Benutzerzugriff auf Anwendungsumgebungen verwalten

Richten Sie Benutzer für die Arbeit mit Anwendungsumgebungen in der Oracle Cloud-Konsole ein.

In diesem Thema wird erklärt, wie Sie weitere Benutzer für die Arbeit mit Anwendungsumgebungen einrichten, die in der Oracle Cloud-Konsole verwaltet werden. Wenn Sie Benutzer hinzufügen müssen, um in der Anwendung zu arbeiten, lesen Sie die Anwendungsdokumentation.

Die Anwendungsumgebungsverwaltung kann zur Authentifizierung und Autorisierung in den Identity and Access Management Service-(IAM-)Service eingebunden werden. IAM verwendet Policys, um Gruppen Berechtigungen zu erteilen. Je nach den Gruppen, zu denen Benutzer gehören, haben sie Zugriff auf verschiedene Ressourcen (wie Anwendungsumgebungen).

Der beim Erstellen des Mandanten eingegebene Benutzer ist der Standardadministrator des Mandanten. Der Standardadministrator kann alle Aufgaben für alle Services ausführen, einschließlich der Erstellung von Gruppen, Policys und Benutzern, um Zugriff auf die Ressourcen zu erteilen.

Tipp

Dieses Thema erläutert die grundlegenden Prozeduren zum Erstellen bestimmter Benutzertypen in Ihrem Account für die ersten Schritte mit dem Management der Anwendungsumgebung. Ausführliche Informationen zum Verwalten von Benutzern in der Oracle Cloud-Konsole finden Sie unter Benutzer verwalten.

Mandantenadministrator hinzufügen

Sie können einen Mandantenadministrator hinzufügen, indem Sie einen Benutzer erstellen und zur Mandantenadministratorgruppe hinzufügen. Mitglieder der Administratorengruppe haben Zugriff auf alle Features und Services in der Oracle Cloud-Konsole.

So fügen Sie einen Mandantenadministrator hinzu:

Klicken Sie auf der Homepage der Oracle Cloud-Konsole auf Benutzer zu Ihrem Mandanten hinzufügen. Die Liste der Benutzer in der aktuellen Domain wird angezeigt.
Klicken Sie auf Benutzer erstellen.
Geben Sie den Vornamen und Nachnamen des Benutzers ein.
So lassen Sie sich Benutzer mit ihrer E-Mail-Adresse anmelden:
- Lassen Sie das Kontrollkästchen E-Mail-Adresse als Benutzernamen verwenden aktiviert.
- Geben Sie im Feld Benutzername/E-Mail-Adresse die E-Mail-Adresse für den Benutzeraccount ein.
oder
So lassen Sie sich Benutzer mit ihrem Benutzernamen anmelden:
- Deaktivieren Sie das Kontrollkästchen E-Mail-Adresse als Benutzernamen verwenden.
- Geben Sie im Feld Benutzername den Benutzernamen ein, mit dem sich der Benutzer bei der Konsole anmelden soll.
- Geben Sie im Feld E-Mail die E-Mail-Adresse für den Benutzeraccount ein.
Aktivieren Sie unter Wählen Sie die Gruppen aus, denen dieser Benutzer zugewiesen werden soll das Kontrollkästchen für Administratoren.
Klicken Sie auf Erstellen.

Eine Willkommens-E-Mail wird an die Adresse gesendet, die Sie für den neuen Benutzer eingegeben haben. Der neue Benutzer kann die Anweisungen zur Accountaktivierung in der E-Mail befolgen, um sich anzumelden und mit der Verwendung des Mandanten zu beginnen.

Benutzer mit eingeschränktem Zugriff hinzufügen

Für Benutzer, die keinen vollständigen Administratorzugriff haben sollen, können Sie Policys erstellen, die den zulässigen Zugriff definieren. Dieser Prozess besteht aus vier Schritten:

Suchen Sie die Identitätsdomain.
Erstellen Sie eine Gruppe.
Erstellen Sie eine Policy, die der Gruppe den entsprechenden Zugriff auf die Ressourcen erteilt.
Erstellen Sie einen Benutzer, und fügen Sie ihn der Gruppe hinzu.

Sie können Policys erstellen, die verschiedenen Gruppen unterschiedliche Zugriffsebenen erteilen. Beispiel: Sie können eine Policy erstellen, die vollständigen Umgebungsverwaltungsberechtigungen für eine Gruppe namens Environment-Admins erteilt. Sie können eine zweite Policy erstellen, die nur Überwachungsfunktionen für eine Gruppe namens Environment-Viewers erteilt.

Die folgenden Aufgaben führen Sie durch das Erstellen einer Gruppe, einer Policy und eines Benutzers im Identity and Access Management-(IAM-)Service. Entweder der Standardadministrator oder ein anderer Benutzer, dem Verwaltungszugriff auf IAM erteilt wurde, kann diese Aufgaben ausführen.

Identitätsdomain suchen

Eine Identitätsdomain ist ein Container für die Verwaltung von Benutzern und Rollen, die Föderation und das Provisioning von Benutzern, die Sicherung der Anwendungsintegration durch Oracle Single Sign-On-(SSO-)Konfiguration sowie die OAuth-Administration. Wenn Sie eine Policy schreiben, müssen Sie angeben, zu welcher Identitätsdomain die Gruppe gehört.

So suchen Sie die Identitätsdomains in Ihrem Mandanten:

Öffnen Sie das Navigationsmenü, und klicken Sie unter Infrastruktur auf ID und Sicherheit, um das Menü einzublenden. Klicken Sie dann unter ID auf Domains.

Alle Mandanten enthalten eine Standarddomain. Ihr Mandant kann auch die Domain OracleIdentityCloudService sowie andere von Ihrer Organisation erstellte Domains enthalten.

Beispielidentitätsdomainliste

Gruppe erstellen

Navigieren Sie zur Seite "Gruppen" Ihrer Identitätsdomain: Öffnen Sie das Navigationsmenü, und klicken Sie unter Infrastruktur auf Identität und Sicherheit, um das Menü einzublenden. Klicken Sie dann unter Identität auf Domains.
Klicken Sie auf die Domain, der Sie die Gruppe hinzufügen möchten. In diesem Beispiel wird die Gruppe der Standarddomain hinzugefügt.
Klicken Sie in der Liste der Ressourcen auf der linken Seite auf Gruppen.
Klicken Sie auf Gruppe erstellen.
Geben Sie Folgendes ein:
- Name: Ein eindeutiger Name für die Gruppe. Beispiel: "Umgebungs-Admins". Der Name muss in allen Gruppen in Ihrem Mandanten eindeutig sein. Änderungen sind später nicht möglich.
- Beschreibung: Eine benutzerfreundliche Beschreibung. Änderungen sind später bei Bedarf möglich.
- Erweiterte Optionen - Tags: Sie können Tags anwenden (optional). Wenn Sie über Berechtigungen zum Erstellen von Ressourcen verfügen, sind Sie auch berechtigt, Freiformtags auf diese Ressource anzuwenden. Um ein definiertes Tag zuzuweisen, benötigen Sie die Berechtigungen zum Verwenden des Tag-Namespace. Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Sie Tags anwenden sollten, überspringen Sie diese Option, oder fragen Sie Ihren Administrator. Sie können die Tags auch später noch zuweisen.
Klicken Sie auf Erstellen.

Policy erstellen

Bevor Sie die Policy erstellen, müssen Sie den richtigen Wert für den Ressourcentyp Ihrer Anwendung kennen. Der Ressourcentyp erteilt der Policy Zugriff. Unter Policy-Referenz zu Application Services finden Sie den korrekten Ressourcentyp für Ihre Anwendung.

Wenn Sie sich noch vom vorherigen Schritt auf der Seite Gruppen befinden, klicken Sie oben auf der Seite in den Navigationspfadlinks auf Domains. Klicken Sie auf der Seite Domains links auf Policys.

Öffnen Sie andernfalls das Navigationsmenü. Klicken Sie unter Infrastruktur auf Identität und Sicherheit, um das Menü einzublenden. Klicken Sie dann unter Identität auf Policys. Die Liste der Policys wird angezeigt.
Klicken Sie auf Policy erstellen.
Geben Sie Folgendes ein:
- Name: Ein eindeutiger Name für die Policy. Der Name muss in allen Policys in Ihrem Mandanten eindeutig sein. Änderungen sind später nicht möglich.
- Beschreibung: Eine benutzerfreundliche Beschreibung. Änderungen sind später bei Bedarf möglich.
- Compartment: Stellen Sie sicher, dass der Mandant (Root Compartment) ausgewählt ist.
Aktivieren Sie im Policy Builder die Option Manuellen Editor anzeigen, um das Textfeld für Freiformtexteingaben anzuzeigen.
Geben Sie die Policy-Anweisungen ein, um Zugriff auf die erforderlichen Ressourcen zu erteilen.

Policys haben das folgende Format:
```
Allow '<identity_domain_name>'/'<group-name>' to <verb> <resource-type> in <location> 
```
wobei

<identity-domain-name> ist die Identitätsdomain, in der sich die Gruppe befindet.

<your-group-name> ist die Gruppe, die Sie in einem vorherigen Schritt erstellt haben.

<application-name> ist der entsprechende IAM-Ressourcenname für Ihre Anwendung. Eine Liste der Ressourcennamen finden Sie unter Policy-Referenz zu Anwendungsservices.

<location> kann entweder ein Compartment-Name oder ein "Mandant" sein, um anzugeben, dass die Berechtigung allen Compartments im Mandanten erteilt wird.

Beispiel: Die Anweisungen zum Erstellen eines Umgebungsadministrators für Maxymiser lauten:
```
Allow group 'Default'/'Environment-Admins' to manage maxymiser-environment-family in tenancy
Allow group 'Default'/'Environment-Admins' to read organizations-subscriptions in tenancy
Allow group 'Default'/'Environment-Admins' to read organizations-assigned-subscriptions in tenancy
Allow group 'Default'/'Environment-Admins'' to read organizations-subscription-regions in tenancy
Allow group 'Default'/'Environment-Admins' to read app-listing-environments in tenancy
Allow group 'Default'/'Environment-Admins' to read metrics in tenancy
Allow group 'Default'/'Environment-Admins' to inspect domains in tenancy
Allow group 'Default'/'Environment-Admins' to read announcements in tenancy 
```
Hinweis

Wenn sich die Gruppe in der Standardidentitätsdomain befindet, können Sie die Angabe von <identity-domain-name> in der Policy weglassen. Sie müssen nur den Gruppennamen angeben. Beispiele:
Allow group Environment-Admins to manage maxymiser-environment-family in tenancy
Klicken Sie auf Erstellen.

Tipp

Mit der Option Kopieren im Policy-Beispiel, das in der Policy-Referenz zu Anwendungsservices angezeigt wird, können Sie das Set von Policy-Anweisungen kopieren. Anschließend können Sie die Anweisungen in das Textfeld Policy Builder einfügen, sodass Sie nur die Werte für <identity-domain-name> und <your-group-name> aktualisieren müssen.

Benutzer erstellen

Klicken Sie auf der Homepage der Anwendungskonsole unter Schnellaktionen auf Benutzer zu Ihrem Mandanten hinzufügen.
Klicken Sie auf Benutzer erstellen.
Geben Sie den Vornamen und Nachnamen des Benutzers ein.
So lassen Sie sich Benutzer mit ihrer E-Mail-Adresse anmelden:
- Lassen Sie das Kontrollkästchen E-Mail-Adresse als Benutzernamen verwenden aktiviert.
- Geben Sie im Feld Benutzername/E-Mail-Adresse die E-Mail-Adresse für den Benutzeraccount ein.
oder
So lassen Sie sich Benutzer mit ihrem Benutzernamen anmelden:
- Deaktivieren Sie das Kontrollkästchen E-Mail-Adresse als Benutzernamen verwenden.
- Geben Sie im Feld Benutzername den Benutzernamen ein, mit dem sich der Benutzer bei der Konsole anmelden soll.
- Geben Sie im Feld E-Mail die E-Mail-Adresse für den Benutzeraccount ein.
Um den Benutzer einer Gruppe zuzuweisen, aktivieren Sie das Kontrollkästchen für jede Gruppe, die Sie dem Benutzerkonto zuweisen möchten.
Klicken Sie auf Erstellen.

Policy-Referenz für Anwendungsservices

Hinweis

Die hier gezeigten Anwendungsservices unterstützen Provisioning und Management von Selfserviceumgebungen. Hilfe zum Schreiben von Policys für Anwendungsservices, die kein Selfservice-Provisioning unterstützen, finden Sie unter Oracle Cloud-Konsolenbenutzer hinzufügen.

Die folgenden Abschnitte enthalten Beispiel-Policys, mit denen Sie eine Umgebungsadministratorrolle und eine Umgebungs-Viewer-Rolle erstellen können. Um einen Benutzer mit dem über diese Policys erteilten Zugriff zu erstellen, können Sie die angegebene Policy für Ihren Service kopieren und einfügen. Ersetzen Sie dabei den Gruppennamen. Weitere Informationen finden Sie im Tipp oben in der Aufgabe Policy erstellen.

Berechtigungsstufe

Die Berechtigungsstufe wird durch das Verb in der Anweisung angegeben. Um einem anderen Benutzer Zugriff auf die Interaktion mit Ihren Umgebungen in der Oracle Cloud-Konsole zu erteilen, verwenden Sie eine der folgenden Verben in Ihren Policy-Anweisungen:

manage: Ermöglicht dem Benutzer die Ausführung aller Managementaufgaben für eine Umgebung, einschließlich Erstellen und Löschen (sofern unterstützt).
use: Ermöglicht dem Benutzer das Aktualisieren einer vorhandenen Umgebung. Benutzer können keine Umgebung erstellen oder löschen.
read: Ermöglicht dem Benutzer die Anzeige aller Informationen zur Umgebung.
inspect: Ermöglicht dem Benutzer, nur die Umgebungen aufzulisten. Der Benutzer kann die Detailseiten nicht anzeigen.

Weitere Informationen zu den Vorgängen, die von den einzelnen Verben zulässig sind, finden Sie in der IAM-Policy-Referenz für Anwendungsumgebungsmanagement.

Erforderliche Anweisungen

Sowohl der Umgebungsadministrator als auch der Umgebungs-Viewer erfordern Zugriff auf die Ressourcen der Anwendungsumgebung. Der Administrator benötigt manage-Berechtigungen, während der Viewer nur read-Berechtigungen benötigt. Außerdem benötigen beide Rollen Berechtigungen für read-Anwendungsabonnements.

Erforderliche Anweisungen für Umgebungsadministrator

Der Umgebungsadministrator kann alle Aufgaben ausführen, die zum Erstellen und Verwalten von Umgebungen erforderlich sind. Der Administrator kann auch die Abonnements in Ihrem Mandanten anzeigen und auf Metrikdaten zugreifen. Informationen zum Wert <application> für Ihre Anwendung finden Sie unter Anwendungsspezifische Policy-Beispiele.

Allow group '<identity-domain-name>'/'<your-group-name>' to manage <application>-environment-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to inspect domains in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy

Details für jede Policy-Anweisung:


Policy-Anweisung	Worauf es ankommt
`Allow group '<identity-domain-name>'/'<your-group-name>' to manage <application>-environment-family in tenancy`	Erteilt vollständige Verwaltungsberechtigungen für die angegebenen Anwendungsumgebungen. Beinhaltet den Zugriff auf die Compliancedokumentation.
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy	Erteilt Berechtigungen zum Lesen von abonnementbezogenen Informationen für den Zugriff auf Ihre Anwendungsabonnements in der Konsole. Erforderlich für die Anzeige Ihrer Abonnements; muss sich auf Mandantenebene befinden.
`Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy`	Erteilt Zugriff auf Metrikdiagramme und Metrikdaten für OCI-Ressourcen.
`Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy`	Erteilt Zugriff auf das Lesen von Ankündigungen.
`Allow group '<identity-domain-name>'/'<your-group-name>' to inspect domains in tenancy`	Erteilt Zugriff auf die Liste der Identitätsdomains.

Erforderliche Anweisungen für Environment Viewer

Dieser Benutzer kann Details anzeigen und die Umgebungen in der Oracle Cloud-Konsole überwachen. Diese Rolle kann keine Aktualisierungen vornehmen. Der Umgebungs-Viewer kann auch die Abonnements in Ihrem Mandanten anzeigen und auf Metrikdaten zugreifen. Informationen zum Wert <application> für Ihre Anwendung finden Sie unter Anwendungsspezifische Policy-Beispiele.

Allow group '<identity-domain-name>'/'<your-group-name>' to read <application>-environment-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to inspect domains in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy

Der einzige Unterschied zwischen dieser Policy und der Administrator-Policy ist das Verb read für die Ressource environment-family.

Anwendungsspezifische Policy-Beispiele

Mit den Beispielen in diesem Abschnitt können Sie Umgebungsadministrator- und Umgebungs-Viewer-Rollen für Ihre Anwendung erstellen.

Oracle B2C Service-Policys

B2C Serviceadministrator oder Viewer

Der B2C-Serviceadministrator oder -Viewer kann Details anzeigen und Umgebungen in der Oracle Cloud-Konsole überwachen. Der Administrator oder Viewer kann auch auf Metrikdaten zugreifen und die Abonnements und Anwendungsumgebungen in Ihrem Mandanten anzeigen.