Documentación de Oracle Cloud Infrastructure

Problemas conocidos de las instancias de Identity Cloud Service a IAM

Problemas conocidos para la migración de instancias de Identity Cloud Service a OCI IAM.

Valores de atributo inesperados después de la conversión

Una vez que las instancias de Identity Cloud Service se hayan convertido en dominios de identidad en OCI IAM, puede que algunos atributos de algunos objetos del dominio de identidad por defecto tengan un resultado inesperado. No verá nada diferente en la consola, pero si utiliza scripts y API, estos cambios pueden afectar a los resultados.

Los atributos afectados son:

  • meta.lastModified
  • meta.version (etiqueta)
  • idcsLastModifiedBy

Los cambios se aplican a los siguientes objetos cuando se han actualizado aproximadamente 3 semanas antes de convertir las instancias:

  • Usuarios
  • Grupos
  • Aplicaciones
  • Algunas credenciales (MFA TOTP)
  • Contraseña de usuario createdOn

A continuación, se muestran los detalles de los cambios de atributo.

Cuando el recurso se crea por primera vez como parte de la migración:

  • meta.lastModified, meta.created se define en la fecha y hora originales cuando se crea el recurso en IAM.
  • meta.version (etag) es el juego de etiquetas original cuando se creó el recurso en IAM.
  • idcsLastModifiedBy, idcsCreatedBy se define en el principal original que ha creado el recurso en IAM.

Si el recurso se actualiza antes de que finalice la migración:

  • meta.lastModified se define en la fecha y hora en la que se actualiza el recurso en Identity Cloud Service.
  • meta.version (etag) se define en función de la fecha y hora en que se actualiza el recurso en Identity Cloud Service.
  • idcsLastModifiedBy se define en la entidad de servicio de identidad que ha actualizado el recurso en Identity Cloud Service.

No debe hacer nada. Estos atributos se definen correctamente la próxima vez que se modifica el objeto.

El usuario de un segmento puede ver los datos de auditoría de otros segmentos

En instancias de Identity Cloud Service, un usuario de un segmento que esté autorizado a ver AuditEvents solo puede verlos desde ese segmento. La migración a OCI IAM crea un recurso de dominio para cada segmento del compartimento por defecto del arrendamiento de OCI correspondiente y, dado que la autorización para ver AuditEvents se basa en compartimentos, el usuario puede ver AuditEvents desde cada segmento del mismo compartimento.

Puede conservar el comportamiento que un usuario de un segmento solo puede ver AuditEvents en ese segmento creando un compartimento para cada segmento y, a continuación, moviendo el recurso de dominio que representa el segmento a su propio compartimento.

El administrador del arrendamiento de OCI tiene la visibilidad y los derechos adecuados para ver todos los recursos del dominio de identidad para ello.

  • Al mover un recurso de dominio a un compartimento, se mueven todos los usuarios de ese dominio a ese nuevo compartimento y se les da acceso de forma implícita a los recursos de ese compartimento.
  • Al mover un recurso de dominio a un compartimento, todos los eventos auditables que emite el dominio en la auditoría de OCI V2 son específicos de ese compartimento.
  • Solo un usuario con acceso a ese compartimento puede ver los eventos auditables emitidos por un dominio en ese compartimento.