Hinweis:

• Dieses Tutorial erfordert Zugriff auf Oracle Cloud. Informationen zur Registrierung für einen kostenlosen Account finden Sie unter Erste Schritte mit Oracle Cloud Infrastructure Free Tier.
• Es verwendet Beispielwerte für Oracle Cloud Infrastructure-Zugangsdaten, -Mandanten und -Compartments. Ersetzen Sie diese Werte nach Abschluss der Übung durch Werte, die für Ihre Cloud-Umgebung spezifisch sind.

Funktionsmanagement für OCI IAM-Identitätsdomainbenutzer mit Tags und OCI Functions automatisieren

Einführung

Als Best Practice für die Sicherheit möchten Kunden die nicht verwendeten Funktionen von Oracle Cloud Infrastructure Identity and Access Management-(OCI IAM-)Benutzern deaktivieren. Dadurch können sie Angriffe durch nicht standardmäßige Zugangsdaten wie API-Schlüssel, Authentifizierungstoken usw. vermeiden.

Benutzerfunktionen werden von einem Administrator in den Benutzerdetails verwaltet. Jeder Benutzer kann seine Funktionen anzeigen, aber nur ein Administrator kann diese aktivieren oder deaktivieren. Für föderierte Benutzer sind:

• Konsolenkennwort
• API-Signaturschlüssel
• Authentifizierungstoken
• Simple Mail Transfer Protocol-(SMTP-)Zugangsdaten
• Kunden-Secret-Keys
• OAuth 2.0-Clientzugangsdaten

Hinweis: Die Konsolenkennwortfunktion ist für föderierte Benutzer nicht verfügbar. Föderierte Benutzer werden über ihren Identitätsprovider (IdP) bei der Konsole authentifiziert, wo ihre Anmeldekennwörter verwaltet werden.

Diese Funktionen werden standardmäßig aktiviert, wenn Sie neue Benutzer bereitstellen, sodass Benutzer diese Zugangsdaten für sich selbst erstellen können. Weitere Informationen zu diesen Benutzerzugangsdaten finden Sie unter Mit Benutzerzugangsdaten arbeiten.

Diese Lösung hilft bei der Automatisierung des Funktionsmanagements bestehender oder neuer Benutzer mithilfe von Tags. Diese Automatisierung hat zwei Modi:

• Massenmodus: Verarbeiten Sie alle Benutzer in einer Domain ohne Eingabe-Payload. Dies kann mit OCI Resource Scheduler oder manuell ausgeführt oder aufgerufen werden.

• Einzelner Modus: Führen Sie die Funktion automatisch für einen einzelnen Benutzer basierend auf den Erstellungsereignissen (vom Benutzer erstelltes Ereignis) aus, die mit der konfigurierten Ereignisregel generiert wurden.

Die Integration mit dem OCI Events Service stellt sicher, dass Funktionen für neue Benutzer basierend auf den Tags, die während der Erstellung bereitgestellt werden, ordnungsgemäß verwaltet werden.

Ziele

• Implementieren Sie eine native Lösung, um die Funktionen der OCI IAM-Identitätsdomainbenutzer basierend auf den Tags und der Funktion zu verwalten.

Voraussetzungen

• Zugriff auf einen OCI-Mandanten.

• Berechtigungen zum Verwalten von OCI Events Service-Regeln, Oracle Applications, OCI Functions und OCI Tagging.

Aufgabe 1: Erforderliche Policys und OCI IAM-Berechtigungen einrichten

Jede Komponente dieser Lösung muss Zugriff auf die OCI-Ressourcen haben, mit denen sie interagiert. Um diesem Tutorial zu folgen, sind die folgenden Berechtigungen erforderlich.

• Benutzer-Policys: Verwalten Sie OCI Event Service-Regeln und OCI Functions.

• Service-Policy: Erteilen Sie der Funktionsberechtigung die Berechtigung zum Verwalten der Benutzerfunktionen. Eine dynamische Gruppe ist erforderlich.

Weitere Informationen zu detaillierten Policys finden Sie unter Details zum Events-Service und Details zu Functions.

Aufgabe 2: Tag-Namespace, Tagschlüssel und Tagwerte definieren

Tags sind die Basis für diese Lösung. Daher müssen der erforderliche Tag-Namespace und der Tagschlüssel vorhanden sein.

Aufgabe 2.1: Tag-Namespace erstellen

1. Gehen Sie zur OCI-Konsole, navigieren Sie zu Governance und Administration, Mandantenmanagement, und klicken Sie auf Tag-Namespaces.

2. Es wird eine Liste der Tag-Namespaces in Ihrem aktuellen Compartment angezeigt. Klicken Sie auf Tag-Namespaces erstellen.

3. Geben Sie auf der Seite Tag-Namespace erstellen die folgenden Informationen ein.

   • Erstellen in Compartment: Wählen Sie das Compartment aus, in dem Sie die Namespace-Definition erstellen möchten.
   • Namespace-Definition: Geben Sie einen eindeutigen Namen für dieses Set von Tags ein. Der Name muss innerhalb Ihres Mandanten eindeutig sein. Bei Tag-Namespaces muss die Groß- und Kleinschreibung nicht beachtet werden. Sie können diesen Wert später nicht ändern. Geben Sie dabei keine vertraulichen Informationen ein.
   • Beschreibung: Geben Sie eine benutzerfreundliche Beschreibung ein. Sie können diesen Wert später ändern, wenn Sie möchten.

4. Klicken Sie auf Tag-Namespace erstellen.

Aufgabe 2.2: Tagschlüsseldefinition erstellen

1. Klicken Sie auf der Seite Tag-Namespaces auf den Tag-Namespace, dem Sie die Tagschlüsseldefinition hinzufügen möchten.

2. Klicken Sie auf der Seite Tag-Namespace-Details auf Tagschlüsseldefinition erstellen.

3. Geben Sie auf der Seite Tagschlüsseldefinition erstellen die folgenden Informationen ein.

   • Tagschlüssel: Geben Sie den Schlüssel ein. Der Wert muss einer der folgenden Werte sein: api_keys, console_password, auth_tokens, customer_secret_keys, db_credentials, o_auth2_client_credentials und smtp_credentials.
   • Beschreibung: Geben Sie eine benutzerfreundliche Beschreibung ein.
   • Kostenverfolgung: Wählen Sie diese Option aus, um dieses Tag für die Kostenverfolgung zu aktivieren. Sie können bis zu 10 Kostenverfolgungstags in Ihrem Mandanten verwenden.

4. Wählen Sie unter Tagwerttyp die Option Werteliste aus, und geben Sie unter Werte Ja ein, wenn diese Funktionen benötigt werden. Andernfalls werden sie für einen Benutzer deaktiviert.

5. Klicken Sie auf Tagschlüsseldefinition erstellen.

Aufgabe 2.3: Tags zum Benutzer hinzufügen

1. Fügen Sie dem vorhandenen Benutzer Tags hinzu.

   1. Gehen Sie zur OCI-Konsole, navigieren Sie zu Identität und Sicherheit, Identität, und klicken Sie auf Domains.

   2. Eine Liste der Domains im aktuellen Compartment wird angezeigt. Wählen Sie die Domain aus, und klicken Sie auf Benutzer. Suchen und klicken Sie auf den Benutzer, dem Sie das Tag hinzufügen möchten.

   3. Klicken Sie im Dropdown-Menü Weitere Aktionen auf Tags hinzufügen.

   4. Geben Sie auf der Seite Tags hinzufügen die folgenden Informationen ein.

      • Wählen Sie Tag-Namespace aus.
      • Wählen Sie Tagschlüssel aus.
      • Wählen Sie unter Wert einen Wert in der Liste aus.
      • Um ein weiteres Tag anzuwenden, klicken Sie auf Tag hinzufügen.

   5. Wenn Sie alle Tags hinzugefügt haben, klicken Sie auf Tags hinzufügen.

2. Zum neuen Benutzer hinzufügen. Fügen Sie Tags aus den Erweiterte Optionen anzeigen hinzu, während Sie einen neuen Benutzer erstellen.

Hinweis: Fügen Sie Tags für alle Funktionen hinzu, die aktiviert werden sollen.

Aufgabe 3: OCI Functions entwickeln und bereitstellen

Die Funktion liest die Tags der Benutzer und führt Aktionen für die Funktion aus. Dazu führt er die folgenden Vorgänge aus:

• Lesen Sie den Tag-Namespace (tag_namespace) aus der Funktionskonfiguration.

• Lesen Sie die zu verwaltenden Funktionen (manage_capability) aus der Funktionskonfiguration.

• Lesen Sie die Funktionsfeatureingabe (function_feature) aus der Funktionskonfiguration.

• Lesen Sie die Zieldomänen (domain_ocids) aus der Funktionskonfiguration (im Bulk-Modus).

• Prüfen Sie die Tags der Benutzer.

• Deaktivieren oder aktivieren Sie die Funktion für den Benutzer gemäß den fehlenden Tags.

Laden Sie den Funktionscode von GitHub herunter, passen Sie den Code an, und stellen Sie ihn bereit.

1. Laden Sie das Repository GitHub hier herunter: iam-user-capability-management.

2. Befolgen Sie die Anweisungen unter OCI-Funktion erstellen und bereitstellen.

Weitere Informationen finden Sie unter Funktionen erstellen.

Aufgabe 4: Zeitplan in OCI Resource Scheduler erstellen

1. Navigieren Sie zur OCI-Konsole, navigieren Sie zu Governance und Administration, Ressourcenplaner, und klicken Sie auf Zeitpläne.

2. Klicken Sie auf Create a Schedule.

3. Geben Sie unter Basisinformationen Planname, Planbeschreibung und Aktion ein, die als Start ausgeführt werden soll, und klicken Sie auf Weiter.

4. Wählen Sie unter Ressourcen das Funktions-Compartment und die Funktion aus, und klicken Sie auf Weiter.

5. Wählen Sie unter Zeitplan die Option Täglich aus, und konfigurieren Sie weitere Parameter entsprechend Ihrer Anforderung.

   • Wiederholen alle: Geben Sie an, wie oft der Zeitplan ausgeführt werden soll, oder wählen Sie über das Menü ein Intervall aus. Der Mindestwert ist 1. Der Höchstwert beträgt 99.

   • Startzeit: Geben Sie die Zeit in Stunden und Minuten im 24-Stunden-Format ein.

6. Klicken Sie auf Weiter, um die Informationen zu prüfen. Klicken Sie auf Plan erstellen.

Dadurch wird Ihre Funktion in einem geplanten Intervall ausgeführt. Weitere Informationen finden Sie unter Erstellen von Zeitplänen.

Aufgabe 5: Ereignisregel in OCI Events Service einrichten

1. Gehen Sie zur OCI-Konsole, navigieren Sie zu Observability and Management, Events-Service, und klicken Sie auf Regeln.

2. Wählen Sie das Root Compartment aus, und klicken Sie auf Regel erstellen.

3. Geben Sie Anzeigename und Beschreibung ein.

4. Geben Sie im Abschnitt Regelbedingungen die folgenden Informationen ein.

   • Bedingung: Wählen Sie Eventtyp aus.
   • Servicename: Wählen Sie Identität aus.
   • Ereignistyp: Wählen Sie Benutzer erstellen aus.

5. Geben Sie im Abschnitt Aktionen die folgenden Informationen ein.

   • Aktionstyp: Wählen Sie Functions aus.
   • Wählen Sie Funktionsanwendung und Funktion aus.

6. Klicken Sie auf Regel erstellen.

Dadurch wird die Funktion aufgerufen, wenn ein neuer Benutzer erstellt wird. Weitere Informationen finden Sie unter Ereignisregeln erstellen.

Hinweis: Das Aktivieren von Logs für Ereignisregeln und Funktionsanwendungen bietet zusätzliche Überwachungsfunktionen.

Verwandte Links

• Benachrichtigung über Zugangsdatenablauf für OCI Identity and Access Management aktivieren

• Automatische Rotation von Oracle Cloud Infrastructure Identity and Access Management-Zugangsdaten aktivieren

Danksagungen

• Autor - Bhanu Prakash Lohumi

Weitere Lernressourcen

Sehen Sie sich andere Übungen zu docs.oracle.com/learn an, oder greifen Sie im Oracle Learning YouTube-Channel auf weitere kostenlose Lerninhalte zu. Besuchen Sie außerdem education.oracle.com/learning-explorer, um Oracle Learning Explorer zu werden.

Die Produktdokumentation finden Sie im Oracle Help Center.

---

Titel und Copyright-Informationen

Automate OCI IAM Identity Domain Users Capability Management using Tags and OCI Functions

G24398-01

January 2025

Copyright ©2025,

Oracle und/oder verbundene Unternehmen.