Oracle Cloud-Benutzer mit bestimmten Funktionen verwalten
Fügen Sie Benutzer mit vordefinierten Berechtigungen für die Arbeit mit Fusion Applications-Umgebungen hinzu.
Der Standardadministrator des Mandanten wurde beim Erstellen Ihres Cloud-Accounts definiert. Der Standardadministrator kann alle Aufgaben für alle Services ausführen. Dazu zählen auch das Anzeigen und Verwalten aller Anwendungsabonnements.
In diesem Thema wird erklärt, wie Sie weitere Benutzer erstellen, die mit Ihren Fusion Applications-Umgebungen in der Oracle Cloud-Konsole arbeiten können. Diese zusätzlichen Admin-Benutzer verfügen in der Regel über bestimmte Funktionen und haben daher weniger Zugriffsrechte und Berechtigungen als der Standard-Admin-Benutzer. Wie Sie Endbenutzer für das Arbeiten in Ihren Anwendungen hinzufügen, wird in der Anwendungsdokumentation zu Oracle Fusion Cloud Applications Suite beschrieben.
Die Anwendungsumgebungsverwaltung kann zur Authentifizierung und Autorisierung in den Identity and Access Management Service-(IAM-)Service eingebunden werden. IAM verwendet Policys, um Gruppen Berechtigungen zu erteilen. Je nach den Gruppen, zu denen Benutzer gehören, haben sie Zugriff auf verschiedene Ressourcen (wie Anwendungsumgebungen). Der Standardadministrator kann Gruppen, Policys und Benutzer erstellen, um Zugriff auf die Ressourcen zu erteilen.
Dieses Thema beschreibt die grundlegenden Prozeduren zum Erstellen bestimmter Benutzertypen in Ihrem Account für die ersten Schritte mit der Umgebungsverwaltung. Ausführliche Informationen zur Verwendung des IAM-Service zur Verwaltung von Benutzern in der Oracle Cloud-Konsole finden Sie unter Benutzer verwalten.
Unterschied zwischen Benutzerrollen für das Umgebungsmanagement und Anwendungsbenutzerrollen
Die hier beschriebenen Umgebungsbenutzerrollen haben Zugriff auf die Verwaltung oder Interaktion mit der Anwendungsumgebung. Je nach Berechtigungsstufe können sie sich beim Oracle Cloud-Account anmelden, zur Seite mit den Umgebungsdetails navigieren und Aufgaben zum Verwalten oder Überwachen der Umgebung ausführen. Zu diesen Rollen gehören Fusion Applications Environment Administrator, Environment Security Administrator, Environment-spezifischer Manager und Environment Monitor.
Anwendungsbenutzerrollen haben Zugriff auf die Anmeldung bei der Anwendung (über die Anwendungs-URL) und die Verwaltung, Entwicklung oder Verwendung der Anwendung. Informationen zur Verwaltung dieser Benutzer finden Sie in der Dokumentation zu Ihren Anwendungen.
-
Informationen zum Hinzufügen eines Fusion-Administrators finden Sie unter So fügen Sie Fusion-Administratoren hinzu oder entfernen diese.
- Informationen zu Anwendungsrollen finden Sie in der Anwendungsdokumentation. Eine allgemeine Referenz finden Sie unter Allgemeine Rollen für alle Angebote.
Mandantenadministrator hinzufügen
In dieser Prozedur wird beschrieben, wie Sie der Administratorengruppe Ihres Mandanten einen weiteren Benutzer hinzufügen. Mitglieder der Administratorengruppe haben Zugriff auf alle Features und Services in der Oracle Cloud-Konsole.
Mit dieser Prozedur erhält der Benutzer nicht Zugriff, um sich bei der Anwendungsservicekonsole anzumelden. Informationen zum Hinzufügen von Benutzern zu Ihrer Anwendung finden Sie in der Anwendungsdokumentation.
So fügen Sie einen Administrator hinzu:
- Öffnen Sie das Navigationsmenü , und wählen Sie unter Infrastruktur Identität und Sicherheit aus. Wählen Sie unter Identität die Option Domains aus.
- Wählen Sie eine Domain aus, und wählen Sie Benutzerverwaltung.
- Wählen Sie unter Benutzer die Option Erstellen aus.
- Geben Sie den Vor- und Nachnamen des Benutzers ein.
- So legen Sie fest, dass sich der Benutzer mit seiner E-Mail-Adresse anmelden muss:
- Lassen Sie das Umschaltfeld E-Mail-Adresse als Benutzername verwenden aktiviert.
- Geben Sie im Feld Benutzername/E-Mail-Adresse die E-Mail-Adresse für den Benutzeraccount an.
- So legen Sie die Anmeldung des Benutzers mit seinem Benutzernamen fest:
- Heben Sie die Auswahl des Umschalters E-Mail-Adresse als Benutzername verwenden auf.
- Geben Sie im Feld Benutzername den Benutzernamen ein, den der Benutzer für die Anmeldung bei der Konsole verwenden soll.
- Geben Sie im Feld E-Mail die E-Mail-Adresse für den Benutzeraccount an.
- Aktivieren Sie unter Gruppen das Kontrollkästchen Administratoren.
- (Optional) Fügen Sie im Abschnitt Tags dem Benutzer ein oder mehrere Tags hinzu.
Wenn Sie über Berechtigungen zum Erstellen von Ressourcen verfügt, sind Sie auch berechtigt: Freiformtags auf diese Ressource anwenden. Um ein definiertes Tag anzuwenden, müssen Sie über die Berechtigungen zum Verwenden des Tag-Namespace verfügen. Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Tags angewendet werden sollen, überspringen Sie diese Option, oder fragen Sie einen Administrator. Sie können Tags später anwenden.
- Wählen Sie Erstellen.
An die für den neuen Benutzer angegebene Adresse wird eine Willkommens-E-Mail gesendet. Der neue Benutzer kann die Anweisungen zur Accountaktivierung in der E-Mail ausführen, um sich anzumelden und den Mandanten zu verwenden.
Ressourcen für Tätigkeitsrollen mit Compartments gruppieren
Ein Compartment ist ein IAM-Feature für die Zugriffsverwaltung, mit dem Sie Ressourcen logisch gruppieren können. So können Sie kontrollieren, wer auf die Ressourcen zugreifen kann, indem Sie festlegen, wer auf das Compartment zugreifen kann.
Beispiel: Um eine eingeschränkte Zugriffs-Policy zu erstellen, die nur Zugriff auf eine bestimmte Testumgebung und die zugehörigen Ressourcen zulässt, können Sie diese Ressourcen in einem eigenen Compartment platzieren und dann die Policy erstellen, die nur den Zugriff auf die Ressourcen in dem Compartment zulässt. Weitere Informationen finden Sie unter Compartment auswählen.
Benutzer mit angegebenem Zugriff für eine Tätigkeitsrolle hinzufügen
Für Benutzer, die keinen vollständigen Administratorzugriff haben sollen, können Sie eine Gruppe erstellen, die Zugriff auf bestimmte Anwendungsumgebungen in der Oracle Cloud-Konsole hat, jedoch keine anderen administrativen Aufgaben in der Oracle Cloud-Konsole ausführen kann.
So erteilen Sie Benutzern Berechtigungen zum Anzeigen von Anwendungsumgebungen und Abonnements in der Oracle Cloud-Konsole:
- Suchen Sie die Identitätsdomain.
- Erstellen Sie eine Gruppe.
- Erstellen Sie eine Policy, die der Gruppe den entsprechenden Zugriff auf die Ressourcen erteilt.
- Erstellen Sie einen Benutzer, und fügen Sie ihn der Gruppe hinzu.
Die folgenden Prozeduren führen Sie durch das Erstellen einer Gruppe, einer Policy und eines Benutzers. Der Standardadministrator oder ein anderer Benutzer, dem administrativer Zugriff auf IAM-Ressourcen erteilt wurde, kann diese Aufgaben ausführen.
Eine Identitätsdomain ist ein Container für die Verwaltung von Benutzern und Rollen, die Föderation und das Provisioning von Benutzern, die Sicherung der Anwendungsintegration durch Oracle Single Sign-On-(SSO-)Konfiguration sowie die OAuth-Administration. Wenn Sie eine Policy schreiben, müssen Sie angeben, zu welcher Identitätsdomain die Gruppe gehört.
So suchen Sie die Identitätsdomains in Ihrem Mandanten:
Öffnen Sie das Navigationsmenü , und wählen Sie unter Infrastruktur Identität und Sicherheit aus. Wählen Sie unter Identität die Option Domains aus.
Die Listenseite Domains wird geöffnet. Alle Mandanten enthalten eine Standarddomain. Ihr Mandant kann auch die Domain OracleIdentityCloudService sowie andere von Ihrer Organisation erstellte Domains enthalten.
Um eine Gruppe zu erstellen, starten Sie auf der Listenseite Domains.
- Öffnen Sie das Navigationsmenü , und wählen Sie unter Infrastruktur Identität und Sicherheit aus. Wählen Sie unter Identität die Option Domains aus.
- Wählen Sie auf der Listenseite Domains die Domain aus, der Sie die Gruppe hinzufügen möchten, und wählen Sie Benutzerverwaltung aus.
Sie können auch auf der Homepage der Oracle Cloud-Konsole unter Schnellaktionen die Option Benutzer zu Ihrem Mandanten hinzufügen auswählen.
- Sie können jetzt eine Gruppe erstellen. Ausführliche Schritte finden Sie unter Gruppe erstellen.
Bevor Sie die Policy erstellen, müssen Ihnen die Ressourcen bekannt sein, auf die Sie Zugriff erteilen möchten. Auf die Ressource (auch als Ressourcentyp bezeichnet) wird durch die Policy Zugriff erteilt. In der Policy-Referenz für Tätigkeitsrollen finden Sie die Liste der Policy-Anweisungen für die zu erstellende Tätigkeitsrolle.
- Wenn Sie sich von der vorherigen Aufgabe noch auf der Seite Domains befinden, wie unter Gruppe erstellen beschrieben, wählen Sie links auf der Seite Policys aus.
Oder:
Öffnen Sie das Navigationsmenü , und wählen Sie unter Infrastruktur Identität und Sicherheit aus. Wählen Sie unter Identität die Option Policys aus.
Die Liste der Policys wird angezeigt.
- Wählen Sie Policy erstellen aus.
- Geben Sie folgende Informationen ein:
- Name: Ein eindeutiger Name für die Policy. Der Name muss in allen Policys in Ihrem Mandanten eindeutig sein. Sie können diese Angabe später nicht ändern. Geben Sie dabei keine vertraulichen Informationen ein.
- Beschreibung: Eine benutzerfreundliche Beschreibung. Änderungen sind später bei Bedarf möglich. Geben Sie dabei keine vertraulichen Informationen ein.
- Compartment: Stellen Sie sicher, dass der Mandant (Root Compartment) ausgewählt ist.
- Wählen Sie im Policy Builder-Abschnitt die Option Manuellen Editor anzeigen, um das Textfeld für Freiformtexteingaben anzuzeigen.
- Geben Sie die entsprechenden Anweisungen für die Ressourcen ein, auf die Sie Zugriff erteilen möchten. Informationen zu den Anweisungen, die Sie für allgemeine Tätigkeitsrollen kopieren und einfügen können, finden Sie unter Policy-Referenz für Tätigkeitsrollen.
Ersetzen Sie "<identity-domain-name>"/"<your-group-name>" in jeder der Anweisungen durch den richtigen Identitätsdomainnamen und Gruppennamen, die Sie im vorherigen Schritt und andere Variablen erstellt haben.
Beispiel: Angenommen, Sie verwenden eine Gruppe namens "FA-Admins", die Sie in der Domain OracleIdentityCloudService erstellt haben. Sie möchten dieser Gruppe Die Berechtigungen des Fusion Applications-Serviceadministrators erteilen.
- Gehen Sie zur Policy-Referenz für Tätigkeitsrollen in der Dokumentation.
- Suchen Sie den Abschnitt zum Fusion Applications-Serviceadministrator. Wählen Sie Kopieren, um die Policy-Anweisungen zu kopieren.
- Gehen Sie zum Policy-Editor, fügen Sie die Anweisungen aus der Dokumentation ein. Aktualisieren Sie dann den Wert für "<identity-domain-name>"/"<your-group-name>" in jeder der Anweisungen. In diesem Beispiel wäre das Update "OracleIdentityCloudService"/"FA-Admins".
- Wählen Sie Erstellen.
- Wählen Sie auf der Homepage der Oracle Cloud-Konsole unter Schnellaktionen die Option Benutzer zu Ihrem Mandanten hinzufügen aus.
Eine Liste der Benutzer in der aktuellen Domäne wird angezeigt.
- Wählen Sie Erstellen.
- Geben Sie den Vor- und Nachnamen des Benutzers ein.
- So legen Sie fest, dass sich der Benutzer mit seiner E-Mail-Adresse anmelden muss:
- Lassen Sie den Umschalter E-Mail-Adresse als Benutzername verwenden aktiviert.
- Geben Sie im Feld Benutzername/E-Mail-Adresse die E-Mail-Adresse für den Benutzeraccount an.
- So legen Sie die Anmeldung des Benutzers mit seinem Benutzernamen fest:
- Heben Sie die Auswahl des Umschalters E-Mail-Adresse als Benutzername verwenden auf.
- Geben Sie im Feld Benutzername den Benutzernamen ein, den der Benutzer für die Anmeldung bei der Konsole verwenden soll.
- Geben Sie im Feld E-Mail die E-Mail-Adresse für den Benutzeraccount an.
- Aktivieren Sie unter Gruppen das Kontrollkästchen für jede Gruppe, die Sie dem Benutzeraccount zuweisen möchten.
- (Optional) Fügen Sie im Abschnitt Tags dem Benutzer ein oder mehrere Tags hinzu.
Wenn Sie über Berechtigungen zum Erstellen von Ressourcen verfügt, sind Sie auch berechtigt: Freiformtags auf diese Ressource anwenden. Um ein definiertes Tag anzuwenden, müssen Sie über die Berechtigungen zum Verwenden des Tag-Namespace verfügen. Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Tags angewendet werden sollen, überspringen Sie diese Option, oder fragen Sie einen Administrator. Sie können Tags später anwenden.
- Wählen Sie Erstellen.
Policy-Referenz für Tätigkeitsrollen
Sie möchten für Ihre Benutzer bestimmte allgemeine Tätigkeitsrollen einrichten. Sie können Policys erstellen, um die für bestimmte Funktionen erforderlichen Berechtigungen zu erteilen. Dieser Abschnitt enthält Policy-Beispiele für einige allgemeine Funktionen.
Die Beispiele in diesem Abschnitt zeigen alle Policy-Anweisungen, die für die beschriebenen Rollen erforderlich sind. Die nachfolgende Tabelle führt die Berechtigungen auf, die durch die einzelnen Anweisungen erteilt werden. Um einen Benutzer mit dem durch Policys erteilten Zugriff zu erstellen, können Sie die angegebene Policy kopieren und einfügen. Setzen Sie dabei Ihren Gruppennamen ein. Weitere Informationen finden Sie in der Aufgabe Policy erstellen. Wenn Sie nicht alle Anweisungen benötigen, beispielsweise, weil Ihre Anwendung nicht in Oracle Digital Assistant eingebunden ist, können Sie die Anweisung entfernen.
Mithilfe der angegebenen Richtlinien können Sie die folgenden Rollentypen einrichten:
Der Fusion Applications-Umgebungsadministrator kann alle Aufgaben ausführen, die zum Erstellen und Verwalten von Fusion Applications-Umgebungen und -Umgebungsfamilien in Ihrem Mandanten (Account) erforderlich sind. Der Administrator der Fusion Applications-Umgebung kann auch mit den zugehörigen Anwendungen und Services interagieren, die Ihre Umgebungen unterstützen. Um diese Aufgaben vollständig ausführen zu können, benötigt der Administrator der Fusion Applications-Umgebung Berechtigungen für mehrere Services und Ressourcen.
Wenn Sie diese Policy erstellen, müssen Sie Folgendes wissen:
- Der Gruppenname.
- Der Name der Identitätsdomain, in der sich die Gruppe befindet.
- Der Compartment-Name, in dem sich die Umgebung und andere Ressourcen befinden. Informationen zu Compartments finden Sie unter Ressourcen für Tätigkeitsrollen mit Compartments gruppieren. Beachten Sie, dass Sie die Ressourcen nach dem Erstellen der Policy in das Compartment verschieben können. Das Compartment muss jedoch vorhanden sein, bevor Sie die Policy schreiben.
Beispiel-Policy zum Kopieren und Einfügen:
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to use vcns in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read vaults in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read keys in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to use key-delegate in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read lockbox-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage oda-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage vbstudio-instances in tenancy
Define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
Endorse group '<identity-domain-name>'/'<your-group-name>' to read objects in tenancy usage-reportIn der folgenden Tabelle wird beschrieben, worauf jede Anweisung in der vorherigen Policy Zugriff erteilt:
| Policy-Anweisung | Wozu sie dient |
|---|---|
|
Erteilt vollständige Verwaltungsberechtigungen für Fusion Applications-Umgebungen und -Umgebungsfamilien. Beinhaltet Erstellungs-, Aktualisierungs-, und Wartungsaktivitäten. |
|
Erteilt Berechtigungen zum Lesen abonnementbezogener Informationen für den Zugriff auf Ihre Anwendungsabonnements in der Konsole. Erforderlich zum Anzeigen Ihrer Abonnements. Zugriff muss auf Mandantenebene erteilt werden. |
|
Erteilt Berechtigungen zum Anzeigen der Anwendungsinformationen auf der Homepage der Anwendung. |
|
Erteilt Zugriff auf Metrikdiagramme und Daten, die für Ihre FA-Ressourcen angezeigt werden. |
|
Erteilt Zugriff auf das Lesen von Ankündigungen. |
|
Erteilt die Berechtigung zum Hinzufügen oder Bearbeiten von Netzwerkzugriffsregeln. |
|
Erteilt die Berechtigung zum Verwalten der integrierten Oracle Digital Assistant-Anwendung |
|
Erteilt die Berechtigung zum Verwalten der integrierten Visual Studio-Anwendung. |
|
Erteilt die Berechtigung zum Anzeigen von monatlichen Nutzungskennzahlenberichten. |
Nachdem der Fusion Applications-Umgebungsadministrator die Fusion Applications-Umgebungen erstellt hat, kann der Umgebungsadministrator eine bestimmte Umgebung verwalten. Allerdings kann er die Umgebung nicht erstellen, nicht löschen und nicht auf andere Umgebungen zugreifen. Beispiel: Sie können eine Gruppe namens "Prod-Admins" einrichten, die nur auf Ihre Produktionsumgebung zugreifen kann, und eine Gruppe namens "Test-Admins", die nur auf Nicht-Produktionsumgebungen zugreifen kann.
Der Umgebungsadministrator kann folgende Aufgaben ausführen:
- Sprachpakete, Umgebungswartungsoptionen, Netzwerkzugriffsregeln aktualisieren
- Metriken überwachen
- Umgebungen aktualisieren (nur Nicht-Produktionsumgebungen)
- Anwendungsadministratoren hinzufügen
Der Umgebungsadministrator kann folgende Aufgaben nicht ausführen:
- Umgebungen erstellen
- Umgebungen löschen
- Auf andere Umgebungen zugreifen
Im Folgenden finden Sie eine Beispiel-Policy, in der alle erforderlichen Policy-Anweisungen für diese Rolle angezeigt werden. Die nachfolgende Tabelle führt die Berechtigungen auf, die durch die einzelnen Anweisungen erteilt werden. Um einen Benutzer mit diesem Berechtigungsset zu erstellen, können Sie diese Policy kopieren und einfügen. setzen Sie dabei Ihren Gruppennamen und den Compartment-Namen ein. Weitere Informationen finden Sie in der Aufgabe Policy erstellen.
Wenn Sie diese Policy erstellen, müssen Sie Folgendes wissen:
- Der Gruppenname
- Der Name der Identitätsdomain, in der sich die Gruppe befindet.
- Der Compartment-Name, in dem sich die Umgebung und andere Ressourcen befinden. Informationen zu Compartments finden Sie unter Ressourcen für Tätigkeitsrollen mit Compartments gruppieren. Beachten Sie, dass Sie die Ressourcen nach dem Erstellen der Policy in das Compartment verschieben können. Das Compartment muss jedoch vorhanden sein, bevor Sie die Policy schreiben.
Beispiel-Policy zum Kopieren und Einfügen:
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-environment in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-scheduled-activity in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-refresh-activity in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-work-request in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-environment-group in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to use vcns in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage oda-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage vbstudio-instances in tenancy
Define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
Endorse group '<identity-domain-name>'/'<your-group-name>' to read objects in tenancy usage-reportIn der folgenden Tabelle wird beschrieben, worauf jede Anweisung in der vorherigen Policy Zugriff erteilt:
| Policy-Anweisung | Wozu sie dient |
|---|---|
|
Erteilt Berechtigungen zum Verwalten von Fusion Applications-Umgebungen im benannten Compartment. |
|
Erteilt Berechtigungen zum Anzeigen der geplanten Wartungsaktivität für Umgebungen im benannten Compartment. |
|
Erteilt Berechtigungen zum Erstellen von Umgebungsaktualisierungsanforderungen für Umgebungen im benannten Compartment. Gilt nicht für Produktionsumgebungen. |
|
Erteilt Berechtigungen zum Anzeigen der Arbeitsanforderungen für Umgebungen im benannten Compartment. |
|
Erteilt Berechtigungen zum Anzeigen von Umgebungsfamiliendetails für alle Umgebungsfamilien im Mandanten. |
|
Erteilt Berechtigungen zum Lesen abonnementbezogener Informationen für den Zugriff auf Ihre Anwendungsabonnements in der Konsole. Erforderlich zum Anzeigen Ihrer Abonnements. Zugriff muss auf Mandantenebene erteilt werden. |
|
Erteilt Berechtigungen zum Anzeigen der Anwendungsinformationen auf der Homepage der Anwendung. |
|
Erteilt Zugriff auf Metrikdiagramme und Daten, die für Ihre FA-Ressourcen im benannten Compartment angezeigt werden. |
|
Erteilt Berechtigungen zum Hinzufügen oder Bearbeiten von Netzwerkzugriffsregeln für VCNs im benannten Compartment. |
|
Erteilt Zugriff auf das Lesen von Ankündigungen. |
|
Erteilt die Berechtigung zum Verwalten der integrierten Oracle Digital Assistant-Anwendung im benannten Compartment. |
|
Erteilt die Berechtigung zum Verwalten der integrierten Oracle Integration-Anwendung. Nicht erforderlich, wenn Ihre Umgebung diese Integration nicht verwendet. |
|
Erteilt die Berechtigung zum Verwalten der integrierten Visual Studio-Anwendung im benannten Compartment. |
|
Erteilt die Berechtigung zum Anzeigen von monatlichen Nutzungskennzahlenberichten. |
Mit der für diese Rolle enthaltenen Policy können die Gruppenmitglieder schreibgeschützten Zugriff auf die Details und den Status der Fusion Applications-Umgebungen und zugehörigen Anwendungen anzeigen. Der schreibgeschützte Benutzer der Umgebung kann keine Änderungen vornehmen.
Im Folgenden finden Sie eine Beispiel-Policy, in der alle erforderlichen Policy-Anweisungen für die Rolle angezeigt werden. Die nachfolgende Tabelle führt die Berechtigungen auf, die durch die einzelnen Anweisungen erteilt werden. Um einen Benutzer mit diesem Berechtigungsset zu erstellen, können Sie diese Policy kopieren und einfügen. Setzen Sie dabei Ihren Gruppennamen ein. Weitere Informationen finden Sie in der Aufgabe Policy erstellen.
Wenn Sie diese Policy erstellen, müssen Sie Folgendes wissen:
- Der Gruppenname
- Der Name der Identitätsdomain, in der sich die Gruppe befindet.
- Der Compartment-Name, in dem sich die Umgebung und andere Ressourcen befinden. Informationen zu Compartments finden Sie unter Ressourcen für Tätigkeitsrollen mit Compartments gruppieren. Beachten Sie, dass Sie die Ressourcen nach dem Erstellen der Policy in das Compartment verschieben können. Das Compartment muss jedoch vorhanden sein, bevor Sie die Policy schreiben.
Beispiel-Policy zum Kopieren und Einfügen:
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read oda-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read vbstudio-instances in tenancy
Define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
Endorse group '<identity-domain-name>'/'<your-group-name>' to read objects in tenancy usage-reportIn der folgenden Tabelle wird beschrieben, worauf jede Anweisung in der vorherigen Policy Zugriff erteilt:
| Policy-Anweisung | Wozu sie dient |
|---|---|
|
Erteilt die Berechtigung zum Anzeigen aller Aspekte der Fusion Applications-Umgebung und -Umgebungsfamilie. |
|
Erteilt Berechtigungen zum Lesen abonnementbezogener Informationen für den Zugriff auf Ihre Anwendungsabonnements in der Konsole. Erforderlich zum Anzeigen Ihrer Abonnements. Zugriff muss auf Mandantenebene erteilt werden. |
|
Erteilt Berechtigungen zum Anzeigen der Anwendungsinformationen auf der Homepage der Anwendung. |
|
Erteilt die Berechtigung zum Anzeigen von Metrikdiagrammen und Daten, die für Ihre FA-Ressourcen angezeigt werden. |
|
Erteilt Zugriff auf die Anzeige von Ankündigungen. |
|
Erteilt die Berechtigung zum Anzeigen der integrierten Oracle Digital Assistant-Anwendung. |
|
Erteilt die Berechtigung zum Anzeigen der integrierten Visual Studio-Anwendung. |
|
Erteilt die Berechtigung zum Anzeigen von monatlichen Nutzungskennzahlenberichten. |
Die für diese Rolle enthaltenen Policys ermöglichen es den Gruppenmitgliedern, Umgebungsaktualisierungen in einem angegebenen Compartment auszuführen. Gruppenmitglieder haben außerdem schreibgeschützten Zugriff auf Details der Fusion Applications-Umgebungen. Die Aktualisierung einer Umgebung ist die einzige Aktion, die diese Rolle ausführen darf.
Im Folgenden finden Sie eine Beispiel-Policy, in der alle erforderlichen Policy-Anweisungen für die Rolle angezeigt werden. Die nachfolgende Tabelle führt die Berechtigungen auf, die durch die einzelnen Anweisungen erteilt werden. Um einen Benutzer mit diesem Berechtigungsset zu erstellen, können Sie diese Policy kopieren und einfügen. Setzen Sie dabei Ihren Gruppennamen ein. Weitere Informationen finden Sie in der Aufgabe Policy erstellen.
Wenn Sie diese Policy erstellen, müssen Sie Folgendes wissen:
- Der Gruppenname.
- Der Name der Identitätsdomain, in der sich die Gruppe befindet.
- Der Name des Compartments, in dem sich die Umgebung befindet.
Beispiel-Policy zum Kopieren und Einfügen:
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read oda-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read vbstudio-instances in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-refresh-activity in compartment <your-compartment-name>
In der folgenden Tabelle wird beschrieben, worauf jede Anweisung in der vorherigen Policy Zugriff erteilt:
| Policy-Anweisung | Wozu sie dient |
|---|---|
|
Erteilt die Berechtigung zum Anzeigen aller Aspekte der Fusion Applications-Umgebung und -Umgebungsfamilie. |
|
Erteilt Berechtigungen zum Lesen abonnementbezogener Informationen für den Zugriff auf Ihre Anwendungsabonnements in der Konsole. Erforderlich zum Anzeigen Ihrer Abonnements. Zugriff muss auf Mandantenebene erteilt werden. |
|
Erteilt Berechtigungen zum Anzeigen der Anwendungsinformationen auf der Homepage der Anwendung. |
|
Erteilt die Berechtigung zum Anzeigen von Metrikdiagrammen und Daten, die für Ihre FA-Ressourcen angezeigt werden. |
|
Erteilt Zugriff auf die Anzeige von Ankündigungen. |
|
Erteilt die Berechtigung zum Anzeigen der integrierten Oracle Digital Assistant-Anwendung. |
|
Erteilt die Berechtigung zum Anzeigen der integrierten Visual Studio-Anwendung. |
|
Erteilt die Berechtigung zum Ausführen einer Aktualisierung in Fusion Applications-Umgebungen im angegebenen Compartment. |
Der Sicherheitsadministrator für Umgebungen verwaltet Sicherheitsfeatures für Fusion Applications-Umgebungen. Zu den Sicherheitsfeatures gehören vom Kunden verwaltete Schlüssel und Oracle Managed Access (auch als Break Glass bezeichnet). Sie müssen Abonnements für diese Features erworben haben, bevor Sie sie in Ihren Umgebungen aktiviert haben. Weitere Informationen finden Sie unter Vom Kunden verwaltete Schlüssel für Oracle Break Glass und Break Glass-Support für Umgebungen.
Der Umgebungssicherheitsadministrator kann folgende Aufgaben ausführen:
- Erstellt Vaults und Schlüssel im Vault-Service
- Schlüssel rotieren
- Schlüsselrotation für eine Fusion Applications-Umgebung prüfen
- Schlüssel deaktivieren und aktivieren
Im Folgenden finden Sie eine Beispiel-Policy, in der alle erforderlichen Policy-Anweisungen für diese Rolle angezeigt werden. Die nachfolgende Tabelle führt die Berechtigungen auf, die durch die einzelnen Anweisungen erteilt werden. Um einen Benutzer mit diesem Berechtigungsset zu erstellen, können Sie diese Policy kopieren und einfügen. Setzen Sie dabei Ihren Gruppennamen und den Compartment-Namen ein. Weitere Informationen finden Sie in der Aufgabe Policy erstellen.
Wenn Sie diese Policy erstellen, müssen Sie Folgendes wissen:
- Der Gruppenname
- Der Name der Identitätsdomain, in der sich die Gruppe befindet.
- Der Compartment-Name, in dem sich die Umgebung und andere Ressourcen befinden. Informationen zu Compartments finden Sie unter Ressourcen für Tätigkeitsrollen mit Compartments gruppieren. Beachten Sie, dass Sie die Ressourcen nach dem Erstellen der Policy in das Compartment verschieben können. Das Compartment muss jedoch vorhanden sein, bevor Sie die Policy schreiben.
Beispiel-Policy zum Kopieren und Einfügen:
Allow group '<identity-domain-name>'/'<your-group-name>' to manage vaults in tenancy where request.permission not in ('VAULT_DELETE', 'VAULT_MOVE')
Allow group '<identity-domain-name>'/'<your-group-name>' to manage keys in tenancy where request.permission not in ('KEY_DELETE', 'KEY_MOVE')
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-environment-group in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-environment in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage lockbox-family in tenancy
In der folgenden Tabelle wird beschrieben, worauf jede Anweisung in der vorherigen Policy Zugriff erteilt:
| Policy-Anweisung | Wozu sie dient |
|---|---|
|
Erteilt Berechtigungen zum Erstellen und Verwalten von Vaults im Mandanten. Erlaubt jedoch nicht das Löschen eines Vaults oder das Verschieben eines Vaults in ein anderes Compartment. |
|
Erteilt Berechtigungen zum Erstellen und Verwalten von Schlüsseln für Umgebungen im Mandanten. Erlaubt jedoch nicht das Löschen eines Schlüssels oder das Verschieben eines Schlüssels in ein anderes Compartment. |
|
Erteilt Berechtigungen zum Lesen der Details einer Fusion Applications-Umgebungsgruppe. |
|
Erteilt Berechtigungen zum Lesen der Details einer Fusion Applications-Umgebung. |
Benutzer löschen
Löschen Sie einen Benutzer, wenn er das Unternehmen verlässt. Ausführliche Schritte finden Sie unter Löschen eines Benutzers.
Weitere Informationen zum Verwalten von Benutzern in einer Identitätsdomain finden Sie unter Lebenszyklus zum Verwalten von Benutzern.
Benutzer aus einer Gruppe entfernen
Entfernen Sie einen Benutzer aus einer Gruppe, wenn er keinen Zugriff mehr auf die Ressourcen benötigt, auf die die Gruppe Zugriff erteilt. Ausführliche Schritte finden Sie unter Benutzer aus einer Gruppe entfernen.