Oracle Cloud Infrastructure-Dokumentation

Benutzer und Gruppen in Cloud-Accounts einrichten, die Identitätsdomains verwenden

Für einen Cloud-Account in einer Region, die vor der Erstellung des Cloud-Accounts zur Verwendung von Identitätsdomains aktualisiert wurde, werden Benutzer und Gruppen nur in Oracle Cloud Infrastructure (IAM) eingerichtet.

Hinweis

Dieser Abschnitt gilt nur für Cloud-Accounts, die Identitätsdomains verwenden. Wenn Sie nicht sicher sind, ob Ihr Cloud-Account Identitätsdomains verwendet, finden Sie weitere Informationen unter Informationen zum Einrichten von Benutzern und Gruppen.

Weitere Informationen zu Oracle Cloud Infrastructure IAM und der erforderlichen Dokumentation finden Sie unter Für Cloud Identity zu verwendende Dokumentation im Überblick über IAM in der Oracle Cloud Infrastructure-Dokumentation.

Mit Identitätsdomains werden Rollen innerhalb einer Domain Oracle Cloud Infrastructure IAM-Gruppen zugewiesen, wie im folgenden Diagramm dargestellt.

Beschreibung von identity-domain-config.png folgt
Beschreibung der Abbildung identity-domain-config.png

Identitätsdomain erstellen

Erstellen Sie eine Identitätsdomain, in der Benutzer und Gruppen konfiguriert werden sollen.

In einem Oracle Cloud Infrastructure-Mandanten (Cloud-Account) umfasst Ihre Umgebung ein Root Compartment (Standard) und möglicherweise mehrere andere Compartments, je nachdem, wie Ihre Umgebung konfiguriert ist. Informationen zum Erstellen von Compartments finden Sie unter Compartment für Visual Builder erstellen. Innerhalb jedes Compartments können Sie Benutzer und Gruppen erstellen. Beispiel für Best Practice:

  • Erstellen Sie im Root-Compartment (Standard) nur für Administratoren eine Standarddomain.
  • Erstellen Sie in einem anderen Compartment (z.B. mit dem Namen Dev) eine Domain für Benutzer und Gruppen in einer Entwicklungsumgebung
  • Erstellen Sie in einem anderen Compartment (z.B. Prod) eine Domain für Benutzer und Gruppen in einer Produktionsumgebung.

Sie können auch mehrere Domains in einem einzelnen Compartment erstellen.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Domains.
    Die Seite "Domains" wird angezeigt.
  2. Wenn noch nicht geschehen, wählen Sie das Compartment aus, in dem Sie die Domain erstellen möchten.
  3. Klicken Sie auf Domain erstellen.
  4. Geben Sie die erforderlichen Informationen auf der Seite "Domain erstellen" ein. Siehe Identitätsdomains erstellen in der Oracle Cloud Infrastructure-Dokumentation.

Oracle Cloud Infrastructure-Gruppe in einer Identitätsdomain erstellen

Erstellen Sie eine Gruppe, wie einen Instanzadministrator oder eine schreibgeschützte Gruppe, in einer Identitätsdomain.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Domains.
    Die Seite "Domains" wird angezeigt.
  2. Wenn noch nicht geschehen, wählen Sie das Compartment aus, in dem sich die Domain befindet, in der Sie die Gruppe erstellen möchten.
  3. Klicken Sie in der Spalte Name auf die Domain, in der Sie die Gruppe zum Erstellen und Verwalten von Instanzen erstellen möchten.
    Die Seite {\b Domain Overview} wird angezeigt.
  4. Klicken Sie auf Gruppen.
    Die Seite "Gruppen" für die Domain wird angezeigt.
  5. Klicken Sie auf Gruppe erstellen.
  6. Weisen Sie auf der Seite "Gruppe erstellen" der Gruppe einen Namen zu (z.B. oci-visualbuilder-admins), und geben Sie eine Beschreibung ein.
  7. Klicken Sie auf Erstellen.

Oracle Cloud Infrastructure-Policy in Identitätsdomains erstellen

Erstellen Sie eine Policy, um Benutzern in einer Domaingruppe Berechtigungen zum Arbeiten mit Oracle Cloud Infrastructure-Instanzen innerhalb eines angegebenen Mandanten oder Compartments zu erteilen.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Policys.
  2. Klicken Sie auf Policy erstellen.
  3. Geben Sie im Fenster "Policy erstellen" einen Namen (z.B. VisualBuilderGroupPolicy) und eine Beschreibung ein.
  4. Wählen Sie im Policy Builder die Option Manuellen Editor anzeigen aus, und geben Sie die erforderlichen Policy-Anweisungen ein.

    Syntax:

    • allow group domain-name/group_name to verb resource-type in compartment compartment-name

    • allow group domain-name/group_name to verb resource-type in tenancy

    Beispiel: allow group admin/oci-visualbuilder-admins to manage visualbuilder-instances in compartment VBCompartment

    Hinweis

    Wenn Sie den Domainnamen weglassen, wird die Standarddomain angenommen.

    Mit dieser Policy-Anweisung kann die Gruppe oci-visualbuilder-admins in der Domain admin die Instanz visualbuilder-instances in Compartment VBCompartment manage ausführen.

    Sie können separate Gruppen für verschiedene Berechtigungen erstellen, z.B. eine Gruppe mit der Berechtigung read.

    Weitere Informationen zu Policys Weitere Informationen finden Sie unter Arbeiten von Policys und Policy-Referenz, oder klicken Sie im Fenster auf Hilfe.

    • Wenn Sie Policy-Anweisungen definieren, können Sie Verben (wie in diesen Schritten verwendet) oder Berechtigungen (im Allgemeinen von Powerusern verwendet) angeben.

    • Die Verben read und manage gelten am besten für Visual Builder. Das Verb manage verfügt über die meisten Berechtigungen (create, delete, edit, move und view).

      Verb Zugriff

      read

      Umfasst die Berechtigung, Oracle Visual Builder-Instanzen und ihre Details anzuzeigen.

      manage

      Enthält alle Berechtigungen für Oracle Visual Builder-Instanzen.
  5. Wenn Sie benutzerdefinierte Endpunkte verwenden möchten, fügen Sie eine oder mehrere zusätzliche Policy-Anweisungen hinzu. Anderenfalls überspringen Sie diesen Schritt.
    Fügen Sie Policys hinzu, die das Compartment angeben, in dem sich Vaults und Secrets befinden, und ermöglichen Sie der Admin-Gruppe, Secrets darin zu verwalten. Siehe Benutzerdefinierten Endpunkt erstellen und konfigurieren.
    Beachten Sie, dass Sie die zurückzugebende Ressource in resource-type angeben müssen, wie unter Details zum Vault-Service beschrieben. Beachten Sie auch, dass Oracle Visual Builder nur das Verb read benötigt, aber manage wird empfohlen, wenn dieselbe Gruppe auch die Secrets verwaltet (Upload-/Lebenszyklusvorgänge).

    Beispiele:

    • allow group admin/oci-visualbuilder-admins to manage secrets in compartment SecretsCompartment

    • allow group admin/oci-visualbuilder-admins to manage vaults in compartment SecretsCompartment

  6. Klicken Sie auf Erstellen.
    Die Policy-Anweisungen werden validiert, und Syntaxfehler werden angezeigt.

Benutzer in einer Identitätsdomain erstellen

Erstellen Sie einen Benutzer, der einer Gruppe in einer Oracle Cloud Infrastructure-Identitätsdomain zugewiesen werden soll.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Domains.
    Die Seite "Domains" wird angezeigt.
  2. Wenn noch nicht geschehen, wählen Sie das Compartment aus, in dem sich die Domain mit der Gruppe befindet, der Sie einen neuen Benutzer hinzufügen möchten.
  3. Klicken Sie in der Spalte Name auf die Domain für die Gruppe, in der Sie den Benutzer erstellen möchten.
    Die Seite {\b Domain Overview} wird angezeigt.
  4. Klicken Sie auf Benutzer.
    Die Seite "Benutzer" für die Domain wird angezeigt.
  5. Klicken Sie auf Benutzer erstellen.
  6. Geben Sie im Bildschirm "Benutzer erstellen" den Vor- und Nachnamen des Benutzers und seinen Benutzernamen ein. Wählen Sie dann die Gruppen aus, denen der Benutzer zugewiesen werden soll.
  7. Klicken Sie auf Erstellen.
    Der neue Benutzer wird der/den ausgewählten Gruppe(n) hinzugefügt und verfügt über Berechtigungen, die der Gruppe durch ihre Policy-Anweisung zugewiesen wurden.
  8. Auf der angezeigten Seite mit den Benutzerdetails können Sie die Benutzerinformationen nach Bedarf bearbeiten und das Kennwort des Benutzers zurücksetzen.
  9. Teilen Sie neuen Benutzern die Zugangsdaten für die Anmeldung bei ihrem Cloud-Account mit. Nach der Anmeldung werden sie aufgefordert, ein neues Kennwort einzugeben.

Visual Builder-Servicerollen zu Gruppen in einer Identitätsdomain zuweisen

Nachdem eine Visual Builder-Instanz erstellt wurde, weisen Sie den Benutzergruppen Oracle Visual Builder-Servicerollen zu, damit sie mit den Features der Instanz arbeiten können.

Hinweis

Als Best Practice wird empfohlen, Oracle Visual Builder-Servicerollen ausgewählten Gruppen statt einzelnen Benutzern zuzuweisen.

Oracle Visual Builder stellt ein Standardset von Servicerollen bereit, das den Zugriff auf Features regelt. Je nach den Oracle Visual Builder-Features, die Ihre Organisation verwendet, können Sie auch Gruppen erstellen, die für die jeweilige Servicerolle benannt sind. Beispiel: VisualBuilderServiceAdministrators für die Oracle Visual Builder-Rolle ServiceAdministrator.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Domains.
    Die Seite "Domains" wird angezeigt.
  2. Wenn noch nicht geschehen, wählen Sie das Compartment aus, in dem sich die Domain mit der Gruppe befindet, der Sie Oracle Visual Builder-Rollen zuweisen möchten.
  3. Klicken Sie in der Spalte Name auf die Domain der Gruppe, der Sie Rollen zuweisen möchten.
    Die Seite {\b Domain Overview} wird angezeigt.
  4. Klicken Sie im Navigationsbereich auf Oracle Cloud Services.
    Die Seite "Oracle Cloud Services" wird angezeigt.
  5. Klicken Sie in der Spalte Name auf die Oracle Visual Builder-Instanz, für die Sie Gruppenrollen zuweisen möchten.
    Die Seite mit den Instanzdetails wird angezeigt.
  6. Klicken Sie im Navigationsbereich auf Anwendungsrollen.
  7. Suchen Sie in der Liste Anwendungsrollen die Rollen, die Sie der Gruppe zuweisen möchten. Klicken Sie ganz rechts auf Aufgabenmenü, und wählen Sie Gruppen zuweisen aus.
  8. Wählen Sie auf der Seite "Gruppen zuweisen" die Gruppe aus, der die Servicerolle zugewiesen werden soll, und klicken Sie auf Zuweisen.