Oracle Cloud-Benutzer mit bestimmten Funktionen verwalten
Fügen Sie Benutzer mit vordefinierten Berechtigungen für die Arbeit mit Fusion Applications-Umgebungen hinzu.
Der Standardadministrator des Mandanten wurde beim Erstellen Ihres Cloud-Accounts definiert. Der Standardadministrator kann alle Aufgaben für alle Services ausführen. Dazu zählen auch das Anzeigen und Verwalten aller Anwendungsabonnements.
In diesem Thema wird erklärt, wie Sie weitere Benutzer erstellen, die mit Ihren Fusion Applications-Umgebungen in der Oracle Cloud-Konsole arbeiten können. Diese zusätzlichen Admin-Benutzer verfügen in der Regel über bestimmte Funktionen und haben daher weniger Zugriffsrechte und Berechtigungen als der Standard-Admin-Benutzer. Wie Sie Endbenutzer für das Arbeiten in Ihren Anwendungen hinzufügen, wird in der Anwendungsdokumentation zu Oracle Fusion Cloud Applications Suite beschrieben.
Die Anwendungsumgebungsverwaltung kann zur Authentifizierung und Autorisierung in den Identity and Access Management Service-(IAM-)Service eingebunden werden. IAM verwendet Policys, um Gruppen Berechtigungen zu erteilen. Je nach den Gruppen, zu denen Benutzer gehören, haben sie Zugriff auf verschiedene Ressourcen (wie Anwendungsumgebungen). Der Standardadministrator kann Gruppen, Policys und Benutzer erstellen, um Zugriff auf die Ressourcen zu erteilen.
Dieses Thema beschreibt die grundlegenden Prozeduren zum Erstellen bestimmter Benutzertypen in Ihrem Account für die ersten Schritte mit der Umgebungsverwaltung. Ausführliche Informationen zur Verwendung des IAM-Service zur Verwaltung von Benutzern in der Oracle Cloud-Konsole finden Sie unter Benutzer verwalten.
Unterschied zwischen Benutzerrollen für das Umgebungsmanagement und Anwendungsbenutzerrollen
Die hier beschriebenen Umgebungsbenutzerrollen haben Zugriff auf die Verwaltung oder Interaktion mit der Anwendungsumgebung. Je nach Berechtigungsstufe können sie sich beim Oracle Cloud-Account anmelden, zur Seite mit den Umgebungsdetails navigieren und Aufgaben zum Verwalten oder Überwachen der Umgebung ausführen. Zu diesen Rollen gehören Fusion Applications Environment Administrator, Environment Security Administrator, Environment-spezifischer Manager und Environment Monitor.
Anwendungsbenutzerrollen haben Zugriff auf die Anmeldung bei der Anwendung (über die Anwendungs-URL) und die Verwaltung, Entwicklung oder Verwendung der Anwendung. Informationen zur Verwaltung dieser Benutzer finden Sie in der Dokumentation zu Ihren Anwendungen.
-
Informationen zum Hinzufügen eines Fusion-Administrators finden Sie unter So fügen Sie Fusion-Administratoren hinzu oder entfernen diese.
- Informationen zu Anwendungsrollen finden Sie in der Anwendungsdokumentation. Eine allgemeine Referenz finden Sie unter Allgemeine Rollen für alle Angebote.
Mandantenadministrator hinzufügen
In dieser Prozedur wird beschrieben, wie Sie der Administratorengruppe Ihres Mandanten einen weiteren Benutzer hinzufügen. Mitglieder der Administratorengruppe haben Zugriff auf alle Features und Services in der Oracle Cloud-Konsole.
Mit dieser Prozedur erhält der Benutzer keinen Zugriff, um sich bei der Anwendungsservicekonsole anzumelden. Informationen zum Hinzufügen von Benutzern zu Ihrer Anwendung finden Sie in der Anwendungsdokumentation.
So fügen Sie einen Administrator hinzu:
- Öffnen Sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Identität die Option Domains aus.
- Öffnen Sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Identität die Option Benutzer aus.
- Wählen Sie Benutzer erstellen aus.
- Geben Sie den Vornamen und Nachnamen des Benutzers ein.
- So legen Sie fest, dass sich der Benutzer mit seiner E-Mail-Adresse anmelden muss:
- Lassen Sie das Kontrollkästchen E-Mail-Adresse als Benutzernamen verwenden aktiviert.
- Geben Sie im Feld Benutzername/E-Mail-Adresse die E-Mail-Adresse für den Benutzeraccount ein.
oder
So legen Sie fest, dass sich der Benutzer mit seinem Benutzernamen anmelden muss:- Deaktivieren Sie das Kontrollkästchen E-Mail-Adresse als Benutzernamen verwenden.
- Geben Sie im Feld Benutzername den Benutzernamen ein, mit dem sich der Benutzer bei der Konsole anmelden soll.
- Geben Sie im Feld E-Mail die E-Mail-Adresse für den Benutzeraccount ein.
- Aktivieren Sie unter Wählen Sie die Gruppen aus, denen dieser Benutzer zugewiesen werden soll das Kontrollkästchen für Administratoren.
- Wählen Sie Erstellen.
An die für den neuen Benutzer angegebene Adresse wird eine Willkommens-E-Mail gesendet. Der neue Benutzer kann die Anweisungen zur Accountaktivierung in der E-Mail ausführen, um sich anzumelden und den Mandanten zu verwenden.
Ressourcen für Tätigkeitsrollen mit Compartments gruppieren
Ein Compartment ist ein IAM-Feature für die Zugriffsverwaltung, mit dem Sie Ressourcen logisch gruppieren können. So können Sie kontrollieren, wer auf die Ressourcen zugreifen kann, indem Sie festlegen, wer auf das Compartment zugreifen kann.
Beispiel: Um eine eingeschränkte Zugriffs-Policy zu erstellen, die nur Zugriff auf eine bestimmte Testumgebung und die zugehörigen Ressourcen zulässt, können Sie diese Ressourcen in einem eigenen Compartment platzieren und dann die Policy erstellen, die nur den Zugriff auf die Ressourcen in dem Compartment zulässt. Weitere Informationen finden Sie unter Compartment auswählen.
Benutzer mit angegebenem Zugriff für eine Tätigkeitsrolle hinzufügen
Für Benutzer, die keinen vollständigen Administratorzugriff haben sollen, können Sie eine Gruppe erstellen, die Zugriff auf bestimmte Anwendungsumgebungen in der Oracle Cloud-Konsole hat, jedoch keine anderen administrativen Aufgaben in der Oracle Cloud-Konsole ausführen kann.
So erteilen Sie Benutzern Berechtigungen zum Anzeigen von Anwendungsumgebungen und Abonnements in der Oracle Cloud-Konsole:
- Suchen Sie die Identitätsdomain.
- Erstellen Sie eine Gruppe.
- Erstellen Sie eine Policy, die der Gruppe den entsprechenden Zugriff auf die Ressourcen erteilt.
- Erstellen Sie einen Benutzer, und fügen Sie ihn der Gruppe hinzu.
Die folgenden Prozeduren führen Sie durch das Erstellen einer Gruppe, einer Policy und eines Benutzers. Der Standardadministrator oder ein anderer Benutzer, dem administrativer Zugriff auf IAM-Ressourcen erteilt wurde, kann diese Aufgaben ausführen.
Eine Identitätsdomain ist ein Container für die Verwaltung von Benutzern und Rollen, die Föderation und das Provisioning von Benutzern, die Sicherung der Anwendungsintegration durch Oracle Single Sign-On-(SSO-)Konfiguration sowie die OAuth-Administration. Wenn Sie eine Policy schreiben, müssen Sie angeben, zu welcher Identitätsdomain die Gruppe gehört.
So suchen Sie die Identitätsdomains in Ihrem Mandanten:
Öffnen Sie das Navigationsmenü, und wählen Sie unter Infrastruktur die Option Identität und Sicherheit aus, um das Menü einzublenden. Wählen Sie dann unter Identität die Option Domains aus.
Alle Mandanten enthalten eine Standarddomain. Ihr Mandant kann auch die Domain OracleIdentityCloudService sowie andere von Ihrer Organisation erstellte Domains enthalten.
- Wählen Sie auf der Homepage der Oracle Cloud-Konsole unter Schnellaktionen die Option Benutzer zu Ihrem Mandanten hinzufügen aus. Mit dieser Aktion gelangen Sie zur Liste der Benutzer in der aktuellen Domain.
- Wählen Sie in der Liste der Ressourcen auf der linken Seite Gruppen aus.
- Wählen Sie Gruppe erstellen.
- Geben Sie Folgendes ein:
- Name: Ein eindeutiger Name für die Gruppe. Beispiel: "environment-viewers". Der Name muss in allen Gruppen in Ihrem Mandanten eindeutig sein. Änderungen sind später nicht möglich.
- Beschreibung: Eine benutzerfreundliche Beschreibung. Änderungen sind später bei Bedarf möglich.
- Erweiterte Optionen - Tags: Sie können Tags anwenden (optional). Wenn Sie über Berechtigungen zum Erstellen von Ressourcen verfügen, sind Sie auch berechtigt, Freiformtags auf diese Ressource anzuwenden. Um ein definiertes Tag zuzuweisen, benötigen Sie die Berechtigungen zum Verwenden des Tag-Namespace. Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Sie Tags anwenden sollten, überspringen Sie diese Option, oder fragen Sie Ihren Administrator. Sie können die Tags auch später noch zuweisen.
- Wählen Sie Erstellen.
Bevor Sie die Policy erstellen, müssen Sie wissen, auf welche Ressourcen Sie Zugriff erteilen möchten. Auf die Ressource (auch als Ressourcentyp bezeichnet) wird durch die Policy Zugriff erteilt. In der Policy-Referenz für Tätigkeitsrollen finden Sie die Liste der Policy-Anweisungen für die zu erstellende Tätigkeitsrolle.
- Navigieren Sie zur Seite "Policys":
- Wenn Sie sich noch vom vorherigen Schritt auf der Seite Gruppen befinden, wählen Sie oben auf der Seite in den Navigationspfadlinks Domains aus. Wählen Sie auf der Seite Domains die Option Policys aus.
- Öffnen Sie andernfalls das Navigationsmenü. Wählen Sie unter Infrastruktur die Option ID und Sicherheit aus, um das Menü einzublenden. Wählen Sie dann unter ID die Option Policys aus. Die Liste der Policys wird angezeigt.
- Wählen Sie Policy erstellen aus.
- Geben Sie Folgendes ein:
- Name: Ein eindeutiger Name für die Policy. Der Name muss in allen Policys in Ihrem Mandanten eindeutig sein. Änderungen sind später nicht möglich.
- Beschreibung: Eine benutzerfreundliche Beschreibung. Änderungen sind später bei Bedarf möglich.
- Compartment: Stellen Sie sicher, dass der Mandant (Root Compartment) ausgewählt ist.
- Aktivieren Sie im Policy Builder die Option Manuellen Editor anzeigen, um das Textfeld für Freiformtexteingaben anzuzeigen.
- Geben Sie die entsprechenden Anweisungen für die Ressourcen ein, auf die Sie Zugriff erteilen möchten. Informationen zu den Anweisungen, die Sie für allgemeine Tätigkeitsrollen kopieren und einfügen können, finden Sie unter Policy-Referenz für Tätigkeitsrollen.
Ersetzen Sie "<identity-domain-name>"/"<your-group-name>" in jeder der Anweisungen durch den richtigen Identitätsdomainnamen und Gruppennamen, die Sie im vorherigen Schritt und andere Variablen erstellt haben.
Beispiel: Angenommen, Sie verwenden eine Gruppe namens "FA-Admins", die Sie in der Domain OracleIdentityCloudService erstellt haben. Sie möchten dieser Gruppe Die Berechtigungen des Fusion Applications-Serviceadministrators erteilen.
- Gehen Sie zur Policy-Referenz für Tätigkeitsrollen in der Dokumentation (siehe unten).
- Suchen Sie den Abschnitt zum Fusion Applications-Serviceadministrator. Klicken Sie auf Kopieren, um die Policy-Anweisungen zu kopieren.
- Gehen Sie zum Policy-Editor, fügen Sie die Anweisungen aus der Dokumentation ein, und aktualisieren Sie dann den Wert für "<identity-domain-name>"/"<your-group-name>" in jeder der Anweisungen. In diesem Beispiel wäre das Update "OracleIdentityCloudService"/"FA-Admins".
- Wählen Sie Erstellen.
- Wählen Sie auf der Homepage der Oracle Cloud-Konsole unter Schnellaktionen die Option Benutzer zu Ihrem Mandanten hinzufügen aus.
- Wählen Sie Benutzer erstellen aus.
- Geben Sie den Vornamen und Nachnamen des Benutzers ein.
- So legen Sie fest, dass sich der Benutzer mit seiner E-Mail-Adresse anmelden muss:
- Lassen Sie das Kontrollkästchen E-Mail-Adresse als Benutzernamen verwenden aktiviert.
- Geben Sie im Feld Benutzername/E-Mail-Adresse die E-Mail-Adresse für den Benutzeraccount ein.
oder
So legen Sie fest, dass sich der Benutzer mit seinem Benutzernamen anmelden muss:- Deaktivieren Sie das Kontrollkästchen E-Mail-Adresse als Benutzernamen verwenden.
- Geben Sie im Feld Benutzername den Benutzernamen ein, mit dem sich der Benutzer bei der Konsole anmelden soll.
- Geben Sie im Feld E-Mail die E-Mail-Adresse für den Benutzeraccount ein.
- Weisen Sie den Benutzer einer Gruppe zu, indem Sie das Kontrollkästchen für jede Gruppe aktivieren, die Sie dem Benutzeraccount zuweisen möchten.
- Wählen Sie Erstellen.
Policy-Referenz für Tätigkeitsrollen
Sie möchten für Ihre Benutzer bestimmte allgemeine Tätigkeitsrollen einrichten. Sie können Policys erstellen, um die für bestimmte Funktionen erforderlichen Berechtigungen zu erteilen. Dieser Abschnitt enthält Policy-Beispiele für einige allgemeine Funktionen.
Die Beispiele in diesem Abschnitt zeigen alle Policy-Anweisungen, die für die beschriebenen Rollen erforderlich sind. Die nachfolgende Tabelle führt die Berechtigungen auf, die durch die einzelnen Anweisungen erteilt werden. Um einen Benutzer mit dem durch Policys erteilten Zugriff zu erstellen, können Sie die angegebene Policy kopieren und einfügen. Setzen Sie dabei Ihren Gruppennamen ein. Weitere Informationen finden Sie oben in der Aufgabe Policy erstellen. Wenn Sie nicht alle Anweisungen benötigen. Beispiel: Ihre Anwendung ist nicht in Oracle Digital Assistant integriert, können Sie die Anweisung entfernen.
Mithilfe der angegebenen Richtlinien können Sie die folgenden Rollentypen einrichten:
Der Fusion Applications-Umgebungsadministrator kann alle Aufgaben ausführen, die zum Erstellen und Verwalten von Fusion Applications-Umgebungen und -Umgebungsfamilien in Ihrem Mandanten (Account) erforderlich sind. Der Administrator der Fusion Applications-Umgebung kann auch mit den zugehörigen Anwendungen und Services interagieren, die Ihre Umgebungen unterstützen. Um diese Aufgaben vollständig ausführen zu können, benötigt der Administrator der Fusion Applications-Umgebung Berechtigungen für mehrere Services und Ressourcen.
Wenn Sie diese Policy erstellen, muss Ihnen Folgendes bekannt sein:
- Der Gruppenname.
- Der Name der Identitätsdomain, in der sich die Gruppe befindet.
- Ihr Compartment-Name, in dem sich die Umgebung und andere Ressourcen befinden. Informationen zu Compartments finden Sie unter Ressourcen für Tätigkeitsrollen mit Compartments gruppieren. Beachten Sie, dass Sie die Ressourcen nach dem Erstellen der Policy in das Compartment verschieben können. Das Compartment muss jedoch vorhanden sein, bevor Sie die Policy schreiben.
Beispiel-Policy zum Kopieren und Einfügen:
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to use vcns in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read vaults in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read keys in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to use key-delegate in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read lockbox-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage oda-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage vbstudio-instances in tenancy
Define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
Endorse group '<identity-domain-name>'/'<your-group-name>' to read objects in tenancy usage-reportIn der folgenden Tabelle wird beschrieben, worauf jede Anweisung in der vorherigen Policy Zugriff erteilt:
| Policy-Anweisung | Wozu sie dient |
|---|---|
|
Erteilt vollständige Verwaltungsberechtigungen für Fusion Applications-Umgebungen und -Umgebungsfamilien. Beinhaltet Erstellungs-, Aktualisierungs-, und Wartungsaktivitäten. |
|
Erteilt Berechtigungen zum Lesen abonnementbezogener Informationen für den Zugriff auf Ihre Anwendungsabonnements in der Konsole. Erforderlich zum Anzeigen Ihrer Abonnements. Zugriff muss auf Mandantenebene erteilt werden. |
|
Erteilt Berechtigungen zum Anzeigen der Anwendungsinformationen auf der Homepage der Anwendung. |
|
Erteilt Zugriff auf Metrikdiagramme und Daten, die für Ihre FA-Ressourcen angezeigt werden. |
|
Erteilt Zugriff auf das Lesen von Ankündigungen. |
|
Erteilt die Berechtigung zum Hinzufügen oder Bearbeiten von Netzwerkzugriffsregeln. |
|
Erteilt die Berechtigung zum Verwalten der integrierten Oracle Digital Assistant-Anwendung |
|
Erteilt die Berechtigung zum Verwalten der integrierten Visual Studio-Anwendung. |
|
Erteilt die Berechtigung zum Anzeigen von monatlichen Nutzungskennzahlenberichten. |
Nachdem der Fusion Applications-Umgebungsadministrator die Fusion Applications-Umgebungen erstellt hat, kann der Umgebungsadministrator eine bestimmte Umgebung verwalten. Allerdings kann er die Umgebung nicht erstellen, nicht löschen und nicht auf andere Umgebungen zugreifen. Beispiel: Sie können eine Gruppe namens "Prod-Admins" einrichten, die nur auf Ihre Produktionsumgebung zugreifen kann, und eine Gruppe namens "Test-Admins", die nur auf Nicht-Produktionsumgebungen zugreifen kann.
Der Umgebungsadministrator kann folgende Aufgaben ausführen:
- Sprachpakete, Umgebungswartungsoptionen, Netzwerkzugriffsregeln aktualisieren
- Metriken überwachen
- Umgebungen aktualisieren (nur Nicht-Produktionsumgebungen)
- Anwendungsadministratoren hinzufügen
Der Umgebungsadministrator kann folgende Aufgaben nicht ausführen:
- Umgebungen erstellen
- Umgebungen löschen
- Auf andere Umgebungen zugreifen
Im Folgenden finden Sie eine Beispiel-Policy, in der alle für diese Rolle erforderlichen Policy-Anweisungen angezeigt werden. Die nachfolgende Tabelle führt die Berechtigungen auf, die durch die einzelnen Anweisungen erteilt werden. Um einen Benutzer mit diesem Berechtigungsset zu erstellen, können Sie diese Policy kopieren und einfügen. Setzen Sie dabei Ihren Gruppennamen und den Compartment-Namen ein. Weitere Informationen finden Sie oben in der Aufgabe Policy erstellen.
Wenn Sie diese Policy erstellen, muss Ihnen Folgendes bekannt sein:
- Ihr Gruppenname
- Der Name der Identitätsdomain, in der sich die Gruppe befindet.
- Ihr Compartment-Name, in dem sich die Umgebung und andere Ressourcen befinden. Informationen zu Compartments finden Sie unter Ressourcen für Tätigkeitsrollen mit Compartments gruppieren. Beachten Sie, dass Sie die Ressourcen nach dem Erstellen der Policy in das Compartment verschieben können. Das Compartment muss jedoch vorhanden sein, bevor Sie die Policy schreiben.
Beispiel-Policy zum Kopieren und Einfügen:
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-environment in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-scheduled-activity in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-refresh-activity in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-work-request in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-environment-group in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to use vcns in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage oda-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage vbstudio-instances in tenancy
Define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
Endorse group '<identity-domain-name>'/'<your-group-name>' to read objects in tenancy usage-reportIn der folgenden Tabelle wird beschrieben, worauf jede Anweisung in der vorherigen Policy Zugriff erteilt:
| Policy-Anweisung | Wozu sie dient |
|---|---|
|
Erteilt Berechtigungen zum Verwalten von Fusion Applications-Umgebungen im benannten Compartment. |
|
Erteilt Berechtigungen zum Anzeigen der geplanten Wartungsaktivität für Umgebungen im benannten Compartment. |
|
Erteilt Berechtigungen zum Erstellen von Umgebungsaktualisierungsanforderungen für Umgebungen im benannten Compartment. Gilt nicht für Produktionsumgebungen. |
|
Erteilt Berechtigungen zum Anzeigen der Arbeitsanforderungen für Umgebungen im benannten Compartment. |
|
Erteilt Berechtigungen zum Anzeigen von Umgebungsfamiliendetails für alle Umgebungsfamilien im Mandanten. |
|
Erteilt Berechtigungen zum Lesen abonnementbezogener Informationen für den Zugriff auf Ihre Anwendungsabonnements in der Konsole. Erforderlich zum Anzeigen Ihrer Abonnements. Zugriff muss auf Mandantenebene erteilt werden. |
|
Erteilt Berechtigungen zum Anzeigen der Anwendungsinformationen auf der Homepage der Anwendung. |
|
Erteilt Zugriff auf Metrikdiagramme und Daten, die für Ihre FA-Ressourcen im benannten Compartment angezeigt werden. |
|
Erteilt Berechtigungen zum Hinzufügen oder Bearbeiten von Netzwerkzugriffsregeln für VCNs im benannten Compartment. |
|
Erteilt Zugriff auf das Lesen von Ankündigungen. |
|
Erteilt die Berechtigung zum Verwalten der integrierten Oracle Digital Assistant-Anwendung im benannten Compartment. |
|
Erteilt die Berechtigung zum Verwalten der integrierten Oracle Integration-Anwendung. Nicht erforderlich, wenn Ihre Umgebung diese Integration nicht verwendet. |
|
Erteilt die Berechtigung zum Verwalten der integrierten Visual Studio-Anwendung im benannten Compartment. |
|
Erteilt die Berechtigung zum Anzeigen von monatlichen Nutzungskennzahlenberichten. |
Die für diese Rolle enthaltenen Policys ermöglichen den Gruppenmitgliedern schreibgeschützten Zugriff, um die Details und den Status der Fusion Applications-Umgebungen und zugehörigen Anwendungen anzuzeigen. Der schreibgeschützte Benutzer der Umgebung kann keine Änderungen vornehmen.
Im Folgenden finden Sie eine Beispiel-Policy, in der alle für die Rolle erforderlichen Policy-Anweisungen angezeigt werden. Die nachfolgende Tabelle führt die Berechtigungen auf, die durch die einzelnen Anweisungen erteilt werden. Um einen Benutzer mit diesem Berechtigungsset zu erstellen, können Sie diese Policy kopieren und einfügen. Setzen Sie dabei Ihren Gruppennamen ein. Weitere Informationen finden Sie oben in der Aufgabe Policy erstellen.
Wenn Sie diese Policy erstellen, muss Ihnen Folgendes bekannt sein:
- Ihr Gruppenname
- Der Name der Identitätsdomain, in der sich die Gruppe befindet.
- Ihr Compartment-Name, in dem sich die Umgebung und andere Ressourcen befinden. Informationen zu Compartments finden Sie unter Ressourcen für Tätigkeitsrollen mit Compartments gruppieren. Beachten Sie, dass Sie die Ressourcen nach dem Erstellen der Policy in das Compartment verschieben können. Das Compartment muss jedoch vorhanden sein, bevor Sie die Policy schreiben.
Beispiel-Policy zum Kopieren und Einfügen:
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read oda-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read vbstudio-instances in tenancy
Define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
Endorse group '<identity-domain-name>'/'<your-group-name>' to read objects in tenancy usage-reportIn der folgenden Tabelle wird beschrieben, worauf jede Anweisung in der vorherigen Policy Zugriff erteilt:
| Policy-Anweisung | Wozu sie dient |
|---|---|
|
Erteilt die Berechtigung zum Anzeigen aller Aspekte der Fusion Applications-Umgebung und -Umgebungsfamilie. |
|
Erteilt Berechtigungen zum Lesen abonnementbezogener Informationen für den Zugriff auf Ihre Anwendungsabonnements in der Konsole. Erforderlich zum Anzeigen Ihrer Abonnements. Zugriff muss auf Mandantenebene erteilt werden. |
|
Erteilt Berechtigungen zum Anzeigen der Anwendungsinformationen auf der Homepage der Anwendung. |
|
Erteilt die Berechtigung zum Anzeigen von Metrikdiagrammen und Daten, die für Ihre FA-Ressourcen angezeigt werden. |
|
Erteilt Zugriff auf die Anzeige von Ankündigungen. |
|
Erteilt die Berechtigung zum Anzeigen der integrierten Oracle Digital Assistant-Anwendung. |
|
Erteilt die Berechtigung zum Anzeigen der integrierten Visual Studio-Anwendung. |
|
Erteilt die Berechtigung zum Anzeigen von monatlichen Nutzungskennzahlenberichten. |
Die für diese Rolle enthaltenen Policys ermöglichen es den Gruppenmitgliedern, Umgebungsaktualisierungen in einem angegebenen Compartment auszuführen. Gruppenmitglieder haben außerdem schreibgeschützten Zugriff auf Details der Fusion Applications-Umgebungen. Die Aktualisierung einer Umgebung ist die einzige Aktion, die diese Rolle ausführen darf.
Im Folgenden finden Sie eine Beispiel-Policy, in der alle für die Rolle erforderlichen Policy-Anweisungen angezeigt werden. Die nachfolgende Tabelle führt die Berechtigungen auf, die durch die einzelnen Anweisungen erteilt werden. Um einen Benutzer mit diesem Berechtigungsset zu erstellen, können Sie diese Policy kopieren und einfügen. Setzen Sie dabei Ihren Gruppennamen ein. Weitere Informationen finden Sie oben in der Aufgabe Policy erstellen.
Wenn Sie diese Policy erstellen, muss Ihnen Folgendes bekannt sein:
- Ihr Gruppenname.
- Der Name der Identitätsdomain, in der sich die Gruppe befindet.
- Der Name des Compartments, in dem sich die Umgebung befindet.
Beispiel-Policy zum Kopieren und Einfügen:
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read oda-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read vbstudio-instances in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-refresh-activity in compartment <your-compartment-name>In der folgenden Tabelle wird beschrieben, worauf jede Anweisung in der vorherigen Policy Zugriff erteilt:
| Policy-Anweisung | Wozu sie dient |
|---|---|
|
Erteilt die Berechtigung zum Anzeigen aller Aspekte der Fusion Applications-Umgebung und -Umgebungsfamilie. |
|
Erteilt Berechtigungen zum Lesen abonnementbezogener Informationen für den Zugriff auf Ihre Anwendungsabonnements in der Konsole. Erforderlich zum Anzeigen Ihrer Abonnements. Zugriff muss auf Mandantenebene erteilt werden. |
|
Erteilt Berechtigungen zum Anzeigen der Anwendungsinformationen auf der Homepage der Anwendung. |
|
Erteilt die Berechtigung zum Anzeigen von Metrikdiagrammen und Daten, die für Ihre FA-Ressourcen angezeigt werden. |
|
Erteilt Zugriff auf die Anzeige von Ankündigungen. |
|
Erteilt die Berechtigung zum Anzeigen der integrierten Oracle Digital Assistant-Anwendung. |
|
Erteilt die Berechtigung zum Anzeigen der integrierten Visual Studio-Anwendung. |
|
Erteilt die Berechtigung zum Ausführen einer Aktualisierung in Fusion Applications-Umgebungen im angegebenen Compartment. |
Der Umgebungssicherheitsadministrator verwaltet Sicherheitsfeatures für Fusion Applications-Umgebungen. Sicherheitsfeatures umfassen benutzerdefinierte Schlüssel und Oracle Managed Access (auch als Break Glass bezeichnet). Sie müssen Abonnements für diese Features erworben haben, bevor sie in Ihren Umgebungen aktiviert werden. Weitere Informationen finden Sie unter Vom Kunden verwaltete Schlüssel für Oracle Break Glass und Break Glass-Support für Umgebungen.
Der Umgebungssicherheitsadministrator kann folgende Aufgaben ausführen:
- Erstellt Vaults und Schlüssel im Vault-Service
- Schlüssel rotieren
- Schlüsselrotation für eine Fusion Applications-Umgebung prüfen
- Schlüssel deaktivieren und aktivieren
Im Folgenden finden Sie eine Beispiel-Policy, in der alle für diese Rolle erforderlichen Policy-Anweisungen angezeigt werden. Die nachfolgende Tabelle führt die Berechtigungen auf, die durch die einzelnen Anweisungen erteilt werden. Um einen Benutzer mit diesem Berechtigungsset zu erstellen, können Sie diese Policy kopieren und einfügen. Setzen Sie dabei Ihren Gruppennamen und den Compartment-Namen ein. Weitere Informationen finden Sie oben in der Aufgabe Policy erstellen.
Wenn Sie diese Policy erstellen, muss Ihnen Folgendes bekannt sein:
- Der Gruppenname
- Der Name der Identitätsdomain, in der sich die Gruppe befindet.
- Der Compartment-Name, in dem sich die Umgebung und andere Ressourcen befinden. Informationen zu Compartments finden Sie unter Ressourcen für Tätigkeitsrollen mit Compartments gruppieren. Beachten Sie, dass Sie die Ressourcen nach dem Erstellen der Policy in das Compartment verschieben können. Das Compartment muss jedoch vorhanden sein, bevor Sie die Policy schreiben.
Beispiel-Policy zum Kopieren und Einfügen:
Allow group '<identity-domain-name>'/'<your-group-name>' to manage vaults in tenancy where request.permission not in ('VAULT_DELETE', 'VAULT_MOVE')
Allow group '<identity-domain-name>'/'<your-group-name>' to manage keys in tenancy where request.permission not in ('KEY_DELETE', 'KEY_MOVE')
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-environment-group in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-environment in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage lockbox-family in tenancy
In der folgenden Tabelle wird beschrieben, worauf jede Anweisung in der vorherigen Policy Zugriff erteilt:
| Policy-Anweisung | Wozu sie dient |
|---|---|
|
Erteilt Berechtigungen zum Erstellen und Verwalten von Vaults im Mandanten. Erlaubt jedoch nicht das Löschen eines Vaults oder das Verschieben eines Vaults in ein anderes Compartment. |
|
Erteilt Berechtigungen zum Erstellen und Verwalten von Schlüsseln für Umgebungen im Mandanten. Erlaubt jedoch nicht das Löschen eines Schlüssels oder das Verschieben eines Schlüssels in ein anderes Compartment. |
|
Erteilt Berechtigungen zum Lesen der Details einer Fusion Applications-Umgebungsgruppe. |
|
Erteilt Berechtigungen zum Lesen der Details einer Fusion Applications-Umgebung. |
Benutzer löschen
Löschen Sie einen Benutzer, wenn er das Unternehmen verlässt. Weitere Informationen zum Verwalten von Benutzern in einer Identitätsdomain finden Sie unter Lebenszyklus zum Verwalten von Benutzern.
- Öffnen Sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Identität die Option Domains aus.
- Öffnen Sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Identität die Option Benutzer aus.
- Aktivieren Sie das Kontrollkästchen neben jedem Benutzeraccount, den Sie löschen möchten.
- Wählen Sie Weitere Aktionen, Löschen aus.
- Klicken Sie im Dialogfeld Benutzer löschen auf Benutzer löschen. Wenn der Benutzer noch Mitglied einer Gruppe ist, wird eine Warnmeldung angezeigt. Wählen Sie zur Bestätigung des Löschvorgangs Ja aus.
Benutzer aus einer Gruppe entfernen
Entfernen Sie einen Benutzer aus einer Gruppe, wenn er keinen Zugriff mehr auf die Ressourcen benötigt, auf die die Gruppe Zugriff gewährt.
- Öffnen Sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Identität die Option Domains aus.
- Öffnen Sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Identität die Option Benutzer aus.
- Wählen Sie den Benutzeraccount aus, den Sie ändern möchten.
- Wählen Sie Gruppen aus.
- Aktivieren Sie das Kontrollkästchen für jede Gruppe, die Sie aus dem Benutzeraccount entfernen möchten.
- Wählen Sie Benutzer aus Gruppe entfernen.
- Bestätigen Sie Ihre Auswahl.