Gestion des groupes
Cette rubrique décrit les fonctions de base de l'utilisation des groupes.
Si votre location est fédérée avec Oracle Identity Cloud Service, voir Gestion des utilisateurs et groupes Oracle Identity Cloud Service dans la console Oracle Cloud Infrastructure pour gérer les groupes.
Politique GIA requise
Si vous êtes membre du groupe Administrateurs, vous disposez des droits d'accès requis pour gérer les groupes.
Pour en connaître davantage sur les politiques, voir Introduction aux politiques et Politiques communes. Pour plus de précisions sur l'écriture de politiques pour des groupes ou d'autres composants GIA, voir Informations détaillées sur le service GIA sans domaines d'identité.
Marquage de ressources
Appliquer des marqueurs aux ressources afin de les organiser en fonction des besoins de l'entreprise. Vous pouvez appliquer des marqueurs lorsque vous créez une ressource, et vous pouvez mettre à jour une ressource plus tard pour ajouter, réviser ou supprimer des marqueurs. Pour des informations générales sur l'application de marqueurs, voir Marqueurs de ressource.
Utilisation des groupes
Lors de la création d'un groupe, vous devez fournir un nom unique non modifiable pour ce groupe. Le nom doit être unique dans tous les groupes de votre location. Vous devez également donner une description (même s'il peut s'agir d'une chaîne vide) pour le groupe, description qui n'est pas unique et est modifiable. Oracle affecte également au groupe un ID unique appelé ID Oracle Cloud (OCID). Pour plus d'informations, voir Identificateurs de ressource.
Si vous supprimez un groupe, et que vous créez ensuite un nouveau groupe avec le même nom, ils seront considérés comme étant différents, car ils auront des OCID différents.
Un groupe n'a aucune autorisation tant que vous n'écrivez pas au moins une politique qui donne à ce groupe une autorisation pour la location ou un compartiment. Lorsque vous écrivez la politique, vous pouvez spécifier le groupe en utilisant le nom unique ou l'OCID du groupe. Selon la note précédente, même si vous spécifiez le nom du groupe dans la politique, le service IAM utilise en interne l'OCID pour déterminer le groupe. Pour plus d'informations sur l'écriture des politiques, voir Gestion des politiques.
Vous pouvez supprimer un groupe, mais uniquement si le groupe est vide.
Pour plus d'informations sur le nombre de groupes que vous pouvez avoir, voir Limites par service.
Si vous effectuez une fédération avec un fournisseur d'identités, vous allez créer des mappages entre les groupes du fournisseur d'identités et vos groupes GIA. Pour plus d'informations, voir Fédération avec les fournisseurs d'identités.
Utilisation de la console
- Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines. Une liste des groupes de votre location s'affiche.
- Cliquez sur Créer un groupe.
- Entrez les informations suivantes :
- Nom : Nom unique pour le groupe. Le nom doit être unique dans tous les groupes de votre location. Vous ne pouvez pas modifier cette valeur ultérieurement. Le nom doit comporter entre 1 et 100 caractères et peut inclure les caractères suivants : lettres minuscules a-z, lettres majuscules A-Z, 0-9 et point (.), tiret (-) et trait de soulignement (_). Les espaces ne sont pas autorisés. Évitez d'entrer des informations confidentielles.
- Description : Description conviviale. Vous pourrez modifier cet élément ultérieurement si vous le souhaitez.
- Marqueurs : Si vous êtes autorisé à créer une ressource, vous disposez également des autorisations nécessaires pour appliquer des marqueurs à structure libre à cette ressource. Pour appliquer un marqueur défini, vous devez être autorisé à utiliser l'espace de noms de marqueur. Pour plus d'informations sur le marquage, voir Marqueurs de ressource. Si vous ne savez pas si vous devez appliquer des marqueurs, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des marqueurs plus tard.
- Cliquez sur Créer un groupe.
Ensuite, vous pourriez vouloir ajouter des utilisateurs au groupe ou écrire une politique pour le groupe. Voir Pour créer une politique.
- Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines. Une liste des groupes de votre location s'affiche.
- Localisez le groupe dans la liste.
- Sélectionnez le groupe. Les détails correspondants s'affichent
- Sélectionnez Ajouter un utilisateur au groupe.
- Sélectionnez l'utilisateur dans la liste déroulante, puis sélectionnez Ajouter un utilisateur.
- Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines. Une liste des groupes de votre location s'affiche.
- Localisez le groupe dans la liste.
- Sélectionnez le groupe pour afficher ses détails. Une liste des utilisateurs du groupe s'affiche.
- Repérez l'utilisateur dans la liste.
- Pour l'utilisateur à retirer, sélectionnez Retirer.
- Confirmez l'opération à l'invite.
Préalable : Pour qu'un groupe puisse être supprimé, il ne doit contenir aucun utilisateur.
- Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines. Une liste des groupes de votre location s'affiche.
- Localisez le groupe dans la liste.
- Pour le groupe à supprimer, sélectionnez Supprimer.
- Confirmez l'opération à l'invite.
Cette fonction est disponible uniquement au moyen de l'API. Si vous n'avez pas accès à l'API et que vous devez mettre à jour la description d'un groupe, communiquez avec Oracle Support.
Utilisation de l'API
Pour plus d'informations sur l'utilisation de l'API et sur les demandes de signature, voir la documentation de l'API REST et Données d'identification de sécurité. Pour plus d'informations sur les trousses SDK, voir Trousses SDK et interface de ligne de commande.
Les mises à jour ne sont pas immédiates dans toutes les régions
Vos ressources GIA se trouvent dans votre région principale. Pour appliquer une politique à toutes les régions, le service GIA réplique vos ressources dans chacune des régions. Chaque fois que vous créez ou modifiez une politique, un utilisateur ou un groupe, les modifications entrent d'abord en vigueur dans la région principale, puis sont propagées à vos autres régions. L'application des modifications peut prendre quelques minutes. Par exemple, supposons que vous disposiez d'un groupe ayant des autorisations pour lancer des instances dans la location. Si vous ajoutez UserA à ce groupe, UserA pourra lancer des instances dans votre région principale en moins d'une minute. Toutefois, UserA ne pourra pas lancer d'instances dans d'autres régions tant que le processus de réplication ne sera pas terminé. Ce processus peut prendre quelques minutes. Si UserA tente de lancer une instance avant que la réplication soit terminée, il verra s'afficher un message d'erreur indiquant qu'il n'est pas autorisé à le faire.
Utilisez ces opérations d'API pour gérer les groupes :
- CreateGroup
- ListGroups
- GetGroup
- UpdateGroup : Vous pouvez seulement mettre à jour la description du groupe.
- DeleteGroup
- ListUserGroupMemberships : Permet d'obtenir la liste des utilisateurs d'un groupe ou des groupes dont un utilisateur est membre.
- AddUserToGroup : Cette opération génère un objet
UserGroupMembershipayant son propre OCID. - GetUserGroupMembership
- RemoveUserFromGroup : Cette opération supprime un objet
UserGroupMembership.
Pour les opérations d'API liées aux mappages de groupes pour les fournisseurs d'identités, voir Fédération avec les fournisseurs d'identités.