Documentation sur Oracle Cloud Infrastructure

Configurer des segments multiples d'identité pour l'automatisation des processus

Pour Oracle Cloud Infrastructure Process Automation, le segment principal (primordial) est automatiquement fédéré à l'aide de groupes préconfigurés. Vous pouvez toutefois créer des environnements distincts pour un seul service ou une seule application en nuage (par exemple, créer un environnement pour le développement et un environnement pour la production), où chaque environnement a des exigences différentes en matière d'identité et de sécurité.

Note

Cette rubrique s'applique uniquement aux locations qui n'utilisent pas de domaines d'identité. Voir Différences entre les locations avec et sans domaines d'identité.

La mise en oeuvre d'un ou de plusieurs segments secondaires vous permet de créer et de gérer plusieurs instances Oracle Identity Cloud Service pour protéger vos applications et les services Oracle Cloud.

Vous pouvez fédérer manuellement un ou plusieurs segments secondaires avec Oracle Cloud Infrastructure à l'aide de la fédération SAML IDP, dans laquelle plusieurs segments Oracle Identity Cloud Service sont associés au même compte en nuage. Notez que le propriétaire du compte administre les segments principaux et secondaires, mais que les identités à l'intérieur des segments sont isolées les unes des autres.

Premièrement, définissez une convention d'attribution de nom pour la segmentation, comme l'explique la section Définir une convention d'attribution de nom de segment. Suivez ensuite les étapes ci-dessous pour fédérer manuellement un segment secondaire pour votre compte en nuage. Vous devez être le propriétaire du compte.

  1. Créer un groupe IDCS pour les utilisateurs du segment secondaire
  2. Créer un client OAuth dans le segment secondaire
  3. Créer un groupe IAM pour les utilisateurs d'un segment secondaire
  4. Créer la fédération et son mappage de groupes
  5. Créer une politique IAM permettant aux utilisateurs fédérés de créer des instances
  6. Donner accès à un segment fédéré dans le groupe IAM pour les utilisateurs du segment secondaire
  7. Créer des instances d'automatisation de processus dans les compartiments du segment secondaire

Définir une convention d'attribution de nom de segment

Il est recommandé de définir un nom de segment (<stripename>) pour toutes les entités que vous allez créer qui seront propres au segment. Il est important d'identifier de manière unique les configurations associées à un segment, notamment lorsque plusieurs segments sont configurés.

Dans les sections qui suivent, vous utiliserez le nom de segment (stripename) dans ces entités :

Entité Convention d' nom
Groupe IDCS stripename_administrators<! [CDATA[ ]]>
Groupe OCI oci_stripename_administrators<! [CDATA[ ]]>
Compartiment stripename_compartment<! [CDATA[ ]]>
Fournisseur d'identités stripename_service<! [CDATA[ ]]>
Politique stripename_adminpolicy<! [CDATA[ ]]>
Énoncé de politique allow group oci_stripename_administrators to manage process-automation-instance in compartment stripename_compartment<! [CDATA[ ]]>

Créer un groupe IDCS pour les utilisateurs du segment secondaire

Dans IDCS, créez un groupe dans le segment secondaire et ajoutez à ce groupe des utilisateurs du segment secondaire.

  1. Ajoutez un groupe dans le segment secondaire et nommez-le stripename_administrators. Par exemple, nommez-le stripe2_administrators. Cliquez sur Terminer.
    Ces administrateurs seront autorisés à créer des instances d'automatisation des processus. Ce groupe IDCS sera mappé à un groupe IAM. Voir Mapper les groupes IDCS et IAM.
  2. Ajoutez au groupe des utilisateurs du segment secondaire.

Créer un client OAuth dans le segment secondaire

Créez une application confidentielle IDCS qui utilise les données d'identification du client OAuth et qui se voit attribuer le rôle d'administrateur de domaine IDCS. Vous devez créer une application confidentielle par segment secondaire.

  1. En tant qu'administrateur IDCS, connectez-vous à la console d'administration IDCS secondaire.
  2. Ajoutez une application confidentielle.
    1. Naviguez jusqu'à l'onglet Applications.
    2. Cliquez sur Ajouter.
    3. Sélectionnez Application confidentielle.
    4. Nommez l'application Client_Credentials_For_SAML_Federation.
    5. Cliquez sur Suivant.
  3. Configurez les paramètres du client.
    1. Cliquez sur Configurer cette application comme client maintenant.
    2. Sous Autorisation, sélectionnez Données d'identification du client.
    3. Sous Accorder l'accès client aux API d'administration Identity Cloud Service, cliquez sur Ajouter et sélectionnez le rôle d'application Administrateur de domaine d'identité.
    4. Cliquez deux fois sur Suivant.
  4. Cliquez sur Terminer. Une fois l'application créée, notez son ID client et la clé secrète client. Vous aurez besoin de ces informations dans les prochaines étapes pour la fédération
  5. Cliquez sur Activer et confirmez l'activation de l'application.

Créer un groupe IAM pour les utilisateurs d'un segment secondaire

Ce groupe est nécessaire, car la fédération IDP pour Oracle Cloud Infrastructure exige un mappage des groupes pour fédérer les utilisateurs du fournisseur d'identités fédéré (IDCS), et l'appartenance à un groupe OCI natif est requise pour définir et accorder des autorisations Oracle Cloud Infrastructure (politiques) aux utilisateurs fédérés.

  1. Dans la console Oracle Cloud Infrastructure, ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Groupes.
    Ce groupe IAM sera mappé au groupe IDCS que vous avez créé.
  2. Créer un groupe et le nommer oci_stripename_administrators. Nommez-le par exemple oci_stripe2_administrators.

Créer la fédération et son mappage de groupes

Maintenant que vous avez créé les groupes IDCS et IAM et les informations client nécessaires, créez le fournisseur d'identités IDCS et mappez les groupes.

  1. Connectez-vous à la console Oracle Cloud Infrastructure. Sélectionnez le domaine d'identité du segment principal (identitécloudservice) et entrez ses données d'identification d'utilisateur.
    N'oubliez pas que le mappage de groupe pour un segment secondaire utilise les données de connexion de l'utilisateur du segment principal. Ceci est important, car l'ajout de multiples segments ajoute plusieurs options à cette liste déroulante.
  2. Ouvrez le menu de navigation et cliquez sur Identité et sécurité, puis sur Fédération.
  3. Cliquez sur Ajouter un fournisseur d'identités.
  4. Dans la fenêtre résultante, remplissez les champs comme indiqué ci-dessous.
    Champ Informations à entrer
    Nom <stripename>_service<! [CDATA[ ]]>
    Description Federation with IDCS secondary stripe<! [CDATA[ ]]>
    Type Service Oracle Identity Cloud
    URL de base d'Oracle Identity Cloud Service

    Entrez l'URL suivante dans le format :

    https://idcs-xxxx.identity.oraclecloud.com<! [CDATA[ ]]>

    Remplacez la partie du domaine <idcs-xxxx> par votre segment IDCS secondaire.

    ID client/clé secrète client

    Entrez l'ID et la clé secrète client obtenus lors de la création d'un client OAuth dans le segment secondaire. Voir Créer un client OAuth dans le segment secondaire.

    Forcer l'authentification Sélectionnez cette option.
  5. Cliquez sur Continuer.
  6. Mappez le groupe du segment secondaire IDCS et le groupe OCI que vous avez précédemment créés.
    Mappez le groupe du segment secondaire IDCS (créé à l'étape Créer un groupe IDCS pour les utilisateurs d'un segment secondaire) et le groupe OCI (créé à l'étape Créer un groupe IAM pour les utilisateurs d'un segment secondaire).
  7. Cliquez sur Ajouter un fournisseur.
    La fédération du segment secondaire est terminée. Remarquez que le mappage des groupes est affiché.
  8. Vérifiez le segment secondaire et configurez la visibilité pour les administrateurs et les utilisateurs du segment secondaire.

Créer une politique IAM permettant aux utilisateurs fédérés de créer des instances

Une fois la fédération effectuée, configurez des politiques IAM qui permettent aux utilisateurs fédérés du segment IDCS secondaire de créer des instances Oracle Cloud Infrastructure Process Automation. Comme modèle commun, la portée de la politique couvre un compartiment.

  1. Créer un compartiment où il est possible de créer des instances Oracle Cloud Infrastructure Process Automation pour le segment IDCS secondaire. Nommez le compartiment stripename_compartment.
    Par exemple, créez un compartiment nommé stripe2_compartment.
  2. Créer une politique qui permettra aux utilisateurs fédérés de créer des instances Oracle Cloud Infrastructure Process Automation dans le compartiment. Entrez le nom de la politique stripename_adminpolicy (par exemple stripe2_adminpolicy).

    Sous Générateur de politiques, sélectionnez Afficher l'éditeur manuel.

    • Syntaxe : allow group stripename_administrators to verb resource-type in compartment stripename_compartment
    • Politique : allow group oci_stripe2_administrators to manage process-automation-instance in compartment stripe2_compartment
Cette politique permet à un utilisateur qui est membre du groupe dans la politique de créer une instance Oracle Cloud Infrastructure Process Automation (process-automation-instance) dans le compartiment nommé stripe2_compartment.

Donner accès à un segment fédéré dans le groupe IAM pour les utilisateurs du segment secondaire

Effectuez des étapes supplémentaires pour permettre à l'administrateur du segment secondaire et à tous les autres utilisateurs du segment secondaire de voir les segments sous fédération.

  1. Dans Oracle Identity Cloud Service, créez un groupe nommé stripe2_federation_administrators.
  2. Ajoutez des utilisateurs au groupe pour que vous puissiez voir la fédération et créer des utilisateurs et des groupes dans la console Oracle Cloud Infrastructure de ce segment.
  3. Dans la console Oracle Cloud Infrastructure, en utilisant l'utilisateur du segment principal avec l'autorisation appropriée, créez un groupe IAM nommé oci_stripe2_federation_administrators.
  4. Mappez les groupes stripe2_federation_administrators et oci_stripe2_federation_administrators.
  5. Dans les exemples d'énoncé suivants, définissez une politique qui accorde l'accès aux segments fédérés.

    Plusieurs exemples montrent comment accorder l'accès à un segment fédéré spécifique, à l'aide d'une clause where qui identifie le segment secondaire.

    Vous pouvez obtenir l'OCID de la fédération dans la vue de fédération de la console Oracle Cloud Infrastructure.

    Permet aux administrateurs de segment secondaire de... Énoncé de politique
    Créer des groupes (utilisation) allow group oci_stripe2_federation_administrators to use groups in tenancy<! [CDATA[ ]]>
    Lister les fournisseurs d'identités dans la fédération (inspecter) allow group oci_stripe2_federation_administrators to inspect identity-providers in tenancy<! [CDATA[ ]]>

    Notez que si les administrateurs de segment secondaire sont requis pour créer des groupes, cette politique est requise lorsqu'une clause WHERE est incluse.
    Accéder à un segment fédéré spécifique (utilisation) allow group oci_stripe2_federation_administrators to use identity-providers in tenancy where target.identity-provider.id=“ocid1.saml2idp.oc1..aaaaaaaaa…”<! [CDATA[ ]]>

    Lorsque vous vous vous connectez en tant qu'utilisateur du groupe IDCS ci-dessus, vous pouvez créer des utilisateurs et des groupes dans la console Oracle Cloud Infrastructure et affecter des autorisations comme vous le feriez pour un segment principal.

Créer des instances d'automatisation de processus dans les compartiments du segment secondaire

Une fois la fédération et les politiques Oracle Cloud Infrastructure définies, les utilisateurs fédérés peuvent se connecter à la console Oracle Cloud Infrastructure et créer des instances Oracle Cloud Infrastructure Process Automation.

  1. Connectez-vous en tant qu'utilisateur fédéré du segment secondaire.
    Les utilisateurs doivent sélectionner le segment secondaire dans le champ Fournisseur d'identités. Par exemple, stripe2_administrators.
  2. Les administrateurs autorisés peuvent créer des instances d'automatisation de processus dans le compartiment spécifié (par exemple, stripe2_compartment).