Oracle Cloud Infrastructure-Dokumentation

In Cloud-Accounts Benutzer und Gruppen mit Identitätsdomains einrichten

Bei einem Cloud-Account in einer Region, die vor der Erstellung des Cloud-Accounts aktualisiert wird, um Identitätsdomains zu verwenden, werden Benutzer und Gruppen nur in Oracle Cloud Infrastructure (IAM) eingerichtet.

Hinweis

Dieser Abschnitt gilt nur für Cloud-Accounts, die Identitätsdomains verwenden. Wenn Sie sich nicht sicher sind, ob Ihr Cloud-Account Identitätsdomains verwendet, lesen Sie Benutzer und Gruppen einrichten.

Weitere Informationen zu Oracle Cloud Infrastructure IAM und der Dokumentation mit den benötigten Informationen finden Sie unter Dokumentation für Cloud-Identität in Überblick über IAM in der Oracle Cloud Infrastructure-Dokumentation.

Bei Identitätsdomains werden Rollen Oracle Cloud Infrastructure IAM-Gruppen innerhalb einer Domain zugewiesen, wie im folgenden Diagramm dargestellt.

Beschreibung von identity-domain-config.png folgt
Beschreibung der Abbildung identitäts-domain-config.png

Identitätsdomains erstellen

Erstellen einer Identitätsdomain, in der Benutzer und Gruppen konfiguriert werden sollen.

In einem Oracle Cloud Infrastructure-Mandanten (Cloud-Account) umfasst Ihre Umgebung ein Root Compartment (Standard) und möglicherweise mehrere andere Compartments, je nachdem, wie Ihre Umgebung konfiguriert ist. Informationen zum Erstellen von Compartments finden Sie unter Compartment für Visual Builder erstellen. Innerhalb jedes Compartments können Sie Benutzer und Gruppen erstellen. Beispiel für Best Practice:

  • Erstellen Sie im Root Compartment (Standard) eine Standarddomain nur für Administratoren.
  • Erstellen Sie in einem anderen Compartment (z.B. mit dem Namen Dev) eine Domain für Benutzer und Gruppen in einer Entwicklungsumgebung
  • Erstellen Sie in einem anderen Compartment (z.B. mit dem Namen Prod) eine Domain für Benutzer und Gruppen in einer Produktionsumgebung.

Sie können auch mehrere Domains in einem einzelnen Compartment erstellen.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Domains.
    Die Seite "Domains" wird angezeigt.
  2. Wenn noch nicht geschehen, wählen Sie das Compartment aus, in dem Sie die Domain erstellen möchten.
  3. Klicken Sie auf Domain erstellen.
  4. Geben Sie die erforderlichen Informationen auf der Seite "Domain erstellen" ein. Siehe Identitätsdomains erstellen in der Oracle Cloud Infrastructure-Dokumentation.

Oracle Cloud Infrastructure-Gruppe in einer Identitätsdomain erstellen

Erstellen Sie eine Gruppe, wie eine Instanzadministratorgruppe oder eine Gruppe mit Lesezugriff, in einer Identitätsdomain.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Domains.
    Die Seite "Domains" wird angezeigt.
  2. Wenn noch nicht geschehen, wählen Sie das Compartment aus, in dem sich die Domain befindet, in der Sie die Gruppe erstellen möchten.
  3. Klicken Sie in der Spalte Name auf die Domain, in der Sie die Gruppe zum Erstellen und Verwalten von Instanzen erstellen möchten.
    Die Seite mit dem Domainüberblick wird angezeigt.
  4. Klicken Sie auf Gruppen.
    Die Seite "Gruppen" für die Domain wird angezeigt.
  5. Klicken Sie auf Gruppe erstellen.
  6. Weisen Sie der Gruppe im Bildschirm "Gruppe erstellen" einen Namen zu (z.B. oci-visualbuilder-admins), und geben Sie eine Beschreibung an.
  7. Klicken Sie auf Erstellen.

Oracle Cloud Infrastructure-Policy in einer Identitätsdomain erstellen

erstellen Sie eine Policy, um Benutzern in einer Domaingruppe Berechtigungen für die Arbeit mit Oracle Cloud Infrastructure-Instanzen innerhalb eines bestimmten Mandanten oder Compartments zu erteilen.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Policys.
  2. Klicken Sie auf Policy erstellen.
  3. Geben Sie im Fenster "Policy erstellen" einen Namen (z.B. VisualBuilderGroupPolicy) und eine Beschreibung ein.
  4. Wählen Sie im Policy Builder die Option Manuellen Editor anzeigen aus, und geben Sie die erforderlichen Policy-Anweisungen ein.

    Syntax:

    • allow group domain-name/group_name to verb resource-type in compartment compartment-name

    • allow group domain-name/group_name to verb resource-type in tenancy

    Beispiel: allow group admin/oci-visualbuilder-admins to manage visualbuilder-instances in compartment VBCompartment

    Hinweis

    Wenn Sie den Domainnamen auslassen, wird die Standarddomain übernommen.

    Mit dieser Policy-Anweisung kann die Gruppe oci-visualbuilder-admins in der Domain admin die Instanz visualbuilder-instances in Compartment VBCompartment auf manage setzen.

    Sie können separate Gruppen für verschiedene Berechtigungen erstellen, z.B. eine Gruppe, die nur die Berechtigung read erhält.

    Möchten Sie mehr über Policys erfahren? Weitere Informationen finden Sie unter Funktionsweise von Policys und Policy-Referenz, oder klicken Sie im Fenster auf Hilfe.

    • Beim Definieren von Policy-Anweisungen können Sie Verben (wie in diesen Schritten) oder Berechtigungen (im Allgemeinen von Powerusern verwendet) angeben.

    • Die Verben read und manage werden am häufigsten für Visual Builder verwendet. Das Verb manage erteilt die meisten Berechtigungen (create, delete, edit, move und view).

      Verb Zugriff

      read

      Umfasst die Berechtigung zum Anzeigen von Oracle Visual Builder-Instanzen und deren Details.

      manage

      Enthält alle Berechtigungen für Oracle Visual Builder-Instanzen.
  5. Wenn Sie benutzerdefinierte Endpunkte verwenden möchten, fügen Sie mindestens eine zusätzliche Policy-Anweisung hinzu. Anderenfalls überspringen Sie diesen Schritt.
    Fügen Sie Policys hinzu, die das Compartment angeben, in dem sich Vaults und Secrets befinden, und ermöglichen Sie der Admin-Gruppe, Secrets darin zu verwalten. Siehe Benutzerdefinierten Endpunkt erstellen und konfigurieren.
    Beachten Sie, dass Sie die Ressource angeben müssen, die in resource-type zurückgegeben werden soll, wie unter Details zum Vault-Service beschrieben. Beachten Sie außerdem, dass für Oracle Visual Builder nur das Verb read, aber manage empfohlen wird, wenn dieselbe Gruppe auch die Secrets verwaltet (Upload-/Lebenszyklusvorgänge).

    Beispiele::

    • allow group admin/oci-visualbuilder-admins to manage secrets in compartment SecretsCompartment

    • allow group admin/oci-visualbuilder-admins to manage vaults in compartment SecretsCompartment

  6. Klicken Sie auf Erstellen.
    Die Policy-Anweisungen werden validiert, und Syntaxfehler werden angezeigt.

Benutzer in einer Identitätsdomain erstellt

Erstellen Sie einen Benutzer, der einer Gruppe in einer Oracle Cloud Infrastructure-Identitätsdomain zugewiesen werden soll.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Domains.
    Die Seite "Domains" wird angezeigt.
  2. Wenn noch nicht geschehen, wählen Sie das Compartment aus, in dem sich die Domain mit der Gruppe befindet, der Sie einen neuen Benutzer hinzufügen möchten.
  3. Klicken Sie in der Spalte Name auf die Domain für die Gruppe, in der Sie den Benutzer erstellen möchten.
    Die Seite mit dem Domainüberblick wird angezeigt.
  4. Klicken Sie auf Benutzer.
    Die Seite "Benutzer" für die Domain wird angezeigt.
  5. Klicken Sie auf Benutzer erstellen.
  6. Geben Sie im Bildschirm "Benutzer erstellen" den Vor- und Nachnamen des Benutzers und seinen Benutzernamen ein. Wählen Sie dann die Gruppen aus, denen der Benutzer zugewiesen werden soll.
  7. Klicken Sie auf Erstellen.
    Der neue Benutzer wird den ausgewählten Gruppen hinzugefügt und erhält die Berechtigungen, die der Gruppe durch ihre Policy-Anweisung zugewiesen sind.
  8. Auf der angezeigten Seite mit den Benutzerdetails können Sie die Benutzerinformationen nach Bedarf bearbeiten und das Kennwort des Benutzers zurücksetzen.
  9. Teilen Sie neuen Benutzern die Zugangsdaten für die Anmeldung bei ihrem Cloud-Account mit. Nach der Anmeldung werden sie aufgefordert, ein neues Kennwort einzugeben.

Visual Builder-Servicerollen Gruppen in einer Identitätsdomain zuweisen

Nachdem eine Visual Builder-Instanz erstellt wurde, weisen Sie den Benutzergruppen Oracle Visual Builder-Servicerollen zu, damit sie mit den Features der Instanz arbeiten können.

Hinweis

Es wird empfohlen, Oracle Visual Builder-Servicerollen ausgewählten Gruppen statt einzelnen Benutzern zuzuweisen.

Oracle Visual Builder stellt ein Standardset von Servicerollen bereit, das den Zugriff auf Features regelt. Je nach den Features von Oracle Visual Builder, die Ihre Organisation verwendet, können Sie Gruppen erstellen, die für die jeweilige erteilte Rolle benannt sind. Beispiel: VisualBuilderServiceAdministrators für die Oracle Visual Builder-Rolle ServiceAdministrator.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Domains.
    Die Seite "Domains" wird angezeigt.
  2. Wenn noch nicht geschehen, wählen Sie das Compartment aus, in dem sich die Domain mit der Gruppe befindet, der Sie Oracle Visual Builder-Rollen zuweisen möchten.
  3. Klicken Sie in der Spalte Name auf die Domain der Gruppe, der Sie Rollen zuweisen möchten.
    Die Seite mit dem Domainüberblick wird angezeigt.
  4. Klicken Sie im Navigationsbereich auf Oracle Cloud Services.
    Die Seite "Oracle Cloud Services" wird angezeigt.
  5. Klicken Sie in der Spalte Name auf die Oracle Visual Builder-Instanz, für die Sie Gruppenrollen zuweisen möchten.
    Die Seite mit den Instanzdetails wird angezeigt.
  6. Klicken Sie im Navigationsbereich auf Anwendungsrollen.
  7. Suchen Sie in der Liste Anwendungsrollen die Rollen, die Sie der Gruppe zuweisen möchten. Klicken Sie ganz rechts auf Aufgabenmenü, und wählen Sie Gruppen zuweisen aus.
  8. Wählen Sie auf der Seite "Gruppen zuweisen" die Gruppe aus, der die Servicerolle zugewiesen werden soll, und klicken Sie auf Zuweisen.