Documentación de Oracle Cloud Infrastructure

Configurar varios segmentos de identidad para automatización de procesos

Para Oracle Cloud Infrastructure Process Automation, el segmento principal (primordial) se federa automáticamente mediante grupos preconfigurados. Sin embargo, puede crear entornos separados para un único servicio o aplicación en la nube (por ejemplo, crear un entorno para el desarrollo y uno para la producción), donde cada entorno tiene una identidad y requisitos de seguridad diferentes.

Nota

Este tema solo se aplica a arrendamientos que no utilizan dominios de identidad. Consulte Diferencias entre arrendamientos con y sin dominios de identidad.

La implementación de uno o más segmentos secundarios permite crear y gestionar varias instancias de Oracle Identity Cloud Service para proteger sus aplicaciones y servicios de Oracle Cloud.

Puede federar manualmente uno o más segmentos secundarios con Oracle Cloud Infrastructure mediante la federación de IDP de SAML en la que se asocian varios segmentos de Oracle Identity Cloud Service a la misma cuenta en la nube. Tenga en cuenta que el propietario de la cuenta administra los segmentos principales y secundarios, pero las identidades dentro de los segmentos se aislan entre sí.

En primer lugar, defina una regla de nombres para la segmentación, tal como se describe en Definición de una convención de nombres de segmentos. A continuación, siga los pasos siguientes para federar manualmente un segmento secundario para su cuenta en la nube. Debe ser el propietario de la cuenta.

  1. Creación de un grupo de IDCS para usuarios del segmento secundario
  2. Crear un cliente OAuth en el segmento secundario
  3. Creación de un grupo de IAM para usuarios del segmento secundario
  4. Creación de la Federación y su Asignación de Grupo
  5. Creación de una política de IAM para que los usuarios federados creen instancias
  6. Proporcionar acceso a un segmento federado en el grupo de IAM para usuarios de segmento secundario
  7. Creación de instancias de automatización de procesos en los compartimentos del segmento secundario

Definición de una Convención de Nomenclatura de Segmentos

Como mejor práctica, defina un <stripename> para todas las entidades que cree específicamente para el segmento. La identificación única de configuraciones asociadas a un segmento es importante, especialmente cuando se configuran varios segmentos.

En las secciones siguientes, utilizará stripename en estas entidades:

Entidad Convención de Nomenclatura
Grupo de IDCS stripename_administrators (Fin de creación)
Grupo de OCI oci_stripename_administrators (Fin de creación)
compartimento stripename_compartment (Fin de creación)
Proveedor de identidad stripename_service (Fin de creación)
Política stripename_adminpolicy (Fin de creación)
Sentencia de política allow group oci_stripename_administrators to manage process-automation-instance in compartment stripename_compartment (Fin de creación)

Creación de un grupo de IDCS para usuarios del segmento secundario

En IDCS, crear un grupo en el segmento secundario y agregar usuarios del segmento secundario al grupo.

  1. Agregar un grupo en el segmento secundario y asignarle el nombre con el formato: stripename_administrators. Por ejemplo, denomínelo como stripe2_administrators. Haga clic en Terminar.
    A estos administradores se le otorgará permiso para crear instancias de automatización de procesos. Este grupo IDCS se asignará a un grupo de IAM. Consulte Asignación de grupos de IAM e IDCS.
  2. Agregue usuarios del segmento secundario al grupo.

Crear un cliente OAuth en el segmento secundario

Cree una aplicación confidencial de IDCS que utilice credenciales de cliente OAuth y se le asigne el rol de administrador de dominio de IDCS. Debe crear una aplicación confidencial por segmento secundario.

  1. Como administrador de IDCS, inicie sesión en la consola de administración de IDCS secundaria.
  2. Agregue una aplicación confidencial.
    1. Vaya al separador Aplicaciones.
    2. Haga clic en Agregar.
    3. Seleccione Aplicación confidencial.
    4. Asigne a la aplicación el nombre Client_Credentials_For_SAML_Federation.
    5. Haga clic en Siguiente.
  3. Configure los ajustes del cliente.
    1. Haga clic en Configurar esta aplicación como un cliente ahora.
    2. En Autorización, seleccione Credenciales del cliente.
    3. En Otorgue al cliente acceso a las API de administrador de Identity Cloud Service, haga clic en Agregar y seleccione el rol de aplicación Administrador de dominio de identidad.
    4. Haga clic en Siguiente dos veces.
  4. Haga clic en Terminar. Una vez creada la aplicación, anote el ID de cliente y el secreto de cliente. Necesitará esta información en los próximos pasos para la federación
  5. Haga clic en Activar y confirme la activación de la aplicación.

Creación de un grupo de IAM para usuarios del segmento secundario

Este grupo es necesario porque la federación de IDP de SAML de Oracle Cloud Infrastructure necesita una asignación de grupo para federar usuarios del IDP federado (IDCS), y la afiliación de grupo nativo de OCI es necesaria para definir y otorgar políticas (permisos) de Oracle Cloud Infrastructure para usuarios federados.

  1. En la consola de Oracle Cloud Infrastructure, abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Grupos.
    Este grupo de IAM se asignará al grupo de IDCS creado.
  2. Crear un grupo y asignarle el nombre oci_stripename_administrators. Por ejemplo, denomínelo oci_stripe2_administrators.

Creación de la Federación y su Asignación de Grupo

Ahora que tiene los grupos de IDCS e IAM creados y la información del cliente necesaria, cree el proveedor de identidad de IDCS y asigne los grupos.

  1. Conéctese a la consola de Oracle Cloud Infrastructure. Seleccione el dominio de identidad del segmento primordial (identitycloudservice) e introduzca sus credenciales de usuario.
    Tenga en cuenta que la asignación de grupos para un segmento secundario utiliza la conexión de usuario del segmento primordial. Esto es importante, ya que la adición de varios segmentos agrega varias opciones a esta lista desplegable.
  2. Abra el menú de navegación y haga clic en Identidad y seguridad y, a continuación, en Federación.
  3. Haga clic en Agregar proveedor de identidad.
  4. En la ventana resultante, complete los campos como se muestra a continuación.
    Campo Información que se debe introducir
    Nombre <stripename>_service (Fin de creación)
    Descripción Federation with IDCS secondary stripe (Fin de creación)
    Tipo Oracle Identity Cloud Service
    URL base de Oracle Identity Cloud Service

    Introduzca la siguiente URL con el formato:

    https://idcs-xxxx.identity.oraclecloud.com (Fin de creación)

    Sustituir la parte de dominio <idcs-xxxx> por el segmento secundario de IDCS.

    ID/secreto de cliente

    Introduzca el ID y el secreto de cliente que ha obtenido al crear un cliente OAuth en el segmento secundario. Consulte Create an OAuth Client in the Secondary Stripe.

    Forzar autenticación Seleccione esta opción.
  5. Haga clic en Continuar.
  6. Asigne el segmento secundario de IDCS y los grupos de OCI creados anteriormente.
    Asigne el grupo del segmento secundario de IDCS (creado en Crear un grupo de IDCS para usuarios del segmento secundario) y el grupo de OCI (creado en Crear un grupo de IAM para usuarios del segmento secundario).
  7. Haga clic en Agregar proveedor.
    La federación del segmento secundario se completa. Tenga en cuenta que se muestra la asignación de grupo.
  8. Verifique el segmento secundario y configure la visibilidad para los administradores y usuarios del segmento secundario.

Creación de una política de IAM para que los usuarios federados creen instancias

Con la federación realizada, configure políticas de IAM que permitan a los usuarios federados del segmento secundario de IDCS crear instancias de Oracle Cloud Infrastructure Process Automation. Como patrón común, la política está acotada a un compartimento.

  1. Crear un compartimento donde se puedan crear instancias de Oracle Cloud Infrastructure Process Automation para el segmento secundario de IDCS. Asigne al compartimento el nombre stripename_compartment.
    Por ejemplo, cree un compartimento denominado stripe2_compartment.
  2. Crear una política que permita a los usuarios federados crear instancias de Oracle Cloud Infrastructure Process Automation en el compartimento. Asigne un nombre a la política con el formato stripename_adminpolicy (por ejemplo, stripe2_adminpolicy).

    En Creador de políticas, seleccione Mostrar editor manual.

    • Sintaxis: allow group stripename_administrators to verb resource-type in compartment stripename_compartment
    • Política: allow group oci_stripe2_administrators to manage process-automation-instance in compartment stripe2_compartment
Esta política permite a un usuario que es miembro del grupo de la política crear una instancia de Oracle Cloud Infrastructure Process Automation (process-automation-instance) en el compartimento denominado stripe2_compartment.

Proporcionar acceso a un segmento federado en el grupo de IAM para usuarios de segmento secundario

Realice pasos adicionales para permitir que el administrador del segmento secundario y todos los demás usuarios del segmento secundario vean los segmentos bajo federación.

  1. En Oracle Identity Cloud Service, cree un grupo denominado stripe2_federation_administrators.
  2. Agregue usuarios al grupo que desea que pueda ver la federación y para crear usuarios y grupos en la consola de Oracle Cloud Infrastructure en ese segmento.
  3. En la consola de Oracle Cloud Infrastructure, con el usuario de segmento principal con el permiso correcto, cree un grupo de IAM denominado oci_stripe2_federation_administrators.
  4. Asigne los grupos stripe2_federation_administrators y oci_stripe2_federation_administrators.
  5. Con los siguientes ejemplos de sentencias, defina una política que otorgue acceso a los segmentos federados.

    Varios de los ejemplos muestran cómo otorgar acceso a un segmento federado específico mediante una cláusula where que identifica el segmento secundario.

    Puede obtener el OCID de la federación de la vista de federación en la consola de Oracle Cloud Infrastructure.

    Permite a los administradores del segmento secundario... Sentencia de política
    Crear grupos (uso) allow group oci_stripe2_federation_administrators to use groups in tenancy (Fin de creación)
    Enumerar los proveedores de identidad de la federación (inspección) allow group oci_stripe2_federation_administrators to inspect identity-providers in tenancy (Fin de creación)

    Tenga en cuenta que si los administradores del segmento secundario son necesarios para crear grupos, esta política es necesaria cuando se incluye una cláusula where.
    Acceder a una banda federada específica (uso) allow group oci_stripe2_federation_administrators to use identity-providers in tenancy where target.identity-provider.id=“ocid1.saml2idp.oc1..aaaaaaaaa…” (Fin de creación)

    Al conectarse como usuario en el grupo de IDCS anterior, puede crear usuarios y grupos en la consola de Oracle Cloud Infrastructure y asignar permisos como lo haría en un segmento principal.

Creación de instancias de automatización de procesos en los compartimentos del segmento secundario

Con políticas de federación y de Oracle Cloud Infrastructure definidas, los usuarios federados pueden conectarse a la consola de Oracle Cloud Infrastructure y crear instancias de Oracle Cloud Infrastructure Process Automation.

  1. Conéctese como usuario federado del segmento secundario.
    Los usuarios tendrán que seleccionar el segmento secundario en el campo Proveedor de identidad. Por ejemplo, stripe2_administrators.
  2. Los administradores autorizados pueden cesar las instancias de automatización de procesos en el compartimento especificado (por ejemplo, stripe2_compartment).