Documentation sur Oracle Cloud Infrastructure

Configuration d'utilisateurs et de groupes dans les comptes en nuage qui utilisent des domaines d'identité

Pour un compte en nuage dans une région mise à jour afin d'utiliser des domaines d'identité avant la création du compte en nuage, les utilisateurs et les groupes sont configurés dans le service Oracle Cloud Infrastructure (IAM).

Note

Cette section s'applique uniquement aux comptes en nuage qui utilisent des domaines d'identité. Si vous ne savez pas si votre compte en nuage utilise des domaines d'identité, voir À propos de la configuration des utilisateurs et des groupes.

Pour plus d'informations sur le service IAM d'Oracle Cloud Infrastructure et la documentation qui fournit les informations dont vous avez besoin, voir Documentation à utiliser pour les identités en nuage dans Aperçu du service IAM de la documentation sur Oracle Cloud Infrastructure.

Avec les domaines d'identité, les rôles sont affectés aux groupes IAM Oracle Cloud Infrastructure dans un domaine, comme illustré dans le diagramme suivant.

Description de identity-domain-config.png
Description de l'illustration identity-domain-config.png

Création d'un domaine d'identité

Créez un domaine d'identité dans lequel configurer les utilisateurs et les groupes.

Dans une location Oracle Cloud Infrastructure (compte en nuage), votre environnement comprend un compartiment racine (par défaut) et éventuellement plusieurs autres compartiments, selon la configuration de votre environnement. Pour créer des compartiments, voir Créer un compartiment pour Visual Builder. Dans chaque compartiment, vous pouvez créer des utilisateurs et des groupes. Par exemple, à titre de meilleure pratique :

  • Dans le compartiment racine (par défaut), créez un domaine par défaut pour les administrateurs uniquement.
  • Dans un autre compartiment (par exemple, nommé Dev), créez un domaine pour les utilisateurs et les groupes dans un environnement de développement
  • Dans un autre compartiment (par exemple, nommé Prod), créez un domaine pour les utilisateurs et les groupes dans un environnement de production.

Vous pouvez également créer plusieurs domaines dans un seul compartiment.

  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines.
    La page Domaines s'affiche.
  2. Si vous ne l'avez pas encore fait, sélectionnez le compartiment dans lequel vous voulez créer le domaine.
  3. Cliquez sur Créer un domaine.
  4. Entrez les informations requises dans la page Créer un domaine. Voir Création de domaines d'identité dans la documentation sur Oracle Cloud Infrastructure.

Création d'un groupe Oracle Cloud Infrastructure dans un domaine d'identité

Créez un groupe, tel qu'un administrateur d'instance ou un groupe en lecture seule, dans un domaine d'identité.

  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines.
    La page Domaines s'affiche.
  2. Si vous ne l'avez pas encore fait, sélectionnez le compartiment dans lequel réside le domaine où vous voulez créer le groupe.
  3. Dans la colonne Nom, cliquez sur le domaine dans lequel vous voulez créer le groupe pour la création et la gestion des instances.
    La page d'aperçu du domaine s'affiche.
  4. Cliquez sur Groupes.
    La page Groupes du domaine s'affiche.
  5. Cliquez sur Créer un groupe.
  6. Dans l'écran Créer un groupe, affectez un nom au groupe (par exemple, oci-visualbuilder-admins) et entrez une description.
  7. Cliquez sur Créer.

Création d'une politique Oracle Cloud Infrastructure dans un domaine d'identité

Créez une politique pour accorder des autorisations aux utilisateurs d'un groupe de domaines afin qu'ils puissent utiliser les instances Oracle Cloud Infrastructure d'une location ou d'un compartiment spécifique.

  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Politiques.
  2. Cliquez sur Créer une politique.
  3. Dans la fenêtre Créer une politique, entrez un nom (par exemple, VisualBuilderGroupPolicy) et une description.
  4. Dans le générateur de politiques, sélectionnez Afficher l'éditeur manuel et entrez les énoncés de politique requis.

    Syntaxe :

    • allow group domain-name/group_name to verb resource-type in compartment compartment-name

    • allow group domain-name/group_name to verb resource-type in tenancy

    Exemple : allow group admin/oci-visualbuilder-admins to manage visualbuilder-instances in compartment VBCompartment

    Note

    Si vous omettez le nom de domaine, le domaine par défaut est supposé.

    Cet énoncé de politique permet au groupe oci-visualbuilder-admins du domaine admin d'accéder à l'instance manage visualbuilder-instances du compartiment VBCompartment.

    Vous pouvez créer des groupes distincts pour différentes autorisations, par exemple un groupe avec l'autorisation read uniquement.

    Voulez-vous en savoir plus sur les politiques? Voir Fonctionnement des politiques et Informations de référence sur les politiques ou cliquez sur Aide dans la fenêtre.

    • Lorsque vous définissez des énoncés de politique, vous pouvez spécifier des verbes (comme dans ces étapes) ou des autorisations (généralement utilisées par les utilisateurs expérimentés).

    • Les verbes read et manage sont les plus applicables à Visual Builder. Le verbe manage dispose du plus d'autorisations (create, delete, edit, move et view).

      Verbe Accès

      read

      Inclut l'autorisation de voir les instances Oracle Visual Builder et leurs détails.

      manage

      Inclut toutes les autorisations pour les instances Oracle Visual Builder.
  5. Si vous prévoyez d'utiliser des points d'extrémité personnalisés, ajoutez un ou plusieurs énoncés de politique supplémentaires. Sinon, ignorez cette étape.
    Ajoutez des politiques qui spécifient le compartiment dans lequel résident les chambres fortes et les clés secrètes et permettez au groupe d'administrateurs de gérer les clés secrètes qu'il contient. Voir Créer et configurer un point d'extrémité personnalisé.
    Notez que vous devez spécifier la ressource à retourner dans resource-type, comme décrit dans Informations détaillées sur le service de chambre forte. Notez également qu'Oracle Visual Builder requiert le verbe read uniquement mais que manage est recommandé si le même groupe administre également les clés secrètes (opérations de chargement/cycle de vie).

    Exemples : :

    • allow group admin/oci-visualbuilder-admins to manage secrets in compartment SecretsCompartment

    • allow group admin/oci-visualbuilder-admins to manage vaults in compartment SecretsCompartment

  6. Cliquez sur Créer.
    Les énoncés de politique sont validés et les erreurs de syntaxe sont affichées.

Création d'un utilisateur dans un domaine d'identité

Créez un utilisateur à affecter à un groupe dans un domaine d'identité Oracle Cloud Infrastructure.

  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines.
    La page Domaines s'affiche.
  2. Si vous ne l'avez pas encore fait, sélectionnez le compartiment dans lequel réside le domaine qui contient le groupe auquel vous voulez ajouter un nouvel utilisateur.
  3. Dans la colonne Nom, cliquez sur le domaine du groupe dans lequel vous voulez créer l'utilisateur.
    La page d'aperçu du domaine s'affiche.
  4. Cliquez sur Utilisateurs.
    La page Utilisateurs du domaine s'affiche.
  5. Cliquez sur Créer un utilisateur.
  6. Dans l'écran Créer un utilisateur, entrez le prénom et le nom de famille de l'utilisateur, ainsi que son nom d'utilisateur, puis sélectionnez le ou les groupes auxquels l'utilisateur doit être affecté.
  7. Cliquez sur Créer.
    Le nouvel utilisateur est ajouté aux groupes sélectionnés et dispose d'autorisations affectées au groupe par son énoncé de politique.
  8. Dans la page des détails de l'utilisateur affichée, vous pouvez modifier les informations sur l'utilisateur s'il y a lieu et réinitialiser son mot de passe.
  9. Fournissez aux nouveaux utilisateurs les données d'identification dont ils ont besoin pour se connecter à leur compte en nuage. Lors de la connexion, ils seront invités à entrer un nouveau mot de passe.

Affectation de rôles de service Visual Builder à des groupes dans un domaine d'identité

Après la création d'une instance Visual Builder, affectez des rôles de service Oracle Visual Builder à des groupes d'utilisateurs afin qu'ils puissent utiliser les fonctions de l'instance.

Note

La meilleure pratique consiste à affecter des rôles de service Oracle Visual Builder à des groupes sélectionnés plutôt qu'à des utilisateurs individuels.

Oracle Visual Builder fournit un jeu standard de rôles de service qui régissent l'accès aux fonctions. Selon les fonctions Oracle Visual Builder que votre organisation utilise, vous pouvez choisir de créer des groupes nommés en fonction du rôle de service qui leur est accordé. Par exemple, VisualBuilderServiceAdministrators pour le rôle ServiceAdministrator d'Oracle Visual Builder.

  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines.
    La page Domaines s'affiche.
  2. Si ce n'est pas déjà fait, sélectionnez le compartiment dans lequel réside le domaine qui contient le groupe auquel vous voulez affecter des rôles Oracle Visual Builder.
  3. Dans la colonne Nom, cliquez sur le domaine du groupe auquel vous voulez affecter des rôles.
    La page d'aperçu du domaine s'affiche.
  4. Dans le volet de navigation, cliquez sur Services Oracle Cloud.
    La page Oracle Cloud Services s'affiche.
  5. Dans la colonne Nom, cliquez sur l'instance Oracle Visual Builder pour laquelle vous voulez affecter des rôles de groupe.
    La page des détails de l'instance s'affiche.
  6. Dans le volet de navigation, cliquez sur Rôles d'application.
  7. Dans la liste Rôles d'application, localisez les rôles à affecter au groupe. À l'extrémité droite, cliquez sur Menu Tâches et sélectionnez Affecter des groupes.
  8. Dans la page Affecter des groupes, sélectionnez le groupe auquel affecter le rôle de service, puis cliquez sur Affecter.