Como mejor práctica, defina un <stripename> para todas las entidades que cree específicamente para el segmento. La identificación única de configuraciones asociadas a un segmento es importante, especialmente cuando se configuran varios segmentos.

En IDCS, cree un grupo en el segmento secundario y agregue usuarios del segmento secundario al grupo.

1. Agregar un grupo en el segmento secundario y denominarlo stripename_administrators. Consulte Define a Stripe Naming Convention. Por ejemplo, denomínelo stripe2_administrators. Haga clic en Terminar.
   Para obtener más información, consulte Crear grupos en Administración de Oracle Identity Cloud Service.

   A estos administradores se les otorgará permiso para crear instancias de Oracle Integration. Este grupo IDCS se asignará a un grupo de Oracle Cloud Infrastructure.

2. Agregue usuarios del segmento secundario al grupo.

Cree una aplicación confidencial de IDCS que utilice credenciales de cliente de OAuth y se le asigne el rol de administrador de dominio de IDCS. Debe crear una aplicación confidencial por segmento secundario.

1. Como administrador de IDCS, inicie sesión en la consola de administración de IDCS secundaria.
2. Agregue una aplicación confidencial.
   1. Vaya al separador Aplicaciones.
   2. Haga clic en Agregar.
   3. Seleccione Aplicación confidencial.
   4. Asigne a la aplicación el nombre Client_Credentials_For_SAML_Federation.
   5. Haga clic en Siguiente.
   
   

   
   

   
   
3. Configure los ajustes del cliente.
   1. Haga clic en Configurar esta aplicación como un cliente ahora.
   2. En Autorización, seleccione Credenciales del cliente.
      
      

      
      

      
      
   3. En Otorgue al cliente acceso a las API de administrador de Identity Cloud Service, haga clic en Agregar y seleccione el rol de aplicación Administrador de dominio de identidad.
      
      

      
      

      
      
   4. Haga clic en Siguiente dos veces.
4. Haga clic en Terminar. Una vez creada la aplicación, anote su ID de cliente y el secreto de cliente. Necesitará esta información en los próximos pasos para la federación.
   
   

   
   

   
   
5. Haga clic en Activar y confirme la activación de la aplicación.

Este grupo es necesario porque la federación de IDP de SAML de Oracle Cloud Infrastructure necesita la asignación de grupos para federar usuarios de IDP federado (IDCS) y la pertenencia a grupos nativos de OCI es necesaria para definir y otorgar permisos (políticas) de Oracle Cloud Infrastructure para usuarios federados.

1. En la consola de Oracle Cloud Infrastructure, abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Grupos.

   Este grupo de Oracle Cloud Infrastructure se asignará al grupo de IDCS creado.

2. Crear un grupo y denominarlo oci_stripename_administrators. Por ejemplo, denomínelo oci_stripe2_administrators.
   
   

   
   

   
   

Ahora que tiene grupos de IDCS y de Oracle Cloud Infrastructure creados e información de cliente necesaria, cree el proveedor de identidad de IDCS y asigne los grupos.

1. Inicie sesión en la consola de Oracle Cloud Infrastructure. Seleccione el dominio de identidad del segmento primordial (identitycloudservice) e introduzca sus credenciales de usuario.

   Tenga en cuenta que la asignación de grupos para un segmento secundario utiliza la conexión de usuario del segmento primordial. Esto es importante, ya que la adición de varios segmentos agrega varias opciones a esta lista desplegable.

2. Abra el menú de navegación y haga clic en Identidad y seguridad y, a continuación, en Federación.
3. Haga clic en Agregar proveedor de identidad.
4. En la pantalla mostrada, complete los campos como se muestra a continuación.

   Campo	Entrada
   Nombre	<stripename>_service
   Descripción	Federación con segmento secundario de IDCS
   Tipo	Oracle Identity Cloud Service
   URL base de Oracle Identity Cloud Service	Introduzca esta URL con el formato: https://idcs-xxxx.identity.oraclecloud.com Sustituya la parte de dominio <idcs-xxxx> por el segmento secundario de IDCS.
   ID de cliente/secreto de cliente	Introduzca esta información que creó en el segmento secundario y que anotó durante los pasos de Crear un cliente OAuth en el segmento secundario.
   Forzar autenticación	Seleccione esta opción.

5. Haga clic en Continuar.
6. Asigne el segmento secundario de IDCS y los grupos de OCI creados anteriormente.
   Asigne el grupo del segmento secundario de IDCS (creado en Crear un grupo de IDCS para usuarios del segmento secundario) y el grupo de OCI (creado en Crear un grupo de Oracle Cloud Infrastructure para usuarios del segmento secundario).
7. Haga clic en Agregar proveedor.
   La federación del segmento secundario se ha completado. Tenga en cuenta que se muestra la asignación de grupo.
   
   

   
   

   
   
8. Verifique la banda secundaria y configure la visibilidad para usuarios y administradores de segmentos secundarios.

   • El administrador de inquilinos puede ver todas las bandas de IDCS federadas en la consola de OCI:

   • El administrador de segmentos secundarios y todos los demás usuarios de segmentos secundarios no verán ningún segmento en federación. Para resolverlo, consulte Proporcionar acceso a una banda federada en el grupo de consola de Oracle Cloud Infrastructure para usuarios de banda secundaria.

Con la federación realizada, configure políticas de Oracle Cloud Infrastructure que permitan a los usuarios federados del segmento secundario de IDCS crear instancias de Oracle Integration. Como patrón común, la política está acotada a un compartimento.

1. Cree un compartimento donde se puedan crear instancias de Oracle Integration para el segmento secundario de IDCS. Asigne un nombre al compartimento con el formato stripename_compartment.
   Por ejemplo, cree un compartimento denominado stripe2_compartment.
2. Cree una política que permita a los usuarios federados crear instancias de Oracle Integration en el compartimento. Asigne a la política el nombre stripename_adminpolicy (por ejemplo, stripe2_adminpolicy).
   En Creador de políticas, seleccione Mostrar editor manual.

   • Sintaxis: allow group stripename_administrators toverb resource-typein compartmentstripename_compartment

   • Política: allow group oci_stripe2_administrators to manage integration-instances in compartment stripe2_compartment

   Esta política permite a un usuario que es miembro del grupo de la política crear una instancia de Oracle Integration (integration-instance) en el compartimento denominado stripe2_compartment.

Realice pasos adicionales para permitir que el administrador de segmentos secundario y todos los demás usuarios de segmentos secundarios vean los segmentos en la federación.

1. En Oracle Identity Cloud Service, cree un grupo denominado stripe2_federation_administrators.
2. Agregue usuarios al grupo que desea que puedan ver la federación y crear usuarios y grupos en la consola de Oracle Cloud Infrastructure en ese segmento.
3. En la consola de Oracle Cloud Infrastructure, con el usuario de segmento principal con el permiso correcto, cree un grupo de Oracle Cloud Infrastructure denominado oci_stripe2_federation_administrators.
4. Asigne los grupos stripe2_federation_administrators y oci_stripe2_federation_administrators.
5. Mediante los siguientes ejemplos de sentencias, defina una política que otorgue acceso a las bandas federadas.
   Varios de los ejemplos muestran cómo otorgar acceso a un segmento federado específico mediante una cláusula where que identifica el segmento secundario. Puede obtener el OCID de la federación de la vista de federación en la consola de Oracle Cloud Infrastructure.

   Permite a los administradores de segmentos secundarios...	Sentencia de política
   Crear grupos (utilizar)	allow group oci_stripe2_federation_administrators to use groups in tenancy
   Enumerar los proveedores de identidad en la federación (inspección)	allow group oci_stripe2_federation_administrators to inspect identity-providers in tenancy Tenga en cuenta que si los administradores de segmentos secundarios son necesarios para crear grupos, esta política es necesaria cuando se incluye una cláusula where.
   Acceder a una banda federada específica (uso)	allow group oci_stripe2_federation_administrators to use identity-providers in tenancy where target.identity-provider.id=“ocid1.saml2idp.oc1..aaaaaaaaa…”
   Gestionar TODOS o SÓLO un proveedor de identidad de segmento secundario (gestión) específico.	ALL: allow group oci_stripe2_federation_administrators to manage identity-providers in tenancy SOLO proveedor de identidad de segmento secundario específico: allow group oci_stripe2_federation_administrators to manage identity-providers in tenancy where target.identity-provider.id = "ocid1.saml2idp.oc1..aaaaaaaaa…"

Con las políticas de federación y Oracle Cloud Infrastructure definidas, los usuarios federados pueden conectarse a la consola de Oracle Cloud Infrastructure y crear instancias de Oracle Integration.

1. Inicie sesión como usuario federado desde la banda secundaria.
   Los usuarios tendrán que seleccionar el segmento secundario en el campo Identity Provider (idcs-secondary-stripe-service, en este caso).
2. Los administradores autorizados pueden cesar las instancias de Oracle Integration en el compartimento especificado (idcs-secondary-stripe-compartment, en este caso).