Documentación de Oracle Cloud Infrastructure

Gestión de usuarios de Oracle Cloud con funciones de puesto específicas

Agregue usuarios con permisos predefinidos para trabajar con entornos de Fusion Applications.

El administrador por defecto del arrendamiento se ha definido al crear su cuenta en la nube. El administrador por defecto puede realizar todas las tareas de todos los servicios, incluida la visualización y gestión de todas las suscripciones de aplicaciones.

En este tema se explica cómo configurar usuarios adicionales para trabajar con los entornos de Fusion Applications en la consola de Oracle Cloud. Estos usuarios administradores adicionales suelen tener funciones de trabajo más específicas y, por lo tanto, tienen acceso y autoridad reducidos en comparación con el usuario administrador por defecto. Si necesita agregar usuarios finales para trabajar en las aplicaciones, consulte la documentación de las aplicaciones, Oracle Fusion Cloud Applications Suite.

La gestión del entorno de aplicaciones se integra con el servicio Identity and Access Management Service (IAM) para la autenticación y autorización. IAM utiliza políticas para otorgar permisos a grupos. Los usuarios tienen acceso a recursos (como entornos de aplicaciones) en función de los grupos a los que pertenecen. El administrador por defecto puede crear grupos, políticas y usuarios para otorgar acceso a los recursos.

Consejo

En este tema se proporcionan los procedimientos básicos para crear tipos de usuario específicos en su cuenta a fin de comenzar con la gestión del entorno. Para obtener más información sobre el uso del servicio IAM para gestionar usuarios en la consola de Oracle Cloud, consulte Gestión de usuarios.

Descripción de la diferencia entre roles de usuario de gestión del entorno y roles de usuario de aplicación

Los roles de usuario de entorno que se describen aquí tienen acceso para gestionar o interactuar con el entorno de aplicaciones. Según el nivel de permisos otorgado, pueden conectarse a la cuenta de Oracle Cloud, navegar a la página de detalles del entorno y realizar tareas para gestionar o supervisar el entorno. Entre estos roles se incluyen el administrador de entornos de Fusion Applications, el administrador de seguridad de entornos, el mánager específico de entornos y el supervisor de entornos.

Los roles de usuario de la aplicación tienen acceso para conectarse a la aplicación (mediante la URL de la aplicación) y administrar, desarrollar o utilizar la aplicación. Consulte la documentación de las aplicaciones para obtener información sobre cómo administrar estos usuarios.

Adición de un administrador del arrendamiento

En este procedimiento se describe cómo agregar otro usuario al grupo de administradores de su arrendamiento. Los miembros del grupo Administradores tienen acceso a todas las funciones y servicios de la consola de Oracle Cloud.

Este procedimiento no proporciona al usuario acceso para conectarse a la consola de servicio de la aplicación. Para agregar usuarios a la aplicación, consulte la documentación de la aplicación.

Para agregar un administrador:

  1. Abra el menú de navegación y seleccione Identidad y seguridad. En Identidad, seleccione Dominios.
  2. Abra el menú de navegación y seleccione Identidad y seguridad. En Identidad, seleccione Usuarios.
  3. Seleccione Crear usuario.
  4. Introduzca el nombre y el apellido del usuario.
  5. Para que el usuario se conecte con su dirección de correo electrónico:
    • Deje seleccionada la casilla de control Use la dirección de correo electrónico como nombre de usuario.
    • En el campo Nombre de usuario o correo electrónico, introduzca la dirección de correo electrónico de la cuenta de usuario.

    o bien

    Para que el usuario inicie sesión con su nombre de usuario:
    • Desactive la casilla de control Use la dirección de correo electrónico como nombre de usuario.
    • En el campo Nombre de usuario, introduzca el nombre de usuario que utilizará el usuario para conectarse a la consola.
    • En el campo Correo electrónico, introduzca la dirección de correo electrónico de la cuenta de usuario.
  6. En Seleccione los grupos a los que desea asignar este usuario, marque la casilla de control para Administradores.
  7. Haga clic en Crear.

Se envía un correo electrónico de bienvenida a la dirección proporcionada para el nuevo usuario. El nuevo usuario puede seguir las instrucciones de activación de la cuenta en el correo electrónico para conectarse y empezar a utilizar el arrendamiento.

Uso de compartimentos para agrupar recursos para roles de puesto

Los compartimentos son una función de gestión de acceso (IAM) que permite agrupar recursos de forma lógica, de modo que pueda controlar quién puede acceder a los recursos especificando quién puede acceder al compartimento.

Por ejemplo, para crear una política de acceso restringido que permita el acceso solo a un entorno de prueba específico y sus recursos relacionados, puede colocar estos recursos en su propio compartimento y, a continuación, crear la política que permita el acceso solo a los recursos del compartimento. Para obtener más información, consulte Selección de un compartimento.

Adición de un usuario con acceso especificado para un rol de puesto

Para los usuarios que no deberían tener acceso completo al administrador, puede crear un grupo que tenga acceso a entornos de aplicaciones específicos en la consola de Oracle Cloud, pero que no pueda realizar otras tareas administrativas en la consola de Oracle Cloud.

Para otorgar a los usuarios permisos para ver sus entornos y suscripciones de aplicaciones en la consola de Oracle Cloud, debe:

  1. Busque el dominio de identidad.
  2. Crear un grupo.
  3. Crear una política que otorgue al grupo el acceso adecuado a los recursos.
  4. Crear un usuario y agregarlo al grupo.

Los siguientes procedimientos le guiarán a través de la creación de un grupo, una política y un usuario. El administrador por defecto puede realizar estas tareas u otro usuario al que se le haya otorgado acceso para administrar recursos de IAM.

Buscar el dominio de identidad

Un dominio de identidad es un contenedor para la gestión de usuarios y roles, la federación y el aprovisionamiento de usuarios, la integración segura de aplicaciones mediante la configuración de Oracle Single Sign-On (SSO) y la administración de OAuth. Al escribir una política, debe identificar a qué dominio de identidad pertenece el grupo.

Para buscar los dominios de identidad en su arrendamiento:

Abra el menú de navegación, en Infraestructura, seleccione Identidad y seguridad para ampliar el menú y, a continuación, en Identidad, seleccione Dominios.

Todos los arrendamientos incluyen un dominio por defecto. Su arrendamiento también puede incluir el dominio OracleIdentityCloudService, así como otros dominios creados por su organización.

Lista de dominios de identidad de ejemplo

Crear un grupo
  1. En la página inicial de la consola de Oracle Cloud, en Acciones rápidas, seleccione Agregar un usuario al arrendamiento. Con esta acción se le lleva a la lista de usuarios del dominio actual.
  2. En la lista de recursos de la izquierda, seleccione Grupos.
  3. Seleccione Crear Grupo.
  4. Introduzca lo siguiente:
    • Nombre: nombre único del grupo, por ejemplo, "environment-viewers". El nombre debe ser único para todos los grupos del arrendamiento. Esto no se puede cambiar posteriormente.
    • Descripción: descripción fácil de recordar. Puede cambiarlo más tarde si lo desea.
    • Opciones avanzadas - Etiquetas: opcionalmente, puede aplicar etiquetas. Si tiene permisos para crear un recurso, también los tiene para aplicar etiquetas de formato libre a ese recurso. Para aplicar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de la etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si debe aplicar etiquetas, omita esta opción (puede aplicar las etiquetas posteriormente) o pregunte al administrador.
  5. Haga clic en Crear.
Crear la política

Antes de crear la política, deberá conocer los recursos a los que desea otorgar acceso. El recurso (o a veces denominado tipo de recurso) es al que la política otorga acceso. Consulte Referencia de política para roles de puesto para buscar la lista de sentencias de política para el rol de puesto que desea crear.

  1. Vaya a la página Policies:
    • Si sigue en la página Grupos del paso anterior, seleccione Dominios en los enlaces de ruta de la parte superior de la página. En la página Dominios, seleccione Políticas en la parte izquierda de la página.
    • De lo contrario, abra el menú de navegación, en Infraestructura, seleccione Identidad y seguridad para ampliar el menú y, a continuación, en Identidad, seleccione Políticas. Aparecerá la lista de políticas.

      Detalle que muestra la ruta de navegación a la página Políticas
  2. Seleccione Crear política.
  3. Introduzca lo siguiente:
    • Nombre: nombre único para la política. El nombre debe ser único para todas las políticas del arrendamiento. Esto no se puede cambiar posteriormente.
    • Descripción: descripción fácil de recordar. Puede cambiarlo más tarde si lo desea.
    • Compartimento: asegúrese de que el arrendamiento (compartimento raíz) esté seleccionado.
  4. En el Creador de política, active Mostrar editor manual para mostrar el cuadro de texto para la entrada de texto de formato libre.

    Detalle que muestra el Creador de política y el conmutador de editor manual
  5. Introduzca las sentencias adecuadas para los recursos a los que desea otorgar acceso. Consulte Referencia de política para roles de puesto para conocer las sentencias que puede copiar y pegar para roles de puesto comunes.

    Asegúrese de sustituir '<identity-domain-name>'/'<your-group-name>' en cada una de las sentencias por el nombre de dominio de identidad y el nombre de grupo correctos que ha creado en el paso anterior y cualquier otra variable.

    Por ejemplo, suponga que tiene un grupo denominado "FA-Admins" que ha creado en el dominio OracleIdentityCloudService. Desea que este grupo tenga los permisos de administrador del servicio de Fusion Applications.

    1. Vaya a Referencia de política para roles de puesto en la documentación (que se muestra a continuación).
    2. Busque el administrador del servicio de Fusion Applications. Haga clic en Copiar para copiar las sentencias de política.
    3. Vaya al Editor de políticas, pegue las sentencias de la documentación y, a continuación, actualice el valor de '<identity-domain-name>'/'<your-group-name>' en cada una de las sentencias. Para este ejemplo, la actualización sería 'OracleIdentityCloudService'/'FA-Admins'.

      Detalle que muestra el Creador de política con sentencias pegadas y nombres de grupos actualizados
  6. Haga clic en Crear.
Crear un usuario
  1. En la página inicial de la consola de Oracle Cloud, en Acciones rápidas, seleccione Agregar un usuario al arrendamiento.
  2. Seleccione Crear usuario.
  3. Introduzca el nombre y el apellido del usuario.
  4. Para que el usuario se conecte con su dirección de correo electrónico:
    • Deje seleccionada la casilla de control Use la dirección de correo electrónico como nombre de usuario.
    • En el campo Nombre de usuario o correo electrónico, introduzca la dirección de correo electrónico de la cuenta de usuario.

    o bien

    Para que el usuario inicie sesión con su nombre de usuario:
    • Desactive la casilla de control Use la dirección de correo electrónico como nombre de usuario.
    • En el campo Nombre de usuario, introduzca el nombre de usuario que utilizará el usuario para conectarse a la consola.
    • En el campo Correo electrónico, introduzca la dirección de correo electrónico de la cuenta de usuario.
  5. Para asignar el usuario a un grupo, seleccione la casilla de control de cada grupo que desee asignar a la cuenta de usuario.
  6. Haga clic en Crear.

Referencia de política para roles de puesto

Hay determinados roles de puesto comunes que desea configurar para los usuarios. Puede crear políticas para otorgar los permisos necesarios para funciones de puesto específicas. En esta sección, se proporcionan ejemplos de políticas para algunas funciones de trabajo comunes.

En los ejemplos de esta sección se muestran todas las sentencias de política necesarias para los roles descritos. En la siguiente tabla se proporcionan los detalles sobre qué permiso otorga cada sentencia. Para crear un usuario con el acceso otorgado a través de políticas, puede copiar y pegar la política proporcionada, sustituyendo el nombre de grupo. Para obtener más información, consulte la tarea Crear política anterior. Si no necesita todas las sentencias, por ejemplo, la aplicación no se integra con Oracle Digital Assistant, puede eliminar la sentencia.

Siga estas directrices para configurar los siguientes tipos de roles:

Administrador de entornos de Fusion Applications

El administrador del entorno de Fusion Applications puede realizar todas las tareas necesarias para crear y gestionar entornos y familias de entornos de Fusion Applications en su arrendamiento (cuenta). El administrador del entorno de Fusion Applications también puede interactuar con las aplicaciones y servicios relacionados que soporten sus entornos. Para realizar todas estas tareas, el administrador del entorno de Fusion Applications necesita permisos en varios servicios y recursos.

Al crear esta política, necesitará saber:

  • El nombre del grupo.
  • Nombre del dominio de identidad en el que se encuentra el grupo.
  • El nombre de su compartimento donde se encuentra el entorno y otros recursos. Para obtener información sobre los compartimentos, consulte Uso de compartimentos para agrupar recursos para roles de puesto. Tenga en cuenta que puede mover los recursos al compartimento después de crear la política, pero el compartimento debe existir antes de escribir la política.

Política de ejemplo para copiar y pegar:

Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy 
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to use vcns in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read vaults in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read keys in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to use key-delegate in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read lockbox-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage oda-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage vbstudio-instances in tenancy
Define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
Endorse group '<identity-domain-name>'/'<your-group-name>' to read objects in tenancy usage-report

En la siguiente tabla se describe a qué otorga acceso cada sentencia de la política anterior:

Sentencia de política Función 
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-family in tenancy
 Otorga permisos de gestión completos para entornos y familias de entornos de Fusion Applications. Incluye las actividades de creación, actualización, refrescamiento y mantenimiento. 
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy 
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy 
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy 
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
 Otorga permisos para leer información relacionada con las suscripciones y acceder a sus suscripciones de aplicaciones en la consola. Necesario para ver sus suscripciones; debe estar en el nivel de arrendamiento. 
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
 Otorga permisos para ver la información de la aplicación en la página inicial de Applications. 
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
 Otorga acceso a los gráficos y datos de métricas mostrados para los recursos de FA. 
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
 Otorga acceso a anuncios de lectura. 
Allow group '<identity-domain-name>'/'<your-group-name>' to use vcns in tenancy
 Otorga acceso para agregar o editar reglas de acceso de red. 
Allow group '<identity-domain-name>'/'<your-group-name>' to manage oda-family in tenancy
 Otorga permiso para gestionar la aplicación integrada de Oracle Digital Assistant 
Allow group '<identity-domain-name>'/'<your-group-name>' to manage vbstudio-instances in tenancy
 Otorga permiso para gestionar la aplicación integrada de Visual Studio. 
Define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
Endorse group '<identity-domain-name>'/'<your-group-name>' to read objects in tenancy usage-report
 Otorga permiso para ver informes mensuales de métricas de uso.
Administrador del entorno

Una vez que el administrador de entornos de Fusion Applications crea los entornos de Fusion Applications, el administrador de entornos puede gestionar un entorno específico, pero no puede crear ni suprimir el entorno ni acceder a otros entornos. Por ejemplo, puede configurar un grupo denominado Prod-Admins que solo pueda acceder a su entorno de producción y un grupo denominado Test-Admins que solo pueda acceder a entornos que no sean de producción.

Tareas que puede realizar el administrador del entorno:

  • Actualizar paquetes de idiomas, opciones de mantenimiento del entorno, reglas de acceso a la red
  • Supervisar métricas
  • Refrescar entornos (solo aquellos que no sean de producción)
  • Agregar administradores de aplicación

Tareas que el administrador del entorno no puede realizar:

  • Crear entornos
  • Suprimir entornos
  • Acceder a otros entornos

A continuación, se muestra una política de ejemplo que muestra todas las sentencias de política necesarias para este rol. En la siguiente tabla se proporcionan los detalles sobre qué permiso otorga cada sentencia. Para crear un usuario con este juego de permisos, puede copiar y pegar esta política, sustituyendo el nombre de grupo y el nombre de compartimento. Para obtener más información, consulte la tarea Crear política anterior.

Al crear esta política, necesitará saber:

  • El nombre de su grupo
  • Nombre del dominio de identidad en el que se encuentra el grupo.
  • El nombre de su compartimento donde se encuentra el entorno y otros recursos. Para obtener información sobre los compartimentos, consulte Uso de compartimentos para agrupar recursos para roles de puesto. Tenga en cuenta que puede mover los recursos al compartimento después de crear la política, pero el compartimento debe existir antes de escribir la política.

Política de ejemplo para copiar y pegar:

Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-environment in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-scheduled-activity in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-refresh-activity in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-work-request in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-environment-group in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy 
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to use vcns in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage oda-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage vbstudio-instances in tenancy
Define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
Endorse group '<identity-domain-name>'/'<your-group-name>' to read objects in tenancy usage-report

En la siguiente tabla se describe a qué otorga acceso cada sentencia de la política anterior:

Sentencia de política Función 
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-environment in tenancy
 Otorga permisos para gestionar entornos de Fusion Applications en el compartimento con nombre. 
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-scheduled-activity in tenancy
 Otorga permisos para ver la actividad de mantenimiento programado para entornos del compartimento con nombre. 
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-refresh-activity in tenancy
 Otorga permisos para crear solicitudes de refrescamiento de entorno para entornos en el compartimento con nombre. No aplicable a entornos de producción. 
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-work-request in tenancy
 Otorga permisos para ver las solicitudes de trabajo para entornos en el compartimento con nombre. 
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-environment-group in tenancy
 Otorga permisos para ver los detalles de la familia de entornos de todas las familias de entornos del arrendamiento. 
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy  
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy 
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
 Otorga permisos para leer información relacionada con las suscripciones y acceder a sus suscripciones de aplicaciones en la consola. Necesario para ver sus suscripciones; debe estar en el nivel de arrendamiento. 
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
 Otorga permisos para ver la información de la aplicación en la página inicial de Applications. 
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
 Otorga acceso a los gráficos y datos de métricas mostrados para los recursos de FA del compartimento con nombre. 
Allow group '<identity-domain-name>'/'<your-group-name>' to use vcns in tenancy
 Otorga acceso para agregar o editar reglas de acceso de red para vcns en el compartimento con nombre. 
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
 Otorga acceso a anuncios de lectura. 
Allow group '<identity-domain-name>'/'<your-group-name>' to manage oda-family in tenancy
 Otorga permiso para gestionar la aplicación integrada de Oracle Digital Assistant en el compartimento con nombre. 
Allow group '<identity-domain-name>'/'<your-group-name>' to manage integration-instance in tenancy
 Otorga permiso para gestionar la aplicación integrada de Oracle Integration. No es necesario si en el entorno no se utiliza esta integración. 
Allow group '<identity-domain-name>'/'<your-group-name>' to manage vbstudio-instances in tenancy
 Otorga permiso para gestionar la aplicación integrada de Visual Studio en el compartimento con nombre. 
Define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
Endorse group '<identity-domain-name>'/'<your-group-name>' to read objects in tenancy usage-report
 Otorga permiso para ver informes mensuales de métricas de uso.
Usuario de solo lectura de entorno

Las políticas incluidas para este rol permiten a los miembros del grupo acceder de solo lectura para ver los detalles y el estado de los entornos de Fusion Applications y las aplicaciones relacionadas. El usuario de solo lectura del entorno no puede realizar cambios.

A continuación, se muestra una política de ejemplo que muestra todas las sentencias de política necesarias para el rol. En la siguiente tabla se proporcionan los detalles sobre qué permiso otorga cada sentencia. Para crear un usuario con este juego de permisos, puede copiar y pegar esta política, sustituyendo el nombre de grupo. Para obtener más información, consulte la tarea Crear política anterior.

Al crear esta política, necesitará saber:

  • El nombre de su grupo
  • Nombre del dominio de identidad en el que se encuentra el grupo.
  • El nombre de su compartimento donde se encuentra el entorno y otros recursos. Para obtener información sobre los compartimentos, consulte Uso de compartimentos para agrupar recursos para roles de puesto. Tenga en cuenta que puede mover los recursos al compartimento después de crear la política, pero el compartimento debe existir antes de escribir la política.

Política de ejemplo para copiar y pegar:

Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy 
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read oda-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read vbstudio-instances in tenancy
Define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
Endorse group '<identity-domain-name>'/'<your-group-name>' to read objects in tenancy usage-report

En la siguiente tabla se describe a qué otorga acceso cada sentencia de la política anterior:

Sentencia de política Función 
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-family in tenancy
 Otorga permiso para ver todos los aspectos del entorno y la familia de entornos de Fusion Applications. 
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy 
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy 
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy 
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
 Otorga permisos para leer información relacionada con las suscripciones y acceder a sus suscripciones de aplicaciones en la consola. Necesario para ver sus suscripciones; debe estar en el nivel de arrendamiento. 
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
 Otorga permisos para ver la información de la aplicación en la página inicial de Applications. 
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
 Otorga acceso para ver los gráficos de métricas y los datos mostrados para los recursos de FA. 
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
 Otorga acceso para ver anuncios. 
Allow group '<identity-domain-name>'/'<your-group-name>' to read oda-family in tenancy
 Otorga permiso para ver la aplicación integrada de Oracle Digital Assistant 
Allow group '<identity-domain-name>'/'<your-group-name>' to read vbstudio-instances in tenancy
 Otorga permiso para ver la aplicación integrada de Visual Studio. 
Define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
Endorse group '<identity-domain-name>'/'<your-group-name>' to read objects in tenancy usage-report
 Otorga permiso para ver informes mensuales de métricas de uso.
Entorno de solo lectura + Refrescar usuario

Las políticas incluidas para este rol permiten a los miembros del grupo realizar refrescamientos de entorno en un compartimento especificado. Los miembros del grupo también tienen acceso de solo lectura a los detalles de los entornos de Fusion Applications. El refrescamiento de un entorno es la única acción que puede realizar este rol.

A continuación, se muestra una política de ejemplo que muestra todas las sentencias de política necesarias para el rol. En la siguiente tabla se proporcionan los detalles sobre qué permiso otorga cada sentencia. Para crear un usuario con este juego de permisos, puede copiar y pegar esta política, sustituyendo el nombre de grupo. Para obtener más información, consulte la tarea Crear política anterior.

Al crear esta política, necesitará saber:

  • El nombre de su grupo.
  • Nombre del dominio de identidad en el que se encuentra el grupo.
  • Nombre del compartimento donde se encuentra el entorno.

Política de ejemplo para copiar y pegar:

Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy 
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read oda-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read vbstudio-instances in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-refresh-activity in compartment <your-compartment-name>

En la siguiente tabla se describe a qué otorga acceso cada sentencia de la política anterior:

Sentencia de política Función 
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-family in tenancy
 Otorga permiso para ver todos los aspectos del entorno y la familia de entornos de Fusion Applications. 
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy 
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy 
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy 
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
 Otorga permisos para leer información relacionada con las suscripciones y acceder a sus suscripciones de aplicaciones en la consola. Necesario para ver sus suscripciones; debe estar en el nivel de arrendamiento. 
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
 Otorga permisos para ver la información de la aplicación en la página inicial de Applications. 
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
 Otorga acceso para ver los gráficos de métricas y los datos mostrados para los recursos de FA. 
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
 Otorga acceso para ver anuncios. 
Allow group '<identity-domain-name>'/'<your-group-name>' to read oda-family in tenancy
 Otorga permiso para ver la aplicación integrada de Oracle Digital Assistant 
Allow group '<identity-domain-name>'/'<your-group-name>' to read vbstudio-instances in tenancy
 Otorga permiso para ver la aplicación integrada de Visual Studio. 
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-refresh-activity in compartment <your-compartment-name>
 Otorga permiso para realizar un refrescamiento en entornos de Fusion Applications ubicados en el compartimento especificado.
Administrador de seguridad

El administrador de seguridad de entorno gestiona las funciones de seguridad para los entornos de Fusion Applications. Entre las funciones de seguridad se incluyen las claves gestionadas por el cliente y Oracle Managed Access (también conocido como Break Glass). Debe haber adquirido suscripciones a estas funciones antes de activarlas en sus entornos. Para obtener más información, consulte Claves gestionadas por el cliente para Oracle Break Glass y Soporte de Oracle Break Glass para entornos.

Tareas que puede realizar el administrador de la seguridad del entorno:

  • Crea almacenes y claves en el servicio Vault
  • Rotar claves
  • Verificar la rotación de claves para un entorno de Fusion Applications
  • Desactivar y activar claves

A continuación, se muestra una política de ejemplo que muestra todas las sentencias de política necesarias para este rol. En la siguiente tabla se proporcionan los detalles sobre qué permiso otorga cada sentencia. Para crear un usuario con este juego de permisos, puede copiar y pegar esta política, sustituyendo el nombre de grupo y el nombre de compartimento. Para obtener más información, consulte la tarea Crear política anterior.

Al crear esta política, necesitará saber:

  • El nombre del grupo
  • Nombre del dominio de identidad en el que se encuentra el grupo.
  • Nombre del compartimento donde se encuentran el entorno y otros recursos. Para obtener información sobre los compartimentos, consulte Uso de compartimentos para agrupar recursos para roles de puesto. Tenga en cuenta que puede mover los recursos al compartimento después de crear la política, pero el compartimento debe existir antes de escribir la política.

Política de ejemplo para copiar y pegar:

Allow group '<identity-domain-name>'/'<your-group-name>' to manage vaults in tenancy where request.permission not in ('VAULT_DELETE', 'VAULT_MOVE')
Allow group '<identity-domain-name>'/'<your-group-name>' to manage keys in tenancy where request.permission not in  ('KEY_DELETE', 'KEY_MOVE')
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-environment-group in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-environment in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage lockbox-family in tenancy

En la siguiente tabla se describe a qué otorga acceso cada sentencia de la política anterior:

Sentencia de política Función 
Allow group '<identity-domain-name>'/'<your-group-name>' to manage vaults in tenancy where request.permission not in ('VAULT_DELETE', 'VAULT_MOVE')
 Otorga permisos para crear y gestionar almacenes en el arrendamiento, pero no permite suprimir un almacén o mover un almacén a otro compartimento. 
Allow group '<identity-domain-name>'/'<your-group-name>' to manage keys in tenancy where request.permission not in  ('KEY_DELETE', 'KEY_MOVE')
 Otorga permisos para crear y gestionar claves para entornos del arrendamiento, pero no permite suprimir una clave o mover una clave a un compartimento diferente. 
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-environment-group in tenancy
 Otorga permisos para leer los detalles de un grupo de entornos de Fusion Applications. 
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-environment in tenancy
 Otorga permisos para leer los detalles de un entorno de Fusion Applications.

Supresión de un Usuario

Suprimir un usuario cuando abandone la compañía. Para obtener más información sobre la gestión de usuarios en un dominio de identidad, consulte Ciclo de vida para gestionar usuarios.

  1. Abra el menú de navegación y seleccione Identidad y seguridad. En Identidad, seleccione Dominios.
  2. Abra el menú de navegación y seleccione Identidad y seguridad. En Identidad, seleccione Usuarios.
  3. Active la casilla de control situada junto a cada cuenta de usuario que desea suprimir.
  4. Seleccione Más acciones y, a continuación, Suprimir.
  5. En el cuadro de diálogo Suprimir usuario, haga clic en Suprimir usuario. Si el usuario sigue siendo miembro de un grupo, aparecerá un mensaje de advertencia. Para confirmar la supresión, seleccione .

Eliminación de un Usuario de un Grupo

Elimine un usuario de un grupo cuando ya no necesite acceso a los recursos a los que el grupo otorga acceso.

  1. Abra el menú de navegación y seleccione Identidad y seguridad. En Identidad, seleccione Dominios.
  2. Abra el menú de navegación y seleccione Identidad y seguridad. En Identidad, seleccione Usuarios.
  3. Seleccione la cuenta de usuario que desea modificar.
  4. Seleccione Grupos.
  5. Seleccione la casilla de control de cada grupo que desee eliminar de la cuenta de usuario.
  6. Seleccione Remove user from group.
  7. Confirme la selección.