Hinweis:

Identity and Access Management

Einführung

Mit Oracle Cloud Infrastructure Identity and Access Management (IAM) Service können Sie den Zugriff auf Ihre Cloud-Ressourcen kontrollieren. Sie steuern die Zugriffstypen einer Gruppe von Benutzern, auf die bestimmte Ressourcen zugreifen können. In dieser Übung erhalten Sie einen Überblick über die IAM-Servicekomponenten und ein Beispielszenario, mit dem Sie verstehen können, wie sie zusammenarbeiten.

Der Dozent führt diese Übung durch:

Video für Lab100 01 Identity Access and Management

Voraussetzungen

Bei der Konsole anmelden

In diesem Schritt melden Sie sich mit Ihren Zugangsdaten bei der Oracle Cloud Infrastructure-Konsole an.

  1. Gehen Sie zu cloud.oracle.com.

  2. Klicken Sie auf Bei Cloud anmelden.

  3. Geben Sie Ihren Cloud-Accountnamen ein, und klicken Sie auf Weiter. Dies ist der Name, den Sie beim Erstellen Ihres Accounts im vorherigen Abschnitt gewählt haben. Es ist NICHT Ihre E-Mail-Adresse. Wenn Sie den Namen vergessen haben, überprüfen Sie Ihre Bestätigungs-E-Mail.

  4. Öffnen Sie einen unterstützten Browser, und gehen Sie zu der Konsolen-URL: https://oracle.com.

  5. Klicken Sie im oberen rechten Abschnitt des Browserfensters auf das Porträtsymbol und dann auf den Link Bei Cloud anmelden.

  6. Geben Sie den Namen Ihres Mandanten ein (geben Sie Ihren Accountnamen und nicht Ihren Benutzernamen ein), und klicken Sie dann auf die Schaltfläche Weiter.

  7. Oracle Cloud Infrastructure ist in Identity Cloud Services integriert. Hier wird ein Bildschirm zur Validierung Ihres Identitätsproviders angezeigt. Geben Sie Ihren Benutzernamen und Ihr Kennwort ein. Klicken Sie auf Anmelden.

  8. Wenn Sie sich bei der Konsole anmelden, wird das Oracle Cloud-Dashboard angezeigt.

    Dashboard-Ansicht

Compartments erstellen

Ein Compartment ist eine Sammlung von Cloud-Assets, wie Compute-Instanzen, Load Balancer, Datenbanken usw. Standardmäßig wurde ein Root Compartment für Sie erstellt, als Sie Ihren Mandanten erstellt haben (d.h. wenn Sie sich für den Testaccount registriert haben). Sie können alles im Root Compartment erstellen. Oracle empfiehlt aber, dass Sie Sub-Compartments erstellen, um Ihre Ressourcen effizienter zu verwalten.

  1. Wählen Sie im Menü Identität und Compartments aus. Klicken Sie auf die blaue Schaltfläche Compartment erstellen, um ein Sub-Compartment zu erstellen.

    Erstellen Sie ein Compartment

  2. Benennen Sie das Compartment Demo, und geben Sie eine kurze Beschreibung an. Stellen Sie sicher, dass das Root Compartment als übergeordnetes Compartment angezeigt wird. Klicken Sie anschließend auf die blaue Schaltfläche Compartment erstellen.

  3. Sie haben gerade ein Demo-Compartment für Ihre gesamte Arbeit erstellt.

Benutzer, Gruppen und Policys zur Kontrolle des Zugriffs verwalten

Die Berechtigungen eines Benutzers für den Zugriff auf Services stammen von den Gruppen, zu denen er gehört. Die Berechtigungen für eine Gruppe werden durch Policys definiert. Policys definieren, welche Aktionen Mitglieder einer Gruppe ausführen können und in welchen Compartments diese ausgeführt werden können. Benutzer können basierend auf den Policys, die für die Gruppen, bei denen sie Mitglied sind, auf Services zugreifen und Vorgänge ausführen.

Wir erstellen einen Benutzer, eine Gruppe und eine Sicherheits-Policy, um das Konzept zu verstehen.

  1. Melden Sie sich bei der Konsole an, klicken Sie im Menü auf Identität, und wählen Sie Gruppen.

    Gruppen erstellen

  2. Klicken Sie auf Gruppe erstellen.

  3. Geben Sie im Dialogfeld Gruppe erstellen Folgendes ein:

    • Name: Geben Sie einen eindeutigen Namen für die Gruppe ein, z.B. "oci-group", Beachten Sie, dass der Gruppenname keine Leerzeichen enthalten darf.
    • Beschreibung: Geben Sie eine Beschreibung ein (Beispiel: "Neue Gruppe für OCI-Benutzer").
    • Klicken Sie auf Erstellen.

  4. Klicken Sie auf Ihre neue Gruppe, um sie anzuzeigen. Ihre neue Gruppe wird angezeigt.

    Neue Gruppe wird angezeigt

  5. Erstellen Sie eine Sicherheits-Policy, die Ihrer Gruppe Berechtigungen im zugewiesenen Compartment erteilt. Beispiel: Erstellen Sie eine Policy, die Mitgliedern oder Gruppe "oci-group" die Berechtigung zum Compartment Demo erteilt:

    1. Klicken Sie im Menü auf Identität und dann auf Policys.

    2. Wählen Sie auf der linken Seite das Compartment Demo aus.

      Compartment ***Demo** auswählen

      Hinweis: Sie müssen möglicherweise auf das Pluszeichen neben dem Haupt-Compartment-Namen klicken, um das Sub-Compartment Demo anzeigen zu können. Aktualisieren Sie den Browser, wenn das Sub-Compartment weiterhin nicht angezeigt wird. Manchmal cacht Ihr Browser die Compartment-Informationen und aktualisiert den internen Cache nicht.

    3. Nachdem Sie das Compartment Demo ausgewählt haben, klicken Sie auf Policy erstellen.

    4. Geben Sie einen eindeutigen Namen für die Policy ein (z.B. "Policy-for-oci-group"), Beachten Sie, dass der Name keine Leerzeichen enthalten darf.

    5. Geben Sie eine Beschreibung ein (Beispiel: "Policy für OCI-Gruppe").

    6. Geben Sie folgende Anweisung ein:

      Allow group oci-group to manage all-resources in compartment Demo

    7. Klicken Sie auf Erstellen.

  6. Erstellen Sie einen neuen Benutzer.

    1. Klicken Sie im Menü auf Identität und dann auf Benutzer.

    2. Klicken Sie auf Benutzer erstellen.

    3. Geben Sie im Dialogfeld Neuer Benutzer Folgendes ein:

      • Name: Geben Sie einen eindeutigen Namen oder eine E-Mail-Adresse für den neuen Benutzer ein. Dieser Wert ist der Anmeldename des Benutzers für die Konsole und muss für alle Benutzer in Ihrem Mandanten eindeutig sein.
      • Beschreibung: Geben Sie eine Beschreibung ein. Beispiel: Neuer OCI-Benutzer.
      • E-Mail: Sie können eine persönliche E-Mail-Adresse verwenden, auf die Sie Zugriff haben (GMail, Yahoo usw.).

      Neues Benutzerformular

    4. Klicken Sie auf Erstellen.

  7. Legen Sie ein temporäres Kennwort für den neu erstellten Benutzer fest.

    1. Klicken Sie in der Benutzerliste auf den von Ihnen erstellten Benutzer, um die zugehörigen Details anzuzeigen.

    2. Klicken Sie auf Kennwort erstellen/ zurücksetzen.

      Kennwort zurücksetzen

    3. Klicken Sie im Dialogfeld auf Kennwort erstellen/ zurücksetzen.

    4. Das neue einmalige Kennwort wird angezeigt.

      Geben Sie ein Kennwort ein

    5. Klicken Sie auf den Link Kopieren und dann auf Schließen. Stellen Sie sicher, dass Sie dieses Kennwort in Ihr Notizbuch kopieren.

    6. Klicken Sie im Benutzermenü auf Abmelden, und melden Sie sich komplett vom Admin-Benutzeraccount ab.

  8. Melden Sie sich als neuer Benutzer mit einem anderen Webbrowser oder Inkognito-Fenster an.

    1. Öffnen Sie einen unterstützten Browser, und rufen Sie die Konsolen-URL auf: https://oracle.com.

    2. Klicken Sie im oberen rechten Abschnitt des Browserfensters auf das Porträtsymbol und dann auf den Link Bei Cloud anmelden.

      Hauptanmeldeseite

    3. Geben Sie den Namen Ihres Mandanten ein (verwenden Sie Ihren Accountnamen und nicht Ihren Benutzernamen), und klicken Sie dann auf die Schaltfläche Weiter.

    4. Diesmal melden Sie sich mit dem von Ihnen erstellten Benutzer über das Feld mit lokalen Zugangsdaten an. Beachten Sie, dass der von Ihnen erstellte Benutzer nicht zu Identity Cloud Services gehört.

    5. Geben Sie das kopierte Kennwort ein.

      Geben Sie Ihr Kennwort ein

      Hinweis: Da dies die erste Anmeldung als Benutzer ist, werden Sie aufgefordert, das temporäre Kennwort zu ändern, wie im Screenshot dargestellt.

    6. Setzen Sie das neue Kennwort auf Welc0me2*bmcs. Klicken Sie auf Neues Kennwort speichern.

  9. Benutzerberechtigungen prüfen

    1. Gehen Sie zum Menü, klicken Sie auf Compute und dann auf Instanzen.

    2. Versuchen Sie, ein beliebiges Compartment im linken Menü auszuwählen.

    3. Die Meldung "Sie haben keine Berechtigung zum Anzeigen dieser Ressourcen" wird angezeigt. Dies ist normal, da Sie den Benutzer nicht zu der Gruppe hinzugefügt haben, der Sie die Policy zugeordnet haben.

      Fehlermeldung kann ignoriert werden

    4. Melden Sie sich bei der Konsole ab.

  10. Fügen Sie den Benutzer einer Gruppe hinzu.

    1. Melden Sie sich mit dem Konto admin an.

    2. Klicken Sie in der Liste Benutzer auf den Benutzeraccount, den Sie gerade erstellt haben (z.B. user01), um zur Seite mit den Benutzerdetails zu gelangen.

    3. Klicken Sie links im Menü Ressourcen auf Gruppen.

    4. Klicken Sie auf Benutzer zu Gruppe hinzufügen.

    5. Wählen Sie aus der Dropdown-Liste Gruppen die von Ihnen erstellte oci-group aus.

    6. Klicken Sie auf Hinzufügen.

    7. Melden Sie sich bei der Oracle Cloud-Website ab.

  11. Prüfen Sie Benutzerberechtigungen, wenn ein Benutzer zu einer bestimmten Gruppe gehört.

    1. Melden Sie sich mit dem von Ihnen erstellten lokalen user01-Account an. Denken Sie daran, das letzte Kennwort zu verwenden, das Sie diesem Benutzer zugewiesen haben (Welc0me2*bmcs).

    2. Gehen Sie zum Menü, klicken Sie auf Compute und dann auf Instanzen.

    3. Wählen Sie das Compartment Demo aus der Liste der Compartments auf der linken Seite aus.

      ***Demo*** auswählen

    4. Es gibt keine Nachricht zu Berechtigungen, und Sie können neue Instanzen erstellen.

    5. Gehen Sie zu Menü, klicken Sie auf Identität, und wählen Sie Gruppen.

    6. Die Meldung "Autorisierung war nicht erfolgreich, oder angeforderte Ressource wurde nicht gefunden" wird angezeigt. Dies wird erwartet, da Ihr Benutzer keine Berechtigung zum Ändern von Gruppen hat. Hinweis: Sie können stattdessen die Meldung "Ein unerwarteter Fehler ist aufgetreten" abrufen. Das ist auch in Ordnung.

    7. Abmelden.

Danksagungen

Weitere Lernressourcen

Sehen Sie sich andere Übungen zu docs.oracle.com/learn an, oder greifen Sie auf weitere Inhalte für kostenloses Lernen im Oracle Learning YouTube-Kanal zu. Außerdem besuchen Sie education.oracle.com/learning-explorer, um Oracle Learning Explorer zu werden.

Produktdokumentation finden Sie im Oracle Help Center.