Preparación del arrendamiento

Antes de instalar un dispositivo Roving Edge, su arrendamiento debe estar configurado para utilizar un proveedor de identidad federado para gestionar la autenticación.

Si su arrendamiento ya está configurado para utilizar un proveedor de identidad federado, incluido Identity Cloud Service de Oracle, está todo definido. Comparta su información de identidad federada con su representante de Oracle. De lo contrario, trabaje con su representante de Oracle para establecer un proveedor de identidad federado.

Puede utilizar un proveedor de identidad externo u Oracle Identity Cloud Service. El tipo de proveedor de identidad que puede utilizar depende del tipo de arrendamiento que tenga (un arrendamiento con dominios de identidad de IAM o sin dominios de identidad de IAM).

Para obtener más información, consulte los siguientes recursos:

• Determinación del tipo de arrendamiento
• Arrendamientos con dominios de identidad: federación con proveedores de identidad
• Arrendamientos sin dominios de identidad: federación con proveedores de identidad

Para obtener información sobre la protección de la federación de IAM, consulte Federación de IAM.

Para preparar su arrendamiento de Oracle Cloud Infrastructure (OCI), identifique usuarios y cree grupos para las personas de su organización que administran dispositivos Roving Edge.

Realice esta tarea antes de instalar un dispositivo Roving Edge.

Para obtener más información sobre cómo agregar usuarios y grupos, consulte Managing Oracle Identity Cloud Service Users and Groups in the Oracle Cloud Infrastructure Console.

1. Identifique al administrador del arrendamiento.

2. Cree al menos un grupo con usuarios que puedan realizar estas tareas administrativas:

   • Crear, actualizar y suprimir infraestructuras de Roving Edge.
   • Crear, actualizar y suprimir programas de cambio de versión de Roving Edge.
   • Ejecute el proceso de registro basado en certificados que establece la conexión segura de la infraestructura a su arrendamiento. Le recomendamos que cree un grupo específico para esta tarea administrativa y que solo otorgue permisos limitados para realizar esta tarea.

Los grupos se incluyen en las políticas que defina más adelante. Consulte Agregar políticas necesarias.

Cuando un dispositivo Roving Edge está asociado a Oracle Cloud Infrastructure, se necesitan uno o más compartimentos.

Un compartimento es una recopilación de recursos relacionados. Los compartimentos son un componente fundamental de Oracle Cloud Infrastructure para la organización y el aislamiento de sus recursos en la nube. Los utiliza para separar los recursos con fines de control del acceso (mediante las políticas) y el aislamiento (separar los recursos del proyecto o unidad de negocio de otro).

Para los dispositivos Roving Edge, se necesita al menos un compartimento para los siguientes elementos:

• Asociación de dispositivos Roving Edge con Oracle Cloud Infrastructure.
• La VCN que finalmente cree para la asociación a Oracle Cloud Infrastructure.

El dispositivo Roving Edge se puede asociar a su arrendamiento (compartimento raíz), a un compartimento existente o a un nuevo compartimento. Puede utilizar varios compartimentos. Por ejemplo, puede utilizar un compartimento para la conexión de infraestructura y otro para la VCN.

1. Cree o seleccione un compartimento existente según cómo utilice los compartimentos para controlar el acceso a los recursos.

   Si tiene previsto crear un nuevo compartimento, conéctese a OCI y utilice la consola de Oracle Cloud, la CLI de OCI o la API de OCI para crear el compartimento en su arrendamiento.

   Para obtener una introducción a los compartimentos y para obtener instrucciones sobre la gestión de compartimentos, consulte Gestión de compartimentos.

Se deben configurar determinadas políticas de IAM antes de que Roving Edge esté asociado a su arrendamiento.

1. Configure las siguientes políticas en su arrendamiento.

   Para obtener información sobre cómo trabajar con políticas, consulte Gestión de políticas.

   Si su arrendamiento soporta dominios de identidad, puede crear políticas que especifiquen el grupo dinámico. Para determinar si su arrendamiento tiene dominios de identidad o no, consulte Determinación del tipo de arrendamiento.

   Nota
   
   

   Se pueden crear diferentes sentencias de política para lograr el mismo nivel de acceso a los recursos. La siguiente lista de políticas proporciona ejemplos. Puede utilizar el ejemplo o crear variaciones de política, siempre que las políticas permitan el acceso al usuario o grupo correcto para el recurso concreto.

   Política 1: permite a los usuarios crear, leer, actualizar y suprimir programas de cambio de versión y Roving Edge.

   Importante
   
   Especifique un grupo de IAM que solo incluya a los usuarios que necesitan permisos para gestionar infraestructuras y programas de cambio de versión. La administración de estos recursos es fundamental para la funcionalidad de los dispositivos Roving Edge y no se debe permitir para usuarios no autorizados.

   Ejemplo de política para IAM con o sin dominios de identidad:

   allow group <group_name> to manage ccc-family in tenancy

   Política 2: permite a los dispositivos Roving Edge utilizar los datos de IAM para la gestión de identidad y acceso en los recursos de Roving Edge.

   Ejemplo de política para IAM con o sin dominios de identidad:

   allow any-user to {COMPARTMENT_INSPECT, USER_INSPECT, GROUP_INSPECT, DYNAMIC_GROUP_INSPECT, POLICY_READ, TAG_NAMESPACE_INSPECT, USER_READ, TAG_DEFAULT_INSPECT, TAG_NAMESPACE_READ, DOMAIN_READ, DOMAIN_INSPECT } in tenancy where all { request.principal.id='<ccc-infrastructure_OCID>', request.principal.type='cccinfrastructure' }

   Ejemplo de política para IAM con dominios de identidades:

   allow dynamic-group <dynamic-group> to {COMPARTMENT_INSPECT, USER_INSPECT, GROUP_INSPECT, DYNAMIC_GROUP_INSPECT, POLICY_READ, TAG_NAMESPACE_INSPECT, USER_READ, TAG_DEFAULT_INSPECT, TAG_NAMESPACE_READ, DOMAIN_READ, DOMAIN_INSPECT} in tenancy

   Política 3: permite al servicio Roving Edge enviarle notificaciones sobre actualizaciones.

   En los siguientes ejemplos se muestran las políticas de IAM con o sin dominios de identidad:

   allow any-user to manage ons-topics in tenancy where request.principal.type ='cccinfrastructurenotifier'

   La política se puede modificar para restringir el acceso al compartimento raíz, como se muestra en el siguiente ejemplo:

   allow any-user to manage ons-topics in tenancy where all {request.principal.type='cccinfrastructurenotifier', target.compartment.name = 'root_compartment' }

   Si restringe el acceso a un compartimento, debe ser al compartimento raíz (arrendamiento).

   Política 4: permite a un usuario del grupo especificado iniciar el proceso de registro que permite a la infraestructura comunicarse con su arrendamiento de OCI.

   Nota
   
   

   No especifique un grupo de administradores normal. En su lugar, cree un grupo con un usuario cuya única finalidad sea ejecutar el proceso de registro.

   Para obtener más información, consulte Asociación de un dispositivo Roving Edge Device a su arrendamiento de OCI.

   Los siguientes ejemplos de políticas son para IAM con o sin dominios de identidad.

   En este ejemplo, se define la política en el nivel de arrendamiento:

   allow group <group_name> to { CCC_CERTIFICATE_REGISTER } in tenancy

   En este ejemplo, se define la política en el nivel de compartimento. El compartimento debe ser el compartimento asociado a la infraestructura:

   allow group <group_name> to { CCC_CERTIFICATE_REGISTER } in compartment '<compartment_name>'

Antes de que un dispositivo Roving Edge esté conectado a su arrendamiento, cree una VCN con una subred en el arrendamiento.