Gestion des utilisateurs Oracle Cloud avec des fonctions spécifiques
Ajoutez des utilisateurs disposant d'autorisations prédéfinies pour travailler avec les environnements Fusion Applications.
L'administrateur par défaut de la location a été défini lors de la création de votre compte Oracle Cloud. L'administrateur par défaut peut effectuer toutes les tâches pour tous les services, y compris voir et gérer tous les abonnements de type Applications.
Cette rubrique explique comment configurer des utilisateurs supplémentaires pour qu'ils puissent utiliser vos environnements Fusion Applications dans la console Oracle Cloud. Ces administrateurs supplémentaires ont généralement des fonctions plus spécifiques et disposent donc d'un accès et d'une autorité réduits par rapport à l'administrateur par défaut. Si vous devez ajouter des utilisateurs finaux pour qu'ils puissent utiliser vos applications, voir la documentation sur les applications, Oracle Fusion Cloud Applications Suite.
La gestion de l'environnement des applications est intégrée au service de gestion des identités et des accès (GIA) pour l'authentification et l'autorisation. Le service GIA utilise des politiques pour accorder des autorisations à des groupes. Les utilisateurs ont accès aux ressources (telles que les environnements des applications) en fonction des groupes auxquels ils appartiennent. L'administrateur par défaut peut créer des groupes, des politiques et des utilisateurs pour leur donner accès aux ressources.
Cette rubrique présente les procédures de base pour la création de types d'utilisateur spécifiques dans votre compte afin de démarrer avec la gestion de l'environnement. Pour plus de détails sur l'utilisation du service GIA pour gérer les utilisateurs dans la console Oracle Cloud, voir Gestion des utilisateurs.
Présentation de la différence entre les rôles d'utilisateur de la gestion de l'environnement et les rôles d'utilisateur d'application
Les rôles d'utilisateur d'environnement décrits ici permettent de gérer ou d'interagir avec l'environnement des applications. Selon le niveau des autorisations accordées, ils peuvent se connecter au compte Oracle Cloud, naviguer jusqu'à la page des détails de l'environnement et effectuer des tâches pour gérer ou surveiller l'environnement. Ces rôles incluent l'administrateur de l'environnement Fusion Applications, l'administrateur de la sécurité de l'environnement, le gestionnaire propre à l'environnement et le moniteur d'environnement.
Les rôles d'utilisateur d'application ont accès à la connexion à l'application (au moyen de l'URL de l'application) et à l'administration, au développement ou à l'utilisation de l'application. Pour plus d'informations sur l'administration de ces utilisateurs, reportez-vous à la documentation de vos applications.
-
Pour plus d'informations sur l'ajout d'un administrateur Fusion, voir Pour ajouter ou supprimer des administrateurs Fusion.
- Pour plus d'informations sur les rôles d'application, consultez la documentation sur l'application ou, pour une référence générale, voir Rôles communs pour toutes les offres.
Ajout d'un administrateur de location
Cette procédure décrit comment ajouter un autre utilisateur au groupe Administrateurs de votre location. Les membres du groupe Administrateurs ont accès à l'ensemble des fonctions et services de la console Oracle Cloud.
Cette procédure ne permet pas à l'utilisateur d'accéder à la console de service de l'application. Pour ajouter des utilisateurs à votre application, consultez la documentation de celle-ci.
Pour ajouter un administrateur :
- Ouvrez le menu de navigation et, sous Infrastructure, sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines.
- Sélectionnez un domaine, puis sélectionnez Gestion des utilisateurs.
- Sous Utilisateurs, sélectionnez Créer.
- Entrez le prénom et le nom de l'utilisateur.
- Pour que l'utilisateur se connecte avec son adresse de courriel :
- Laissez l'option Utiliser l'adresse de courriel comme nom d'utilisateur activée ou désactivée.
- Dans le champ Nom d'utilisateur / Adresse de courriel, entrez l'adresse de courriel du compte d'utilisateur.
- Pour que l'utilisateur se connecte avec son nom d'utilisateur :
- Désélectionnez l'option Utiliser l'adresse de courriel comme nom d'utilisateur.
- Dans le champ Nom d'utilisateur, entrez le nom d'utilisateur que l'utilisateur utilisera pour se connecter à la console.
- Dans le champ Adresse de courriel, entrez l'adresse de courriel du compte d'utilisateur.
- Sous Groupes, cochez la case Administrateurs.
- (Facultatif) Dans la section Marqueurs, ajoutez un ou plusieurs marqueurs à l'utilisateur.
Si vous êtes autorisé à créer une ressource, vous pouvez également appliquer des marqueurs à structure libre à cette ressource. Pour appliquer un marqueur défini, vous devez être autorisé à utiliser l'espace de noms de marqueur. Pour plus d'informations sur le marquage, voir Marqueurs de ressource. Si vous ne savez pas si vous devez appliquer des marqueurs, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des marqueurs plus tard.
- Sélectionnez Créer.
Un courriel de bienvenue est envoyé à l'adresse fournie pour le nouvel utilisateur. Le nouvel utilisateur peut suivre les instructions d'activation de compte indiquées dans le courriel pour se connecter et commencer à utiliser la location.
Utilisation de compartiments pour regrouper des ressources pour des rôles professionnels
Les compartiments sont une fonction de gestion des accès (GIA) qui vous permet de regrouper des ressources de manière logique afin de contrôler qui peut accéder aux ressources en spécifiant les utilisateurs qui peuvent accéder au compartiment.
Par exemple, pour créer une politique d'accès restreint qui autorise l'accès uniquement à un environnement de test spécifique et à ses ressources connexes, vous pouvez placer ces ressources dans leur propre compartiment, puis créer la politique qui autorise l'accès uniquement aux ressources du compartiment. Pour plus d'informations, voir Sélection d'un compartiment.
Ajout d'un utilisateur avec un accès spécifique pour un rôle professionnel
Pour les utilisateurs qui ne doivent pas disposer d'un accès administrateur complet, vous pouvez créer un groupe ayant accès à des environnements d'applications spécifiques dans la console Oracle Cloud, mais qui ne peut pas effectuer d'autres tâches administratives dans cette console.
Pour accorder aux utilisateurs l'autorisation de voir vos environnements d'applications et vos abonnements dans la console Oracle Cloud, vous devez :
- Recherchez le domaine d'identité.
- Créer un groupe.
- Créer une politique qui accorde au groupe l'accès approprié aux ressources.
- Créer un utilisateur et l'ajouter au groupe.
Les procédures suivantes vous guident tout au long de la création d'un groupe, d'une politique et d'un utilisateur. L'administrateur par défaut peut effectuer ces tâches, ou un autre utilisateur autorisé à administrer les ressources GIA.
Un domaine d'identité est un conteneur pour la gestion des utilisateurs et des rôles, la fédération et le provisionnement des utilisateurs, l'intégration sécurisée des applications au moyen de la configuration d'authentification unique (SSO) d'Oracle et l'administration OAuth. Lorsque vous écrivez une politique, vous devez identifier le domaine d'identité auquel appartient le groupe.
Pour rechercher les domaines d'identité dans votre location :
Ouvrez le menu de navigation et, sous Infrastructure, sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines.
La page de liste Domaines s'ouvre. Toutes les locations incluent un domaine par défaut. Votre location peut également inclure le domaine OracleIdentityCloudService, ainsi que d'autres domaines créés par votre organisation.
Pour créer un groupe, commencez à partir de la page de liste Domaines.
- Ouvrez le menu de navigation et, sous Infrastructure, sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines.
- Dans la page de liste Domaines, sélectionnez le domaine dans lequel vous voulez ajouter le groupe, puis sélectionnez Gestion des utilisateurs.
Ou, dans la page d'accueil de la console Oracle Cloud, sous Action rapide, sélectionnez Ajouter un utilisateur à votre location.
- Vous pouvez maintenant créer un groupe. Voir Création d'un groupe pour des étapes détaillées.
Avant de créer la politique, vous devez savoir à quelles ressources vous voulez accorder l'accès. La ressource (parfois appelée type de ressource) est l'élément auquel la politique accorde l'accès. Voir Référence de politique pour les rôles professionnels pour trouver la liste des énoncés de politique pour le rôle professionnel à créer.
- Si vous êtes toujours dans la page Domaines de la tâche précédente, comme décrit dans Création d'un groupe, sélectionnez Politiques sur le côté gauche de la page.
Ou :
Ouvrez le menu de navigation et, sous Infrastructure, sélectionnez Identité et sécurité. Sous identité, sélectionnez Politiques.
La liste des politiques s'affiche.
- Sélectionnez Créer une politique.
- Entrez les informations suivantes :
- Nom : Nom unique de la politique. Le nom doit être unique dans toutes les politiques de votre location. Vous ne pouvez pas modifier cette valeur ultérieurement. Évitez d'entrer des informations confidentielles.
- Description : Description conviviale. Vous pourrez modifier cet élément plus tard si vous le souhaitez. Évitez d'entrer des informations confidentielles.
- Compartiment : Assurez-vous que la location (compartiment racine) est sélectionnée.
- Dans la section Générateur de politiques, sélectionnez Afficher l'éditeur manuel pour afficher la zone de texte à structure libre.
- Entrez les énoncés appropriés pour les ressources auxquelles vous voulez accorder l'accès. Voir Référence de politique pour les rôles professionnels pour connaître les énoncés que vous pouvez copier et coller pour les rôles professionnels courants.
Assurez-vous de remplacer '<identity-domain-name>'/'<your-group-name>' dans chacun des énoncés par le nom du domaine d'identité et le nom du groupe corrects que vous avez créés à l'étape précédente et toute autre variable.
Par exemple, supposons que vous ayez un groupe appelé "FA-Admins" que vous avez créé dans le domaine OracleIdentityCloudService. Vous voulez que ce groupe dispose des autorisations d'administrateur de service Fusion Applications.
- Allez à Référence de politique pour les rôles professionnels dans la documentation.
- Recherchez l'administrateur de service Fusion Applications. Sélectionnez Copier pour copier les énoncés de politique.
- Allez à l'éditeur de politiques, collez les énoncés de la documentation, puis mettez à jour la valeur de '<identity-domain-name>'/'<your-group-name>' dans chacun des énoncés. Pour cet exemple, la mise à jour serait 'OracleIdentityCloudService'/'FA-Admins'.
- Sélectionnez Créer.
- Dans la page d'accueil de la console Oracle Cloud, sous Action rapide, sélectionnez Ajouter un utilisateur à votre location.
Une liste des utilisateurs du domaine courant s'affiche.
- Sélectionnez Créer.
- Entrez le prénom et le nom de l'utilisateur.
- Pour que l'utilisateur se connecte avec son adresse de courriel :
- Laissez l'option Utiliser l'adresse de courriel comme nom d'utilisateur activée ou désactivée.
- Dans le champ Nom d'utilisateur / Adresse de courriel, entrez l'adresse de courriel du compte d'utilisateur.
- Pour que l'utilisateur se connecte avec son nom d'utilisateur :
- Désélectionnez l'option Utiliser l'adresse de courriel comme nom d'utilisateur.
- Dans le champ Nom d'utilisateur, entrez le nom d'utilisateur que l'utilisateur utilisera pour se connecter à la console.
- Dans le champ Adresse de courriel, entrez l'adresse de courriel du compte d'utilisateur.
- Sous Groupes, cochez la case de chaque groupe à affecter au compte d'utilisateur.
- (Facultatif) Dans la section Marqueurs, ajoutez un ou plusieurs marqueurs à l'utilisateur.
Si vous êtes autorisé à créer une ressource, vous pouvez également appliquer des marqueurs à structure libre à cette ressource. Pour appliquer un marqueur défini, vous devez être autorisé à utiliser l'espace de noms de marqueur. Pour plus d'informations sur le marquage, voir Marqueurs de ressource. Si vous ne savez pas si vous devez appliquer des marqueurs, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des marqueurs plus tard.
- Sélectionnez Créer.
Référence de politique pour les rôles professionnels
Vous voudrez configurer certains rôles professionnels courants pour vos utilisateurs. Vous pouvez créer des politiques pour accorder les autorisations nécessaires à des fonctions spécifiques. Cette section fournit des exemples de politiques pour certaines fonctions courantes.
Les exemples de cette section présentent tous les énoncés de politique requis pour les rôles décrits. Le tableau suivant fournit des informations détaillées sur les autorisations accordées par chaque énoncé. Pour créer un utilisateur dont l'accès est accordé par l'entremise de politiques, vous pouvez copier et coller la politique fournie, en remplaçant le nom de votre groupe. Pour plus de détails, voir la tâche Créer une politique. Si vous n'avez pas besoin de tous les énoncés, par exemple, si votre application ne s'intègre pas à Oracle Digital Assistant, vous pouvez le supprimer.
Suivez les directives ci-dessous pour définir les types de rôle suivants :
L'administrateur d'environnement Fusion Applications peut effectuer toutes les tâches requises pour créer et gérer les environnements et les familles d'environnement Fusion Applications de votre location (compte). L'administrateur d'environnement Fusion Applications peut également interagir avec les applications et services connexes qui prennent en charge vos environnements. Pour effectuer pleinement ces tâches, l'administrateur de l'environnement Fusion Applications requiert des autorisations sur plusieurs services et ressources.
Lorsque vous créez cette politique, vous devez connaître :
- Le nom du groupe.
- Nom du domaine d'identité où se trouve le groupe.
- Le nom du compartiment où se trouvent l'environnement et les autres ressources. Pour plus d'informations sur les compartiments, voir Utilisation de compartiments pour regrouper des ressources pour des rôles professionnels. Notez que vous pouvez déplacer les ressources vers le compartiment après avoir créé la politique, mais que ce dernier doit exister avant l'écriture de la politique.
Exemple de politique à copier et coller :
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to use vcns in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read vaults in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read keys in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to use key-delegate in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read lockbox-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage oda-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage vbstudio-instances in tenancy
Define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
Endorse group '<identity-domain-name>'/'<your-group-name>' to read objects in tenancy usage-reportLe tableau suivant décrit les éléments auxquels chaque énoncé de la politique précédente accorde l'accès :
| Énoncé de politique | Finalité |
|---|---|
|
Accorde des autorisations de gestion complète pour les environnements et les familles d'environnements Fusion Applications. Inclut les activités de création, de mise à jour, d'actualisation et de maintenance. |
|
Permet de lire les informations relatives aux abonnements afin d'accéder à vos abonnements de type Applications dans la console. Requis pour voir vos abonnements; doit se situer au niveau de la location. |
|
Permet de voir des informations sur l'application dans la page d'accueil Applications. |
|
Permet d'accéder aux graphiques de mesures et aux données affichées pour vos ressources FA. |
|
Permet de lire les annonces. |
|
Permet d'autoriser l'ajout ou la modification de règles d'accès au réseau. |
|
Permet de gérer l'application intégrée Oracle Digital Assistant. |
|
Permet de gérer l'application intégrée Visual Studio. |
|
Permet de voir les rapports mensuels sur les mesures d'utilisation. |
Une fois que l'administrateur de l'environnement Fusion Applications a créé les environnements Fusion Applications, il peut gérer un environnement spécifique, mais ne peut pas créer ou supprimer l'environnement, ni accéder à d'autres environnements. Par exemple, vous pouvez configurer un groupe appelé Admins-Prod qui ne peut accéder qu'à votre environnement de production et un groupe appelé Admins-Test qui ne peut accéder qu'aux environnements hors production.
Tâches que l'administrateur de l'environnement peut effectuer :
- Mettre à jour des modules linguistiques, des options de maintenance de l'environnement, des règles d'accès au réseau
- Surveiller les mesures
- Actualiser les environnements (hors production uniquement)
- Ajouter des administrateurs d'application
Tâches que l'administrateur de l'environnement ne peut pas effectuer :
- Créer des environnements
- Supprimer des environnements
- Accéder à d'autres environnements
Voici des exemples de politique présentant tous les énoncés requis pour ce rôle. Le tableau suivant fournit des informations détaillées sur les autorisations accordées par chaque énoncé. Pour créer un utilisateur avec ce jeu d'autorisations, vous pouvez copier et coller cette politique, en remplaçant le nom de votre groupe et de votre compartiment. Pour plus de détails, voir la tâche Créer une politique.
Lorsque vous créez cette politique, vous devez connaître :
- Le nom du groupe
- Nom du domaine d'identité où se trouve le groupe.
- Le nom du compartiment où se trouvent l'environnement et les autres ressources. Pour plus d'informations sur les compartiments, voir Utilisation de compartiments pour regrouper des ressources pour des rôles professionnels. Notez que vous pouvez déplacer les ressources vers le compartiment après avoir créé la politique, mais que ce dernier doit exister avant l'écriture de la politique.
Exemple de politique à copier et coller :
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-environment in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-scheduled-activity in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-refresh-activity in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-work-request in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-environment-group in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to use vcns in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage oda-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage vbstudio-instances in tenancy
Define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
Endorse group '<identity-domain-name>'/'<your-group-name>' to read objects in tenancy usage-reportLe tableau suivant décrit les éléments auxquels chaque énoncé de la politique précédente accorde l'accès :
| Énoncé de politique | Finalité |
|---|---|
|
Permet de gérer les environnements Fusion Applications dans le compartiment nommé. |
|
Permet de voir l'activité de maintenance programmée pour les environnements dans le compartiment nommé. |
|
Permet de créer des demandes d'actualisation pour les environnements dans le compartiment nommé. Non applicable aux environnements de production. |
|
Permet de voir les demandes de travail pour les environnements dans le compartiment nommé. |
|
Permet de voir les détails de la famille d'environnements pour toutes les familles d'environnements dans la location. |
|
Permet de lire les informations relatives aux abonnements afin d'accéder à vos abonnements de type Applications dans la console. Requis pour voir vos abonnements; doit se situer au niveau de la location. |
|
Permet de voir des informations sur l'application dans la page d'accueil Applications. |
|
Permet d'accéder aux graphiques de mesures et aux données affichées pour vos ressources FA dans le compartiment nommé. |
|
Permet d'autoriser l'ajout ou la modification de règles d'accès au réseau pour les réseaux en nuage virtuels dans le compartiment nommé. |
|
Permet de lire les annonces. |
|
Permet de gérer l'application intégrée Oracle Digital Assistant dans le compartiment nommé. |
|
Permet de gérer l'application intégrée Oracle Integration. Non requis si votre environnement n'utilise pas cette intégration. |
|
Permet de gérer l'application intégrée Visual Studio dans le compartiment nommé. |
|
Permet de voir les rapports mensuels sur les mesures d'utilisation. |
Les politiques incluses pour ce rôle donnent aux membres du groupe un accès en lecture seule pour voir les détails et le statut des environnements Fusion Applications et des applications connexes. L'utilisateur en lecture seule de l'environnement ne peut apporter aucune modification.
Voici des exemples de politique présentant tous les énoncés requis pour le rôle. Le tableau suivant fournit des informations détaillées sur les autorisations accordées par chaque énoncé. Pour créer un utilisateur avec ce jeu d'autorisations, vous pouvez copier et coller cette politique, en remplaçant le nom de votre groupe. Pour plus de détails, voir la tâche Créer une politique.
Lorsque vous créez cette politique, vous devez connaître :
- Le nom du groupe
- Nom du domaine d'identité où se trouve le groupe.
- Le nom du compartiment où se trouvent l'environnement et les autres ressources. Pour plus d'informations sur les compartiments, voir Utilisation de compartiments pour regrouper des ressources pour des rôles professionnels. Notez que vous pouvez déplacer les ressources vers le compartiment après avoir créé la politique, mais que ce dernier doit exister avant l'écriture de la politique.
Exemple de politique à copier et coller :
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read oda-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read vbstudio-instances in tenancy
Define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
Endorse group '<identity-domain-name>'/'<your-group-name>' to read objects in tenancy usage-reportLe tableau suivant décrit les éléments auxquels chaque énoncé de la politique précédente accorde l'accès :
| Énoncé de politique | Finalité |
|---|---|
|
Permet de voir tous les aspects de l'environnement et de la famille d'environnements Fusion Applications. |
|
Permet de lire les informations relatives aux abonnements afin d'accéder à vos abonnements de type Applications dans la console. Requis pour voir vos abonnements; doit se situer au niveau de la location. |
|
Permet de voir des informations sur l'application dans la page d'accueil Applications. |
|
Permet de voir les graphiques de mesures et les données affichées pour vos ressources FA. |
|
Permet de voir les annonces. |
|
Permet de voir l'application intégrée Oracle Digital Assistant. |
|
Permet de voir l'application intégrée Visual Studio. |
|
Permet de voir les rapports mensuels sur les mesures d'utilisation. |
Les politiques incluses pour ce rôle permettent aux membres du groupe d'effectuer des actualisations d'environnement dans un compartiment spécifié. Les membres du groupe disposent également d'un accès en lecture seule aux détails des environnements Fusion Applications. L'actualisation d'un environnement est la seule action que ce rôle est autorisé à effectuer.
Voici des exemples de politique présentant tous les énoncés requis pour le rôle. Le tableau suivant fournit des informations détaillées sur les autorisations accordées par chaque énoncé. Pour créer un utilisateur avec ce jeu d'autorisations, vous pouvez copier et coller cette politique, en remplaçant le nom de votre groupe. Pour plus de détails, voir la tâche Créer une politique.
Lorsque vous créez cette politique, vous devez connaître :
- Le nom du groupe.
- Nom du domaine d'identité où se trouve le groupe.
- Le nom du compartiment où se trouve l'environnement.
Exemple de politique à copier et coller :
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read oda-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read vbstudio-instances in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-refresh-activity in compartment <your-compartment-name>
Le tableau suivant décrit les éléments auxquels chaque énoncé de la politique précédente accorde l'accès :
| Énoncé de politique | Finalité |
|---|---|
|
Permet de voir tous les aspects de l'environnement et de la famille d'environnements Fusion Applications. |
|
Permet de lire les informations relatives aux abonnements afin d'accéder à vos abonnements de type Applications dans la console. Requis pour voir vos abonnements; doit se situer au niveau de la location. |
|
Permet de voir des informations sur l'application dans la page d'accueil Applications. |
|
Permet de voir les graphiques de mesures et les données affichées pour vos ressources FA. |
|
Permet de voir les annonces. |
|
Permet de voir l'application intégrée Oracle Digital Assistant. |
|
Permet de voir l'application intégrée Visual Studio. |
|
Permet d'effectuer une actualisation sur les environnements Fusion Applications situés dans le compartiment spécifié. |
L'administrateur de la sécurité de l'environnement gère les fonctions de sécurité des environnements Fusion Applications. Les fonctions de sécurité comprennent les clés gérées par le client et Oracle Managed Access (également appelés accès d'urgence). Vous devez avoir acheté des abonnements à ces fonctions pour pouvoir les activer dans vos environnements. Pour plus d'informations, voir Clés gérées par le client pour Oracle Break Glass et Prise en charge de l'accès d'urgence pour les environnements.
Tâches que l'administrateur de la sécurité de l'environnement peut effectuer :
- Crée des chambres fortes et des clés dans le service de chambre forte
- Effectuer la rotation des clés
- Vérifier la rotation des clés pour un environnement Fusion Applications
- Désactiver et activer les clés
Voici des exemples de politique présentant tous les énoncés requis pour ce rôle. Le tableau suivant fournit des informations détaillées sur les autorisations accordées par chaque énoncé. Pour créer un utilisateur avec ce jeu d'autorisations, vous pouvez copier et coller cette politique, en remplaçant le nom de votre groupe et celui de votre compartiment. Pour plus de détails, voir la tâche Créer une politique.
Lorsque vous créez cette politique, vous devez connaître :
- Le nom du groupe
- Nom du domaine d'identité où se trouve le groupe.
- Le nom du compartiment où se trouvent l'environnement et les autres ressources. Pour plus d'informations sur les compartiments, voir Utilisation de compartiments pour regrouper des ressources pour des rôles professionnels. Notez que vous pouvez déplacer les ressources vers le compartiment après avoir créé la politique, mais que ce dernier doit exister avant l'écriture de la politique.
Exemple de politique à copier et coller :
Allow group '<identity-domain-name>'/'<your-group-name>' to manage vaults in tenancy where request.permission not in ('VAULT_DELETE', 'VAULT_MOVE')
Allow group '<identity-domain-name>'/'<your-group-name>' to manage keys in tenancy where request.permission not in ('KEY_DELETE', 'KEY_MOVE')
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-environment-group in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-environment in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage lockbox-family in tenancy
Le tableau suivant décrit les éléments auxquels chaque énoncé de la politique précédente accorde l'accès :
| Énoncé de politique | Finalité |
|---|---|
|
Permet de créer et gérer des chambres fortes dans la location, mais ne permet pas de supprimer une chambre forte ou de la déplacer vers un autre compartiment. |
|
Permet de créer et gérer des clés pour des environnements dans la location, mais ne permet pas de supprimer une clé ou de la déplacer vers un autre compartiment. |
|
Permet de lire les détails d'un groupe d'environnements Fusion Applications. |
|
Permet de lire les détails d'un environnement Fusion Applications. |
Suppression d'un utilisateur
Supprimer un utilisateur lorsqu'il quitte la société. Pour des étapes détaillées, voir Suppression d'un utilisateur.
Pour plus de détails sur la gestion des utilisateurs dans un domaine d'identité, voir Cycle de vie pour la gestion des utilisateurs.
Suppression d'un utilisateur d'un groupe
Supprimez un utilisateur d'un groupe lorsqu'il n'a plus besoin d'accéder aux ressources auxquelles le groupe accorde l'accès. Pour des étapes détaillées, voir Suppression d'utilisateurs d'un groupe.