Documentation sur Oracle Cloud Infrastructure

Configuration d'utilisateurs et de groupes dans les comptes en nuage qui utilisent des domaines d'identité

Pour un compte en nuage dans une région mise à jour afin d'utiliser des domaines d'identité avant la création du compte en nuage, les utilisateurs et les groupes ne sont configurés que dans Oracle Cloud Infrastructure (IAM).

Note

Cette section s'applique uniquement aux comptes en nuage qui utilisent des domaines d'identité. Si vous ne savez pas si votre compte en nuage utilise des domaines d'identité, voir À propos de la configuration d'utilisateurs et de groupes.

Pour plus d'informations sur le service IAM pour Oracle Cloud Infrastructure et la documentation qui fournit les informations dont vous avez besoin, voir Documentation à utiliser pour le service de gestion des identités en nuage dans Aperçu du service IAM dans la documentation sur Oracle Cloud Infrastructure.

Avec les domaines d'identité, les rôles sont affectés aux groupes IAM d'Oracle Cloud Infrastructure dans un domaine, comme illustré dans le diagramme suivant.

Description de identity-domain-config.png
Description de l'illustration identity-domain-config.png

Création d'un domaine d'identité

Créez un domaine d'identité dans lequel configurer des utilisateurs et des groupes.

Dans une location Oracle Cloud Infrastructure (compte en nuage), votre environnement comprend un compartiment racine (par défaut) et éventuellement plusieurs autres compartiments, selon la configuration de votre environnement. Pour créer des compartiments, voir Créer un compartiment pour le service Visual Builder. Dans chaque compartiment, vous pouvez créer des utilisateurs et des groupes. Par exemple, à titre de meilleure pratique :

  • Dans le compartiment racine (par défaut), créez un domaine par défaut uniquement pour les administrateurs.
  • Dans un autre compartiment (par exemple, Dev), créez un domaine pour les utilisateurs et les groupes d'un environnement de développement
  • Dans un autre compartiment (par exemple, Prod), créez un domaine pour les utilisateurs et les groupes d'un environnement de production.

Vous pouvez également créer plusieurs domaines dans un seul compartiment.

  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines.
    La page Domaines s'affiche.
  2. Si vous ne l'avez pas encore fait, sélectionnez le compartiment dans lequel vous voulez créer le domaine.
  3. Cliquez sur Créer un domaine.
  4. Entrez les informations requises dans la page Créer un domaine. Voir Création de domaines d'identité dans la documentation sur Oracle Cloud Infrastructure.

Création d'un groupe Oracle Cloud Infrastructure dans un domaine d'identité

Créez un groupe, par exemple un administrateur d'instance ou un groupe avec accès en lecture seule, dans un domaine d'identité.

  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines.
    La page Domaines s'affiche.
  2. Si vous ne l'avez pas encore fait, sélectionnez le compartiment dans lequel réside le domaine où vous voulez créer le groupe.
  3. Dans la colonne Nom, cliquez sur le domaine dans lequel vous voulez créer le groupe pour la création et la gestion des instances.
    La page Aperçu du domaine s'affiche.
  4. Cliquez sur Groupes.
    La page Groupes du domaine s'affiche.
  5. Cliquez sur Créer un groupe.
  6. Dans l'écran Créer un groupe, affectez un nom au groupe (par exemple, oci-visualbuilder-admins) et entrez une description.
  7. Cliquez sur Créer.

Création d'une politique Oracle Cloud Infrastructure dans un domaine d'identité

Créez une politique pour accorder aux utilisateurs d'un groupe de domaines l'autorisation d'utiliser les instances Oracle Cloud Infrastructure d'une location ou d'un compartiment spécifié.

  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Politiques.
  2. Cliquez sur Créer une politique.
  3. Dans la fenêtre Créer une politique, entrez un nom (par exemple, VisualBuilderGroupPolicy) et une description.
  4. Dans le générateur de politiques, sélectionnez Afficher l'éditeur manuel et entrez les énoncés de politique requis.

    Syntaxe :

    • allow group domain-name/group_name to verb resource-type in compartment compartment-name

    • allow group domain-name/group_name to verb resource-type in tenancy

    Exemple : allow group admin/oci-visualbuilder-admins to manage visualbuilder-instances in compartment VBCompartment

    Note

    Si vous omettez le nom de domaine, le domaine par défaut est utilisé.

    Cet énoncé de politique autorise le groupe oci-visualbuilder-admins dans le domaine admin à utiliser l'instance manage visualbuilder-instances dans le compartiment VBCompartment.

    Vous pouvez créer des groupes distincts avec des autorisations différentes, comme un groupe ayant seulement l'autorisation de lecture (read).

    Vous voulez en savoir plus sur les politiques? Consultez les rubriques Fonctionnement des politiques et Informations de référence sur les politiques ou cliquez sur Aide dans la fenêtre.

    • Lors de la définition d'énoncés de politique, vous pouvez spécifier des verbes (comme dans ces étapes) ou des autorisations (généralement utilisées par les utilisateurs expérimentés).

    • Les verbes read et manage sont les plus appropriés pour Visual Builder. Le verbe manage accorde le niveau d'autorisation le plus élevé (create, delete, edit, move et view).

      Verbe Accéder à

      read

      Comprend l'autorisation de voir les instances Oracle Visual Builder et leurs détails.

      manage

      Inclut toutes les autorisations pour les instances Oracle Visual Builder.
  5. Si vous avez l'intention d'utiliser des points d'extrémité personnalisés, ajoutez un ou plusieurs énoncés de politique supplémentaires. Sinon, ignorez cette étape.
    Ajoutez des politiques qui spécifient le compartiment dans lequel résident les chambres fortes et les clés secrètes et permettez au groupe d'administrateurs de gérer les clés secrètes qu'il contient. Voir Créer et configurer un point d'extrémité personnalisé.
    Notez que vous devez spécifier la ressource à retourner dans resource-type, comme décrit sous Informations détaillées sur le service de chambre forte. Notez également qu'Oracle Visual Builder exige le verbe read uniquement, mais que manage est recommandé si le même groupe administre également les clés secrètes (opérations de chargement/cycle de vie).

    Exemples : :

    • allow group admin/oci-visualbuilder-admins to manage secrets in compartment SecretsCompartment

    • allow group admin/oci-visualbuilder-admins to manage vaults in compartment SecretsCompartment

  6. Cliquez sur Créer.
    Les énoncés de politique sont validés et les erreurs de syntaxe sont affichées.

Création d'un utilisateur dans un domaine d'identité

Créez un utilisateur à affecter à un groupe dans un domaine d'identité Oracle Cloud Infrastructure.

  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines.
    La page Domaines s'affiche.
  2. Si vous ne l'avez pas encore fait, sélectionnez le compartiment dans lequel réside le domaine qui contient le groupe auquel vous voulez ajouter un nouvel utilisateur.
  3. Dans la colonne Nom, cliquez sur le domaine du groupe dans lequel vous voulez créer l'utilisateur.
    La page Aperçu du domaine s'affiche.
  4. Cliquez sur Utilisateurs.
    La page Utilisateurs du domaine s'affiche.
  5. Cliquez sur Créer un utilisateur.
  6. Dans l'écran Créer un utilisateur, entrez le prénom et le nom de famille de l'utilisateur, ainsi que son nom d'utilisateur, puis sélectionnez le ou les groupes auxquels l'utilisateur doit être affecté.
  7. Cliquez sur Créer.
    Le nouvel utilisateur est ajouté aux groupes sélectionnés et dispose d'autorisations affectées au groupe en fonction de son énoncé de politique.
  8. Dans la page des détails de l'utilisateur affichée, vous pouvez modifier les informations sur l'utilisateur s'il y a lieu et réinitialiser son mot de passe.
  9. Fournissez aux nouveaux utilisateurs les données d'identification dont ils ont besoin pour se connecter à leur compte en nuage. Lors de la connexion, ils seront invités à entrer un nouveau mot de passe.

Affectation de rôles de service Visual Builder à des groupes dans un domaine d'identité

Une fois qu'une instance Visual Builder a été créée, affectez des rôles de service Oracle Visual Builder à des groupes d'utilisateurs pour leur permettre d'utiliser les fonctions de l'instance.

Note

La meilleure pratique consiste à affecter des rôles de service Oracle Visual Builder à des groupes sélectionnés plutôt qu'à des utilisateurs individuels.

Oracle Visual Builder fournit un jeu standard de rôles de service, qui régissent l'accès aux fonctions. Selon les fonctions Oracle Visual Builder que votre organisation utilise, vous pouvez choisir de créer des groupes nommés en fonction du rôle de service qui lui est accordé. Par exemple, VisualBuilderServiceAdministrators pour le rôle ServiceAdministrator du service Oracle Visual Builder.

  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines.
    La page Domaines s'affiche.
  2. Si vous ne l'avez pas encore fait, sélectionnez le compartiment dans lequel réside le domaine qui contient le groupe auquel vous voulez affecter des rôles Oracle Visual Builder.
  3. Dans la colonne Nom, cliquez sur le domaine du groupe auquel vous voulez affecter des rôles.
    La page Aperçu du domaine s'affiche.
  4. Dans le volet de navigation, cliquez sur Services Oracle Cloud.
    La page Services Oracle Cloud s'affiche.
  5. Dans la colonne Nom, cliquez sur l'instance Oracle Visual Builder pour laquelle vous voulez affecter des rôles de groupe.
    La page des détails de l'instance s'affiche.
  6. Dans le volet de navigation, cliquez sur Rôles d'application.
  7. Dans la liste Rôles d'application, localisez les rôles à affecter au groupe. À l'extrémité droite, cliquez sur Menu Tâches et sélectionnez Affecter des groupes.
  8. Dans la page Affecter des groupes, sélectionnez le groupe auquel affecter le rôle de service, puis cliquez sur Affecter.