Mandanten vorbereiten

Bevor ein Roving Edge Device installiert wird, muss Ihr Mandant so eingerichtet sein, dass er zur Verwaltung der Authentifizierung einen föderierten Identitätsprovider verwendet.

Wenn Ihr Mandant bereits für die Verwendung eines föderierten Identitätsproviders konfiguriert ist, einschließlich Identity Cloud Service von Oracle, sind Sie alle festgelegt. Teilen Sie Ihre Informationen zur föderierten Identität mit Ihrem Oracle-Mitarbeiter. Wenden Sie sich andernfalls an Ihren Oracle-Mitarbeiter, um einen föderierten Identitätsprovider einzurichten.

Sie können einen externen Identitätsprovider oder Oracle Identity Cloud Service verwenden. Der Typ des Identitätsproviders, den Sie verwenden können, hängt vom Typ des Mandanten ab, den Sie haben (ein Mandant mit IAM-Identitätsdomains oder ohne IAM-Identitätsdomains).

Weitere Informationen finden Sie in den folgenden Ressourcen:

• Mandantentyp bestimmen
• Mandanten mit Identitätsdomains – Mit Identitätsprovidern föderiert
• Mandanten ohne Identitätsdomains – Mit Identitätsprovidern föderieren

Informationen zum Sichern von IAM Federation finden Sie unter IAM-Föderation.

Um Ihren Oracle Cloud Infrastructure-(OCI-)Mandanten vorzubereiten, identifizieren Sie Benutzer, und erstellen Sie Gruppen für die Personen in Ihrer Organisation, die Roving Edge-Geräte verwalten.

Führen Sie diese Aufgabe aus, bevor ein Roving Edge Device installiert wird.

Informationen zum Hinzufügen von Benutzern und Gruppen finden Sie unter Oracle Identity Cloud Service-Benutzer und -Gruppen in der Oracle Cloud Infrastructure-Konsole verwalten.

1. Geben Sie den Mandantenadministrator an.

2. Erstellen Sie mindestens eine Gruppe mit Benutzern, die diese administrativen Aufgaben ausführen können:

   • Erstellen, aktualisieren und löschen Sie Roving Edge-Infrastrukturen.
   • Erstellen, aktualisieren und löschen Sie Roving Edge-Upgradezeitpläne.
   • Führen Sie den zertifikatbasierten Registrierungsprozess aus, mit dem die sichere Verbindung der Infrastruktur zu Ihrem Mandanten hergestellt wird. Es wird empfohlen, eine bestimmte Gruppe für diese administrative Aufgabe zu erstellen und nur Berechtigungen zu erteilen, die auf die Ausführung dieser Aufgabe beschränkt sind.

Die Gruppen sind in Policys enthalten, die Sie später definieren. Siehe Erforderliche Policys hinzufügen.

Wenn ein Roving Edge Device mit Oracle Cloud Infrastructure verknüpft ist, sind ein oder mehrere Compartments erforderlich.

Ein Compartment ist eine Sammlung aus zugehörigen Ressourcen. Compartments sind eine wichtige Komponente von Oracle Cloud Infrastructure für die Organisation und Isolation der Cloud-Ressourcen. Mit ihnen können Sie Ressourcen zur Kontrolle des Zugriffs (mit Policys) und zu Abrechnung zur Isolierung (Trennung der Ressourcen für ein Projekt oder einer Geschäftseinheit) voneinander trennen.

Für Roving Edge-Geräte ist mindestens ein Compartment für die folgenden Elemente erforderlich:

• Roving Edge Device-Verknüpfung mit Oracle Cloud Infrastructure.
• Das VCN, das Sie schließlich für die Verknüpfung mit Oracle Cloud Infrastructure erstellen.

Das Roving Edge-Gerät kann mit Ihrem Mandanten (Root Compartment), einem vorhandenen Compartment oder einem neuen Compartment verknüpft werden. Sie können mehrere Compartments verwenden. Beispiel: Sie können ein Compartment für die Infrastrukturverbindung und ein anderes für das VCN verwenden.

1. Erstellen oder wählen Sie ein vorhandenes Compartment basierend auf der Verwendung von Compartments aus, um den Zugriff auf Ressourcen zu kontrollieren.

   Wenn Sie ein neues Compartment erstellen möchten, melden Sie sich bei OCI an, und verwenden Sie die Oracle Cloud-Konsole, die OCI-CLI oder die OCI-API, um das Compartment in Ihrem Mandanten zu erstellen.

   Eine Einführung in Compartments und Anweisungen zum Verwalten von Compartments finden Sie unter Compartments verwalten.

Bestimmte IAM-Policys müssen konfiguriert werden, bevor Roving Edge mit Ihrem Mandanten verknüpft wird.

1. Konfigurieren Sie die folgenden Policys in Ihrem Mandanten.

   Informationen zum Arbeiten mit Policys finden Sie unter Policys verwalten.

   Wenn Ihr Mandant Identitätsdomains unterstützt, können Sie Policys erstellen, mit denen die dynamische Gruppe angegeben wird. Informationen dazu, ob Ihr Mandant über Identitätsdomains verfügt oder nicht, finden Sie unter Mandantstyp bestimmen.

   Hinweis
   
   

   Verschiedene Policy-Anweisungen können erstellt werden, um die gleiche Zugriffsebene auf Ressourcen zu erreichen. Die folgende Liste von Policys enthält Beispiele. Sie können das Beispiel verwenden oder Policy-Variationen erstellen, solange die Policys den Zugriff auf den richtigen Benutzer oder die richtige Gruppe für die bestimmte Ressource zulassen.

   Policy 1 - Ermöglicht Benutzern das Erstellen, Lesen, Aktualisieren und Löschen von Roving Edge- und Upgradeplänen.

   Wichtig
   
   Geben Sie eine IAM-Gruppe an, die nur die Benutzer enthält, die Berechtigungen zum Verwalten von Infrastrukturen und Upgradeplänen benötigen. Die Administration dieser Ressourcen ist für die Funktionalität von Roving Edge-Geräten von entscheidender Bedeutung und darf für nicht autorisierte Benutzer nicht zulässig sein.

   Policy-Beispiel für IAM mit oder ohne Identitätsdomains:

   allow group <group_name> to manage ccc-family in tenancy

   Policy 2 - Ermöglicht Roving Edge-Geräten die Verwendung Ihrer IAM-Daten für das Identitäts- und Zugriffsmanagement in Roving Edge-Ressourcen.

   Policy-Beispiel für IAM mit oder ohne Identitätsdomains:

   allow any-user to {COMPARTMENT_INSPECT, USER_INSPECT, GROUP_INSPECT, DYNAMIC_GROUP_INSPECT, POLICY_READ, TAG_NAMESPACE_INSPECT, USER_READ, TAG_DEFAULT_INSPECT, TAG_NAMESPACE_READ, DOMAIN_READ, DOMAIN_INSPECT } in tenancy where all { request.principal.id='<ccc-infrastructure_OCID>', request.principal.type='cccinfrastructure' }

   Policy-Beispiel für IAM mit Identitätsdomänen:

   allow dynamic-group <dynamic-group> to {COMPARTMENT_INSPECT, USER_INSPECT, GROUP_INSPECT, DYNAMIC_GROUP_INSPECT, POLICY_READ, TAG_NAMESPACE_INSPECT, USER_READ, TAG_DEFAULT_INSPECT, TAG_NAMESPACE_READ, DOMAIN_READ, DOMAIN_INSPECT} in tenancy

   Policy 3 - Ermöglicht dem Roving Edge-Service, Ihnen Benachrichtigungen über Upgrades zu senden.

   Die folgenden Beispiele zeigen Policys für IAM mit oder ohne Identitätsdomains:

   allow any-user to manage ons-topics in tenancy where request.principal.type ='cccinfrastructurenotifier'

   Die Policy kann geändert werden, um den Zugriff auf das Root Compartment einzuschränken, wie im folgenden Beispiel dargestellt:

   allow any-user to manage ons-topics in tenancy where all {request.principal.type='cccinfrastructurenotifier', target.compartment.name = 'root_compartment' }

   Wenn Sie den Zugriff auf ein Compartment einschränken, muss es sich um das Root Compartment (Mandant) handeln.

   Policy 4 – Ermöglicht einem Benutzer in der angegebenen Gruppe, den Registrierungsprozess zu initiieren, mit dem die Infrastruktur mit Ihrem OCI-Mandanten kommunizieren kann.

   Hinweis
   
   

   Geben Sie keine reguläre Admin-Gruppe an. Erstellen Sie stattdessen eine Gruppe mit einem Benutzer, dessen einziger Zweck es ist, den Registrierungsprozess auszuführen.

   Weitere Informationen finden Sie unter Roving Edge Device mit Ihrem OCI-Mandanten verknüpfen.

   Die folgenden Policy-Beispiele gelten für IAM mit oder ohne Identitätsdomains.

   In diesem Beispiel wird die Policy auf Mandantenebene festgelegt:

   allow group <group_name> to { CCC_CERTIFICATE_REGISTER } in tenancy

   In diesem Beispiel wird die Policy auf Compartment-Ebene festgelegt. Das Compartment muss das Compartment sein, das mit der Infrastruktur verknüpft ist:

   allow group <group_name> to { CCC_CERTIFICATE_REGISTER } in compartment '<compartment_name>'

Bevor ein Roving Edge Device mit Ihrem Mandanten verbunden ist, erstellen Sie ein VCN mit einem Subnetz im Mandanten.