Documentación de Oracle Cloud Infrastructure

Incidencias conocidas de las instancias de Identity Cloud Service en IAM

Problemas conocidos para la migración de instancias de Identity Cloud Service a OCI IAM.

Valores de atributo inesperados después de la conversión

Una vez que las instancias de Identity Cloud Service se han convertido en dominios de identidad en OCI IAM, puede que encuentre que algunos atributos de algunos objetos del dominio de identidad por defecto tienen un resultado inesperado. No verá nada diferente en la consola, pero si utiliza scripts y API, estos cambios pueden afectar a los resultados.

Los atributos afectados son:

  • meta.lastModified
  • meta.version (etapa)
  • idcsLastModifiedBy

Los cambios se aplican a los siguientes objetos cuando se han actualizado aproximadamente 3 semanas antes de la conversión de las instancias:

  • Usuarios
  • Grupos
  • Aplicaciones
  • Algunas credenciales (MFA TOTP)
  • Contraseña de usuario createdOn

A continuación se muestran detalles de los cambios de atributo.

Cuando el recurso se crea por primera vez como parte de la migración:

  • meta.lastModified, meta.created se define en la fecha y hora originales cuando se crea el recurso en IAM.
  • meta.version (etag) es el etag original definido cuando se creó el recurso en IAM.
  • idcsLastModifiedBy, idcsCreatedBy se define en el principal original que ha creado el recurso en IAM.

Si el recurso se actualiza antes de que finalice la migración:

  • meta.lastModified se define en la fecha y hora en que se actualiza el recurso en Identity Cloud Service.
  • meta.version (etag) se define en función de la fecha y hora en que se actualiza el recurso en Identity Cloud Service.
  • idcsLastModifiedBy se define en la entidad de servicio de identidad que actualizó el recurso en Identity Cloud Service.

No debe hacer nada. Estos atributos se definen correctamente la próxima vez que se modifique el objeto.

El usuario de un segmento puede ver datos de auditoría para otros segmentos

En las instancias de Identity Cloud Service, un usuario de un segmento con autorización para ver AuditEvents solo puede verlas desde ese segmento. La migración a OCI IAM crea un recurso de dominio para cada segmento en el compartimento por defecto del arrendamiento de OCI correspondiente y, dado que la autorización para ver AuditEvents se basa en compartimentos, el usuario puede ver AuditEvents desde cada segmento del mismo compartimento.

Puede conservar el comportamiento de que un usuario de un segmento solo puede ver AuditEvents en ese segmento creando un compartimento para cada segmento y, a continuación, moviendo el recurso de dominio que representa el segmento a su propio compartimento.

El administrador del arrendamiento de OCI tiene la visibilidad y los derechos adecuados para ver todos los recursos del dominio de identidad para hacerlo.

  • Al mover un recurso de dominio a un compartimento, se mueven todos los usuarios de ese dominio a ese nuevo compartimento y, de forma implícita, se les proporciona acceso a los recursos de ese compartimento.
  • Al mover un recurso de dominio a un compartimento, también se convierten todos los eventos auditables que emite el dominio en OCI Audit V2 específicos de ese compartimento.
  • Solo un usuario con acceso a ese compartimento puede ver los eventos auditables emitidos por un dominio de ese compartimento.