Gestión del acceso de usuarios a entornos de aplicaciones

Configure usuarios para que trabajen con entornos de aplicaciones en la consola de Oracle Cloud.

En este tema se explica cómo configurar usuarios adicionales para trabajar con entornos de aplicaciones gestionados en la consola de Oracle Cloud. Si necesita agregar usuarios para trabajar en la aplicación, consulte la documentación de la aplicación.

La gestión del entorno de aplicaciones se integra con el servicio Identity and Access Management Service (IAM) para la autenticación y autorización. IAM utiliza políticas para otorgar permisos a grupos. Los usuarios tienen acceso a recursos (como entornos de aplicaciones) en función de los grupos a los que pertenecen.

El usuario introducido durante el paso de creación del arrendamiento es el administrador por defecto del arrendamiento. El administrador por defecto puede realizar todas las tareas para todos los servicios, incluida la creación de grupos, políticas y usuarios para otorgar acceso a los recursos.

Consejo

En este tema se ofrecen los procedimientos básicos para crear tipos del usuario específicos en su cuenta a fin de comenzar con el entorno de la gestión. Para obtener más información sobre la gestión de usuarios en la consola de Oracle Cloud, consulte Gestión de usuarios.

Adición de un administrador de arrendamiento

Puede agregar un administrador de arrendamiento creando un usuario y agregándolos al grupo Administradores de arrendamiento. Los miembros del grupo Administradores tienen acceso a todas las funciones y servicios de la consola de Oracle Cloud.

Para agregar un administrador de arrendamiento:

En la página inicial de la consola de Oracle Cloud, haga clic en Agregar un usuario al arrendamiento. Aparece la lista de usuarios del dominio actual.
Haga clic en Crear usuario.
Introduzca el nombre y el apellido del usuario.
Para que el usuario se conecte con su dirección de correo electrónico:
- Deje seleccionada la casilla de control Use la dirección de correo electrónico como nombre de usuario.
- En el campo Nombre de usuario o correo electrónico, introduzca la dirección de correo electrónico de la cuenta de usuario.
o bien
Para que el usuario se conecte con su nombre de usuario:
- Desactive la casilla de control Use la dirección de correo electrónico como nombre de usuario.
- En el campo Nombre de usuario, introduzca el nombre de usuario que utilizará el usuario para conectarse a la consola.
- En el campo Correo electrónico, introduzca la dirección de correo electrónico de la cuenta de usuario.
En Seleccione los grupos a los que desea asignar este usuario, marque la casilla de control para Administradores.
Haga clic en Crear.

Se envía un correo electrónico de bienvenida a la dirección introducida para el nuevo usuario. El nuevo usuario puede seguir las instrucciones de activación de cuenta del correo electrónico para iniciar sesión y empezar a utilizar el arrendamiento.

Adición de un usuario con acceso limitado

Para los usuarios que no deben tener acceso completo de administrador, puede crear políticas que definan el acceso permitido. Este proceso consta de cuatro pasos:

Busque el dominio de identidad.
Cree un grupo.
Crear una política que otorgue al grupo el acceso adecuado a los recursos.
Cree un usuario y agréguelo al grupo.

Puede crear políticas que otorguen diferentes niveles de acceso para diferentes grupos. Por ejemplo, puede crear una política que otorgue permisos completos de gestión de entornos para un grupo denominado Environment-Admins. Puede crear una segunda política que otorgue solo capacidades de supervisión para un grupo denominado Environment-Viewers.

Las siguientes tareas le guiarán a través de la creación de un grupo, una política y un usuario en el servicio Identity and Access Management (IAM). El administrador por defecto puede realizar estas tareas u otro usuario al que se le haya otorgado acceso para administrar IAM.

Buscar el dominio de identidad

Un dominio de identidad es un contenedor para la gestión de usuarios y roles, la federación y el aprovisionamiento de usuarios, la integración segura de aplicaciones mediante la configuración de Oracle Single Sign-On (SSO) y la administración de OAuth. Al escribir una política, debe identificar a qué dominio de identidad pertenece el grupo.

Para buscar los dominios de identidad en su arrendamiento:

Abra el menú de navegación, en Infraestructura, haga clic en Identidad y seguridad para ampliar el menú y, a continuación, en Identidad, haga clic en Dominios.

Todos los arrendamientos incluyen un dominio por defecto. Su arrendamiento también puede incluir el dominio OracleIdentityCloudService, así como otros dominios creados por su organización.

Lista de dominios de identidad de ejemplo

Crear un grupo

Vaya a la página Grupos del dominio de identidad: abra el menú de navegación, en Infraestructura, haga clic en Identidad y seguridad para ampliar el menú y, a continuación, en Identidad, haga clic en Dominios.
Haga clic en el dominio donde desea agregar el grupo. En este ejemplo, agregaremos el grupo al dominio predeterminado.
En la lista de recursos de la izquierda, haga clic en Grupos.
Haga clic Crear grupo.
Introduzca lo siguiente:
- Nombre: nombre único del grupo, por ejemplo, Environment-Admins. El nombre debe ser único para todos los grupos del arrendamiento. Esto no se puede cambiar posteriormente.
- Descripción: descripción fácil de recordar. Puede cambiarlo más tarde si lo desea.
- Opciones avanzadas - Etiquetas: opcionalmente, puede aplicar etiquetas. Si tiene permisos para crear un recurso, también los tiene para aplicar etiquetas de formato libre a ese recurso. Para aplicar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de la etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si debe aplicar etiquetas, omita esta opción (puede aplicar las etiquetas posteriormente) o pregunte al administrador.
Haga clic en Crear.

Crear la política

Antes de crear la política, necesitará conocer el valor correcto para el tipo de recurso de la aplicación. El tipo de recurso es al que la política otorga acceso. Consulte Referencia de políticas de servicios de aplicaciones para encontrar el tipo de recurso correcto para la aplicación.

Si sigue en la página Grupos del paso anterior, haga clic en Dominios en los enlaces de ruta situados de la parte superior de la página. En la página Dominios, haga clic en Políticas en la parte izquierda de la página.

De lo contrario, abra el menú de navegación, en Infraestructura, haga clic en Identidad y seguridad para ampliar el menú y, a continuación, en Identidad, haga clic en Políticas. Aparecerá la lista de políticas.
Haga clic en Crear política.
Introduzca lo siguiente:
- Nombre: nombre único para la política. El nombre debe ser único para todas las políticas del arrendamiento. Esto no se puede cambiar posteriormente.
- Descripción: descripción fácil de recordar. Puede cambiarlo más tarde si lo desea.
- Compartimento: asegúrese de que el arrendamiento (compartimento raíz) esté seleccionado.
En el Creador de política, active Mostrar editor manual para mostrar el cuadro de texto para la entrada de texto de formato libre.
Introduzca las sentencias de política para otorgar acceso a los recursos necesarios.

Las políticas siguen el formato:
```
Allow '<identity_domain_name>'/'<group-name>' to <verb> <resource-type> in <location> 
```
donde

<identity-domain-name> es el dominio de identidad en el que reside el grupo.

<your-group-name> es el grupo que ha creado en un paso anterior.

<application-name> es el nombre de recurso de IAM adecuado para la aplicación. Para obtener una lista de los nombres de recursos, consulte Referencia de políticas de servicios de aplicaciones.

<location> puede ser un nombre de compartimento o un "arrendamiento" para indicar que el permiso se otorga a todos los compartimentos del arrendamiento.

Por ejemplo, las sentencias para crear un administrador de entorno para Maxymiser son:
```
Allow group 'Default'/'Environment-Admins' to manage maxymiser-environment-family in tenancy
Allow group 'Default'/'Environment-Admins' to read organizations-subscriptions in tenancy
Allow group 'Default'/'Environment-Admins' to read organizations-assigned-subscriptions in tenancy
Allow group 'Default'/'Environment-Admins'' to read organizations-subscription-regions in tenancy
Allow group 'Default'/'Environment-Admins' to read app-listing-environments in tenancy
Allow group 'Default'/'Environment-Admins' to read metrics in tenancy
Allow group 'Default'/'Environment-Admins' to inspect domains in tenancy
Allow group 'Default'/'Environment-Admins' to read announcements in tenancy 
```
Nota

Si el grupo está en el dominio de identidad por defecto, puede omitir la especificación de <identity-domain-name> en la política. Solo tiene que especificar el nombre del grupo. Por ejemplo:
Allow group Environment-Admins to manage maxymiser-environment-family in tenancy
Haga clic en Crear.

Consejo

Puede utilizar la opción Copiar en el ejemplo de política que se muestra en la Referencia de Política de Servicios de Aplicaciones para copiar el juego de sentencias de política. A continuación, puede pegar las sentencias en el cuadro de texto Creador de políticas para que solo tenga que actualizar los valores de <identity-domain-name> y <your-group-name>.

Crear un usuario

En la página inicial de la consola de aplicaciones, en Acciones rápidas, haga clic en Agregar un usuario al arrendamiento.
Haga clic en Crear usuario.
Introduzca el nombre y el apellido del usuario.
Para que el usuario se conecte con su dirección de correo electrónico:
- Deje seleccionada la casilla de control Use la dirección de correo electrónico como nombre de usuario.
- En el campo Nombre de usuario o correo electrónico, introduzca la dirección de correo electrónico de la cuenta de usuario.
o bien
Para que el usuario se conecte con su nombre de usuario:
- Desactive la casilla de control Use la dirección de correo electrónico como nombre de usuario.
- En el campo Nombre de usuario, introduzca el nombre de usuario que utilizará el usuario para conectarse a la consola.
- En el campo Correo electrónico, introduzca la dirección de correo electrónico de la cuenta de usuario.
Para asignar el usuario a un grupo, active la casilla de control de cada grupo que desee asignar a la cuenta de usuario.
Haga clic en Crear.

Referencia de política de servicios de aplicaciones

Nota

Los servicios de aplicaciones que se muestran aquí soportan el aprovisionamiento y la gestión de entornos de autoservicio. Para obtener ayuda sobre la escritura de políticas para servicios de aplicaciones que no soportan el aprovisionamiento de autoservicio, consulte Adición de usuarios de la consola de Oracle Cloud.

En las siguientes secciones, se proporcionan políticas de ejemplo que puede utilizar para crear un rol de administrador de entorno y un rol de visor de entorno. Para crear un usuario con el acceso otorgado a través de estas políticas, puede copiar y pegar la política proporcionada para su servicio, sustituyendo el nombre de grupo. Para obtener más información, consulte el Consejo en la tarea Crear la política anterior.

Nivel de Permiso

El nivel de permiso se especifica mediante el verbo en la sentencia. Para proporcionar a otro usuario acceso para interactuar con sus entornos en la consola de Oracle Cloud, utilice uno de los siguientes verbos en las sentencias de política:

manage: permite al usuario realizar todas las tareas de gestión de un entorno, incluida la creación y la supresión (si están soportadas).
use: permite al usuario actualizar un entorno existente; el usuario no puede crear ni suprimir un entorno.
read: permite al usuario ver toda la información sobre el entorno.
inspect: permite al usuario mostrar solo los entornos; el usuario no puede ver las páginas de detalles.

Para obtener más información sobre las operaciones permitidas por cada uno de estos verbos, consulte Referencia de políticas de IAM de Applications Environment Management.

Extractos requeridos

Los roles de administrador de entorno y visor de entorno necesitan acceso a los recursos de entorno de aplicación. El administrador necesita permisos manage, mientras que el visor solo necesita permisos read. Además, ambos roles requieren permisos para las suscripciones a aplicaciones read.

Sentencias necesarias para el administrador del entorno

El administrador de entorno puede realizar todas las tareas necesarias para crear y gestionar entornos. El administrador también puede ver las suscripciones en su arrendamiento y acceder a los datos de métricas. Consulte Ejemplos de políticas específicas de la aplicación para conocer el valor <application> de la aplicación.

Allow group '<identity-domain-name>'/'<your-group-name>' to manage <application>-environment-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to inspect domains in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy

Detalles de cada sentencia de política:


Sentencia de política	Para qué sirve
`Allow group '<identity-domain-name>'/'<your-group-name>' to manage <application>-environment-family in tenancy`	Otorga permisos de gestión completos para los entornos de aplicación especificados. Incluye acceso a la documentación de conformidad.
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy	Otorga permisos para leer información relacionada con las suscripciones y acceder a sus suscripciones de aplicaciones en la consola. Necesario para ver las suscripciones; debe estar en el nivel de arrendamiento.
`Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy`	Otorga acceso a gráficos de métricas y datos de métricas para recursos de OCI.
`Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy`	Otorga acceso a anuncios de lectura.
`Allow group '<identity-domain-name>'/'<your-group-name>' to inspect domains in tenancy`	Otorga acceso a la lista de dominios de identidad.

Sentencias necesarias para el visor de entornos

Este usuario puede ver los detalles y supervisar los entornos en la consola de Oracle Cloud. Este rol no puede realizar actualizaciones. El visor de entorno también puede ver las suscripciones en su arrendamiento y acceder a los datos de métricas. Consulte Ejemplos de políticas específicas de la aplicación para conocer el valor <application> de la aplicación.

Allow group '<identity-domain-name>'/'<your-group-name>' to read <application>-environment-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to inspect domains in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy

La única diferencia entre esta política y la política de administrador es el verbo read para el recurso environment-family.

Ejemplos de políticas específicas de la aplicación

Utilice los ejemplos de esta sección para crear roles de administrador de entorno y visor de entorno para la aplicación.

Políticas de Oracle B2C Service

B2C Visor o administrador del servicio

El administrador o visor del servicio B2C puede ver detalles y supervisar entornos en la consola de Oracle Cloud. El administrador o el visor también pueden acceder a los datos de métricas y ver las suscripciones y los entornos de aplicaciones de su arrendamiento.