Oracle Cloud Infrastructure-Dokumentation

Einrichten von Benutzern und Gruppen in Cloud-Accounts, die keine Identitätsdomains verwenden

Für einen Cloud-Account in einer Region, die noch nicht aktualisiert wurde, um Identitätsdomains vor der Erstellung des Cloud-Accounts zu verwenden, werden Benutzer und Gruppen in Oracle Cloud Infrastructure Identity and Access Management (IAM) und Oracle Identity Cloud Service (IDCS) eingerichtet.

Hinweis

Dieser Abschnitt gilt nur für Cloud-Accounts, die keine Identitätsdomains verwenden. Wenn Sie nicht sicher sind, ob Ihr Cloud-Account Identitätsdomains verwendet, finden Sie weitere Informationen unter Informationen zum Einrichten von Benutzern und Gruppen.

Weitere Informationen zu Oracle Cloud Infrastructure IAM, IDCS und der erforderlichen Dokumentation finden Sie in der Oracle Cloud Infrastructure-Dokumentation unter Dokumentation zur Verwendung für Cloud Identity im Überblick über Identity and Access Management.

Ohne Identitätsdomains werden IDCS-Gruppen Rollen zugewiesen und dann mit Federation mit Oracle Cloud Infrastructure IAM-Gruppen verknüpft, wie im folgenden Diagramm dargestellt.


Beschreibung von idcs-iam-config.png folgt
Beschreibung der Abbildung idcs-iam-config.png

Oracle Visual Builder-Föderation

Wenn Ihr Cloud-Account keine Identitätsdomains verwendet, muss Oracle Cloud Infrastructure Identity and Access Management (IAM) für Ihren Mandanten mit Oracle Identity Cloud Service (IDCS) föderiert sein.

Benutzerföderation bezeichnet das Verbinden der Identität und der Attribute eines Benutzers über mehrere Identitätsmanagementsysteme hinweg. Föderation in Oracle Visual Builder bedeutet, dass IDs in IDCS und Oracle Cloud Infrastructure Identity and Access Management (IAM) verknüpft werden.

Oracle Visual Builder verwendet IDCS und IAM zur Verwaltung von Benutzern und Gruppen:

  • Benutzer in IDCS erstellen und verwalten Standardmäßig werden die meisten Mandanten mit IDCS föderiert. Weitere Informationen zu Oracle Identity Cloud Service finden Sie unter Administratorrollen in Oracle Identity Cloud Service verwalten.

  • Verwalten Sie Berechtigungen mit Policys im IAM-Service von Oracle Cloud Infrastructure.

Hintergrundinformationen zur Föderation mit IDCS finden Sie unter Mit Identitätsprovidern föderieren und mit Oracle Identity Cloud Service föderieren.

Ob Ihr Mandanten föderiert werden muss, ist von mehreren Faktoren abhängig, z.B. dem Zeitpunkt der Erstellung Ihres Cloud-Accounts und der Oracle Visual Builder-Version, die Sie bereitstellen. Ihr Mandant kann folgende Status aufweisen:

  • Bereit vollständig föderiert: Fast alle Accounts in Regionen, die noch nicht für die Verwendung von Identitätsdomains aktualisiert wurden, fallen in diese Kategorie. Führen Sie die Standardschritte zum Einrichten von Benutzern und Gruppen aus, wie in den Themen in diesem Abschnitt beschrieben.

  • Am meisten föderiert: Wenn Sie über einen älteren Account verfügen, der vor dem 21. Dezember 2018 erstellt wurde, müssen Sie möglicherweise einen letzten Schritt zur Föderation abschließen. So richten Sie Benutzer und Gruppen ein, wie in den Themen in diesem Abschnitt beschrieben. Im Zuordnungsschritt (IDCS- und OCI-Gruppen zuordnen) werden Sie aufgefordert, Informationen einzugeben.

  • Föderation erforderlich: Wenn Sie Oracle Visual Builder mit einer Behörden-SKU in einem kommerziellen Data Center konfigurieren, müssen Sie wahrscheinlich manuelle Föderationsschritte beim Einrichten von Benutzern und Gruppen ausführen. Weitere Informationen finden Sie unter Mandanten manuell föderieren.

Sie sind nicht sicher, ob Ihr Föderationsstatus vorliegt? Siehe Ist mein Mandant zwischen Oracle Cloud Infrastructure IAM und Oracle Cloud Identity Service föderiert?

IDCS-Gruppen und -Benutzer erstellen

Um Zugriff auf Visual Builder-Instanzen zu erteilen, weisen Sie den Benutzern eine Visual Builder-Rolle zu. Sie können die Rolle jedem IDCS-Benutzer einzeln erteilen oder eine IDCS-Benutzergruppe erstellen und die Rolle der Gruppe zuweisen. Sie können Oracle Identity Cloud Service-Gruppen erstellen und später Oracle Cloud Infrastructure Identity and Access Management-Identitäten zuordnen.

Bevor Sie Benutzer oder Gruppen erstellen, erhalten Sie Informationen zu verfügbaren Oracle Visual Builder-Rollen und -Berechtigungen.
  1. Melden Sie sich bei der OCI-Konsole an.
  2. Klicken Sie in der oberen linken Ecke auf Navigationsmenü Symbol "Menü".
  3. Wählen Sie ID und Sicherheit aus. Wählen Sie dann unter ID die Option Föderation aus.

    Das Fenster "Föderation" wird angezeigt und enthält den Identitätsprovider OracleIdentityCloudService. Hierbei handelt es sich um die Standardföderation zwischen dem Oracle Identity Cloud Service-Stripe und dem OCI-Mandant in einem Cloud-Account.

  4. Klicken Sie auf OracleIdentityCloudService.
  5. Erstellen Sie IDCS-Benutzer und -Gruppen, und fügen Sie den Gruppen Benutzer hinzu.
  6. Klicken Sie auf den Link "Oracle Identity Cloud Service-Konsole".
  7. Klicken Sie in der oberen linken Ecke auf Navigationsmenü Symbol "Menü", und wählen Sie Oracle Cloud Services aus.
  8. Klicken Sie auf den Visual Builder-Servicenamen.
  9. Klicken Sie auf die Registerkarte Anwendungsrollen.
  10. Klicken Sie auf das Symbol für die Menüoptionen, das neben der Rolle angezeigt wird, und wählen Sie Benutzer zuweisen aus. Wenn Sie die Rolle einer Gruppe zuweisen möchten, wählen Sie Gruppen zuweisen aus.
  11. Aktivieren Sie das Kontrollkästchen neben dem Namen aller Benutzer oder Gruppen, die der Rolle hinzugefügt werden sollen, und klicken Sie dann auf OK.

Oracle Cloud Infrastructure-Gruppen und -Policys erstellen

Damit andere Nicht-Admin-Benutzer Visual Builder-Instanzen erstellen und verwalten können, erstellen Sie eine OCI-Gruppe von Nicht-Admin-Benutzern, und weisen Sie ihnen die richtigen OCI-Policys zu.

Wenn Sie ein Mandantenadministrator sind und Visual Builder-Instanzen selbst erstellen möchten, überspringen Sie diese Prozedur.
  1. Melden Sie sich bei der OCI-Konsole an.
  2. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Gruppen.
  3. Erstellen Sie eine OCI-Gruppe.

    Weisen Sie auf der Seite "Gruppe erstellen" der Gruppe einen Namen zu, der sie von der IDCS-Gruppe unterscheidet (z.B. oci-visualbuilder-admins), und geben Sie eine Beschreibung ein.

  4. Erstellen Sie eine Policy mit mindestens einer der folgenden Anweisungen:

    Tabelle 3-1 Syntax für Policy-Anweisungen für eine Gruppe

    Richtlinie Syntax
    Verwalten (Erstellen, Löschen, Bearbeiten, Verschieben und Anzeigen) der Visual Builder-Instanz in einem Compartment durch die Gruppe zulassen Allow group <group_name> to manage visualbuilder-instances in compartment <compartment-name>

    Beispiel:

    Allow group VBInstanceAdmins to manage visualbuilder-instances in compartment MyVBCompartment
    Verwalten (Erstellen, Löschen, Bearbeiten, Verschieben und Anzeigen) aller Visual Builder-Instanzen des Mandanten durch die Gruppe zulassen Allow group <group_name> to manage visualbuilder-instances in tenancy

    Beispiel:

    Allow group VBInstanceAdmins to manage visualbuilder-instances in tenancy
    Wenn Sie benutzerdefinierte Endpunkte verwenden möchten, gestatten Sie der Gruppe den Zugriff auf Secrets und Vaults eines Compartments.

    allow group <group-name> to manage secrets in compartment <secrets-compartment>

    allow group <group-name> to manage vaults in compartment <secrets-compartment>

    Beispiel:

    Allow group VBInstanceAdmins to manage secrets in compartment MySecretCompartment

    und

    Allow group VBInstanceAdmins to manage vaults in compartment MySecretCompartment

IDCS- und OCI-Gruppen zuordnen

Sie können die Instanzadministratorgruppe in IAM jetzt der zuvor erstellten IDCS-Gruppe zuordnen. Weitere Informationen finden Sie unter IDCS-Gruppe der OCI-Gruppe zuordnen.

  1. Öffnen Sie das OCI-Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Föderation.
  2. Wählen Sie auf der Seite "Föderation" den Link OracleIdentityCloudService aus.
  3. Wählen Sie unter Ressourcen die Option Gruppenzuordnung aus.
  4. Klicken Sie auf Zuordnung bearbeiten.
  5. Klicken Sie im Dialogfeld "Identitätsprovider bearbeiten" unten auf Zuordnung hinzufügen.
    1. Wenn das folgende Dialogfeld angezeigt wird, in dem Sie zur Angabe von Zugangsdaten aufgefordert werden, geben Sie diese Informationen aus der IDCS-Anwendung COMPUTEBAREMETAL in Ihren IDCS-Account ein. Dieses Dialogfeld gibt an, dass Ihr Mandant größtenteils föderiert ist und nur dieser letzte Schritt erforderlich ist. Siehe Föderation. (Wenn Sie diese Informationen nicht finden können, erstellen Sie eine Serviceanfrage, um Hilfe von Oracle Support zu erhalten.)
      Beschreibung von complete_federation.png folgt
      Beschreibung der Abbildung complete_federation.png

    2. Klicken Sie auf Weiter.
  6. Wählen Sie die IDCS-Gruppe im Feld ID-Providergruppe und die OCI-Gruppe im Feld OCI-Gruppe aus.
  7. Klicken Sie auf Weiterleiten.

Oracle Cloud Infrastructure-Benutzer für schreibgeschützten Zugriff hinzufügen und zuweisen

Fügen Sie nach dem Erstellen einer Gruppe mit Leseberechtigung und dem Hinzufügen der zugehörigen Policy Benutzer hinzu, denen Sie nur Lesezugriff auf Oracle Visual Builder-Instanzen erteilen möchten.

  1. Fügen Sie einen OCI-Benutzer hinzu.
    1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Benutzer.
    2. Klicken Sie auf Benutzer erstellen.
    3. Füllen Sie die Felder aus, um den Benutzer zu identifizieren.
    4. Klicken Sie auf Erstellen.
  2. Weisen Sie den Benutzer der schreibgeschützten Gruppe zu.
    1. Wählen Sie unter Identität die Option Gruppen aus.
    2. Wählen Sie die von Ihnen erstellte Gruppe mit Lesezugriff (z.B. oci-visualbuilder-viewers) aus.
    3. Klicken Sie auf Benutzer zu Gruppe hinzufügen.
    4. Wählen Sie im Dialogfeld "Benutzer zu Gruppe hinzufügen" den erstellten Benutzer aus, und klicken Sie auf Hinzufügen.
  3. Erstellen Sie das Kennwort des Benutzers.
    1. Wählen Sie auf dem Bildschirm "Gruppendetails" in der Tabelle Gruppenmitglieder den hinzugefügten Benutzer aus.
    2. Klicken Sie auf Kennwort erstellen/zurücksetzen. Das Dialogfeld "Kennwort erstellen/zurücksetzen" wird mit einem Einmalkennwort angezeigt.
    3. Klicken Sie auf Kopieren und dann auf Schließen.
  4. Teilen Sie Benutzern mit Lesezugriff die für die Anmeldung erforderlichen Informationen mit.
    1. Kopieren Sie das Kennwort in eine E-Mail an den Benutzer.
    2. Weisen Sie den schreibgeschützten Benutzer an, sich mit den Feldern Benutzername und Kennwort anzumelden.
      Beschreibung von admin-oci-signin.png folgt
      Beschreibung der Abbildung admin-oci-signin.png

    3. Nach der Anmeldung wird der Benutzer aufgefordert, ein neues Kennwort einzugeben.
    4. Zeigen Sie Visual Builder-Instanzen an.
      Benutzer mit Lesezugriff können Visual Builder-Instanzen anzeigen, indem sie im Navigationsbereich Visual Builder auswählen.

Gruppen Oracle Visual Builder-Servicerollen zuweisen

Nachdem eine Visual Builder-Instanz erstellt wurde, weisen Sie Gruppen von Benutzern in Oracle Visual Builder Visual Builder-Rollen zu, damit sie mit den Features der Visual Builder-Instanz arbeiten können.

Hinweis

Es wird empfohlen, Visual Builder-Servicerollen bestimmten Gruppen statt einzelnen Benutzern zuzuweisen.

Oracle Visual Builder stellt eine Standardgruppe von Servicerollen bereit, die den Zugriff auf Features regelt. Je nach den Visual Builder-Features, die Ihre Organisation verwendet, können Sie Gruppen erstellen, die für die Servicerolle benannt sind, die ihnen zugewiesen wurde. Beispiel: VBServiceAdministrators für Administrationsberechtigungen.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Föderation.
  2. Wählen Sie im Fenster "Föderation" den Link OracleIdentityCloudService aus, um die standardmäßige Oracle Identity Cloud Service-Identity Federation anzuzeigen.
  3. Wählen Sie auf der Seite "Identitätsproviderdetails" unter Ressourcen die Option Gruppen aus.
  4. Wählen Sie in der Tabelle eine IDCS-Gruppe aus, um den Benutzern in der Gruppe Zugriff zu erteilen.
  5. Klicken Sie auf der Seite "Gruppendetails" auf Servicerollen verwalten.
  6. Suchen Sie auf der Seite "Servicerollen verwalten" Ihren Visual Builder-Service (VISUALBUILDERAUTO). Klicken Sie ganz rechts auf Aufgabenmenü, und wählen Sie Instanzzugriff verwalten aus.
    Auf der Seite "Zugriff verwalten" werden Instanzen aufgeführt. Beachten Sie, dass Sie Rollen für die einzelnen Instanzen zuweisen müssen.

    • Instanznamen haben das folgende Format: displayname-tenancyid-regionid

    • Instanz-URLs haben das folgende Format: https://displayname-tenancyid-regionid.visualbuilder.ocp.oraclecloud.com/ic/home/
  7. Wählen Sie unter "Zugriff verwalten" Instanzrollen für die Gruppe unter den angegebenen Instanzen aus.
  8. Klicken Sie auf Instanzeinstellungen speichern, und wählen Sie Servicerolleneinstellungen anwenden aus.