Oracle Cloud Infrastructure-Dokumentation

In Cloud-Accounts Benutzer und Gruppen ohne Identitätsdomains einrichten

Bei einem Cloud-Account in einer Region, die vor der Erstellung des Cloud-Accounts noch nicht für die Verwendung von Identitätsdomains aktualisiert wurde, werden Benutzer und Gruppen in Oracle Cloud Infrastructure Identity and Access Management (IAM) und Oracle Identity Cloud Service (IDCS) eingerichtet.

Hinweis

Dieser Abschnitt gilt nur für Cloud-Accounts, die keine Identitätsdomains verwenden. Wenn Sie sich nicht sicher sind, ob Ihr Cloud-Account Identitätsdomains verwendet, lesen Sie Benutzer und Gruppen einrichten.

Weitere Informationen zu Oracle Cloud Infrastructure IAM, IDCS und der Dokumentation mit den benötigten Informationen finden Sie unter Dokumentation zur Verwendung für Cloud-Identität in Überblick über Identity and Access Management in der Oracle Cloud Infrastructure-Dokumentation.

Ohne Identitätsdomains werden Rollen IDCS-Gruppen zugewiesen und dann über Föderation mit den Oracle Cloud Infrastructure-IAM-Gruppen verknüpft, wie im folgenden Diagramm dargestellt.


Beschreibung von idcs-iam-config.png folgt
Beschreibung der Abbildung idcs-iam-config.png

Oracle Visual Builder Federation

Wenn Ihr Cloud-Account keine Identitätsdomains verwendet, muss Oracle Cloud Infrastructure Identity and Access Management (IAM) für Ihren Mandanten mit Oracle Identity Cloud Service (IDCS) föderiert sein.

Benutzerföderation bezeichnet das Verbinden der Identität und der Attribute eines Benutzers über mehrere Identity-Management-Systeme hinweg. Föderation in Oracle Visual Builder bedeutet, dass Identitäten in IDCS und Oracle Cloud Infrastructure Identity and Access Management (IAM) verknüpft werden.

Oracle Visual Builder verwendet IDCS und IAM zur Verwaltung von Benutzern und Gruppen:

  • Erstellen und Verwalten von Benutzern in IDCS Die meisten Mandanten werden standardmäßig mit IDCS föderiert. Weitere Informationen zu Oracle Identity Cloud Service finden Sie unter Administratorrollen in Oracle Identity Cloud Service verwalten.

  • Verwalten Sie Berechtigungen mit Policys im IAM-Service von Oracle Cloud Infrastructure.

Hintergrundinformationen zur Föderation mit IDCS finden Sie unter Mit Identitätsprovidern föderiert und Mit Oracle Identity Cloud Service föderieren.

Ob Ihr Mandant föderiert werden muss, hängt von mehreren Faktoren ab, wie z.B. der Erstellung Ihres Cloud-Accounts und der Oracle Visual Builder-Version, die Sie durch Provisioning bereitstellen. Möglicherweise ist Ihr Mandant:

  • Bereits vollständig föderiert: Fast alle Accounts in Regionen, die noch nicht für die Verwendung von Identitätsdomains aktualisiert wurden, fallen in diese Kategorie. In diesem Fall führen Sie die Standardschritte zum Einrichten von Benutzern und Gruppen aus, wie in den Themen in diesem Abschnitt beschrieben.

  • Größtenteils föderiert: Wenn Sie einen älteren Account nutzen, der vor dem 21. Dezember 2018 erstellt wurde, müssen Sie möglicherweise einen letzten Schritt zur Föderation abschließen. In diesem Fall führen Sie die Schritte zum Einrichten von Benutzern und Gruppen aus, wie in den Themen in diesem Abschnitt beschrieben. Im Zuordnungsschritt (IDCS- und OCI-Gruppen zuweisen) werden Sie zur Eingabe von Informationen aufgefordert.

  • Föderation benötigen: Wenn Sie Oracle Visual Builder mit einer Regierungs-SKU in einem kommerziellen Data Centre konfigurieren, müssen Sie wahrscheinlich manuelle Föderationsschritte beim Einrichten von Benutzern und Gruppen ausführen. Siehe Mandanten manuell föderieren.

Sie sind nicht sicher, welche Föderation Sie nutzen? Siehe Ist mein Mandant zwischen Oracle Cloud Infrastructure IAM und Oracle Cloud Identity Service föderiert?

IDCS-Gruppen und -Benutzer erstellen

Um den Zugriff auf Visual Builder-Instanzen zu erteilen, weisen Sie den Benutzern eine Visual Builder-Rolle zu. Sie können die Rolle jedem IDCS-Benutzer einzeln erteilen oder eine IDCS-Benutzergruppe erstellen und der Gruppe die Rolle zuweisen. Sie können Oracle Identity Cloud Service-Gruppen erstellen und später Oracle Cloud Infrastructure Identity and Access Management-Identitäten zuordnen.

Bevor Sie Benutzer oder Gruppen erstellen, erfahren Sie mehr über die verfügbaren Oracle Visual Builder-Rollen und -Berechtigungen.
  1. Melden Sie sich beim OCI-Konsolenmodul an.
  2. Klicken Sie in der oberen linken Ecke auf Navigationsmenü Menüsymbol.
  3. Wählen Sie Identität und Sicherheit und dann unter Identität die Option Föderation aus.

    Der Bildschirm "Föderation" wird mit dem Identitätsprovider OracleIdentityCloudService angezeigt. Dies ist die Standardföderation zwischen dem Oracle Identity Cloud Service-Stripe und dem OCI-Mandanten in einem Cloud-Account.

  4. Klicken Sie auf OracleIdentityCloudService.
  5. Erstellen Sie IDCS-Benutzer und -Gruppen, und fügen Sie den Gruppen Benutzer hinzu.
  6. Klicken Sie auf den Link der Oracle Identity Cloud Service-Konsole.
  7. Klicken Sie oben links auf Navigationsmenü Menüsymbol, und wählen Sie Oracle Cloud Services aus.
  8. Klicken Sie auf den Visual Builder-Servicenamen.
  9. Klicken Sie auf die Registerkarte Anwendungsrollen.
  10. Klicken Sie auf das Symbol für Menüoptionen, das neben der Rolle angezeigt wird, und wählen Sie Benutzer zuweisen aus. Wenn Sie die Rolle einer Gruppe zuweisen möchten, wählen Sie Gruppen zuweisen aus.
  11. Aktivieren Sie das Kontrollkästchen neben dem Namen jedes Benutzers oder jeder Gruppe, den bzw. die Sie der Rolle hinzufügen möchten. Klicken Sie anschließend auf OK.

Oracle Cloud Infrastructure-Gruppen und -Policys erstellen

Damit andere Nicht-Admin-Benutzer Visual Builder-Instanzen erstellen und verwalten können, erstellen Sie eine OCI-Gruppe von Nicht-Admin-Benutzern, und weisen Sie ihnen die richtigen OCI-Policys zu.

Wenn Sie Mandantenadministrator sind und planen, Visual Builder-Instanzen selbst zu erstellen, überspringen Sie dieses Verfahren.
  1. Melden Sie sich beim OCI-Konsolenmodul an.
  2. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Gruppen.
  3. OCI-Gruppe erstellen.

    Weisen Sie der Gruppe auf dem Bildschirm "Gruppe erstellen" einen Namen zu, der sie von der IDCS-Gruppe unterscheidet (z.B. oci-visualbuilder-admins), und geben Sie eine Beschreibung an.

  4. Erstellen Sie eine Policy mit einer oder mehreren der folgenden Anweisungen:

    Tabelle 3-1: Syntax für Policy-Anweisungen für eine Gruppe

    Police Syntax
    Verwalten (Erstellen, Löschen, Bearbeiten, Verschieben und Anzeigen) der Visual Builder-Instanz in einem Compartment durch die Gruppe zulassen Allow group <group_name> to manage visualbuilder-instances in compartment <compartment-name>

    Beispiel:

    Allow group VBInstanceAdmins to manage visualbuilder-instances in compartment MyVBCompartment
    Verwalten (Erstellen, Löschen, Bearbeiten, Verschieben und Anzeigen) aller Visual Builder-Instanzen des Mandanten durch die Gruppe zulassen Allow group <group_name> to manage visualbuilder-instances in tenancy

    Beispiel:

    Allow group VBInstanceAdmins to manage visualbuilder-instances in tenancy
    Wenn Sie benutzerdefinierte Endpunkte verwenden möchten, erlauben Sie der Gruppe, auf Secrets und Vaults eines Compartments zuzugreifen.

    allow group <group-name> to manage secrets in compartment <secrets-compartment>

    allow group <group-name> to manage vaults in compartment <secrets-compartment>

    Beispiel:

    Allow group VBInstanceAdmins to manage secrets in compartment MySecretCompartment

    und

    Allow group VBInstanceAdmins to manage vaults in compartment MySecretCompartment

IDCS- und OCI-Gruppen zuordnen

Sie können die Instanzadministratorgruppe in IAM jetzt der zuvor erstellten IDCS-Gruppe zuordnen. Weitere Informationen finden Sie unter IDCS-Gruppe der OCI-Gruppe zuordnen.

  1. Klicken Sie auf Identität & Sicherheit, und öffnen Sie das OCI-Navigationsmenü. Klicken Sie unter Identität auf Föderation.
  2. Wählen Sie auf der Seite "Föderation" den Link OracleIdentityCloudService aus.
  3. Wählen Sie unter Ressourcen die Option Gruppenzuordnung aus.
  4. Klicken Sie auf Zuordnung bearbeiten.
  5. Klicken Sie im Dialogfeld "Identitätsprovider bearbeiten" unten auf Zuordnung hinzufügen.
    1. Wenn das folgende Dialogfeld angezeigt wird, in dem Sie zur Angabe von Zugangsdaten aufgefordert werden, geben Sie diese Informationen aus der IDCS-Anwendung COMPUTEBAREMETAL in Ihren IDCS-Account ein. Dieses Dialogfeld gibt an, dass Ihr Mandant größtenteils föderiert ist und nur dieser letzte Schritt erforderlich ist. Siehe Föderation. (Wenn Sie diese Informationen nicht finden können, erstellen Sie eine Serviceanfrage, um Hilfe von Oracle Support zu erhalten.)
      Beschreibung von complete-federation.png folgt
      Beschreibung der Abbildung complete-federation.png

    2. Klicken Sie auf Weiter.
  6. Wählen Sie die IDCS-Gruppe im Feld Identitätsprovidergruppe und die OCI-Gruppe im Feld OCI-Gruppe aus.
  7. Klicken Sie auf Weiterleiten.

Oracle Cloud Infrastructure-Benutzer für schreibgeschützten Zugriff hinzufügen und zuweisen

Nachdem Sie eine Gruppe mit Lesezugriff erstellt und eine zugehörige Policy hinzugefügt hat, fügen Sie Benutzer hinzu, die Sie schreibgeschützten Zugriff auf Oracle Visual Builder-Instanzen erteilen.

  1. OCI-Benutzer hinzufügen.
    1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Benutzer.
    2. Klicken Sie auf Benutzer erstellen.
    3. Füllen Sie die Felder aus, um den Benutzer zu identifizieren.
    4. Klicken Sie auf Erstellen.
  2. Weisen Sie den Benutzer der Gruppe mit Lesezugriff zu.
    1. Wählen Sie unter Identität die Option Gruppen aus.
    2. Wählen Sie die von Ihnen erstellte Gruppe mit Lesezugriff (z.B. oci-visualbuilder-viewers).
    3. Klicken Sie auf Benutzer zu Gruppe hinzufügen.
    4. Wählen Sie im Dialogfeld "Benutzer zu Gruppe hinzufügen" den von Ihnen erstellten Benutzer aus, und klicken Sie auf Hinzufügen.
  3. Erstellen Sie das Kennwort des Benutzers.
    1. Wählen Sie auf dem Bildschirm "Gruppendetails" in der Tabelle Gruppenmitglieder den hinzugefügten Benutzer.
    2. Klicken Sie auf Kennwort erstellen/zurücksetzen. Das Dialogfeld "Kennwort erstellen/zurücksetzen" wird mit einem Einmalkennwort angezeigt.
    3. Klicken Sie auf Kopieren und dann auf Schließen.
  4. Teilen Sie Benutzern mit Lesezugriff die für die Anmeldung erforderlichen Informationen mit.
    1. Kopieren Sie das Kennwort in eine E-Mail an den Benutzer.
    2. Weisen Sie den Benutzer an, sich mit den Feldern Benutzername und Kennwort anzumelden.
      Beschreibung von admin-oci-signin.png folgt
      Beschreibung der Abbildung admin-oci-signin.png

    3. Bei der Anmeldung wird der Benutzer zur Eingabe eines neuen Kennworts aufgefordert.
    4. Visual Builder-Instanzen anzeigen.
      Schreibgeschützte Benutzer können Visual Builder-Instanzen anzeigen, indem sie im Navigationsbereich die Option Visual Builder auswählen.

Gruppen Oracle Visual Builder-Servicerollen zuweisen

Nachdem eine Visual Builder-Instanz erstellt wurde, weisen Sie Visual Builder-Rollen Benutzergruppen in Oracle Visual Builder zu, damit sie mit den Features der Visual Builder-Instanz arbeiten können.

Hinweis

Es wird empfohlen, Visual Builder-Servicerollen ausgewählten Gruppen statt einzelnen Benutzern zuzuweisen.

Oracle Visual Builder stellt ein Standardset von Servicerollen bereit, das den Zugriff auf Features regelt. Je nach den von Ihrer Organisation verwendeten Visual Builder-Features können Sie Gruppen erstellen, die für die jeweilige erteilte Servicerolle benannt sind. Beispiel: VBServiceAdministrators für Administrationsberechtigungen.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Föderation.
  2. Wählen Sie im Fenster "Föderation" den Link OracleIdentityCloudService aus, um die Standardföderation der Oracle Identity Cloud Service-Identität anzuzeigen.
  3. Wählen Sie auf der Seite "Identitätsproviderdetails" unter Ressourcen die Option Gruppen aus.
  4. Wählen Sie in der Tabelle eine IDCS-Gruppe aus, um den Benutzern in der Gruppe Zugriff zu erteilen.
  5. Klicken Sie auf der Seite "Gruppendetails" auf Servicerollen verwalten.
  6. Suchen Sie auf der Seite "Servicerollen verwalten" den Visual Builder-Service (VISUALBUILDERAUTO). Klicken Sie ganz rechts auf Aufgabenmenü, und wählen Sie Instanzzugriff verwalten aus.
    Auf dem Bildschirm "Zugriff verwalten" werden Instanzen aufgeführt. Beachten Sie, dass Sie Rollen für jede Instanz einzeln zuweisen müssen.

    • Instanznamen haben folgendes Format: displayname-tenancyid-regionid

    • Instanz-URLs haben folgendes Format: https://displayname-tenancyid-regionid.visualbuilder.ocp.oraclecloud.com/ic/home/
  7. Wählen Sie unter "Zugriff verwalten" Instanzrollen für die Gruppe unter den angegebenen Instanzen aus.
  8. Klicken Sie auf Instanzeinstellungen speichern, und wählen Sie Servicerolleneinstellungen anwenden aus.