Oracle Cloud Infrastructure - Dokumentation

Benutzer, Gruppen und Policys

Oracle Digital Assistant verwendet Oracle Cloud Infrastructure Identity and Access Management (IAM) als Basisservice für Authentifizierung und Autorisierung.

IAM gibt es in zwei Varianten:
  • IAM ohne Identitätsdomains. Dieses Aroma bietet Policy-basierten Zugriff. Der Mandantenadministrator für Ihre Organisation muss Compartments, Gruppen und Policys einrichten, die steuern, welche Benutzer wie auf welche Ressourcen zugreifen können. Einen Überblick über diesen Prozess finden Sie unter Mandanten einrichten.

    In Digital Assistant-Instanzen, die ohne Identitätsdomains bereitgestellt werden, steuern Policys, wer Skills und digitale Assistenten entwickeln, auf Insights-Daten zugreifen und welche APIs des Service aufrufen kann. Ausführliche Informationen zur Funktionsweise von Policys finden Sie unter Erste Schritte mit Policys. Spezifische Details zum Schreiben von Policys finden Sie in der Policy-Referenz.

  • IAM mit Identitätsdomains. Dieser Geschmack bietet neben dem richtlinienbasierten Zugriff auch die Möglichkeit eines rollenbasierten Zugriffs. Um rollenbasierten Zugriff zu ermöglichen, muss der Mandantenadministrator für Ihre Organisation Compartments, Gruppen und Rollen einrichten, die steuern, welche Benutzer wie auf welche Ressourcen zugreifen können. Der Prozess ähnelt dem, was unter Mandanten einrichten beschrieben wird. Sie verwenden jedoch vordefinierte Rollen, anstatt Policy-Anweisungen zu schreiben.

    Mit dem Feature "Identitätsdomain" können Sie den Zugriff auf Digital Assistant mit denselben Konzepten und Techniken verwalten, die in Oracle Identity Cloud Service (IDCS) verwendet wurden.

    Hinweis

    Möglicherweise ist das Feature "Identitätsdomains" für Ihren Mandanten noch nicht verfügbar. Um festzustellen, ob Ihr Mandant mit diesem Feature aktualisiert wurde, melden Sie sich bei Ihrem Cloud-Account an, öffnen das Navigationsmenü der Konsole (Symbol für Navigationsmenü), und wählen Sie Identität und Sicherheit aus. Wenn der Link Domains im Abschnitt Identität der Seite angezeigt wird, sind Identitätsdomains in Ihrem Mandanten verfügbar.
Hinweis

Wenn Ihre Digital Assistant-Instanz mit einem Abonnement für einen Fusion-basierten Oracle Cloud Applications-Service wie HCM Cloud oder Sales Cloud gekoppelt ist, finden Sie Informationen zum Einrichten von Berechtigungen für Benutzer unter Erste Schritte mit Oracle Digital Assistant für Fusion Applications.

Digital Assistant-Policys

Bevor Sie Ihre Benutzer in Gruppen organisieren, sollten Sie sich mit der Funktionsweise von Policys vertraut machen und entscheiden, welche Policys auf welche Benutzergruppen angewendet werden sollen.

Policys werden mit Anweisungen erstellt, die Ressourcentypen, Verben (zur Beschreibung der Zugriffsebene für diese Ressourcentypen) und Speicherorte (im Allgemeinen die Namen von Compartments) angeben.

Beispiel: Sie können eine Policy-Anweisung erstellen, die einer Gruppe namens ServiceDevelopers die Berechtigung zum Verwenden (use) des Ressourcentyps oda-design in einem Compartment namens MyDigitalAssistantTest erteilt.

Ressourcentypen

In dieser Tabelle werden die Ressourcentypen angezeigt, die für Oracle Digital Assistant verfügbar sind.

Ressourcentyp Beschreibung
oda-instance-resource Ermöglicht die Verwendung von REST-APIs für den Export von Insights-Daten, den Export von Unterhaltungslogs, die Verwaltung dynamischer Entitys und die Verwaltung von Resource Bundles. Sie können drei Berechtigungsebenen (Verben) anwenden. Weitere Einzelheiten darüber, welche Endpunkte in jeder Berechtigungsstufe abgedeckt sind (inspect, read und use), finden Sie unter REST-API für Oracle Digital Assistant, und klicken Sie in der linken Navigation auf der Seite auf Berechtigungen.

Hinweis: Für Serviceinstanz-APIs, mit denen Sie Skills und Channels erstellen können, benötigen Sie eine Policy mit dem Ressourcentyp oda-design.

oda-design Ermöglicht den Zugriff auf die Benutzeroberfläche für Skills, digitale Assistenten und Kanäle. Auf der Berechtigungsstufe read können Benutzer die erstellten Artefakte anzeigen. Auf der use-Ebene können Benutzer diese Artefakte aktiv entwickeln, testen und bereitstellen. Außerdem können Sie diese Artefakte mit den Serviceinstanz-APIs verwalten.
oda-insights Ermöglicht den Zugriff auf die Benutzeroberfläche für Insights zu Skills und digitalen Assistenten.
oda-instances Ermöglicht den Zugriff auf die Konsole für Oracle Digital Assistant-Instanzen. Auf der Berechtigungsstufe manage können Sie Instanzen erstellen und löschen.
oda-family Dieser Ressourcentyp ist eine Obermenge der Oracle Digital Assistant-Ressourcentypen. Für jedes Verb (inspect, read, use und manage), das Sie mit diesem Ressourcentyp in einer Policy-Definition verwenden, werden alle von diesem Verb abgedeckten Vorgänge eingeschlossen. Beispiel: Wenn Sie eine Policy mit diesem Ressourcentyp und dem Verb manage verwenden, haben die von dieser Policy abgedeckten Benutzer alle möglichen Oracle Digital Assistant-Berechtigungen.

Dieser Ressourcentyp umfasst auch die Ressourcentypen oda-private-endpoints und oda-private-endpoint-attachments, die sich auf das Feature Privater Endpunkt beziehen.

Verben

Sie verwenden Verben in Policy-Definitionen, um die Berechtigungsstufen festzulegen, die angegebene Benutzergruppen für die angegebenen Ressourcentypen erhalten. Beispiel: Sie verwenden das Verb read, um schreibgeschützten Zugriff zuzulassen.

Diese Verben wurden für das Set von Oracle Digital Assistant-Ressourcentypen definiert.

Verb Beschreibung
inspect Deckt in der Regel Vorgänge ab, die Inhalte einer Ressource auflisten. Dieses Verb stellt den eingeschränktesten Zugriff bereit.
read In Bezug auf die Benutzeroberfläche bedeutet dieses Verb im Allgemeinen, dass der Zugriff schreibgeschützt ist. In Bezug auf APIs gilt es im Allgemeinen für GET-Vorgänge.
use Wenn dieses Verb auf Ressourcen in der Benutzeroberfläche des Service angewendet wird, lässt es in der Regel das Entwickeln, Testen und Bereitstellen dieser Ressourcen zu. Auf API-Ebene lässt das Verb im Allgemeinen GET-, PUT-, POST-, PATCH- und DELETE-Vorgänge zu, mit Ausnahme von Vorgängen mit hoher Auswirkung (wie das Erstellen von Instanzen und Löschen von Daten).
manage Ermöglicht im Allgemeinen, dass der Benutzer alle Vorgänge eines Ressourcentyps ausführen kann, einschließlich der Vorgänge mit hoher Auswirkung, wie z.B. das Erstellen von Instanzen und Löschen von Daten.

Beispiele für Policys

In der folgenden Tabelle werden die Muster für IAM-Policys dargestellt und typische Beispiele für Oracle Digital Assistant bereitgestellt.

IAM-Policy Muster für Policy-Anweisung
Policy für Serviceadministratoren
  • Allow group <name_of_your_Service_Administrators_Group> to manage oda-family in compartment <your_digital_assistant_compartment>
Policy für Serviceentwickler
  • Allow group <name_of_your_Service_Developers_Group> to use oda-design in compartment <your_digital_assistant_compartment>
  • Allow group <name_of_your_Service_Developers_Group> to use oda-insights in compartment <your_digital_assistant_compartment>

Wenn diese Benutzer außerdem Details zu den Digital Assistant-Instanzen in der OCI-Konsole anzeigen können sollen, können Sie diese Anweisung hinzufügen:

  • Allow group <name_of_your_Service_Developers_Group> to read oda-instances in compartment <your_digital_assistant_compartment>
Policy für Business-Anwender des Service
  • Allow group <name_of_your_Service_Business_Users_Group> to read oda-design in compartment <your_digital_assistant_compartment>
  • Allow group <name_of_your_Service_Business_Users_Group> to use oda-insights in compartment <your_digital_assistant_compartment>

Wenn diese Benutzer außerdem Details zu den Digital Assistant-Instanzen in der OCI-Konsole anzeigen können sollen, können Sie diese Anweisung hinzufügen:

  • Allow group <name_of_your_Service_Business_Users_Group> to read oda-instances in compartment <your_digital_assistant_compartment>
Policy für Benutzer der Digital Assistant-API
  • Allow group <name_of_your_Digital_Assistant_API_Users_Group> to use oda-instance-resource in compartment <your_digital_assistant_compartment>
  • Allow group <name_of_your_Digital_Assistant_API_Users_Group> to use oda-design in compartment <your_digital_assistant_compartment>

Hinweis

Die erste Anweisung bietet Zugriff auf alle Endpunkte in der REST-API für Aufgaben wie das Exportieren von Insights, das Verwalten dynamischer Entitys und das Verwalten von Resource Bundles. Sie können Policys auch mit den Verben inspect und read für mehr Zugriffseinschränkungen erstellen. Informationen dazu, welche Endpunkte von welchen Verben abgedeckt werden, finden Sie in der Dokumentation für diese APIs.

Die zweite Anweisung bietet Zugriff auf die Serviceinstanz-APIs, mit denen Sie beispielsweise Skills und Kanäle erstellen können.

Compartment erstellen

Mit Compartments können Sie Ressourcen in Oracle Cloud partitionieren, sodass Sie den Zugriff auf diese Ressourcen besser kontrollieren können. Wenn Sie Policys schreiben, um Benutzern Zugriff auf eine Digital Assistant-Instanz zu gewähren, ist der Compartment-Name einer der Teile der Policy-Anweisung.

Hinweis

Sie können auch Policys schreiben, die Benutzern Zugriff auf die Ressourcen im gesamten Mandanten (tenant) erteilen. Das eignet sich jedoch am besten für sehr einfache Setups (z.B. wenn Sie nie mehr als eine Digital Assistant-Instanz verwenden möchten).

So erstellen Sie ein Compartment:

  1. Klicken Sie in der Infrastructure-Konsole oben links auf Symbol für Navigationsmenü, um das Navigationsmenü zu öffnen, wählen Sie Identität und Sicherheit aus, und klicken Sie dann auf Compartments.
  2. Klicken Sie auf Compartment erstellen.
  3. Füllen Sie die erforderlichen Werte aus, und klicken Sie auf Compartment erstellen.

Neue IAM-Benutzer erstellen

Wenn Benutzer noch keine Benutzeraccounts haben, erstellen Sie diese in IAM.

  1. Klicken Sie in der Infrastructure-Konsole oben links auf Symbol für Navigationsmenü, um das Navigationsmenü zu öffnen, wählen Sie Identität und Sicherheit aus, und klicken Sie dann auf Benutzer.

  2. Klicken Sie auf Benutzer erstellen.

  3. Geben Sie im Dialogfeld Benutzer erstellen die erforderlichen Details ein. Achten Sie dabei besonders auf Folgendes:

    • Der Wert unter Name kann eine E-Mail-Adresse oder ein eindeutiger Name sein. Mit diesem Namen meldet sich der Benutzer bei der Instanz an.
    • Der Wert unter E-Mail, der für die Kennwortwiederherstellung verwendet wird.

  4. Klicken Sie auf Erstellen.

  5. Nachdem der Benutzer erstellt wurde, wählen Sie den Benutzer aus, und klicken Sie auf Kennwort erstellen/zurücksetzen.

  6. Klicken Sie auf Kopieren.

  7. Fügen Sie das Kennwort an einer sicheren Stelle ein, und geben Sie es an den Benutzer weiter.

    Der Benutzer muss sich mit diesem Kennwort anmelden und es dann sofort ändern.

Gruppen erstellen

Gruppen sind Sammlungen von Benutzern, die in Policys referenziert werden können. Sie erstellen Gruppen, um die Verwaltung des Benutzerzugriffs zu vereinfachen.

Hier sehen Sie Beispiele für Benutzergruppen, die Sie einrichten können.

Benutzergruppe Beschreibung und Zweck
Serviceadministratoren Hat vollständigen, uneingeschränkten Zugriff zum Verwalten und Entwickeln mit der Oracle Digital Assistant-Serviceinstanz.
Serviceentwickler Hat Berechtigungen zum Entwickeln und Trainieren von digitalen Assistenten. Kenn jedoch keine veröffentlichten digitalen Assistenten oder Skills und keine Daten löschen. Diese Berechtigungen sind eine Teilmenge der Berechtigungen eines Serviceadministrators.
Business-Anwender des Service Größtenteils schreibgeschützter Zugriff. Kann den Tester für Skills und digitale Assistenten verwenden, Insights-Berichte anzeigen und das Trainingskorpus erweitern, indem Beispieläußerungen hinzugefügt werden (nachtrainieren). Diese Berechtigungen sind eine Teilmenge der Berechtigungen des Serviceentwicklers. Für Geschäftsbereichsbenutzer und -analysten gedacht.
Externe Servicebenutzer Hat Berechtigungen zum Aufrufen von Oracle Digital Assistant-REST-APIs. Es gibt drei verschiedene Berechtigungsstufen (die Verben inspect, read und use) für Oracle Digital Assistant-APIs. Daher sollten Sie eventuell eine separate Gruppe für zwei oder drei dieser Berechtigungsstufen erstellen.

So erstellen Sie eine Gruppe:

  1. Klicken Sie in der Infrastructure-Konsole oben links auf Symbol für Navigationsmenü, um das Navigationsmenü zu öffnen, wählen Sie Identität und Sicherheit aus, und klicken Sie dann auf Gruppen.

    Es wird eine Liste der Gruppen in Ihrem Mandanten angezeigt.

  2. Klicken Sie auf Gruppe erstellen.

  3. Geben Sie Folgendes ein:

    • Name: Ein eindeutiger Name für die Gruppe. Der Name muss in allen Gruppen in Ihrem Mandanten eindeutig sein. Sie können den Namen später nicht mehr ändern.
    • Beschreibung: Eine aussagekräftige Beschreibung. Sie können die Beschreibung später bei Bedarf ändern.
    • Tags: Optional können Sie Tags anwenden. Wenn Sie über Berechtigungen zum Erstellen einer Ressource verfügen, sind Sie auch berechtigt, Freiformtags auf diese Ressource anzuwenden. Um ein definiertes Tag anzuwenden, müssen Sie über die Berechtigungen verfügen, den Tag-Namespace zu verwenden. Weitere Informationen zu Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Sie Tags anwenden möchten, überspringen Sie diese Option (Sie können Tags auch später noch anwenden), oder wenden Sie sich an den Administrator.

  4. Klicken Sie auf Gruppe erstellen.

IAM-Benutzer zu einer Gruppe hinzufügen

Sie müssen jeden Benutzer einer Gruppe hinzufügen, um ihm Zugriff auf den Service zu erteilen.

  1. Klicken Sie in der Infrastructure-Konsole oben links auf Symbol für Navigationsmenü, um das Navigationsmenü zu öffnen, wählen Sie Identität und Sicherheit aus, und klicken Sie dann auf Gruppen.

    Es wird eine Liste der Gruppen in Ihrem Mandanten angezeigt.

  2. Suchen Sie die Gruppe in der Liste.

  3. Klicken Sie auf die Gruppe.

  4. Klicken Sie auf Benutzer zu Gruppe hinzufügen.

  5. Wählen Sie den Benutzer in der Dropdown-Liste aus, und klicken Sie auf Benutzer hinzufügen.

Policys erstellen

Sie definieren IAM-Policys für Ihre Benutzergruppen.

So erstellen Sie eine Richtlinie:

  1. Klicken Sie in der Infrastructure-Konsole oben links auf Symbol für Navigationsmenü, um das Navigationsmenü zu öffnen, wählen Sie Identität und Sicherheit aus, und klicken Sie dann auf Policys.

    Es wird eine Liste der Policys im aktuellen Compartment angezeigt.

  2. Wenn Sie die Policy einem anderen Compartment als dem von Ihnen angezeigten Compartment zuordnen möchten, wählen Sie das gewünschte Compartment in der Dropdown-Liste Compartment auf der linken Seite aus. Wer die Policy später ändern oder löschen kann, hängt davon ab, welchem Compartment Sie die Policy zuordnen (siehe Policy-Zuordnung).

  3. Klicken Sie auf Policy erstellen.

  4. Geben Sie Folgendes ein:

    • Name: Ein eindeutiger Name für die Policy. Der Name muss in allen Policys Ihres Mandanten eindeutig sein. Sie können den Namen später nicht mehr ändern.
    • Beschreibung: Eine aussagekräftige Beschreibung. Sie können die Beschreibung später bei Bedarf ändern.
    • Policy-Versionierung: Wählen Sie Policy aktuell halten aus, wenn die Policy bei zukünftigen Änderungen an den Servicedefinitionen von Verben und Ressourcen aktualisiert werden soll. Wenn Sie den Zugriff entsprechend den Definitionen einschränken möchten, die an einem bestimmten Datum aktuell waren, wählen Sie Versionsdatum verwenden aus, und geben Sie dieses Datum im Format JJJJ-MM-TT ein. Weitere Informationen finden Sie unter Policy-Sprachversion.
    • Anweisung: Eine Policy-Anweisung. Informationen zum korrekten Format finden Sie unter Policy-Grundlagen und Policy-Syntax. Wenn Sie mehrere Anweisungen hinzufügen möchten, klicken Sie auf +.
    • Tags: Optional können Sie Tags anwenden. Wenn Sie über Berechtigungen zum Erstellen einer Ressource verfügen, sind Sie auch berechtigt, Freiformtags auf diese Ressource anzuwenden. Um ein definiertes Tag anzuwenden, müssen Sie über die Berechtigungen verfügen, den Tag-Namespace zu verwenden. Weitere Informationen zu Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Sie Tags anwenden möchten, überspringen Sie diese Option (Sie können Tags auch später noch anwenden), oder wenden Sie sich an den Administrator.

  5. Klicken Sie auf Erstellen.

Die neue Policy wird in der Regel innerhalb von 10 Sekunden wirksam.

Ein Beispiel für die Definition der Oracle Digital Assistant-Policys finden Sie unter Beispiele für Policys.

Weitere Informationen zu IAM-Policys finden Sie unter Funktionsweise von Policys.

Setup und Policys für Oracle Functions

Wenn Sie Oracle Functions verwenden, um benutzerdefinierten Komponentencode für Skills zu hosten, müssen Sie Ihren Mandanten für die Funktionsentwicklung konfigurieren. Dazu gehören das Einrichten von Berechtigungen für die Entwickler und das Erteilen von Berechtigungen für Ihre Digital Assistant-Instanz zum Aufrufen der Funktionen, die diesen Code enthalten.

Allgemeine Schritte:

  1. Richten Sie Compartments für Functions und ein virtuelles Cloud-Netzwerk (VCN) ein.
  2. Richten Sie das VCN ein.
  3. Legen Sie Berechtigungen für den Netzwerkzugriff fest.
  4. Richten Sie Berechtigungen für Functions-Entwickler ein.
  5. Richten Sie eine dynamische Gruppe für Ihre Digital Assistant-Instanz (oder Instanzen) ein.
  6. Definieren Sie eine Policy, um der dynamischen Gruppe Zugriff auf die Funktionen zu erteilen.

In den folgenden Themen werden diese Schritte kurz vorgestellt. Wenn Sie weitere Hintergrundinformationen benötigen, finden Sie diese unter Mandanten für die Funktionsentwicklung konfigurieren.

Compartment für Functions und Netzwerkressourcen erstellen

Richten Sie im Mandanten separate Compartments für Funktionen und Netzwerkressourcen ein. Auf diese Weise können Sie jeweils spezifische Policys schreiben.

So erstellen Sie die Compartments:

  1. Klicken Sie in der Infrastructure-Konsole oben links auf Symbol für Navigationsmenü, um das Navigationsmenü zu öffnen, wählen Sie Identität und Sicherheit aus, und klicken Sie dann auf Compartments.

  2. Klicken Sie auf Compartment erstellen.
  3. Geben Sie die erforderlichen Werte für das Compartment für Functions ein, und klicken Sie auf Compartment erstellen.
  4. Klicken Sie erneut auf Compartment erstellen, und geben Sie die Werte für das Compartment für Netzwerkressourcen ein.

Virtuelles Cloud-Netzwerk (VCN) einrichten

Bevor Ihr Team Funktionen erstellen und bereitstellen kann, benötigen Sie ein virtuelles Cloud-Netzwerk (VCN), das die Subnetze für die Funktionen enthält.

Am einfachsten können Sie das VCN erstellen, indem Sie den Assistenten VCN mit Internetverbindung verwenden, der die erforderlichen Artefakte für Sie erstellt. Siehe VCN und Subnetze für Oracle Functions erstellen in der Oracle Cloud Infrastructure-Dokumentation.

Hinweis

Sie müssen das VCN in der Region erstellen, in der Sie die Funktionen bereitstellen möchten.

Netzwerkzugriffsberechtigungen einrichten

So richten Sie Berechtigungen für Benutzer ein, die Netzwerkressourcen verwalten:

  1. Falls noch nicht geschehen, erstellen Sie eine Gruppe für diese Benutzer.

    1. Klicken Sie in der Infrastructure-Konsole oben links auf Symbol für Navigationsmenü, um das Navigationsmenü zu öffnen, wählen Sie Identität und Sicherheit aus, und klicken Sie dann auf Gruppen.

    2. Klicken Sie auf Gruppe erstellen.

    3. Schließen Sie den Assistenten ab, und stellen Sie sicher, dass der Name für die Gruppe über alle Gruppen im Mandanten hinweg eindeutig ist. Sie können diese Angabe später nicht ändern.

    4. Klicken Sie auf Gruppe erstellen.

  2. Fügen Sie die jeweiligen Benutzer zur Gruppe hinzu.

    • Klicken Sie für jeden Benutzer auf Benutzer zu Gruppe hinzufügen, wählen Sie den Benutzer in der Dropdown-Liste aus, und klicken Sie dann auf Benutzer hinzufügen.

  3. Erstellen Sie die erforderliche Policy für die Gruppe:
    1. Wählen Sie im Navigationsmenü der Infrastructure-Konsole die Option Identität & Sicherheit aus, und klicken Sie dann auf Policys.

    2. Klicken Sie auf Policy erstellen.

    3. Schließen Sie den Assistenten ab, und achten Sie dabei besonders auf die folgenden Felder:

      • Name: Geben Sie einen eindeutigen Namen für die Policy ein. Der Name muss in allen Policys Ihres Mandanten eindeutig sein. Sie können diese Angabe später nicht ändern.
      • Anweisung: Fügen Sie die folgende Policy-Anweisung hinzu, in der Sie <group-name> und <network-resources-compartment-name> durch die Namen der entsprechenden Benutzergruppe bzw. des Compartments ersetzen:
        Allow group <group-name> to manage virtual-network-family in compartment <network-resources-compartment-name>
        Weitere Informationen zum Policy-Format finden Sie unter Policy-Grundlagen und Policy-Syntax.

Berechtigungen für Functions-Entwickler einrichten

So richten Sie Berechtigungen für die Funktionsentwickler ein:

  1. Falls noch nicht geschehen, erstellen Sie eine Gruppe für diese Benutzer.

    1. Klicken Sie in der Infrastructure-Konsole oben links auf Symbol für Navigationsmenü, um das Navigationsmenü zu öffnen, wählen Sie Identität und Sicherheit aus, und klicken Sie dann auf Gruppen.

    2. Klicken Sie auf Gruppe erstellen.

    3. Schließen Sie den Assistenten ab, und stellen Sie sicher, dass der Name für die Gruppe über alle Gruppen im Mandanten hinweg eindeutig ist. Sie können diese Angabe später nicht ändern.

    4. Klicken Sie auf Gruppe erstellen.

  2. Fügen Sie die jeweiligen Benutzer zur Gruppe hinzu.

    • Klicken Sie für jeden Benutzer auf Benutzer zu Gruppe hinzufügen, wählen Sie den Benutzer in der Dropdown-Liste aus, und klicken Sie dann auf Benutzer hinzufügen.

  3. Erstellen Sie die erforderlichen Policys für die Gruppe:
    1. Wählen Sie im Navigationsmenü der Infrastructure-Konsole die Option Identität & Sicherheit aus, und klicken Sie dann auf Policys.

    2. Klicken Sie auf Policy erstellen.

    3. Schließen Sie den Assistenten ab, und achten Sie dabei besonders auf die folgenden Felder:

      • Name: Geben Sie einen eindeutigen Namen für die Policy ein. Der Name muss in allen Policys Ihres Mandanten eindeutig sein. Sie können diese Angabe später nicht ändern.
      • Anweisung: Fügen Sie die folgenden Policy-Anweisungen hinzu (klicken Sie für jede Anweisung nach der ersten auf +). Ersetzen Sie dabei <group-name>, <network-resources-compartment-name> und <functions-compartment-name> durch die Namen der entsprechenden Benutzergruppe bzw. des Compartments:
        Allow group <group-name> to use virtual-network-family in compartment <network-resources-compartment-name>
Allow group <group-name> to manage functions-family in compartment <functions-compartment-name>
Allow group <group-name> to read metrics in compartment <functions-compartment-name>
Allow group <group-name> to manage logging-family in compartment <functions-compartment-name>
Allow group <group-name> to manage repos in tenancy
Allow group <group-name> to read objectstorage-namespaces in tenancy
      Hinweis

      Die erste Anweisung gilt für ein anderes Compartment als die nächsten drei Anweisungen. Stellen Sie sicher, dass die erste dieser Policy-Anweisungen das Compartment angibt, das Sie für Netzwerkressourcen eingerichtet haben, und die nächsten drei Anweisungen das Compartment, das Sie für die Funktionsentwicklung eingerichtet haben.

Dynamische Gruppe erstellen

Damit Digital Assistant in Oracle Functions geschriebene Funktionen aufrufen oder andere OCI-Services (wie Language) aufrufen kann, müssen Sie der Digital Assistant-Serviceinstanz selbst (im Gegensatz zu Benutzern der Instanz) Berechtigungen erteilen. Dazu müssen Sie zunächst eine dynamische Gruppe mit einer Regel erstellen, die dieser Instanz entspricht. Anschließend können Sie eine Policy auf die dynamische Gruppe anwenden, um ihr die gewünschten Berechtigungen zu erteilen.

Im Folgenden werden die Schritte zum Erstellen einer dynamischen Gruppe für Digital Assistant-Instanzen aufgeführt.

  1. Klicken Sie in der Infrastructure-Konsole oben links auf Symbol für Navigationsmenü, um das Navigationsmenü zu öffnen, wählen Sie Identität und Sicherheit aus, und klicken Sie dann auf Dynamische Gruppen.
  2. Klicken Sie auf Dynamische Gruppe erstellen, um das Dialogfeld "Dynamische Gruppe erstellen" zu öffnen.
  3. Geben Sie Werte für Name und Beschreibung ein.

    Der Name muss in allen Gruppen in Ihrem Mandanten eindeutig sein (dynamische Gruppen und Benutzergruppen). Sie können diese Angabe später nicht ändern.

  4. Fügen Sie im Abschnitt "Übereinstimmungsregeln" mindestens eine Regel hinzu, die mit Instanzen übereinstimmt, die auf die Komponente Zugriff haben sollen.

    Sie können Regeln für Instanzen hinzufügen oder für Compartments, die die Instanzen enthalten.

    Tipp:

    Klicken Sie auf den Link Regelbuilder, um Hilfe mit der Regelsyntax zu erhalten.

    Im Folgenden finden Sie Regeln, die Sie für Digital Assistant-Instanzen in einem bestimmten Compartment verwenden können. 

    
  resource.type = 'odainstance',
  resource.compartment.id = '<ocid-of-compartment-containing-DigitalAssistant-instance>'
  5. Klicken Sie auf Erstellen.
Beispiel: Dynamische Gruppe für eine einzelne Instanz

Im Folgenden werden die Schritte zum Erstellen einer dynamischen Gruppe für eine einzelne Digital Assistant-Instanz beschrieben.

  1. Rufen Sie die OCID Ihrer Instanz ab. Gehen Sie dazu wie folgt vor:
    1. Klicken Sie in der Infrastructure-Konsole oben links auf Symbol für Navigationsmenü, um das Navigationsmenü zu öffnen, und wählen Sie Analysen und KI und dann Digital Assistant aus (wird auf der Seite unter der Kategorie KI-Services angezeigt).
    2. Wählen Sie im Bereich Compartments ein Compartment aus.
    3. Wählen Sie die Instanz aus.
    4. Klicken Sie im Abschnitt "Instanzinformationen" der Seite auf den Link Kopieren für die OCID der Instanz.
  2. Wählen Sie im Navigationsmenü der Infrastructure-Konsole die Option Identität & Sicherheit aus, und klicken Sie dann auf Dynamische Gruppen.
  3. Klicken Sie auf Dynamische Gruppe erstellen, um das Dialogfeld "Dynamische Gruppe erstellen" zu öffnen.
  4. Geben Sie Werte für Name und Beschreibung ein.
  5. Klicken Sie auf den Link Regelbuilder.
  6. Wählen Sie im Dialogfeld "Übereinstimmungsregel erstellen" im Feld "Instanzen abgleichen mit" die Option Instanz-OCID aus.
  7. Fügen Sie im Feld "Wert" die gerade kopierte OCID ein.
  8. Klicken Sie auf Regel hinzufügen.
  9. Klicken Sie auf Erstellen.

Policy für den Zugriff auf Oracle Functions erstellen

Sobald Sie eine dynamische Gruppe für die Instanzen eingerichtet haben, die Funktionen in Oracle Functions aufrufen sollen, erstellen Sie eine Policy für diese dynamische Gruppe für den Zugriff auf die Funktionen:

  1. Klicken Sie in der Infrastructure-Konsole oben links auf Symbol für Navigationsmenü, um das Navigationsmenü zu öffnen, wählen Sie Identität und Sicherheit aus, und klicken Sie dann auf Policys.

    Es wird eine Liste der Policys im aktuellen Compartment angezeigt.

  2. Wählen Sie in der Liste der Compartments das Compartment aus, dem Sie die Policy zuordnen möchten. Dadurch wird kontrolliert, wer die Policy später ändern oder löschen kann (siehe Policy-Zuordnung).

  3. Klicken Sie auf Policy erstellen.

  4. Schließen Sie den Assistenten ab, und achten Sie dabei besonders auf die folgenden Felder:

    • Name: Geben Sie einen eindeutigen Namen für die Policy ein. Der Name muss in allen Policys Ihres Mandanten eindeutig sein. Sie können den Namen später nicht mehr ändern.
    • Anweisung: Geben Sie eine Policy-Anweisung mit dem folgenden Format ein:
      Allow dynamic-group <name_of_your_dynamic_group> to use fn-invocation in compartment <name_of_your_Functions_compartment>

Policys für OCI Language

Wenn Sie OCI Sprache als Übersetzungsservice in Digital Assistant konfigurieren, müssen Sie die entsprechenden Policys erstellen, um der Digital Assistant-Instanz die Berechtigung zur Verwendung zu erteilen.

Die erforderlichen Setupschritte und Policys (oder Policys), um den OCI Language-Service in Ihren Skills und digitalen Assistenten zu verwenden, hängen davon ab, wie Ihre Digital Assistant-Instanz eingerichtet wurde und ob der OCI Language-Service für Sie im selben OCI-Mandanten verfügbar ist.

OCI-Sprache im selben Mandanten einrichten

Wenn Sie Ihre Digital Assistant-Instanz über das OCI-Programm Universal Credit bereitgestellt haben, sind die folgenden allgemeinen Schritte erforderlich:

  1. Abonnieren Sie in der OCI-Konsole für Ihren Mandanten den OCI Language-Service.
  2. Optional können Sie eine dynamische Gruppe für die Digital Assistant-Instanz erstellen, die OCI Language aufruft. Siehe Dynamische Gruppe erstellen.
  3. Erstellen Sie eine Policy, mit der die Digital Assistant-Instanz den Language-Service verwenden kann.

    Wenn Sie keine dynamische Gruppe haben, hat die Policy die folgende Form:

    Allow any-user to use ai-service-language-family in compartment <name_of_your_compartment> where request.principal.id='<ocid_of_your_Digital_Assistant_instance>'
    Wenn Sie über eine dynamische Gruppe verfügen, hat die Policy die folgende Form:
    Allow dynamic-group <name_of_your_dynamic_group> to use ai-service-language-family in compartment <name_of_your_Language_compartment>

    Die Schritte zum Erstellen von Policys in der OCI-Konsole finden Sie unter Policys erstellen.

OCI-Sprache in einem anderen Mandanten einrichten

Wenn der OCI Language-Service nicht in demselben OCI-Mandanten wie Ihr Oracle Digital Assistant verfügbar ist, müssen Sie einen Universal Credit Model-(UCM-)Mandanten bereitstellen und die Mandanten so konfigurieren, dass sie miteinander arbeiten. Dies trifft auf folgende Fälle zu:

  • Sie haben ein Oracle Digital Assistant Platform for SaaS-Abonnement und verwenden eine Digital Assistant-Instanz in diesem OCI-Mandanten.

    In diesem Fall benötigen Sie Policys für den Oracle Digital Assistant-Mandanten und den Client-(UCM-)Mandanten.

  • Ihre Digital Assistant-Instanz ist mit einem Abonnement für einen Fusion-basierten Oracle Cloud Applications-Service gepaart.

    In diesem Fall benötigen Sie nur eine Policy für den Client-(UCM-)Mandanten.

In beiden Fällen muss die Policy auf dem Clientmandanten die Oracle Cloud-ID (OCID) eines UCM-basierten Mandanten nennen, den Sie durch Einreichen einer Service Request (SR) bei Oracle Support erhalten.

Im Folgenden werden die Schritte beschrieben, wenn Sie ein Oracle Digital Assistant Platform for SaaS-Abonnement besitzen und einen digitalen Assistenten in diesem OCI-Mandanten verwenden.

  1. Abonnieren Sie in Ihrem Universal Credit-Programmmandanten den OCI Language-Service.
  2. Fügen Sie im Mandanten, in dem Sie Ihr OCI Language-Abonnement haben, eine admit-Policy in folgendem Formular hinzu:
    define tenancy digital-assistant-tenancy as <tenancy-ocid> 
admit any-user of tenancy digital-assistant-tenancy to use ai-service-language-family in compartment <chosen-compartment> where request.principal.id = '<digital-assistant-instance-OCID>'
  3. Fügen Sie im OCI-Mandanten, in dem Sie Ihre Digital Assistant-Instanz haben, eine endorse-Policy in folgendem Formular hinzu:
    endorse any-user to use ai-service-language-family in any-tenancy where request.principal.type = '<ocid_of_your_Digital_Assistant_instance>'

    Die Schritte zum Erstellen von Policys in der OCI-Konsole finden Sie unter Policys erstellen.

Die folgenden Schritte sind erforderlich, wenn Ihre Digital Assistant-Instanz mit einem Abonnement für einen Fusion-basierten Oracle Cloud Applications-Service gepaart ist, Sie jedoch kein Oracle Digital Assistant Platform for SaaS-Abonnement haben:

  1. Holen Sie sich einen separaten Oracle Cloud-Mandanten über das Universal Credit-Programm von Oracle Cloud. Siehe Oracle Cloud-Abonnement erwerben.
  2. Abonnieren Sie in Ihrem Universal Credit-Programmmandanten den OCI Language-Service.
  3. Erstellen Sie eine Serviceanfrage (SR) an Oracle Support, um:
    • Erstellen Sie eine Policy für die von Oracle verwaltete Digital Assistant-Instanz, damit sie den OCI Language-Service verwenden kann.
    • Bestimmen Sie die OCID für die von Oracle verwaltete Digital Assistant-Instanz, die Sie in der Policy-Definition in Ihrem UCM-Mandanten verwenden können, um der Digital Assistant-Instanz die Berechtigung für den Zugriff auf den Language-Service zu erteilen.

    Geben Sie die folgenden Informationen in dem Service Request an:

    • Die OCID des Root Compartments des UCM-Mandanten, den Sie für den OCI Language-Service verwenden. (Oracle Support erstellt damit eine Policy für Ihre Digital Assistant-Instanz, damit sie den OCI Language-Service verwenden kann.)
    • Die URL der UI Ihrer Digital Assistant-Instanz. (Damit können Sie die erforderliche OCID in der Policy admit erhalten, die Sie im nächsten Schritt erstellen.)
  4. Erstellen Sie in dem Mandanten, in dem Sie OCI Language abonniert haben, eine Policy, damit der digitale Assistent OCI Language verwenden kann. In der Anweisung verwenden Sie die OCID, die Ihnen als Ergebnis Ihrer Serviceanfrage zugewiesen wurde. Die Anweisung hat die folgende Form.
    define tenancy digital-assistant-tenancy as <tenancy-ocid> 
admit any-user of tenancy digital-assistant-tenancy to use ai-service-language-family in compartment <chosen-compartment> where request.principal.id = '<digital-assistant-instance-OCID>'

    Die Schritte zum Erstellen von Policys in der OCI-Konsole finden Sie unter Policys erstellen.

Rollenbasierter Zugriff und Identitätsdomains

Wenn Sie beim Erstellen einer Digital Assistant-Instanz den rollenbasierten Zugriff für diese Instanz aktiviert haben, können Sie Oracle Cloud Infrastructure-IAM-Gruppen und -Benutzern innerhalb einer Identitätsdomain Rollen zuweisen.

Der Mandant, in dem Ihre Digital Assistant-Instanz bereitgestellt wird, enthält eine Standardidentitätsdomain im Root Compartment. Wenn der Mandant bereits vorhanden war, bevor das Feature "Identitätsdomains" aktiviert wurde, werden alle Benutzer und Gruppen, die zum Zeitpunkt der Aktivierung der Identitätsdomains im Mandanten vorhanden waren, in die Standardidentitätsdomain aufgenommen.

Sie können zusätzliche Identitätsdomains für Ihren Mandanten erstellen, entweder im Root Compartment oder in anderen Compartments. Beispiel: Sie haben folgende Möglichkeiten:

  • Erstellen Sie im Root Compartment (Standard) eine Standarddomain nur für Administratoren.
  • Erstellen Sie in einem anderen Compartment (z.B. mit dem Namen Dev) eine Domain für Benutzer und Gruppen in einer Entwicklungsumgebung
  • Erstellen Sie in einem anderen Compartment (z.B. mit dem Namen Prod) eine Domain für Benutzer und Gruppen in einer Produktionsumgebung.

Identitätsdomain erstellen

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Domains. Die Seite "Domains" wird angezeigt.
  2. Wenn noch nicht geschehen, wählen Sie das Compartment aus, in dem Sie die Domain erstellen möchten.
  3. Klicken Sie auf Domain erstellen.
  4. Geben Sie die erforderlichen Informationen auf der Seite "Domain erstellen" ein. Siehe Identitätsdomains erstellen in der Oracle Cloud Infrastructure-Dokumentation.

Benutzerrollen in IAM

Wenn Ihre Instanz von Digital Assistant für rollenbasierten Zugriff eingerichtet ist, erteilen Sie Ihren Teammitgliedern Zugriff auf die Instanz, indem Sie ihnen eine der folgenden Rollen zuweisen:

  • ServiceBusinessUser. Diese Rolle ist für Geschäftsbenutzer gedacht, um zu analysieren, wie die Skills und digitalen Assistenten verwendet werden. Benutzer mit dieser Rolle können folgende Aufgaben ausführen:
    • Zeigen Sie Skills, digitale Assistenten und Kanäle an, die bereits erstellt wurden.
    • Verwenden Sie Insights-Features für Skills und digitale Assistenten, einschließlich der Verwendung des Retrainers zum Hinzufügen von Äußerungen zu Entwurfsversionen von Skills.
  • ServiceDeveloper. Diese Rolle richtet sich an Entwickler, die Fähigkeiten und digitale Assistenten erweitern, aktualisieren und/oder entwickeln werden. Benutzer mit dieser Rolle können folgende Aktionen ausführen:
    • Entwickeln, testen, trainieren und implementieren Sie Fähigkeiten und digitale Assistenten und erstellen Sie Kanäle.
    • Verwenden Sie die Insights-Features für Skills und digitale Assistenten, einschließlich der Verwendung des Retrainers zum Hinzufügen von Äußerungen zu Entwurfsversionen von Skills.
  • ServiceAdministrator. Diese Rolle richtet sich an Administratoren und erteilt ihnen Berechtigungen zum Löschen von Daten und zum Löschen veröffentlichter Skills. Benutzer mit dieser Rolle können folgende Aktionen ausführen:
    • Greifen Sie auf die OCI-Konsole für Oracle Digital Assistant-Instanzen zu.
    • Entwickeln, testen, trainieren und implementieren Sie Fähigkeiten und digitale Assistenten und erstellen Sie Kanäle.
    • Verwenden Sie die Insights-Features für Skills und digitale Assistenten, einschließlich der Verwendung des Retrainers zum Hinzufügen von Äußerungen zu Entwurfsversionen von Skills.

Benutzer in einer Identitätsdomain erstellen

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Domains.
  2. Wenn noch nicht geschehen, wählen Sie das Compartment aus, in dem sich die Domain mit der Gruppe befindet, der Sie einen neuen Benutzer hinzufügen möchten.
  3. Klicken Sie in der Spalte Name auf die Domain für die Gruppe, in der Sie den Benutzer erstellen möchten.
  4. Klicken Sie auf Benutzer.
  5. Klicken Sie auf Benutzer erstellen.
  6. Geben Sie im Bildschirm "Benutzer erstellen" den Vor- und Nachnamen des Benutzers und seinen Benutzernamen ein. Wählen Sie dann die Gruppen aus, denen der Benutzer zugewiesen werden soll.
  7. Klicken Sie auf Erstellen.

    Der neue Benutzer wird den ausgewählten Gruppen hinzugefügt und erhält die Berechtigungen, die der Gruppe durch ihre Policy-Anweisung zugewiesen sind.

  8. Auf der angezeigten Seite mit den Benutzerdetails können Sie die Benutzerinformationen nach Bedarf bearbeiten und das Kennwort des Benutzers zurücksetzen.
  9. Teilen Sie neuen Benutzern die Zugangsdaten für die Anmeldung bei ihrem Cloud-Account mit. Nach der Anmeldung werden sie aufgefordert, ein neues Kennwort einzugeben.

Gruppe in einer Identitätsdomain erstellen

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Domains.
  2. Wenn noch nicht geschehen, wählen Sie das Compartment aus, in dem sich die Domain befindet, in der Sie die Gruppe erstellen möchten.
  3. Klicken Sie in die Spalte Name auf die Domain, in dem Sie die Gruppe zum Erstellen und Verwalten der Seite "Überblick" der instances.The-Domain erstellen möchten.
  4. Klicken Sie auf Gruppen. Die Seite "Gruppen" für die Domain wird angezeigt.
  5. Klicken Sie auf Gruppe erstellen.
  6. Weisen Sie auf dem Bildschirm "Gruppe erstellen" der Gruppe einen Namen zu (z.B. oci-integration-admins), und geben Sie eine Beschreibung ein.
  7. Klicken Sie auf Erstellen.

Rolle in einer Identitätsdomain zuweisen

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Domains.
  2. Wenn noch nicht geschehen, wählen Sie das Compartment aus, in dem sich die Domain befindet, die den Benutzer oder die Gruppe enthält, dem bzw. der Sie die Digital Assistant-Rollen zuweisen möchten.
  3. Klicken Sie in der Spalte Name auf die Domain des Benutzers oder der Gruppe, dem bzw. der Sie Rollen zuweisen möchten.
  4. Klicken Sie im Navigationsbereich auf Oracle Cloud Services.
  5. Klicken Sie in der Spalte Name auf die Digital Assistant-Instanz, für die Sie Gruppenrollen zuweisen möchten.
  6. Klicken Sie im Navigationsbereich auf Anwendungsrollen.
  7. Suchen Sie in der Liste Anwendungsrollen die Rollen, die Sie zuweisen möchten. Klicken Sie ganz rechts auf das Menüsymbol, und wählen Sie Gruppen zuweisen oder Benutzer zuweisen aus.
  8. Wählen Sie den Benutzer oder die Gruppe aus, dem bzw. der die Servicerolle zugewiesen werden soll, und klicken Sie auf Zuweisen.