Documentation sur Oracle Cloud Infrastructure

Problèmes connus liés à la migration des instances d'Oracle Identity Cloud Service vers GIA

Problèmes connus pour la migration des instances Identity Cloud Service vers le service IAM pour OCI.

Valeurs d'attribut inattendues après la conversion

Une fois que les instances Identity Cloud Service ont été converties en domaines d'identité dans le service IAM pour OCI, il se peut que certains attributs de certains objets du domaine d'identité par défaut aient un résultat inattendu. Vous ne verrez rien de différent dans la console, mais si vous utilisez des scripts et des API, ces modifications pourraient affecter les résultats.

Les attributs concernés sont les suivants :

  • meta.lastModified
  • meta.version (étiquetage)
  • idcsLastModifiedBy

Les modifications s'appliquent aux objets suivants lorsqu'ils ont été mis à jour environ 3 semaines avant la conversion des instances :

  • Utilisateurs
  • Groupes
  • Applications
  • Quelques données d'identification (MFA TOTP)
  • Mot de passe de l'utilisateur createdOn

Voici les détails des modifications d'attribut.

Lorsque la ressource est créée pour la première fois dans le cadre de la migration :

  • meta.lastModified, meta.created est réglé à la date et à l'heure initiales de création de la ressource dans le service IAM.
  • meta.version (etag) est le jeu d'étag initial lors de la création de la ressource dans IAM.
  • idcsLastModifiedBy, idcsCreatedBy est réglé au principal initial qui a créé la ressource dans le service IAM.

Si la ressource est mise à jour avant la fin de la migration :

  • meta.lastModified est réglé à la date et à l'heure de la mise à jour de la ressource dans Identity Cloud Service.
  • meta.version (etag) est défini en fonction de la date et de l'heure de mise à jour de la ressource dans Identity Cloud Service.
  • idcsLastModifiedBy est réglé au principal du service d'identité qui a mis à jour la ressource dans Identity Cloud Service.

Vous n'avez pas besoin de faire quoi que ce soit. Ces attributs sont définis correctement lors de la prochaine modification de l'objet.

L'utilisateur dans un segment peut voir les données de vérification pour d'autres segments

Dans les instances Identity Cloud Service, un utilisateur d'un segment autorisé à voir AuditEvents ne peut les voir qu'à partir de ce segment. La migration vers le service IAM pour OCI crée une ressource de domaine pour chaque segment dans le compartiment par défaut de la location OCI correspondante. Comme l'autorisation de voir AuditEvents est basée sur des compartiments, l'utilisateur peut voir AuditEvents à partir de chaque segment dans le même compartiment.

Vous pouvez conserver le comportement selon lequel un utilisateur d'un segment ne peut voir AuditEvents que dans ce segment en créant un compartiment pour chaque segment, puis en déplaçant la ressource de domaine qui représente le segment dans son propre compartiment.

L'administrateur de la location OCI dispose de la visibilité et des droits appropriés pour voir toutes les ressources du domaine d'identité pour ce faire.

  • Le déplacement d'une ressource de domaine dans un compartiment déplace tous les utilisateurs de ce domaine vers ce nouveau compartiment et leur donne implicitement accès aux ressources de ce compartiment.
  • Le déplacement d'une ressource de domaine dans un compartiment rend également tous les événements vérifiables émis par le domaine dans le service de vérification OCI V2 propres à ce compartiment.
  • Seul un utilisateur ayant accès à ce compartiment peut voir les événements vérifiables émis par un domaine dans ce compartiment.