Documentation sur Oracle Cloud Infrastructure

Gestion des comptes d'administrateur du boîtier en nuage privé

Un compte d'administration principal est configuré lors de la configuration initiale de Private Cloud Appliance. Avec ce compte principal, qui ne peut pas être supprimé, d'autres comptes d'administrateur doivent être créés. Service Enclave permet de contrôler les privilèges, les préférences et les mots de passe des comptes d'administrateur.

Il est possible de créer des comptes d'administrateur de boîtier localement, mais Private Cloud Appliance prend également en charge la fédération avec un fournisseur d'identités existant, afin que les utilisateurs puissent se connecter avec leur ID et leur mot de passe existants. Un seul fournisseur d'identités fédéré est pris en charge pour les comptes d'administrateur de boîtier. Le processus d'établissement d'une approbation de fédération avec le fournisseur d'identités est le même que pour la fédération d'identités au niveau de la location. Pour plus d'informations, voir Fédération d'identités avec Microsoft Active Directory pour les comptes d'administrateur.

Les fonctions Service Enclave disponibles pour un administrateur sont déterminées par le groupe d'autorisations auquel appartient le compte. Pour chaque groupe d'autorisations, le contrôle d'accès est configuré à l'aide de politiques. Une politique régit les actions explicitement autorisées sur les ressources. Les énoncés de politique peuvent également s'appliquer aux familles d'autorisations, qui sont des groupes logiques de ressources ou de fonctions.

Pour créer et gérer des comptes d'administrateur, vous devez comprendre comment utiliser le cadre de politique pour le contrôle d'accès. Pour plus d'informations, voir Contrôle des privilèges d'accès de l'administrateur.

Création d'un nouveau compte d'administrateur

Les privilèges accordés au compte d'administrateur dépendent de l'appartenance au groupe d'autorisations.

Utiliser l'interface utilisateur Web du service

  1. Ouvrez le menu de navigation et cliquez sur Utilisateurs.

  2. Cliquez sur Create User pour ouvrir la fenêtre Create User.

  3. Entrez les détails suivants :

    • Nom : Entrez un nom pour ce compte d'administrateur. Ce nom sera utilisé pour la connexion.

    • Groupe d'autorisations : Sélectionnez le groupe d'autorisations auquel le nouvel administrateur est ajouté. Cette sélection détermine les droits d'accès et les privilèges du compte d'administrateur.

    • Mot de passe : Définissez un mot de passe pour le nouveau compte d'administrateur. Entrez-la une deuxième fois pour confirmer.

  4. Cliquez sur Créer un utilisateur. Le nouveau compte administrateur s'affiche dans la table Users.

Utilisation de l'interface de ligne de commande du service

  1. Affichez la liste des groupes d'autorisations. Copiez l'ID du groupe d'autorisations dans lequel vous souhaitez créer le compte d'administrateur.

    PCA-ADMIN> list AuthorizationGroup
Command: list AuthorizationGroup
Data:
  id Name
 -- ----
 9e6fef47-6ba7-4123-b25d-f9406173a609 OracleServiceAdmin
 2652ac1a-aa9e-4edf-bae7-d434efb23052 OCIApp
 411ed79b-8f66-434b-862a-3c6e1b036fc4 SuperAdmin
 f5f9a82e-aa0a-4c31-a873-fae59fe20f38 Initial

  2. Créez un compte d'administrateur à l'aide de la commande createUserInGroup.

    Les paramètres requis sont le nom d'utilisateur, le mot de passe et le groupe d'autorisations.

    PCA-ADMIN> createUserInGroup name=testadmin password=************ confirmPassword=************ authGroup=365ece7b-0a09-4a04-853c-7a0f6c4789f0
JobId: 6dd5a542-4399-4414-ac3b-636968744f79

  3. Vérifiez que le nouveau compte d'administrateur a été créé correctement. Utilisez les commandes list et show pour afficher les informations sur le compte.

    PCA-ADMIN> list User
Data:
  id                                     name
  --                                     ----
  401fce73-5bee-48b1-b86d-fba1d85e049b   admin
  682ebc19-8493-4e9a-817c-148acea4b1d4   testadmin

PCA-ADMIN> show user name=testadmin
Data:
  Id = 682ebc19-8493-4e9a-817c-148acea4b1d4
  Type = User
  Name = testadmin
  Default User = false
  AuthGroupIds 1 = id:365ece7b-0a09-4a04-853c-7a0f6c4789f0  type:AuthorizationGroup  name:InternalGroup
  UserPreferenceId = id:1321249c-0651-49dc-938d-7764b9638ea9  type:UserPreference  name:

Modification de l'appartenance à un groupe d'autorisations

Lorsque vous créez un compte d'administrateur, vous sélectionnez le groupe d'autorisations auquel le nouvel administrateur est ajouté. Toutefois, vous pouvez modifier les groupes d'autorisations auxquels un administrateur appartient à tout moment.

Utiliser l'interface utilisateur Web du service

Pour ajouter un administrateur à un groupe d'autorisations supplémentaire :

  1. Ouvrez le menu de navigation et cliquez sur Authorization Groups.

  2. Cliquez sur le groupe d'autorisations auquel vous souhaitez ajouter un administrateur.

  3. Sous Ressources, cliquez sur Utilisateurs, puis sur Ajouter un utilisateur au groupe.

  4. Dans l'écran Add User to Group, sélectionnez un administrateur, puis cliquez sur OK.

Pour supprimer un administrateur d'un groupe d'autorisations :

  1. Si l'administrateur appartient uniquement au groupe d'autorisations dont vous voulez supprimer le compte, ajoutez d'abord l'administrateur à un autre groupe d'autorisations.

  2. Ouvrez le menu de navigation et cliquez sur Authorization Groups.

  3. Cliquez sur le groupe d'autorisations dont vous souhaitez supprimer un administrateur.

  4. Sous Ressources, cliquez sur Utilisateurs. La liste des utilisateurs du groupe d'autorisations s'affiche.

  5. Dans la liste, cliquez sur le menu Actions de l'utilisateur à supprimer, puis sur Supprimer l'utilisateur du groupe.

Utilisation de l'interface de ligne de commande du service

  1. Collectez les ID du compte d'administrateur à modifier et les groupes d'autorisations impliqués dans la modification de configuration.

    PCA-ADMIN> list User
Data:
  id                                     name
  --                                     ----
  401fce73-5bee-48b1-b86d-fba1d85e049b   admin
  682ebc19-8493-4e9a-817c-148acea4b1d4   testadmin

PCA-ADMIN> list AuthorizationGroup
Data:
  id                                     name
  --                                     ----
  587fc90d-3312-41d9-8be3-1ce21b8d9b41   MonitorGroup
  c18cc6af-4ef8-4b1c-b85d-ee3b065f503e   DrAdminGroup
  8f03faf2-c321-4455-af21-75cbffc269ef   AdminGroup
  5ac65f5d-1f8c-42ea-a1de-95a1941f009f   Day0ConfigGroup
  365ece7b-0a09-4a04-853c-7a0f6c4789f0   InitialGroup
  7da8be67-758c-4cd6-8255-e9d2900c788e   SuperAdminGroup

  2. Pour ajouter un administrateur à un groupe d'autorisations, utilisez la commande add User.

    PCA-ADMIN> add User id=682ebc19-8493-4e9a-817c-148acea4b1d4 to AuthorizationGroup id=587fc90d-3312-41d9-8be3-1ce21b8d9b41
JobId: 3facde6d-acb6-4fc4-84dc-93de88eea25c

  3. Affichez les détails du compte d'administrateur pour vérifier les modifications que vous avez apportées.

    PCA-ADMIN> show User name=testadmin
Data:
  Id = 682ebc19-8493-4e9a-817c-148acea4b1d4
  Type = User
  Name = testadmin
  Default User = false
  AuthGroupIds 1 = id:365ece7b-0a09-4a04-853c-7a0f6c4789f0  type:AuthorizationGroup  name:InternalGroup
  AuthGroupIds 2 = id:587fc90d-3312-41d9-8be3-1ce21b8d9b41  type:AuthorizationGroup  name:MonitorGroup
  UserPreferenceId = id:1321249c-0651-49dc-938d-7764b9638ea9  type:UserPreference  name:

  4. Pour supprimer un administrateur d'un groupe d'autorisations, utilisez la commande remove User.

    PCA-ADMIN> remove User name=testadmin from AuthorizationGroup id=587fc90d-3312-41d9-8be3-1ce21b8d9b41
JobId: 44110d28-70af-4a42-8eb7-7d59a3bc8295

Modification des données d'identification de l'administrateur

Le mot de passe de l'administrateur est défini lors de la création du compte. Vous pouvez toujours modifier le mot de passe de votre propre compte. Selon les privilèges, vous pouvez également être autorisé à modifier le mot de passe d'un autre administrateur.

Utiliser l'interface utilisateur Web du service

  1. Ouvrez le menu de navigation et cliquez sur Utilisateurs.

  2. Cliquez sur le compte administrateur pour lequel vous souhaitez modifier le mot de passe. La page des détails de l'utilisateur s'affiche.

    Sinon, pour afficher votre propre page de détails d'utilisateur, cliquez sur votre nom dans le coin supérieur droit de la page et sélectionnez Mon profil.

  3. Cliquez sur Modifier le mot de passe pour ouvrir la fenêtre Modifier le mot de passe.

  4. Entrez le nouveau mot de passe du compte. Entrez-la une deuxième fois pour confirmation. Cliquez sur Enregistrer les modifications pour appliquer le nouveau mot de passe.

Utilisation de l'interface de ligne de commande du service

  1. Afficher la liste des comptes d'administrateur. Copiez l'ID du compte pour lequel vous souhaitez modifier le mot de passe.

    PCA-ADMIN> list User
Data:
  id                                     name
  --                                     ----
  401fce73-5bee-48b1-b86d-fba1d85e049b   admin
  682ebc19-8493-4e9a-817c-148acea4b1d4   testadmin

  2. Définissez un nouveau mot de passe pour le compte d'administrateur sélectionné à l'aide de la commande changePassword.

    PCA-ADMIN> changePassword id=682ebc19-8493-4e9a-817c-148acea4b1d4 password=************ confirmPassword=************
JobId: 35710cd9-26ac-4be9-8b73-c4cf634cc121

Modification des préférences des comptes d'administrateur

Lorsque vous êtes connecté à l'interface de ligne de commande du service, vous pouvez modifier certains paramètres pour votre propre compte d'administrateur. Ces modifications prennent effet immédiatement et sont persistantes pour toutes vos futures connexions à l'interface de ligne de commande.

Toutefois, vous pouvez également modifier temporairement les paramètres pour votre session d'interface de ligne de commande courante uniquement. Pour ce faire, remplacez l'objet UserPreference par CliSession dans les exemples de commande ci-dessous.

Paramètre

Options

Description

alphabetizeMode

OUI, NON

Activez ce paramètre pour afficher les attributs d'un objet géré dans l'ordre alphabétique. La valeur par défaut est "Non".

attributeDisplay

NOM D'AFFICHAGE, ATTRIBUTENAME

Utilisez ce paramètre pour contrôler si le nom de l'attribut de chaque objet est affiché. Le paramètre par défaut est "displayName".

endLineCharsDisplayValue

CR, CR, LF

Spécifiez le caractère de fin de ligne à utiliser lorsque la sortie de l'interface de ligne de commande se compose de plusieurs lignes. Le paramètre par défaut est "CRLF".

outputMode

VERBOSE, DISPERSÉ, XML

Spécifiez le format de sortie de l'interface de ligne de commande. Le paramètre par défaut est "Sparse".

wsCallMode

SYNCHRONE, ASYNCHRONE

Utilisez ce paramètre pour déterminer si la sortie de l'interface de ligne de commande d'une commande est appelée de manière synchrone ou asynchrone. Le paramètre par défaut est "Asynchronous".

wsTimeoutInSeconds

Lorsque l'interface de ligne de commande est réglée au mode d'appel "Synchrone", utilisez ce paramètre pour déterminer le nombre de secondes pendant lesquelles l'interface de ligne de commande attend la fin d'une tâche retournée par une opération.

Procédez comme suit :

  1. Afficher vos préférences de compte courantes.

    PCA-ADMIN> show UserPreference
Data:
  Id = ec433c0f-4208-4e92-859e-498218d0f5c9
  Type = UserPreference
  WS Call Mode = Asynchronous
  Alphabetize Mode = No
  Attribute Display = Display Name
  End Line Characters Display Value = CRLF
  Output Mode = Verbose
  Command Wait Timeout In Seconds = 240
  UserId = id:401fce73-5bee-48b1-b86d-fba1d85e049b  type:User  name:admin

  2. Modifiez le paramètre de votre choix à l'aide de la commande edit userPreference.

    PCA-ADMIN> edit UserPreference outputMode=XML
JobId: 9d312d9b-6169-47cb-97d4-6a8984237fa0

  3. Exécutez la commande edit pour les autres paramètres que vous souhaitez modifier.

  4. Affichez à nouveau vos préférences de compte courantes pour vérifier les modifications que vous avez apportées.

    PCA-ADMIN> show UserPreference
Data:
  Id = ec433c0f-4208-4e92-859e-498218d0f5c9
  Type = UserPreference
  WS Call Mode = Asynchronous
  Alphabetize Mode = No
  Attribute Display = Display Name
  End Line Characters Display Value = CRLF
  Output Mode = Xml
  Command Wait Timeout In Seconds = 180
  UserId = id:401fce73-5bee-48b1-b86d-fba1d85e049b  type:User  name:admin

Suppression d'un compte d'administrateur

Utiliser l'interface utilisateur Web du service

  1. Ouvrez le menu de navigation et cliquez sur Utilisateurs.

  2. Cliquez sur le compte d'administrateur à supprimer. La page des détails de l'utilisateur s'affiche.

  3. Cliquez sur Supprimer. Confirmez l'opération à l'invite.

Utilisation de l'interface de ligne de commande du service

  1. Recherchez le nom et l'ID du compte d'administrateur à supprimer.

    PCA-ADMIN> list User
Data:
  id                                     name
  --                                     ----
  401fce73-5bee-48b1-b86d-fba1d85e049b   admin
  682ebc19-8493-4e9a-817c-148acea4b1d4   testadmin

  2. Pour supprimer le compte d'administrateur, utilisez la commande delete User suivie du nom ou de l'ID compte.

    PCA-ADMIN> delete User name=testadmin
JobId: 56e9dfcb-6b64-4f9d-b137-171f538029d3

  3. Vérifiez que le compte supprimé n'est plus affiché dans la liste des utilisateurs.

    PCA-ADMIN> list User
Data:
  id                                     name
  --                                     ----
  401fce73-5bee-48b1-b86d-fba1d85e049b   admin