Gestión del acceso de usuarios a entornos de aplicaciones

Configure usuarios para que trabajen con entornos de aplicaciones en la consola de Oracle Cloud.

En este tema se explica cómo configurar usuarios adicionales para trabajar con entornos de aplicaciones gestionados en la consola de Oracle Cloud. Si necesita agregar usuarios para trabajar en la aplicación, consulte la documentación de la aplicación.

La gestión del entorno de aplicaciones se integra con el servicio Identity and Access Management Service (IAM) para la autenticación y autorización. IAM utiliza políticas para otorgar permisos a grupos. Los usuarios tienen acceso a recursos (como entornos de aplicaciones) en función de los grupos a los que pertenecen.

El usuario introducido durante el paso de creación del arrendamiento es el administrador por defecto del arrendamiento. El administrador por defecto puede realizar todas las tareas para todos los servicios, incluida la creación de grupos, políticas y usuarios para otorgar acceso a los recursos.

Consejo

En este tema se ofrecen los procedimientos básicos para crear tipos del usuario específicos en su cuenta a fin de comenzar con el entorno de la gestión. Para obtener más información sobre la gestión de usuarios en la consola de Oracle Cloud, consulte Gestión de usuarios.

Adición de un administrador de arrendamiento

Puede agregar un administrador de arrendamiento creando un usuario y agregándolos al grupo Administradores de arrendamiento. Los miembros del grupo Administradores tienen acceso a todas las funciones y servicios de la consola de Oracle Cloud.

Para agregar un administrador de arrendamiento:

En la página inicial de Oracle Cloud Console, seleccione Agregar un usuario al arrendamiento. Aparece la lista de usuarios en el dominio actual.
Seleccione Crear.
Introduzca el nombre y el apellido del usuario.
Para que el usuario se conecte con su dirección de correo electrónico:
1. Deje seleccionada la opción de control Use la dirección del correo electrónico como nombre del usuario.
2. En el campo Nombre de usuario/correo electrónico, introduzca la dirección de correo electrónico de la cuenta de usuario.
Para que el usuario inicie sesión con su usuario:
1. Desactive el conmutador Use la dirección del correo electrónico como nombre de usuario.
2. En el campo Usuario, introduzca el nombre de usuario con el que se conectará el usuario a la consola.
3. En el campo Correo electrónico, introduzca la dirección de correo electrónico de la cuenta de usuario.
En Grupos, seleccione la casilla de control Administradores.
(Opcional) En la sección Etiquetas, agregue una o más etiquetas al usuario.
Si tiene permisos para crear un recurso, también tiene permisos para aplicar etiquetas de formato libre a dicho recurso. Para aplicar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de la etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si desea aplicar etiquetas, omita esta opción o pregunte a un administrador. Puede aplicar etiquetas más tarde.
Seleccione Crear.

Se envía un correo electrónico de bienvenida a la dirección introducida para el nuevo usuario. El nuevo usuario puede seguir las instrucciones de activación de cuenta del correo electrónico para iniciar sesión y empezar a utilizar el arrendamiento.

Adición de un usuario con acceso limitado

Para los usuarios que no deben tener acceso completo de administrador, puede crear políticas que definan el acceso permitido. Este proceso consta de cuatro pasos:

Busque el dominio de identidad.
Cree un grupo.
Crear una política que otorgue al grupo el acceso adecuado a los recursos.
Cree un usuario y agréguelo al grupo.

Puede crear políticas que otorguen diferentes niveles de acceso para diferentes grupos. Por ejemplo, puede crear una política que otorgue permisos completos de gestión de entornos para un grupo denominado Environment-Admins. Puede crear una segunda política que otorgue solo capacidades de supervisión para un grupo denominado Environment-Viewers.

Las siguientes tareas le guiarán a través de la creación de un grupo, una política y un usuario en el servicio Identity and Access Management (IAM). El administrador por defecto puede realizar estas tareas u otro usuario al que se le haya otorgado acceso para administrar IAM.

Buscar el dominio de identidad

Un dominio de identidad es un contenedor para la gestión de usuarios y roles, la federación y el aprovisionamiento de usuarios, la integración segura de aplicaciones mediante la configuración de Oracle Single Sign-On (SSO) y la administración de OAuth. Al escribir una política, debe identificar a qué dominio de identidad pertenece el grupo.

Para buscar los dominios de identidad en su arrendamiento:

Abra el menú de navegación y, en Infraestructura, seleccione Identidad y seguridad. En Identidad, seleccione Dominios.

Se abre la página de lista Dominios. Todos los arrendamientos incluyen un dominio por defecto. Su arrendamiento también puede incluir el dominio OracleIdentityCloudService, así como otros dominios creados por su organización.

Crear un grupo

Cree un grupo en la página de lista Dominios.

Abra el menú de navegación y, en Infraestructura, seleccione Identidad y seguridad. En Identidad, seleccione Dominios.
En la página de lista Dominios, seleccione el dominio al que desea agregar el grupo.
En la página de detalles del dominio, ahora puede crear un grupo. Consulte Para crear un grupo para obtener pasos detallados.

Crear la política

Antes de crear la política, debe conocer el valor correcto para el tipo de recurso de la aplicación. El tipo de recurso es a lo que la política otorga acceso. Consulte Referencia de políticas de servicios de aplicaciones para buscar el tipo de recurso correcto para la aplicación.

Si aún está en los detalles de dominio de la tarea anterior, creación de un grupo, realice uno de los siguientes pasos según la opción que vea:
- En el panel de navegación de la parte izquierda de la página, seleccione Políticas.
- Seleccione Dominios en los enlaces de la ruta de navegación en la parte superior de la página. En la página Dominios, seleccione Políticas en la parte izquierda de la página.
De lo contrario, abra el menú de navegación y, en Infraestructura, seleccione Identidad y seguridad. En Identidad, seleccione Políticas.
Aparecerá la lista de políticas.
Seleccione Crear política.
Introduzca la siguiente información:
- Nombre: nombre único para la política. El nombre debe ser único para todas las políticas del arrendamiento. No podrá cambiarlo más tarde.
- Descripción: descripción fácil de recordar. Puede cambiarlo más tarde si lo desea.
- Compartimento: asegúrese de que el arrendamiento (compartimento raíz) esté seleccionado.
En la sección Creador de política, seleccione Mostrar editor manual para mostrar el cuadro de texto para el texto con formato libre.
Introduzca las sentencias de política para otorgar acceso a los recursos necesarios.
Las políticas siguen el formato:
Allow '<identity_domain_name>'/'<group-name>' to <verb> <resource-type> in <location>
- <identity-domain-name> es el dominio de identidad en el que reside el grupo.
- <your-group-name> es el grupo que ha creado en un paso anterior.
- <application-name> es el nombre de recurso de IAM adecuado para la aplicación. Para obtener una lista de los nombres de recursos, consulte Referencia de políticas de servicios de aplicaciones.
- <location> puede ser un nombre de compartimento o un "arrendamiento" para indicar que el permiso se otorga a todos los compartimentos del arrendamiento.
Por ejemplo, las sentencias para crear un administrador de entorno para Maxymiser en el dominio predeterminado son las siguientes:
```
Allow group 'Default'/'Environment-Admins' to manage maxymiser-environment-family in tenancy
Allow group 'Default'/'Environment-Admins' to read organizations-subscriptions in tenancy
Allow group 'Default'/'Environment-Admins' to read organizations-assigned-subscriptions in tenancy
Allow group 'Default'/'Environment-Admins'' to read organizations-subscription-regions in tenancy
Allow group 'Default'/'Environment-Admins' to read app-listing-environments in tenancy
Allow group 'Default'/'Environment-Admins' to read metrics in tenancy
Allow group 'Default'/'Environment-Admins' to inspect domains in tenancy
Allow group 'Default'/'Environment-Admins' to read announcements in tenancy 
```
Nota

Si el grupo está en el dominio de identidad por defecto, puede omitir la especificación de <identity-domain-name> en la política. Solo tiene que especificar el nombre del grupo. Por ejemplo:
Allow group Environment-Admins to manage maxymiser-environment-family in tenancy
Seleccione Crear.

Consejo

Puede utilizar la opción Copiar en el ejemplo de política que se muestra en la Referencia de Política de Servicios de Aplicaciones para copiar el juego de sentencias de política. A continuación, puede pegar las sentencias en el cuadro de texto Creador de políticas para que solo tenga que actualizar los valores de <identity-domain-name> y <your-group-name>.

Crear un usuario

En la página inicial de la consola de aplicaciones, en Acciones rápidas, seleccione Agregar un usuario a su arrendamiento.
Seleccione Crear.
Introduzca el nombre y el apellido del usuario.
Para que el usuario se conecte con su dirección de correo electrónico:
1. Deje seleccionada la opción de control Use la dirección del correo electrónico como nombre del usuario.
2. En el campo Nombre de usuario o correo electrónico, introduzca la dirección de correo electrónico de la cuenta de usuario.
Para que el usuario inicie sesión con su usuario:
1. Desactive el conmutador Use la dirección del correo electrónico como nombre de usuario.
2. En el campo Usuario, introduzca el nombre de usuario con el que se conectará el usuario a la consola.
3. En el campo Correo electrónico, introduzca la dirección de correo electrónico de la cuenta de usuario.
En Grupos, seleccione la casilla de control de cada grupo que desee asignar a la cuenta de usuario.
(Opcional) En la sección Etiquetas, agregue una o más etiquetas al usuario.
Si tiene permisos para crear un recurso, también tiene permisos para aplicar etiquetas de formato libre a dicho recurso. Para aplicar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de la etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si desea aplicar etiquetas, omita esta opción o pregunte a un administrador. Puede aplicar etiquetas más tarde.
Seleccione Crear.

Referencia de política de servicios de aplicaciones

Nota

Los servicios de aplicaciones que se muestran aquí soportan el aprovisionamiento y la gestión de entornos de autoservicio. Para obtener ayuda sobre la escritura de políticas para servicios de aplicaciones que no soportan el aprovisionamiento de autoservicio, consulte Adición de usuarios de la consola de Oracle Cloud.

En las siguientes secciones, se proporcionan políticas de ejemplo que puede utilizar para crear un rol de administrador de entorno y un rol de visor de entorno. Para crear un usuario con el acceso otorgado a través de estas políticas, puede copiar y pegar la política proporcionada para su servicio, sustituyendo el nombre de grupo. Para obtener más información, consulte el Consejo en la tarea Crear la política anterior.

Nivel de Permiso

El nivel de permiso se especifica mediante el verbo en la sentencia. Para proporcionar a otro usuario acceso para interactuar con sus entornos en la consola de Oracle Cloud, utilice uno de los siguientes verbos en las sentencias de política:

manage: permite al usuario realizar todas las tareas de gestión de un entorno, incluida la creación y la supresión (si están soportadas).
use: permite al usuario actualizar un entorno existente; el usuario no puede crear ni suprimir un entorno.
read: permite al usuario ver toda la información sobre el entorno.
inspect: permite al usuario mostrar solo los entornos; el usuario no puede ver las páginas de detalles.

Para obtener más información sobre las operaciones permitidas por cada uno de estos verbos, consulte Referencia de políticas de IAM de gestión de entornos de aplicaciones.

Extractos requeridos

Los roles de administrador de entorno y visor de entorno necesitan acceso a los recursos de entorno de aplicación. El administrador necesita permisos manage, mientras que el visor solo necesita permisos read. Además, ambos roles requieren permisos para las suscripciones a aplicaciones read.

Sentencias necesarias para el administrador del entorno

El administrador de entorno puede realizar todas las tareas necesarias para crear y gestionar entornos. El administrador también puede ver las suscripciones en su arrendamiento y acceder a los datos de métricas. Consulte Ejemplos de políticas específicas de la aplicación para conocer el valor <application> de la aplicación.

Allow group '<identity-domain-name>'/'<your-group-name>' to manage <application>-environment-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to inspect domains in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy

Detalles de cada sentencia de política:


Sentencia de política	Para qué sirve
`Allow group '<identity-domain-name>'/'<your-group-name>' to manage <application>-environment-family in tenancy`	Otorga permisos de gestión completos para los entornos de aplicación especificados. Incluye acceso a la documentación de conformidad.
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy	Otorga permisos para leer información relacionada con las suscripciones y acceder a sus suscripciones de aplicaciones en la consola. Necesario para ver las suscripciones; debe estar en el nivel de arrendamiento.
`Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy`	Otorga acceso a gráficos de métricas y datos de métricas para recursos de OCI.
`Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy`	Otorga acceso a anuncios de lectura.
`Allow group '<identity-domain-name>'/'<your-group-name>' to inspect domains in tenancy`	Otorga acceso a la lista de dominios de identidad.

Sentencias necesarias para el visor de entornos

Este usuario puede ver los detalles y supervisar los entornos en la consola de Oracle Cloud. Este rol no puede realizar actualizaciones. El visor de entorno también puede ver las suscripciones en su arrendamiento y acceder a los datos de métricas. Consulte Ejemplos de políticas específicas de la aplicación para conocer el valor <application> de la aplicación.

Allow group '<identity-domain-name>'/'<your-group-name>' to read <application>-environment-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to inspect domains in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy

La única diferencia entre esta política y la política de administrador es el verbo read para el recurso environment-family.

Ejemplos de políticas específicas de la aplicación

Utilice los ejemplos de esta sección para crear roles de administrador de entorno y visor de entorno para la aplicación.

Políticas de Oracle B2C Service

B2C Visor o administrador del servicio

El administrador o visor del servicio B2C puede ver detalles y supervisar entornos en la consola de Oracle Cloud. El administrador o el visor también pueden acceder a los datos de métricas y ver las suscripciones y los entornos de aplicaciones de su arrendamiento.