Utilisateurs, groupes et politiques

Oracle Digital Assistant utilise le service de gestion ds identités et des accès (GIA) pour Oracle Cloud Infrastructure comme service de base pour l'authentification et l'autorisation.

Le service IAM se décline en deux variantes :

IAM sans domaines d'identité. Cette saveur fournit un accès basé sur des politiques. L'administrateur de locations de votre organisation doit configurer les compartiments, les groupes et les politiques qui déterminent les utilisateurs pouvant accéder aux ressources, ainsi que le type d'accès. Pour obtenir un aperçu de ce processus, voir Configuration de votre location.
Dans les instances Digital Assistant provisionnées sans domaines d'identité, des politiques contrôlent qui peut développer des compétences et des assistants numériques, accéder aux données clés et appeler les API du service. Pour plus de détails sur le fonctionnement des politiques, voir Introduction aux politiques. Pour des informations spécifiques sur l'écriture de politiques, voir Informations de référence sur les politiques.
Le service IAM avec des domaines d'identité. Cette variante offre la possibilité d'un accès basé sur un rôle en plus de l'accès basé sur une politique. Pour fournir un accès basé sur les rôles, l'administrateur de location de votre organisation doit configurer des compartiments, des groupes et des rôles qui déterminent les utilisateurs pouvant accéder à quelles ressources et comment. Le processus est similaire à ce qui est décrit dans Configuration de votre location, sauf que vous utilisez des rôles prédéfinis au lieu d'écrire des énoncés de politique.
La fonction de domaine d'identité vous permet de gérer l'accès à Digital Assistant à l'aide des mêmes concepts et techniques que ceux utilisés dans Oracle Identity Cloud Service (IDCS).

Note

Il est possible que la fonction Domaines d'identité ne soit pas encore disponible pour votre location. Pour déterminer si votre location a été mise à jour avec cette fonction, connectez-vous à votre compte en nuage, ouvrez le menu de navigation de la console () et sélectionnez Identité et sécurité. Si vous voyez un lien Domaines dans la section Identité de la page, des domaines d'identité sont disponibles dans votre location.

Note

Si votre instance Digital Assistant est associée à un abonnement à un service Oracle Cloud Applications basé sur Fusion, tel que HCM Cloud ou Sales Cloud, voir Introduction à Oracle Digital Assistant pour Fusion Applications pour plus d'informations sur la configuration des autorisations pour les utilisateurs.

Politiques de Digital Assistant

Avant de commencer à organiser vos utilisateurs en groupes, vous devez vous familiariser avec le fonctionnement de base des politiques et déterminer les politiques à appliquer aux différents groupes d'utilisateurs.

Les politiques sont créées avec des énoncés qui spécifient les types de ressource, les verbes (qui définissent le niveau d'accès à ces types de ressource) et les emplacements (généralement les noms des compartiments).

Par exemple, vous pouvez créer un énoncé de politique qui permet à un groupe nommé ServiceDevelopers d'utiliser (use) le type de ressource oda-design dans un compartiment nommé MyDigitalAssistantTest .

Types de ressource

Ce tableau présente les types de ressource disponibles pour Oracle Digital Assistant.

Type de ressource	Description
`oda-instance-resource`	Permet l'utilisation d'API REST pour l'exportation des données clés, l'exportation des journaux de conversation, la gestion des entités dynamiques et la gestion des ensembles de ressources. Trois niveaux d'autorisation (verbes) peuvent être appliqués. Pour plus de détails sur les points d'extrémité couverts par chaque niveau d'autorisation (`inspect`, `read` et `use`), voir API REST pour Oracle Digital Assistant et cliquez sur Autorisations dans le menu à gauche de la page. Note : Pour les API d'instance de service qui vous permettent de créer des compétences et des canaux, vous avez besoin d'une politique avec le type de ressource `oda-design`.
`oda-design`	Permet d'accéder à l'interface utilisateur des compétences, des assistants numériques et des canaux. Avec le niveau d'autorisation `read`, les utilisateurs peuvent voir les artefacts créés. Avec le niveau `use`, les utilisateurs peuvent développer, tester et déployer ces artefacts. Vous permet également de créer une gestion de ces artefacts à l'aide des API d'instance de service.
`oda-insights`	Permet l'accès à l'interface utilisateur des données clés des compétences et des assistants numériques.
`oda-instances`	Active l'accès à la console pour les instances d'Oracle Digital Assistant. Avec le niveau d'autorisation `manage`, vous pouvez créer et supprimer des instances.
`oda-family`	Ce type de ressource est un surensemble des types de ressource d'Oracle Digital Assistant. Pour chaque verbe (`inspect`, `read`, `use` et `manage`), que vous utilisez avec ce type de ressource dans une définition de politique, toutes les opérations couvertes par ce verbe sont incluses. Par exemple, avec une politique qui utilise ce type de ressource et le verbe `manage`, les utilisateurs couverts par cette politique disposent de toutes les autorisations Oracle Digital Assistant possibles. Ce type de ressource inclut également les types de ressource `oda-private-endpoints` et `oda-private-endpoint-attachments`, qui sont liés à la fonction Point d'extrémité privé.

Verbes

Les verbes sont utilisés dans les définitions des politiques pour définir les niveaux d'autorisation dont disposent certains groupes d'utilisateurs pour des types de ressource donnés. Par exemple, utilisez le verbe read pour autoriser l'accès en lecture seule.

Les verbes ci-dessous ont été définis pour le jeu de types de ressource d'Oracle Digital Assistant.

Verbe	Description
inspect	Généralement, couvre les opérations qui listent le contenu d'une ressource. Ce verbe fournit l'accès le plus limité.
read	En termes d'interface utilisateur, correspond généralement à l'accès en lecture seule. En termes d'API, s'applique généralement aux opérations GET.
use	Lorsqu'il est appliqué aux ressources de l'interface utilisateur du service, ce verbe permet généralement de développer, tester et déployer ces ressources. Au niveau de l'API, il autorise généralement les opérations GET, PUT, POST, PATCH et DELETE, mais pas celles qui ont une incidence plus importante (telles que la création d'instances et l'épuration de données).
manage	Permet généralement à l'utilisateur d'effectuer l'ensemble des opérations liées à un type de ressource, notamment celles qui ont une incidence importante telles que la création d'instances et l'épuration de données.

Exemple d'ensemble de politiques

Le tableau suivant illustre les modèles applicables aux politiques du service de gestion des identités et des accès et fournit des exemples types pour Oracle Digital Assistant.

Politique GIA	Modèle d'énoncé de politique
Politique pour les administrateurs de service	`Allow group <name_of_your_Service_Administrators_Group> to manage oda-family in compartment <your_digital_assistant_compartment>`
Politique pour les développeurs de service	`Allow group <name_of_your_Service_Developers_Group> to use oda-design in compartment <your_digital_assistant_compartment>` `Allow group <name_of_your_Service_Developers_Group> to use oda-insights in compartment <your_digital_assistant_compartment>` En outre, si vous voulez que ces utilisateurs puissent voir les détails des instances Digital Assistant dans la console OCI, vous pouvez ajouter l'énoncé suivant : `Allow group <name_of_your_Service_Developers_Group> to read oda-instances in compartment <your_digital_assistant_compartment>`
Politique pour les utilisateurs professionnels de service	`Allow group <name_of_your_Service_Business_Users_Group> to read oda-design in compartment <your_digital_assistant_compartment>` `Allow group <name_of_your_Service_Business_Users_Group> to use oda-insights in compartment <your_digital_assistant_compartment>` En outre, si vous voulez que ces utilisateurs puissent voir les détails des instances Digital Assistant dans la console OCI, vous pouvez ajouter l'énoncé suivant : `Allow group <name_of_your_Service_Business_Users_Group> to read oda-instances in compartment <your_digital_assistant_compartment>`
Politique pour les utilisateurs d'API Digital Assistant	`Allow group <name_of_your_Digital_Assistant_API_Users_Group> to use oda-instance-resource in compartment <your_digital_assistant_compartment>` `Allow group <name_of_your_Digital_Assistant_API_Users_Group> to use oda-design in compartment <your_digital_assistant_compartment>` Note Le premier énoncé permet d'accéder à tous les points d'extrémité de l'API REST pour des tâches telles que l'exportation de données clés, la gestion d'entités dynamiques et la gestion d'ensembles de ressources. Vous pouvez également créer des politiques à l'aide des verbes `inspect` et `read` pour un accès plus limité. Pour voir quels points d'extrémité sont couverts par quels verbes, voir la documentation sur ces API. Le deuxième énoncé donne accès aux API d'instance de service, qui vous permettent de créer des compétences et des canaux.

Créer un compartiment

Les compartiments vous permettent de partitionner les ressources d'Oracle Cloud afin de mieux contrôler l'accès à ces ressources. Lorsque vous écrivez des politiques pour donner aux utilisateurs l'accès à une instance Digital Assistant, le nom du compartiment fait partie de l'énoncé des politiques.

Note

Vous pouvez également écrire des politiques qui donnent aux utilisateurs l'accès aux ressources du tenant entier, mais cette approche est plus adaptée aux configurations très simples (par exemple, si vous avez l'intention de ne jamais utiliser plusieurs instances Digital Assistant).

Pour créer un compartiment :

Dans la console d'infrastructure, cliquez sur dans la partie supérieure gauche pour ouvrir le menu de navigation, sélectionnez Identité et sécurité, puis cliquez sur Compartiments.
Cliquez sur Créer un compartiment.
Indiquez les valeurs obligatoires, puis cliquez sur Créer un compartiment.

Créer des utilisateurs GIA

Si vos utilisateurs n'ont pas encore de compte d'utilisateur, créez-les dans le service de gestion des identités et des accès.

Dans la console d'infrastructure, cliquez sur dans la partie supérieure gauche pour ouvrir le menu de navigation, sélectionnez Identité et sécurité, puis cliquez sur Utilisateurs.
Cliquez sur Créer un utilisateur.
Dans la boîte de dialogue Créer un utilisateur, indiquez les détails nécessaires, en tenant compte des points suivants :
- La valeur de Nom peut être une adresse de courriel ou un nom unique. Il s'agit du nom que l'utilisateur utilisera pour se connecter à l'instance.
- La valeur de Courriel est utilisée pour la récupération du mot de passe.
Cliquez sur Create (Créer).
Une fois l'utilisateur créé, sélectionnez-le et cliquez sur Créer/Réinitialiser le mot de passe.
Cliquez sur Copier.
Collez le mot de passe dans un emplacement sécurisé, puis communiquez-le à l'utilisateur.

L'utilisateur doit se connecter à l'aide de ce mot de passe, puis le modifier immédiatement.

Créer des groupes

Les groupes sont des collections d'utilisateurs qui peuvent être référencés dans les politiques. Vous créez des groupes pour gérer facilement les accès des utilisateurs.

Voici un exemple de jeu de groupes d'utilisateurs que vous pouvez configurer.

Groupe d'utilisateurs	Description et fonction
Administrateurs de services	Dispose d'un accès illimité aux fonctions de gestion, d'administration et de développement avec l'instance de service Oracle Digital Assistant.
Développeurs de services	Dispose des privilèges permettant de développer et d'entraîner des assistants numériques. Toutefois, il ne peut pas supprimer des assistants numériques ou des compétences publiés, ni épurer les données. Ces privilèges sont un sous-ensemble des privilèges de l'administrateur de service.
Utilisateurs professionnels de services	Accès en lecture seule essentiellement. Peut utiliser le testeur d'assistant numérique et de compétence, consulter les rapports de données clés et améliorer le corpus d'entraînement en ajoutant des énoncés types (réentraînement). Ces privilèges sont un sous-ensemble des privilèges du développeur de service. Ils s'adressent aux utilisateurs et aux analystes d'un secteur d'activité.
Utilisateurs de services externes	Dispose des autorisations nécessaires pour appeler les API REST d'Oracle Digital Assistant. Il existe trois niveaux d'autorisation différents (les verbes `inspect`, `read` et `use`) pour les API d'Oracle Digital Assistant. Ainsi, vous pouvez créer un groupe distinct pour deux ou trois niveaux d'autorisation.

Pour créer un groupe :

Dans la console d'infrastructure, cliquez sur dans la partie supérieure gauche pour ouvrir le menu de navigation, sélectionnez Identité et sécurité, puis cliquez sur Groupes.

Une liste des groupes de votre location s'affiche.
Cliquez sur Créer un groupe.
Entrez les informations suivantes :
- Nom : Nom unique du groupe. Le nom doit être unique dans tous les groupes de votre location. Vous ne pouvez pas le modifier plus tard.
- Description : Description conviviale. Vous pourrez modifier cet élément ultérieurement si vous le souhaitez.
- Marqueurs : Vous pouvez appliquer des marqueurs, si vous le souhaitez. Si vous êtes autorisé à créer une ressource, vous disposez également des autorisations nécessaires pour appliquer des marqueurs à structure libre à cette ressource. Pour appliquer un marqueur défini, vous devez être autorisé à utiliser l'espace de noms de marqueur. Pour plus d'informations sur le marquage, voir Marqueurs de ressource. Si vous ne savez pas si vous devez appliquer des marqueurs, ignorez cette option (vous pourrez appliquer des marqueurs plus tard) ou demandez à l'administrateur.
Cliquez sur Créer un groupe.

Ajouter des utilisateurs GIA à un groupe

Vous devez ajouter chaque utilisateur à un groupe pour lui donner accès au service.

Dans la console d'infrastructure, cliquez sur dans la partie supérieure gauche pour ouvrir le menu de navigation, sélectionnez Identité et sécurité, puis cliquez sur Groupes.

Une liste des groupes de votre location s'affiche.
Localisez le groupe dans la liste.
Cliquez sur le groupe.
Cliquez sur Ajouter un utilisateur au groupe.
Sélectionnez l'utilisateur dans la liste déroulante, puis cliquez sur Ajouter un utilisateur.

Créer des politiques

Vous définissez des politiques GIA à appliquer à vos groupes d'utilisateurs.

Pour créer une politique :

Dans la console d'infrastructure, cliquez sur dans la partie supérieure gauche pour ouvrir le menu de navigation, sélectionnez Identité et sécurité, puis cliquez sur Politiques.

La liste des politiques du compartiment que vous consultez s'affiche.
Si vous voulez attacher la politique à un compartiment autre que celui que vous consultez, effectuez la sélection souhaitée dans la liste déroulante Compartiment de gauche. L'endroit où la politique est attachée contrôle qui peut la modifier ou la supprimer plus tard (voir Attachement de politique).
Cliquez sur Créer une politique.
Entrez les informations suivantes :
- Nom : Nom unique de la politique. Le nom doit être unique parmi toutes les politiques de votre location. Vous ne pouvez pas le modifier plus tard.
- Description : Description conviviale. Vous pourrez modifier cet élément ultérieurement si vous le souhaitez.
- Contrôle des versions de la politique : Sélectionnez Tenir la politique à jour si vous voulez que la politique reflète les modifications futures apportées aux définitions des verbes et ressources du service. Si vous préférez limiter l'accès en fonction des définitions qui étaient courantes à une date précise, sélectionnez Utiliser la date de la version et entrez cette date au format AAAA-MM-JJ. Pour plus d'informations, voir Version du langage de politique.
- Énoncé : Énoncé de politique. Pour connaître le format approprié à utiliser, voir Principes de base des politiques et Syntaxe d'une politique. Si vous voulez ajouter plus d'un énoncé, cliquez sur +.
- Marqueurs : Vous pouvez appliquer des marqueurs, si vous le souhaitez. Si vous êtes autorisé à créer une ressource, vous disposez également des autorisations nécessaires pour appliquer des marqueurs à structure libre à cette ressource. Pour appliquer un marqueur défini, vous devez être autorisé à utiliser l'espace de noms de marqueur. Pour plus d'informations sur le marquage, voir Marqueurs de ressource. Si vous ne savez pas si vous devez appliquer des marqueurs, ignorez cette option (vous pourrez appliquer des marqueurs plus tard) ou demandez à l'administrateur.
Cliquez sur Create (Créer).

La nouvelle politique prend généralement effet après 10 secondes.

Pour obtenir un exemple de la façon dont vous pouvez définir vos politiques Oracle Digital Assistant, voir Exemple de jeu de politiques.

Pour des informations générales sur les politiques GIA, voir Fonctionnement des politiques.

Configuration et politiques pour Oracle Functions

Si vous décidez d'utiliser Oracle Functions pour héberger le code de composant personnalisé pour l'une de vos compétences, vous devez configurer votre location pour le développement de fonctions. Cela inclut la configuration des autorisations pour les développeurs et l'octroi à votre instance Digital Assistant des autorisations pour appeler les fonctions qui contiennent ce code.

Voici les étapes générales :

Configurez des compartiments pour les fonctions et un réseau en nuage virtuel (VCN).
Configurez le réseau en nuage virtuel (VCN).
Configurez des autorisations pour l'accès au réseau.
Configurez les autorisations pour les développeurs de fonctions.
Configurez un groupe dynamique pour votre instance (ou vos instances) Digital Assistant.
Définissez une politique pour accorder au groupe dynamique l'accès aux fonctions.

Les rubriques suivantes vous donneront un aperçu rapide de ces étapes. Si vous avez besoin de plus d'informations de contexte, voir Configuration de la location pour le développement de fonctions.

Créer un compartiment pour les fonctions et les ressources de réseau

Dans votre location, vous voudrez disposer de compartiments séparés pour vos fonctions et vos ressources de réseau. Cela vous permet d'écrire des politiques spécifiques pour chacune d'elles.

Pour créer les compartiments :

Dans la console d'infrastructure, cliquez sur dans la partie supérieure gauche pour ouvrir le menu de navigation, sélectionnez Identité et sécurité, puis cliquez sur Compartiments.
Cliquez sur Créer un compartiment.
Indiquez les valeurs obligatoires pour le compartiment dédié aux fonctions, puis cliquez sur Créer un compartiment.
Cliquez à nouveau sur Créer un compartiment et remplissez les valeurs du compartiment que vous dédiez aux ressources réseau.

Configurer un réseau en nuage virtuel (VCN)

Avant que votre équipe ne crée et ne déploie des fonctions, vous avez besoin d'un réseau en nuage virtuel (VCN) contenant les sous-réseaux pour vos fonctions.

La façon la plus simple de créer ce réseau consiste à utiliser l'assistant VCN avec connectivité Internet, ce qui génère les artefacts nécessaires pour vous. Voir Créer le VCN et les sous-réseaux à utiliser avec Oracle Functions dans la documentation sur Oracle Cloud Infrastructure.

Note

Vous devez créer le réseau en nuage virtuel dans la région où vous prévoyez déployer vos fonctions.

Configurer des autorisations pour l'accès au réseau

Pour configurer les autorisations des utilisateurs qui gèrent les ressources de réseau :

Si ce n'est pas encore fait, créez un groupe pour ces utilisateurs.
1. Dans la console d'infrastructure, cliquez sur dans la partie supérieure gauche pour ouvrir le menu de navigation, sélectionnez Identité et sécurité, puis cliquez sur Groupes.
2. Cliquez sur Créer un groupe.
3. Exécutez l'assistant en veillant à ce que le nom du groupe soit unique parmi tous les groupes de la location. Vous ne pouvez pas modifier cette valeur ultérieurement.
4. Cliquez sur Créer un groupe.
Ajoutez les utilisateurs appropriés au groupe.
- Pour chaque utilisateur, cliquez sur Ajouter un utilisateur au groupe, sélectionnez l'utilisateur dans la liste déroulante, puis cliquez sur Ajouter un utilisateur.
Créer la politique requise pour le groupe :
1. Dans le menu de navigation de la console d'infrastructure, sélectionnez Identité et sécurité, puis cliquez sur Politiques.
2. Cliquez sur Créer une politique.
3. Exécutez l'assistant en accordant une attention particulière aux champs suivants :
  - Nom : Entrez un nom unique pour la politique. Le nom doit être unique parmi toutes les politiques de votre location. Vous ne pouvez pas modifier cette valeur ultérieurement.
  - Énoncé : Ajoutez l'énoncé de politique suivant, où vous remplacez <group-name> et <network-resources-compartment-name> par les noms du groupe d'utilisateurs et du compartiment appropriés, respectivement :
```
Allow group <group-name> to manage virtual-network-family in compartment <network-resources-compartment-name>
```
    Pour en savoir plus sur le format de la politique, voir Principes de base des politiques et Syntaxe de politique.

Configurer les autorisations pour les développeurs de fonctions

Pour définir les autorisations des développeurs de fonctions :

Si ce n'est pas encore fait, créez un groupe pour ces utilisateurs.
1. Dans la console d'infrastructure, cliquez sur dans la partie supérieure gauche pour ouvrir le menu de navigation, sélectionnez Identité et sécurité, puis cliquez sur Groupes.
2. Cliquez sur Créer un groupe.
3. Exécutez l'assistant en veillant à ce que le nom du groupe soit unique parmi tous les groupes de la location. Vous ne pouvez pas modifier cette valeur ultérieurement.
4. Cliquez sur Créer un groupe.
Ajoutez les utilisateurs appropriés au groupe.
- Pour chaque utilisateur, cliquez sur Ajouter un utilisateur au groupe, sélectionnez l'utilisateur dans la liste déroulante, puis cliquez sur Ajouter un utilisateur.
Créez les politiques requises pour le groupe :
1. Dans le menu de navigation de la console d'infrastructure, sélectionnez Identité et sécurité, puis cliquez sur Politiques.
2. Cliquez sur Créer une politique.
3. Exécutez l'assistant en accordant une attention particulière aux champs suivants :
  - Nom : Entrez un nom unique pour la politique. Le nom doit être unique parmi toutes les politiques de votre location. Vous ne pouvez pas modifier cette valeur ultérieurement.
  - Énoncé : Ajoutez les énoncés de politique suivants (en cliquant sur + pour chaque énoncé après le premier), où vous remplacez <group-name>, <network-resources-compartment-name> et <functions-compartment-name> par les noms du groupe d'utilisateurs et du compartiment appropriés :
```
Allow group <group-name> to use virtual-network-family in compartment <network-resources-compartment-name>
Allow group <group-name> to manage functions-family in compartment <functions-compartment-name>
Allow group <group-name> to read metrics in compartment <functions-compartment-name>
Allow group <group-name> to manage logging-family in compartment <functions-compartment-name>
Allow group <group-name> to manage repos in tenancy
Allow group <group-name> to read objectstorage-namespaces in tenancy
```
  Note
  
  Le premier énoncé s'applique à un compartiment différent des trois énoncés suivants. Assurez-vous que le premier de ces énoncés de politique spécifie le compartiment que vous configurez pour les ressources de réseau et que les trois suivants indiquent celui destiné au développement de fonctions.

Créer un groupe dynamique

Pour que Digital Assistant puisse appeler des fonctions écrites dans Oracle Functions ou appeler d'autres services OCI (comme le service de langue), vous devez accorder des autorisations à l'instance de service Digital Assistant elle-même (par opposition aux utilisateurs de l'instance). Pour ce faire, vous devez d'abord créer un groupe dynamique qui contient une règle correspondant à cette instance. Vous pouvez ensuite appliquer une politique au groupe dynamique pour lui donner les autorisations souhaitées.

Voici les étapes pour créer un groupe dynamique pour les instances Digital Assistant.

Dans la console d'infrastructure, cliquez sur dans la partie supérieure gauche pour ouvrir le menu de navigation, sélectionnez Identité et sécurité, puis cliquez sur Groupes dynamiques.
Cliquez sur Créer un groupe dynamique pour ouvrir la boîte de dialogue correspondante.
Entrez des valeurs dans les champs Nom et Description.
Le nom doit être unique dans tous les groupes de votre location (groupes dynamiques et groupes d'utilisateurs). Vous ne pouvez pas modifier cette valeur ultérieurement.
Dans la section Règles de correspondance, ajoutez une ou plusieurs règles correspondant à l'instance ou aux instances qui doivent avoir accès au composant.
Vous pouvez ajouter des règles pour les instances ou pour les compartiments qui contiennent ces dernières.

Conseil :
Cliquez sur le lien Générateur de règles pour obtenir de l'aide sur la syntaxe de règle.

Voici les règles que vous pouvez utiliser pour les instances Digital Assistant dans un compartiment spécifique.
```
  resource.type = 'odainstance',
  resource.compartment.id = '<ocid-of-compartment-containing-DigitalAssistant-instance>'
```
Cliquez sur Create (Créer).

Exemple : Groupe dynamique pour une instance unique

Voici les étapes que vous devrez suivre pour créer un groupe dynamique pour une seule instance Digital Assistant.

Obtenez l'OCID de votre instance. Vous pouvez effectuer ces opérations en procédant de la façon suivante :
1. Dans la console Oracle Cloud Infrastructure, cliquez sur en haut à gauche pour ouvrir le menu de navigation, sélectionnez Analyse et intelligence artificielle et Digital Assistant (qui apparaît dans la catégorie Services d'intelligence artificielle de la page).
2. Dans le panneau Compartiments, sélectionnez un compartiment.
3. Sélectionnez l'instance.
4. Dans la section Informations sur l'instance de la page, cliquez sur le lien Copier pour l'OCID de l'instance.
Dans le menu de navigation de la console d'infrastructure, sélectionnez Identité et sécurité, puis cliquez sur Groupes dynamiques.
Cliquez sur Créer un groupe dynamique pour ouvrir la boîte de dialogue correspondante.
Entrez des valeurs dans les champs Nom et Description.
Cliquez sur le lien Générateur de règles .
Dans la boîte de dialogue Créer des règles de correspondance, dans le champ Mettre en correspondance les instances avec, sélectionnez OCID de l'instance.
Dans le champ Valeur, collez l'OCID que vous venez de copier.
Cliquez sur Ajouter une règle.
Cliquez sur Create (Créer).

Créer une politique pour accéder à Oracle Functions

Une fois que vous avez un groupe dynamique pour l'instance ou les instances qui doivent pouvoir appeler des fonctions dans Oracle Functions, vous créez une politique pour permettre à ce groupe d'accéder aux fonctions :

Dans la console d'infrastructure, cliquez sur dans la partie supérieure gauche pour ouvrir le menu de navigation, sélectionnez Identité et sécurité, puis cliquez sur Politiques.

La liste des politiques du compartiment que vous consultez s'affiche.
Dans la liste des compartiments, sélectionnez celui auquel vous souhaitez attacher la politique. Cela contrôle qui peut ensuite modifier ou supprimer la politique (voir Association de politique).
Cliquez sur Créer une politique.
Exécutez l'assistant en accordant une attention particulière aux champs suivants :
- Nom : Entrez un nom unique pour la politique. Le nom doit être unique parmi toutes les politiques de votre location. Vous ne pouvez pas le modifier plus tard.
- Énoncé : Entrez un énoncé de politique dans le format suivant :
```
Allow dynamic-group <name_of_your_dynamic_group> to use fn-invocation in compartment <name_of_your_Functions_compartment>
```

Politiques pour le service de langue pour OCI

Si vous configurez le service de langue OCI en tant que service de traduction dans Digital Assistant, vous devez créer les politiques appropriées pour autoriser votre instance Digital Assistant à l'utiliser.

Les étapes et politiques de configuration requises pour utiliser le service de langue pour OCI dans vos compétences et assistants numériques dépendent de la configuration de votre instance Digital Assistant et de la disponibilité du service de langue pour OCI dans la même location OCI.

Configurer le service de langue pour OCI dans la même location

Si vous avez provisionné votre instance Digital Assistant au moyen du programme Crédit universel OCI, voici les étapes générales :

Dans la console OCI de votre location, abonnez-vous au service de langue pour OCI.
Facultativement, créez un groupe dynamique pour l'instance Digital Assistant qui appellera le service de langue pour OCI. Voir Créer un groupe dynamique.
Créez une politique qui permet à l'instance Digital Assistant d'utiliser le service de langue.
Si vous n'avez pas de groupe dynamique, la politique prendrait la forme suivante :
```
Allow any-user to use ai-service-language-family in compartment <name_of_your_compartment> where request.principal.id='<ocid_of_your_Digital_Assistant_instance>'
```
Si vous avez un groupe dynamique, la politique prendrait la forme suivante :
```
Allow dynamic-group <name_of_your_dynamic_group> to use ai-service-language-family in compartment <name_of_your_Language_compartment>
```
Voir Créer des politiques pour les étapes de création de politiques dans la console OCI.

Configurer le service de langue pour OCI dans une autre location

Si le service de langue pour OCI n'est pas disponible dans la même location OCI qu'Oracle Digital Assistant, vous devez provisionner une location de modèle à crédits universels (UCM) et configurer les locations pour qu'elles fonctionnent les unes avec les autres. Les cas suivants s'appliquent :

Vous disposez d'un abonnement à Oracle Digital Assistant Platform for SaaS et utilisez une instance Digital Assistant dans cette location OCI.
Dans ce cas, vous avez besoin de politiques à la fois sur le locataire Oracle Digital Assistant et sur le client (UCM).
Votre instance Digital Assistant est associée à un abonnement à un service Oracle Cloud Applications basé sur Fusion.
Dans ce cas, vous avez juste besoin d'une politique sur le client (UCM).

Dans les deux cas, la politique sur le locataire client doit nommer l'identificateur Oracle Cloud (OCID) d'un locataire basé sur UCM, que vous obtenez en déposant une demande de service auprès d'Oracle Support.

Voici les étapes à suivre si vous disposez d'un abonnement à Oracle Digital Assistant Platform for SaaS et que vous utilisez un assistant numérique dans cette location OCI.

Dans votre location de programme de crédits universels, abonnez-vous au service de langue pour OCI.

Dans la location où vous disposez de votre abonnement au service de langue pour OCI, ajoutez une politique admit sous la forme suivante :

define tenancy digital-assistant-tenancy as <tenancy-ocid> 
admit any-user of tenancy digital-assistant-tenancy to use ai-service-language-family in compartment <chosen-compartment> where request.principal.id = '<digital-assistant-instance-OCID>'

Dans la location OCI où vous avez votre instance Digital Assistant, ajoutez une politique endorse sous la forme suivante :
```
endorse any-user to use ai-service-language-family in any-tenancy where request.principal.type = '<ocid_of_your_Digital_Assistant_instance>'
```
Voir Créer des politiques pour les étapes de création de politiques dans la console OCI.

Voici les étapes à suivre si votre instance Digital Assistant est associée à un abonnement à un service Oracle Cloud Applications basé sur Fusion, mais que vous n'avez pas d'abonnement Oracle Digital Assistant Platform for SaaS :

Obtenez une location Oracle Cloud distincte au moyen du programme de crédits universels d'Oracle Cloud. Voir Acheter un abonnement à Oracle Cloud.
Dans votre location de programme de crédits universels, abonnez-vous au service de langue pour OCI.
Déposer une demande de service auprès d'Oracle Support pour :
- Créez une politique sur votre instance Digital Assistant gérée par Oracle pour l'autoriser à utiliser le service de langue pour OCI.
- Déterminez l'OCID de votre instance Digital Assistant gérée par Oracle que vous pouvez utiliser dans la définition de politique de votre location UCM pour accorder à l'instance Digital Assistant l'autorisation d'accéder au service de langue.
Entrez les informations suivantes dans la demande de service :
- OCID du compartiment racine de la location UCM que vous utilisez pour le service de langue pour OCI. (Oracle Support l'utilisera pour créer une politique sur votre instance Digital Assistant afin de lui permettre d'utiliser le service de langue pour OCI.)
- URL de l'interface utilisateur de votre instance Digital Assistant. (Ceci permet au soutien technique de vous donner l'OCID dont vous avez besoin dans la politique admit que vous allez créer à l'étape suivante.)
Dans la location où vous êtes abonné au service de langue pour OCI, créez une politique pour permettre à Digital Assistant d'utiliser le service de langue pour OCI. Dans l'énoncé, vous utilisez l'OCID qui vous est donné à la suite de votre demande de service. Le formulaire de l'énoncé est le suivant.
```
define tenancy digital-assistant-tenancy as <tenancy-ocid> 
admit any-user of tenancy digital-assistant-tenancy to use ai-service-language-family in compartment <chosen-compartment> where request.principal.id = '<digital-assistant-instance-OCID>'
```
Voir Créer des politiques pour les étapes de création de politiques dans la console OCI.

Domaines d'accès et d'identité basés sur les rôles

Si, lors de la création d'une instance Digital Assistant, vous avez activé l'accès basé sur des rôles pour cette instance, vous pouvez affecter des rôles aux groupes et utilisateurs IAM Oracle Cloud Infrastructure dans un domaine d'identité.

La location dans laquelle votre instance Digital Assistant est provisionnée contient un domaine d'identité par défaut dans le compartiment racine. Si la location existait déjà avant l'activation de la fonction Domaines d'identité, tous les utilisateurs et groupes qui existaient dans la location au moment de l'activation des domaines d'identité seront inclus dans le domaine d'identité par défaut.

Vous pouvez créer des domaines d'identité supplémentaires pour votre locataire, dans le compartiment racine ou dans d'autres compartiments. Par exemple, vous pouvez effectuer les opérations suivantes :

Dans le compartiment racine (par défaut), créez un domaine par défaut uniquement pour les administrateurs.
Dans un autre compartiment (par exemple, Dev), créez un domaine pour les utilisateurs et les groupes d'un environnement de développement
Dans un autre compartiment (par exemple, Prod), créez un domaine pour les utilisateurs et les groupes d'un environnement de production.

Créer un domaine d'identité

Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines. La page Domains s'affiche.
Si vous ne l'avez pas encore fait, sélectionnez le compartiment dans lequel vous voulez créer le domaine.
Cliquez sur Créer un domaine.
Entrez les informations requises dans la page Créer un domaine. Voir Création de domaines d'identité dans la documentation sur Oracle Cloud Infrastructure.

Rôles d'utilisateur dans IAM

Si votre instance de Digital Assistant est configurée pour l'accès basé sur les rôles, vous donnez aux membres de votre équipe l'accès à l'instance en leur affectant l'un des rôles suivants :

ServiceBusinessUser. Ce rôle permet aux utilisateurs professionnels d'analyser l'utilisation des compétences et des assistants numériques. Les utilisateurs dotés de ce rôle peuvent effectuer les opérations suivantes :
- Consultez les compétences, les assistants numériques et les canaux qui ont déjà été créés.
- Utilisez les fonctions de données clés pour les compétences et les assistants numériques, notamment en utilisant le réentraînement pour ajouter des énoncés à des versions provisoires de compétences.
ServiceDeveloper. Ce rôle est destiné aux développeurs qui étendent, mettent à jour et/ou développent des compétences et des assistants numériques. Les utilisateurs ayant ce rôle peuvent :
- Développer, tester, former et déployer des compétences et des assistants numériques et créer des canaux.
- Utilisez les fonctions de données clés pour les compétences et les assistants numériques, notamment en utilisant le rapport de réentraînement pour ajouter des énoncés à des versions provisoires de compétences.
ServiceAdministrator. Ce rôle est conçu pour les administrateurs et leur permet d'effectuer des opérations telles que l'épuration des données et la suppression des aptitudes publiées. Les utilisateurs ayant ce rôle peuvent :
- Accédez à la console OCI pour les instances d'Oracle Digital Assistant.
- Développer, tester, former et déployer des compétences et des assistants numériques et créer des canaux.
- Utilisez les fonctions de données clés pour les compétences et les assistants numériques, notamment en utilisant le rapport de réentraînement pour ajouter des énoncés à des versions provisoires de compétences.

Créer un utilisateur dans un domaine d'identité

Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines.
Si vous ne l'avez pas encore fait, sélectionnez le compartiment dans lequel réside le domaine qui contient le groupe auquel vous voulez ajouter un nouvel utilisateur.
Dans la colonne Nom, cliquez sur le domaine du groupe dans lequel vous voulez créer l'utilisateur.
Cliquez sur Utilisateurs.
Cliquez sur Créer un utilisateur.
Dans l'écran Créer un utilisateur, entrez le prénom et le nom de famille de l'utilisateur, ainsi que son nom d'utilisateur, puis sélectionnez le ou les groupes auxquels l'utilisateur doit être affecté.
Cliquez sur Create (Créer).
Le nouvel utilisateur est ajouté aux groupes sélectionnés et dispose d'autorisations affectées au groupe en fonction de son énoncé de politique.
Dans la page des détails de l'utilisateur affichée, vous pouvez modifier les informations sur l'utilisateur s'il y a lieu et réinitialiser son mot de passe.
Fournissez aux nouveaux utilisateurs les données d'identification dont ils ont besoin pour se connecter à leur compte en nuage. Lors de la connexion, ils seront invités à entrer un nouveau mot de passe.

Créer un groupe dans un domaine d'identité

Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines.
Si vous ne l'avez pas encore fait, sélectionnez le compartiment dans lequel réside le domaine où vous voulez créer le groupe.
Dans la colonne Nom, cliquez sur le domaine dans lequel vous voulez créer le groupe pour la page Aperçu du domaine instances.The.
Cliquez sur Groupes. La page Groups du domaine s'affiche.
Cliquez sur Créer un groupe.
Dans l'écran Créer un groupe, affectez un nom au groupe (par exemple, oci-integration-admins) et entrez une description.
Cliquez sur Create (Créer).

Affecter un rôle dans un domaine d'identité

Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines.
Si ce n'est pas déjà fait, sélectionnez le compartiment dans lequel réside le domaine qui contient l'utilisateur ou le groupe auquel vous voulez affecter les rôles de l'assistant numérique.
Dans la colonne Nom, cliquez sur le domaine de l'utilisateur ou du groupe auquel vous voulez affecter des rôles.
Dans le volet de navigation, cliquez sur Services Oracle Cloud.
Dans la colonne Nom, cliquez sur l'instance Digital Assistant pour laquelle vous voulez affecter des rôles de groupe.
Dans le volet de navigation, cliquez sur Rôles d'application.
Dans la liste Rôles d'application, recherchez les rôles à affecter. À l'extrême droite, cliquez sur l'icône de menu et sélectionnez Affecter des groupes ou Affecter des utilisateurs.
Sélectionnez l'utilisateur ou le groupe auquel affecter le rôle de service, puis cliquez sur Affecter.

Documentation sur Oracle Cloud Infrastructure