Usuarios, grupos y políticas

Oracle Digital Assistant utiliza Oracle Cloud Infrastructure Identity and Access Management (IAM) como servicio base para la autenticación y autorización.

IAM viene en dos tipos:

IAM sin dominios de identidad. Este tipo proporciona acceso basado en política. El administrador de arrendamientos de su organización necesita configurar compartimentos, grupos y políticas que controlan qué usuarios pueden acceder a qué recursos y cómo. Para obtener una visión general de este proceso, consulte Configuración del arrendamiento.
En las instancias de Digital Assistant aprovisionadas sin dominios de identidad, las políticas controlan quién puede desarrollar aptitudes y asistentes digitales, acceder a datos de Insights y llamar a las API del servicio. Para obtener más información sobre el funcionamiento de las políticas, consulte Introducción a las políticas. Para obtener detalles específicos sobre la escritura de políticas, consulte Referencia de políticas.
IAM con dominios de identidad. Este tipo proporciona la posibilidad de acceso basado en rol, además de acceso basado en políticas. Para proporcionar acceso basado en roles, el administrador de arrendamiento de la organización debe configurar compartimentos, grupos y roles que controlen qué usuarios pueden acceder a qué recursos y cómo. El proceso es similar a lo que se describe en Configuración del arrendamiento, excepto que utiliza roles predefinidos en lugar de escribir sentencias de política.
La función de dominio de identidad permite gestionar el acceso a Digital Assistant mediante los mismos conceptos y técnicas que se utilizaron en Oracle Identity Cloud Service (IDCS).

Nota

Es posible que la función Dominios de identidad aún no esté disponible para su arrendamiento. Para determinar si el arrendamiento se ha actualizado con esta función, conéctese a su cuenta en la nube, abra el menú de navegación de la consola () y seleccione Identidad y seguridad. Si ve un enlace Dominios en la sección Identidad de la página, los dominios de identidad están disponibles en su arrendamiento.

Nota

Si su instancia de Digital Assistant está asociada con una suscripción a un servicio de Oracle Cloud Applications basado en Fusion, como HCM Cloud o Sales Cloud, consulte Introducción a Oracle Digital Assistant para Fusion Applications para obtener información sobre la configuración de permisos para los usuarios.

Políticas de Digital Assistant

Antes de empezar a organizar a los usuarios en grupos, debe conocer los conceptos básicos sobre el funcionamiento de las políticas y decidir qué políticas desea aplicar a qué grupos de usuarios.

Las políticas se crean con sentencias que especifican tipos de recursos, verbos (que describen el nivel de acceso a esos tipos de recursos) y ubicaciones (normalmente los nombres de compartimentos).

Por ejemplo, podría crear una sentencia de política que permita que un grupo denominado ServiceDevelopers pueda utilizar use el tipo de recurso oda-design en un compartimento denominado MyDigitalAssistantTest.

Tipos de recursos

En esta tabla se muestran los tipos de recursos disponibles para Oracle Digital Assistant.

Tipo de recurso	Descripción
`oda-instance-resource`	Permite el uso de API de REST para exportar datos de estadísticas, exportar logs de conversaciones, gestionar entidades dinámicas y gestionar grupos de recursos. Hay tres niveles de permisos (verbos) que puede aplicar. Para obtener más información sobre los puntos finales que se tratan en cada nivel de permiso (`inspect`, `read` y `use`), consulte API de REST para Oracle Digital Assistant y haga clic en Permisos en la navegación izquierda de la página. Nota: para las API de instancia de servicio que permiten realizar acciones como crear aptitudes y canales, necesita una política con el tipo de recurso `oda-design`.
`oda-design`	Permite el acceso a la interfaz de usuario para aptitudes, asistentes digitales y canales. En el nivel de permiso `read`, los usuarios pueden ver los artefactos que se hayan creado. A nivel `use`, los usuarios pueden desarrollar, probar y desplegar activamente estos artefactos. También permite crear una gestión de estos artefactos mediante las API de instancia de servicio.
`oda-insights`	Permite el acceso a la interfaz de usuario para las estadísticas sobre aptitudes y asistentes digitales.
`oda-instances`	Permite el acceso a la consola para instancias de Oracle Digital Assistant. En el nivel de permiso `manage`, puede crear y suprimir instancias.
`oda-family`	Este tipo de recurso es un superjuego de tipos de recursos de Oracle Digital Assistant. Para cada verbo (`inspect`, `read`, `use` y `manage`) que utilice con este tipo de recurso en una definición de política, se incluyen todas las operaciones que abarcan ese verbo. Por ejemplo, si dispone de una política en este tipo de recurso y el verbo `manage`, todos los usuarios cubiertos por esta política tendrán posibles permisos de Oracle Digital Assistant. Este tipo de recurso también incluye los tipos de recursos `oda-private-endpoints` y `oda-private-endpoint-attachments`, que están relacionados con la función Punto final privado.

Verbos

Utiliza los verbos en las definiciones de políticas para definir los niveles de permisos que determinados grupos de usuarios tienen para determinados tipos de recursos. Por ejemplo, utilizaría el verbo read para permitir el acceso de solo lectura.

Estos son los verbos que se han definido para el juego de tipos de recursos de Oracle Digital Assistant.

Verbo	Descripción
inspect	Normalmente se incluyen las operaciones que muestran el contenido de un recurso. Se trata del verbo que proporciona el acceso más limitado.
read	En términos de interfaz de usuario, esto generalmente significa acceso de solo lectura. En términos de API, se suele aplicar a las operaciones GET.
use	Cuando se aplican a recursos de la interfaz de usuario del servicio, esto normalmente permite desarrollar, probar y desplegar estos recursos. En el nivel de la API, normalmente permite operaciones GET, PUT, POST, PATCH y DELETE, con la excepción de operaciones de mayor impacto (como la creación de instancias y la depuración de datos).
manage	Normalmente, permite al usuario realizar todo el juego completo de operaciones de un tipo de recurso, incluidas operaciones de gran impacto como la creación de instancias y la depuración de datos.

Juego de políticas de ejemplo

En la siguiente tabla se ilustran los patrones de las políticas de IAM y se proporcionan ejemplos típicos de Oracle Digital Assistant.

Política de IAM	Patrón para sentencia de política
Política para administradores de servicio	`Allow group <name_of_your_Service_Administrators_Group> to manage oda-family in compartment <your_digital_assistant_compartment>`
Política para desarrolladores de servicio	`Allow group <name_of_your_Service_Developers_Group> to use oda-design in compartment <your_digital_assistant_compartment>` `Allow group <name_of_your_Service_Developers_Group> to use oda-insights in compartment <your_digital_assistant_compartment>` Además, si desea que estos usuarios puedan ver los detalles de las instancias de Digital Assistant en la consola de OCI, puede agregar esta sentencia: `Allow group <name_of_your_Service_Developers_Group> to read oda-instances in compartment <your_digital_assistant_compartment>`
Política para usuarios profesionales de servicios	`Allow group <name_of_your_Service_Business_Users_Group> to read oda-design in compartment <your_digital_assistant_compartment>` `Allow group <name_of_your_Service_Business_Users_Group> to use oda-insights in compartment <your_digital_assistant_compartment>` Además, si desea que estos usuarios puedan ver los detalles de las instancias de Digital Assistant en la consola de OCI, puede agregar esta sentencia: `Allow group <name_of_your_Service_Business_Users_Group> to read oda-instances in compartment <your_digital_assistant_compartment>`
Política para usuarios de la API de Digital Assistant	`Allow group <name_of_your_Digital_Assistant_API_Users_Group> to use oda-instance-resource in compartment <your_digital_assistant_compartment>` `Allow group <name_of_your_Digital_Assistant_API_Users_Group> to use oda-design in compartment <your_digital_assistant_compartment>` Nota La primera sentencia proporciona acceso a todos los puntos finales de la API de REST para tareas como la exportación de estadísticas, la gestión de entidades dinámicas y la gestión de grupos de recursos. También puede crear políticas con los verbos `inspect` y `read` para obtener un acceso más limitado. Para ver qué puntos finales se tratan con qué verbos, consulte la documentación de estas API. La segunda sentencia proporciona acceso a las API de instancia de servicio, que permiten realizar acciones como crear aptitudes y canales.

Creación de un compartimento

Los compartimentos permiten particionar los recursos de Oracle Cloud para que pueda controlar mejor el acceso a esos recursos. Al escribir políticas para proporcionar a los usuarios acceso a una instancia de Digital Assistant, el nombre del compartimento es una de las partes de la sentencia de política.

Nota

También puede escribir políticas que proporcionen a los usuarios acceso a los recursos de todo tenant, pero que es mejor para configuraciones muy sencillas (por ejemplo, si nunca tiene más de una instancia de Digital Assistant.

Para crear un compartimento:

En la consola de Infrastructure, haga clic en en la esquina superior izquierda para abrir el menú de navegación, seleccione Identidad y seguridad y, a continuación, haga clic en Compartimentos.
Haga clic en Crear compartimento.
Rellene los valores necesarios y haga clic en Crear compartimento.

Crear nuevos usuarios de IAM

Si alguno de sus usuarios aún no tiene cuentas, créelas en IAM.

En la consola de Infrastructure, haga clic en en la esquina superior izquierda para abrir el menú de navegación, seleccione Identidad y seguridad y, a continuación, haga clic en Usuarios.
Haga clic en Crear usuario.
En el cuadro de diálogo Crear usuario, rellene los detalles necesarios con especial atención a lo siguiente:
- El valor de Nombre puede ser una dirección de correo electrónico o un nombre único. Será el nombre que el usuario usa para conectarse a la instancia.
- Valor de Correo electrónico, que se utiliza para la recuperación de la contraseña.
Haga clic en Crear.
Una vez creado el usuario, seleccione el usuario y haga clic en Crear/Restablecer contraseña.
Haga clic Copiar.
Pegue la contraseña en un lugar seguro y, a continuación, proporciónela al usuario.

El usuario deberá conectarse con esa contraseña y, a continuación, cambiarla inmediatamente.

Creación de grupos

Los grupos son recopilaciones de usuarios a los que se puede hacer referencia en las políticas. Los grupos se crean para ayudar a gestionar qué usuarios tienen acceso a qué.

A continuación se muestra un conjunto de grupos de usuarios de ejemplo que podría configurar.

Grupo de usuarios	Descripción y finalidad
Administradores de servicio	Tiene un acceso completo sin obstáculos para gestionar, administrar y desarrollar con la instancia de servicio de Oracle Digital Assistant.
Desarrollador de servicios	Tiene privilegios para desarrollar y formar asistentes digitales. Sin embargo, no se pueden suprimir los asistentes digitales o las aptitudes publicados ni depurar los datos. Estos privilegios son un subconjunto de privilegios del administrador de servicio.
Usuarios profesionales de servicio	Acceso principalmente de solo lectura. Puede utilizar el comprobador de aptitudes y del asistente digital, ver informes de Insights y mejorar el trabajo de entrenamiento agregando expresiones de ejemplo (nuevo entrenamiento). Estos privilegios son un subconjunto de privilegios del desarrollador de servicios. Diseñado para usuarios y analistas y usuarios de la línea de negocio.
Usuarios de servicios externos	Tiene permisos para llamar a las API de REST de Oracle Digital Assistant. Hay tres niveles de permiso diferentes (verbos `inspect`, `read` y `use`) para las API de Oracle Digital Assistant. Por lo tanto, puede que desee crear un grupo independiente para dos o tres de esos niveles de permiso.

Para crear un grupo:

En la consola de Infrastructure, haga clic en en la esquina superior izquierda para abrir el menú de navegación, seleccione Identidad y seguridad y, a continuación, haga clic en Grupos.

Se mostrará una lista de los grupos de su arrendamiento.
Haga clic en Crear grupo.
Introduzca lo siguiente:
- Nombre: nombre único para el grupo. El nombre debe ser único en todos los grupos de su arrendamiento. No puede cambiarlo más adelante.
- Descripción: descripción fácil de recordar. Puede cambiarla más adelante si desea.
- Etiquetas: opcionalmente, puede aplicar etiquetas. Si tiene permisos para crear un recurso, también tiene permisos para aplicar etiquetas de formato libre a ese recurso. Si desea aplicar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si debe aplicar etiquetas, omita esta opción (puede aplicar etiquetas más tarde) o pida ayuda al administrador.
Haga clic en Crear grupo.

Adición de usuarios de IAM a un grupo

Tendrá que agregar cada usuario a un grupo para proporcionarles acceso al servicio.

En la consola de Infrastructure, haga clic en en la esquina superior izquierda para abrir el menú de navegación, seleccione Identidad y seguridad y, a continuación, haga clic en Grupos.

Se mostrará una lista de los grupos de su arrendamiento.
Localice el grupo en la lista.
Haga clic en el grupo.
Haga clic en Agregar usuario a grupo.
Seleccione el usuario en la lista desplegable y, a continuación, haga clic en Agregar usuario.

Creación de políticas

Define las políticas de IAM que desea aplicar a sus grupos de usuarios.

Para crear una política:

En la consola de Infrastructure, haga clic en en la esquina superior izquierda para abrir el menú de navegación, seleccione Identidad y seguridad y, a continuación, haga clic en Políticas.

Se muestra una lista de las políticas del compartimento que está viendo.
Si desea asociar la política a un compartimento que no sea el que está viendo, seleccione el compartimento deseado en la lista de la izquierdaCompartimento. La ubicación a la que esté asociada la política determina quién puede modificarla o suprimirla más adelante (consulte Asociación de políticas).
Haga clic en Crear política.
Introduzca lo siguiente:
- Nombre: nombre único para la política. El nombre debe ser único en todas las políticas de su arrendamiento. No puede cambiarlo más adelante.
- Descripción: descripción fácil de recordar. Puede cambiarla más adelante si desea.
- Control de versiones de política: seleccione Mantener política actualizada si desea que la política permanezca actualizada con todos los cambios que se realicen en las definiciones de verbos y recursos del servicio. O si prefiere limitar el acceso según las definiciones que estaban vigentes en una fecha específica, seleccione Usar fecha de versión e introduzca esa fecha con el formato AAAA-MM-DD. Para obtener más información, consulte Versión de idioma de política.
- Sentencia: una sentencia de política. Para obtener el formato correcto, consulte Aspectos básicos de políticas y Sintaxis de políticas. Si desea agregar más de una sentencia, haga clic en +.
- Etiquetas: opcionalmente, puede aplicar etiquetas. Si tiene permisos para crear un recurso, también tiene permisos para aplicar etiquetas de formato libre a ese recurso. Si desea aplicar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si debe aplicar etiquetas, omita esta opción (puede aplicar etiquetas más tarde) o pida ayuda al administrador.
Haga clic en Crear.

La nueva política entrará en vigor normalmente en el transcurso de 10 segundos.

Para obtener un ejemplo de cómo podría definir las políticas de Oracle Digital Assistant, consulte Juego de políticas de ejemplo.

Para obtener más información sobre las políticas de IAM, consulte Funcionamiento de las políticas.

Configuración y políticas para Oracle Functions

Si decide utilizar Oracle Functions para alojar código de componente personalizado de código para cualquiera de sus aptitudes, debe configurar su arrendamiento para el desarrollo de funciones. Esto incluye configurar permisos para los desarrolladores y otorgar a la instancia de Digital Assistant permisos para llamar a las funciones que contienen ese código.

Estos son los pasos generales:

Configuración de compartimentos para Functions y una red virtual en la nube (VCN).
Configure la VCN.
Configuración de permisos para el acceso de red.
Configuración de permisos para los desarrolladores de Functions.
Configuración de un grupo dinámico para su instancia (o instancias) de Digital Assistant.
Defina una política para que el grupo dinámico tenga acceso a las funciones.

En los siguientes temas, obtendrá un repaso rápido de estos pasos. Si necesita más información básica, consulte Configuración de su arrendamiento para el desarrollo de funciones.

Creación de un compartimento para funciones y recursos de red

En su arrendamiento, querrá tener distintos compartimentos para sus funciones y recursos de red. Esto le permite escribir políticas específicas para cada uno.

Para crear los compartimentos:

En la consola de Infrastructure, haga clic en en la esquina superior izquierda para abrir el menú de navegación, seleccione Identidad y seguridad y, a continuación, haga clic en Compartimentos.
Haga clic en Crear compartimento.
Rellene los valores necesarios para el compartimento dedicado a Functions y haga clic en Crear compartimento.
Haga clic de nuevo en Crear compartimento y rellene los valores del compartimento que está dedicando a los recursos de red.

Configuración de una red virtual en la nube (VCN)

Para que su equipo pueda crear y desplegar funciones, necesita una red virtual en la nube (VCN) que contenga las subredes para sus funciones.

La forma más sencilla de crear la VCN es utilizar el asistente de VCN con conexión a Internet, que crea los artefactos necesarios. Consulte Creación de subredes y VCN para su uso con Oracle Functions en la documentación de Oracle Cloud Infrastructure.

Nota

Debe crear la VCN en la región en la que tenga previsto desplegar sus funciones.

Configuración de permisos de acceso de red

Para configurar permisos para usuarios que gestionarán recursos de red:

Si aún no lo ha hecho, cree un grupo para esos usuarios.
1. En la consola de Infrastructure, haga clic en en la esquina superior izquierda para abrir el menú de navegación, seleccione Identidad y seguridad y, a continuación, haga clic en Grupos.
2. Haga clic en Crear grupo.
3. Complete el asistente y asegúrese de que el nombre del grupo es único en todos los grupos del arrendamiento. No podrá cambiarlo más tarde.
4. Haga clic en Crear grupo.
Agregue los usuarios necesarios al grupo.
- Para cada usuario, haga clic en Agregar usuario a grupo, seleccione el usuario en la lista desplegable y, a continuación, haga clic en Agregar usuario.
Cree la política necesaria para el grupo:
1. En el menú de navegación de la consola de Infrastructure, haga clic en Identidad y seguridad y, a continuación, en Políticas.
2. Haga clic en Crear política.
3. Complete el asistente, prestando especial atención a los siguientes campos:
  - Nombre: introduzca un nombre único para la política. El nombre debe ser único en todas las políticas de su arrendamiento. No podrá cambiarlo más tarde.
  - Sentencia: agregue la siguiente sentencia de política, donde sustituya <group-name> y <network-resources-compartment-name> por los nombres del grupo de usuarios y compartimento adecuados, respectivamente:
```
Allow group <group-name> to manage virtual-network-family in compartment <network-resources-compartment-name>
```
    Para obtener más información sobre el formato de la política, consulte Aspectos básicos de las políticas y Sintaxis de políticas.

Configuración de permisos para desarrolladores de funciones

Para configurar permisos para los desarrolladores de funciones:

Si aún no lo ha hecho, cree un grupo para esos usuarios.
1. En la consola de Infrastructure, haga clic en en la esquina superior izquierda para abrir el menú de navegación, seleccione Identidad y seguridad y, a continuación, haga clic en Grupos.
2. Haga clic en Crear grupo.
3. Complete el asistente y asegúrese de que el nombre del grupo es único en todos los grupos del arrendamiento. No podrá cambiarlo más tarde.
4. Haga clic en Crear grupo.
Agregue los usuarios necesarios al grupo.
- Para cada usuario, haga clic en Agregar usuario a grupo, seleccione el usuario en la lista desplegable y, a continuación, haga clic en Agregar usuario.
Cree las políticas necesarias para el grupo:
1. En el menú de navegación de la consola de Infrastructure, haga clic en Identidad y seguridad y, a continuación, en Políticas.
2. Haga clic en Crear política.
3. Complete el asistente, prestando especial atención a los siguientes campos:
  - Nombre: introduzca un nombre único para la política. El nombre debe ser único en todas las políticas de su arrendamiento. No podrá cambiarlo más tarde.
  - Sentencia: agregue las siguientes sentencias de política (haciendo clic en + para cada sentencia después de la primera), donde debe sustituir <group-name>, <network-resources-compartment-name> y <functions-compartment-name> por los nombres del grupo de usuarios y compartimento adecuados:
```
Allow group <group-name> to use virtual-network-family in compartment <network-resources-compartment-name>
Allow group <group-name> to manage functions-family in compartment <functions-compartment-name>
Allow group <group-name> to read metrics in compartment <functions-compartment-name>
Allow group <group-name> to manage logging-family in compartment <functions-compartment-name>
Allow group <group-name> to manage repos in tenancy
Allow group <group-name> to read objectstorage-namespaces in tenancy
```
  Nota
  
  La primera sentencia se aplica a un compartimento diferente al de las tres siguientes sentencias. Asegúrese de que la primera de estas sentencias de política especifica el compartimento que ha configurado para los recursos de red, mientras que las tres siguientes sentencias especifican el compartimento que ha configurado para el desarrollo de funciones.

Creación de un grupo dinámico

Para que Digital Assistant pueda llamar a funciones escritas en Oracle Functions o para llamar a otros servicios de OCI (como Language), debe otorgar permisos a la propia instancia del servicio Digital Assistant (en lugar de a los usuarios de la instancia). Para ello, primero debe crear un grupo dinámico que contenga una regla que coincida con esa instancia. A continuación, puede aplicar una política al grupo dinámico para proporcionarle los permisos deseados.

A continuación, se muestran los pasos para crear un grupo dinámico para instancias de Digital Assistant.

En la consola de Infrastructure, haga clic en en la esquina superior izquierda para abrir el menú de navegación, seleccione Identidad y seguridad y, a continuación, haga clic en Grupos dinámicos.
Haga clic en Crear grupo dinámico para abrir el cuadro de diálogo Crear grupo dinámico.
Rellene los valores para Nombre y Descripción.
El nombre debe ser único en todos los grupos de su arrendamiento (grupos dinámicos y grupos de usuarios). No podrá cambiarlo más tarde.
En la sección Reglas de coincidencia, agregue una o más reglas para que coincidan con la instancia o instancias que desea que tengan acceso al componente.
Puede agregar reglas para instancias o compartimentos que contengan las instancias.

Consejo:
Haga clic en el enlace Creador de reglas para obtener ayuda con la sintaxis de la regla.

A continuación, se muestran las reglas que podría utilizar para instancias de Digital Assistant en un compartimento específico.
```
  resource.type = 'odainstance',
  resource.compartment.id = '<ocid-of-compartment-containing-DigitalAssistant-instance>'
```
Haga clic en Crear.

Ejemplo: grupo dinámico para una única instancia

A continuación, se muestran los pasos que debe seguir para crear un grupo dinámico para una única instancia de Digital Assistant.

Obtenga el OCID de la instancia. Para ello, siga estos pasos:
1. En la consola de Infrastructure, haga clic en en la parte superior izquierda para abrir el menú de navegación, seleccione Análisis y AI y seleccione Asistente digital (que aparece bajo la categoría Servicios AI de la página).
2. En el panel Compartimentos, seleccione un compartimento.
3. Seleccione la instancia.
4. En la sección Información de instancia de la página, haga clic en el enlace Copiar del OCID de la instancia.
En el menú de navegación de la consola de Infrastructure, seleccione Identidad y seguridad y, a continuación, haga clic en Grupos dinámicos.
Haga clic en Crear grupo dinámico para abrir el cuadro de diálogo Crear grupo dinámico.
Rellene los valores para Nombre y Descripción.
Haga clic en el enlace Creador de reglas.
En el cuadro de diálogo Crear regla de coincidencia, en el campo Hacer coincidir instancias con, seleccione OCID de instancia.
En el campo Valor, pegue el OCID que acaba de copiar.
Haga clic en Agregar regla.
Haga clic en Crear.

Creación de una política para acceder a Oracle Functions

Una vez que tenga un grupo dinámico para la instancia o instancias que desee que puedan llamar a funciones en Oracle Functions, cree una política para ese grupo dinámico para acceder a las funciones:

En la consola de Infrastructure, haga clic en en la esquina superior izquierda para abrir el menú de navegación, seleccione Identidad y seguridad y, a continuación, haga clic en Políticas.

Se muestra una lista de las políticas del compartimento que está viendo.
En la lista de compartimentos, seleccione el compartimento al que desea asociar la política. Esto controla quién puede modificar o suprimir la política más adelante (consulte Asociación de políticas).
Haga clic en Crear política.
Complete el asistente, prestando especial atención a los siguientes campos:
- Nombre: introduzca un nombre único para la política. El nombre debe ser único en todas las políticas de su arrendamiento. No puede cambiarlo más adelante.
- Sentencia: introduzca una sentencia de política con el siguiente formato:
```
Allow dynamic-group <name_of_your_dynamic_group> to use fn-invocation in compartment <name_of_your_Functions_compartment>
```

Políticas de OCI Language

Si configura OCI Language como un servicio de traducción en Digital Assistant, debe crear las políticas adecuadas para otorgar permiso a la instancia de Digital Assistant para utilizarlo.

Los pasos de configuración y las políticas (o políticas) necesarios para utilizar el servicio OCI Language en sus aptitudes y asistentes digitales dependen de cómo se haya configurado la instancia de Digital Assistant y de si el servicio OCI Language está disponible para usted en el mismo arrendamiento de OCI.

Configurar OCI Language en el mismo arrendamiento

Si ha aprovisionado la instancia de Digital Assistant a través del programa Crédito universal de OCI, estos son los pasos generales:

En la consola de OCI de su arrendamiento, suscríbase al servicio OCI Language.
Opcionalmente, cree un grupo dinámico para la instancia de Digital Assistant que llamará a OCI Language. Consulte Creación de un grupo dinámico.
Cree una política que permita a la instancia de Digital Assistant utilizar el servicio Language.
Si no tiene un grupo dinámico, la política tendría este formato:
```
Allow any-user to use ai-service-language-family in compartment <name_of_your_compartment> where request.principal.id='<ocid_of_your_Digital_Assistant_instance>'
```
Si tiene un grupo dinámico, la política tendría este formato:
```
Allow dynamic-group <name_of_your_dynamic_group> to use ai-service-language-family in compartment <name_of_your_Language_compartment>
```
Consulte Creación de políticas para conocer los pasos para crear políticas en la consola de OCI.

Configuración de OCI Language en un arrendamiento diferente

Si el servicio OCI Language no está disponible en el mismo arrendamiento de OCI que Oracle Digital Assistant, debe aprovisionar un arrendamiento del modelo de créditos universales (UCM) y configurar los arrendamientos para que funcionen entre sí. Esto se aplica a los siguientes casos:

Tiene una suscripción a Oracle Digital Assistant Platform for SaaS y utiliza una instancia de Digital Assistant en ese arrendamiento de OCI.
En este caso, necesita políticas tanto para el inquilino de Oracle Digital Assistant como para el inquilino del cliente (UCM).
La instancia de Digital Assistant se combina con una suscripción a un servicio de Oracle Cloud Applications basado en Fusion.
En este caso, solo necesita una política para el cliente (UCM).

En ambos casos, la política del inquilino cliente debe asignar un nombre al identificador de Oracle Cloud (OCID) de un inquilino basado en UCM, que se obtiene mediante la presentación de una solicitud de servicio (SR) a los Servicios de Soporte Oracle.

Estos son los pasos si tiene una suscripción a Oracle Digital Assistant Platform for SaaS y utiliza un asistente digital en ese arrendamiento de OCI.

En su arrendamiento del programa de créditos universales, suscríbase al servicio OCI Language.

En el arrendamiento donde tiene su suscripción a OCI Language, agregue una política admit con el siguiente formato:

define tenancy digital-assistant-tenancy as <tenancy-ocid> 
admit any-user of tenancy digital-assistant-tenancy to use ai-service-language-family in compartment <chosen-compartment> where request.principal.id = '<digital-assistant-instance-OCID>'

En el arrendamiento de OCI donde tiene la instancia de Digital Assistant, agregue una política endorse con el siguiente formato:
```
endorse any-user to use ai-service-language-family in any-tenancy where request.principal.type = '<ocid_of_your_Digital_Assistant_instance>'
```
Consulte Creación de políticas para conocer los pasos para crear políticas en la consola de OCI.

Estos son los pasos si la instancia de Digital Assistant se ha emparejado con una suscripción a un servicio de Oracle Cloud Applications basado en Fusion pero no tiene una suscripción a Oracle Digital Assistant Platform for SaaS:

Obtenga un arrendamiento de Oracle Cloud independiente mediante el programa de créditos universales de Oracle Cloud. Consulte Adquisición de una suscripción a Oracle Cloud.
En su arrendamiento del programa de créditos universales, suscríbase al servicio OCI Language.
Presente una solicitud de servicio (SR) a los Servicios de Soporte Oracle para:
- Cree una política en la instancia de Digital Assistant gestionada por Oracle para permitirle utilizar el servicio OCI Language.
- Determine el OCID de la instancia de Digital Assistant gestionada por Oracle que puede utilizar en la definición de política de su arrendamiento de UCM para otorgar permiso a la instancia de Digital Assistant para acceder al servicio Language.
Proporcione la siguiente información en la solicitud de servicio:
- OCID del compartimento raíz del arrendamiento de UCM que está utilizando para el servicio OCI Language. (Los Servicios de Soporte Oracle lo utilizarán para crear una política en la instancia de Digital Assistant para permitirle utilizar el servicio OCI Language).
- URL de la interfaz de usuario de la instancia de Digital Assistant. (Esto es para que el soporte pueda proporcionarle el OCID que necesita en la política admit que creará en el siguiente paso).
En el arrendamiento en el que se ha suscrito a OCI Language, cree una política para permitir que Digital Assistant utilice OCI Language. En la sentencia, utilizará el OCID que se le ha proporcionado como resultado de la solicitud de servicio. La sentencia tiene el siguiente formato.
```
define tenancy digital-assistant-tenancy as <tenancy-ocid> 
admit any-user of tenancy digital-assistant-tenancy to use ai-service-language-family in compartment <chosen-compartment> where request.principal.id = '<digital-assistant-instance-OCID>'
```
Consulte Creación de políticas para conocer los pasos para crear políticas en la consola de OCI.

Dominios de identidad y acceso basados en roles

Si, al crear una instancia de Digital Assistant, ha activado el acceso basado en roles para esa instancia, puede asignar roles a grupos y usuarios de Oracle Cloud Infrastructure IAM dentro de un dominio de identidad.

El arrendamiento en el que se aprovisiona la instancia de Digital Assistant contiene un dominio de identidad por defecto en el compartimento raíz. Si el arrendamiento ya existía antes de que se activara la función Dominios de identidad, todos los usuarios y grupos que existían en el arrendamiento en el momento en que se activaron los dominios de identidad se incluirán en el dominio de identidad por defecto.

Puede crear dominios de identidad adicionales para su inquilino, ya sea en el compartimento raíz o en otros compartimentos. Por ejemplo, puede hacer algo parecido a lo siguiente:

En el compartimento raíz (por defecto), cree un dominio por defecto solo para administradores.
En otro compartimento (por ejemplo, denominado Dev), cree un dominio para usuarios y grupos en un entorno de desarrollo
En otro compartimento (por ejemplo, denominado Prod), cree un dominio para usuarios y grupos en un entorno de producción.

Creación de un dominio de identidad

Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Dominios. Aparecerá la página Dominios.
Si aún no se ha seleccionado, seleccione el Compartimento en el que desea crear el dominio.
Haga clic en Crear dominio.
Introduzca la información necesaria en la página Crear dominio. Consulte Creación de dominios de identidad en la documentación de Oracle Cloud Infrastructure.

Roles de usuario en IAM

Si la instancia de Digital Assistant está configurada para el acceso basado en roles, otorgue a los miembros del equipo acceso a la instancia asignándoles uno de los siguientes roles:

ServiceBusinessUser. Este rol está diseñado para que los usuarios profesionales analicen cómo se utilizan las aptitudes y los asistentes digitales. Los usuarios con este rol pueden realizar las siguientes acciones:
- Vea las aptitudes, los asistentes digitales y los canales que ya se han creado.
- Utilice las funciones de Insights para aptitudes y asistentes digitales, incluido el uso del reentrenamiento para agregar expresiones a versiones de borrador de aptitudes.
ServiceDeveloper. Este rol está diseñado para desarrolladores que ampliarán, actualizarán y/o desarrollarán habilidades y asistentes digitales. Los usuarios con este rol pueden:
- Desarrolle, pruebe, capacite y despliegue habilidades y asistentes digitales y cree canales.
- Utilice las funciones de estadísticas para aptitudes y asistentes digitales, incluido el uso del reentrenamiento para agregar expresiones a versiones de borrador de aptitudes.
ServiceAdministrator. Este rol está diseñado para administradores y les otorga permisos para realizar tareas como depurar datos y suprimir aptitudes publicadas. Los usuarios con este rol pueden:
- Acceder a la consola de OCI para instancias de Oracle Digital Assistant.
- Desarrolle, pruebe, capacite y despliegue habilidades y asistentes digitales y cree canales.
- Utilice las funciones de estadísticas para aptitudes y asistentes digitales, incluido el uso del reentrenamiento para agregar expresiones a versiones de borrador de aptitudes.

Creación de un usuario en un dominio de identidad

Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Dominios.
Si aún no se ha seleccionado, seleccione el Compartimento en el que reside el dominio que contiene el grupo al que desea agregar un nuevo usuario.
En la columna Nombre, haga clic en el dominio del grupo en el que desea crear el usuario.
Haga clic en Usuarios.
Haga clic en Crear usuario.
En la pantalla Crear usuario, introduzca el nombre y los apellidos del usuario y su nombre de usuario y, a continuación, seleccione uno o más grupos a los que se debe asignar el usuario.
Haga clic en Crear.
El nuevo usuario se agregará a los grupos seleccionados y tendrá los permisos asignados al grupo mediante su sentencia de política.
En la página de detalles del usuario que se muestra, puede editar la información del usuario según sea necesario y restablecer la contraseña del usuario.
Proporcione a los nuevos usuarios las credenciales que necesitan para conectarse a su cuenta en la nube. Al conectarse, se les solicitará que introduzcan una nueva contraseña.

Creación de un grupo en un dominio de identidad

Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Dominios.
Si aún no se ha seleccionado, seleccione el Compartimento en el que reside el dominio en el que desea crear el grupo.
En la columna Nombre, haga clic en el dominio en el que desea crear el grupo para crear y gestionar la página Visión general del dominio instances.The.
Haga clic en Grupos. Se muestra la página Grupos del dominio.
Haga clic Crear grupo.
En la pantalla Crear grupo, asigne un nombre al grupo (por ejemplo, oci-integration-admins) e introduzca una descripción.
Haga clic en Crear.

Asignación de un rol a un dominio de identidad

Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Dominios.
Si aún no se ha seleccionado, seleccione el Compartimento en el que reside el dominio que contiene el usuario o grupo al que desea asignar los roles de Digital Assistant.
En la columna Nombre, haga clic en el dominio del usuario o grupo al que desea asignar roles.
En el panel de navegación, haga clic en Servicios de Oracle Cloud.
En la columna Nombre, haga clic en la instancia de Digital Assistant para la que desea asignar roles de grupo.
En el panel de navegación, haga clic en Roles de aplicación.
En la lista Roles de aplicación, busque los roles que desee asignar. En el extremo derecho, haga clic en el icono de menú y seleccione Asignar grupos o Asignar usuarios.
Seleccione el usuario o grupo al que desea asignar el rol de servicio y haga clic en Asignar.

Documentación de Oracle Cloud Infrastructure