschließlich Erstellen und Löschen (sofern unterstützt).
use: Ermöglicht dem Benutzer das Aktualisieren einer vorhandenen Umgebung. Benutzer können keine Umgebung erstellen oder löschen.
read: Ermöglicht dem Benutzer die Anzeige aller Informationen zur Umgebung.
inspect: Ermöglicht dem Benutzer, nur die Umgebungen aufzulisten. Der Benutzer kann die Detailseiten nicht anzeigen.

Weitere Informationen zu den Vorgängen, die von diesen Verben zulässig sind, finden Sie in der IAM-Policy-Referenz für Anwendungsumgebungsmanagement.

Erforderliche Anweisungen

Sowohl der Umgebungsadministrator als auch der Umgebungs-Viewer erfordern Zugriff auf die Ressourcen der Anwendungsumgebung. Der Administrator benötigt manage-Berechtigungen, während der Viewer nur read-Berechtigungen benötigt. Außerdem benötigen beide Rollen Berechtigungen für read-Anwendungsabonnements.

Erforderliche Anweisungen für Umgebungsadministrator

Der Umgebungsadministrator kann alle Aufgaben ausführen, die zum Erstellen und Verwalten von Umgebungen erforderlich sind. Der Administrator kann auch die Abonnements in Ihrem Mandanten anzeigen und auf Metrikdaten zugreifen. Informationen zum Wert <application> für Ihre Anwendung finden Sie unter Anwendungsspezifische Policy-Beispiele.

Allow group '<identity-domain-name>'/'<your-group-name>' to manage <application>-environment-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to inspect domains in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy

Details für jede Policy-Anweisung:


Policy-Anweisung	Worauf es ankommt
`Allow group '<identity-domain-name>'/'<your-group-name>' to manage <application>-environment-family in tenancy`	Erteilt vollständige Verwaltungsberechtigungen für die angegebenen Anwendungsumgebungen. Beinhaltet den Zugriff auf die Compliancedokumentation.
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy	Erteilt Berechtigungen zum Lesen von abonnementbezogenen Informationen für den Zugriff auf Ihre Anwendungsabonnements in der Konsole. Erforderlich für die Anzeige Ihrer Abonnements; muss sich auf Mandantenebene befinden.
`Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy`	Erteilt Zugriff auf Metrikdiagramme und Metrikdaten für OCI-Ressourcen.
`Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy`	Erteilt Zugriff auf das Lesen von Ankündigungen.
`Allow group '<identity-domain-name>'/'<your-group-name>' to inspect domains in tenancy`	Erteilt Zugriff auf die Liste der Identitätsdomains.

Erforderliche Anweisungen für Environment Viewer

Dieser Benutzer kann Details anzeigen und die Umgebungen in der Oracle Cloud-Konsole überwachen. Diese Rolle kann keine Aktualisierungen vornehmen. Der Umgebungs-Viewer kann auch die Abonnements in Ihrem Mandanten anzeigen und auf Metrikdaten zugreifen. Informationen zum Wert <application> für Ihre Anwendung finden Sie unter Anwendungsspezifische Policy-Beispiele.

Allow group '<identity-domain-name>'/'<your-group-name>' to read <application>-environment-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to inspect domains in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy

Der einzige Unterschied zwischen dieser Policy und der Administrator-Policy ist das Verb read für die Ressource environment-family.

Anwendungsspezifische Policy-Beispiele

Mit den Beispielen in diesem Abschnitt können Sie Umgebungsadministrator- und Umgebungs-Viewer-Rollen für Ihre Anwendung erstellen.

Oracle B2C Service-Policys

B2C Serviceadministrator oder Viewer

Der B2C-Serviceadministrator oder -Viewer kann Details anzeigen und Umgebungen in der Oracle Cloud-Konsole überwachen. Der Administrator oder Viewer kann auch auf Metrikdaten zugreifen und die Abonnements und Anwendungsumgebungen in Ihrem Mandanten anzeigen.