Documentation sur Oracle Cloud Infrastructure

Configuration d'utilisateurs et de groupes dans les comptes en nuage qui n'utilisent pas de domaines d'identité

Pour un compte en nuage dans une région pas encore mise à jour pour utiliser des domaines d'identité avant la création du compte en nuage, les utilisateurs et les groupes sont configurés dans le service de gestion des identités et des accès (GIA) pour Oracle Cloud Infrastructure et dans Oracle Identity Cloud Service.

Note

Cette section s'applique uniquement aux comptes en nuage qui n'utilisent pas de domaines d'identité. Si vous ne savez pas si votre compte en nuage utilise des domaines d'identité, voir À propos de la configuration d'utilisateurs et de groupes.

Pour plus d'informations sur le service IAM pour Oracle Cloud Infrastructure, IDCS et la documentation qui fournit les informations dont vous avez besoin, voir Documentation à utiliser pour le service de gestion des identités en nuage dans Aperçu du service de gestion des identités et des accès dans la documentation sur Oracle Cloud Infrastructure.

Sans domaines d'identité, les rôles sont affectés aux groupes IDCS, puis liés aux groupes IAM pour Oracle Cloud Infrastructure à l'aide de la fédération, comme illustré dans le diagramme suivant.


Description de idcs-iam-config.png
Description de l'illustration idcs-iam-config.png

Présentation de la fédération Oracle Visual Builder

Si votre compte en nuage n'utilise pas de domaines d'identité, le service GIA pour Oracle Cloud Infrastructure doit être fédéré avec Oracle Identity Cloud Service (IDCS) pour votre location.

La fédération d'utilisateurs désigne l'établissement d'un lien entre l'identité et les attributs d'un utilisateur dans plusieurs systèmes de gestion de l'identité. La fédération du service Oracle Visual Builder signifie que les identités sont liées dans IDCS et dans Oracle Cloud Infrastructure Identity and Access Management (IAM).

Oracle Visual Builder utilise IDCS et IAM pour gérer à la fois les utilisateurs et les groupes :

  • Créer et gérer les utilisateurs dans IDCS. Par défaut, la plupart des locations sont fédérées avec IDCS. Pour plus d'informations sur Oracle Identity Cloud Service, voir Présentation des rôles d'administrateur dans Administration d'Oracle Identity Cloud Service.

  • Gérez les autorisations à l'aide des politiques du service GIA pour Oracle Cloud Infrastructure.

Pour plus d'informations générales sur la fédération avec IDCS, voir Fédération à l'aide des fournisseurs d'identités et Fédération avec Oracle Identity Cloud Service.

La nécessité de la fédération pour votre location dépend de plusieurs facteurs, notamment du moment où votre compte en nuage a été créé et de la version d'Oracle Visual Builder que vous êtes en train de provisionner. Votre location peut :

  • Être déjà entièrement fédérée : Presque tous les comptes des régions qui n'ont pas encore été mises à jour pour utiliser des domaines d'identité entrent dans cette catégorie. Pour configurer les utilisateurs et les groupes, vous suivrez les étapes standard décrites dans les rubriques de cette section.

  • Être presque entièrement fédérée : Si vous avez un compte plus ancien créé avant le 21 décembre 2018, vous devrez peut-être effectuer une dernière étape de fédération. Pour configurer les utilisateurs et les groupes, vous suivrez les étapes décrites dans les rubriques de cette section. À l'étape de mappage (Mappage des groupes IDCS et OCI), vous serez invité à entrer des informations.

  • Besoin de fédération : Si vous configurez Oracle Visual Builder avec une UDS gouvernementale dans un centre de données commercial, vous devrez probablement effectuer des étapes manuelles de fédération dans le cadre de la configuration des utilisateurs et des groupes. Voir Fédération manuelle de votre location.

Vous n'êtes pas sûr de votre fédération? Voir Ma location est-elle fédérée entre Oracle Cloud Infrastructure IAM et Oracle Cloud Identity Service?

Créer des groupes et des utilisateurs IDCS

Pour accorder l'accès aux instances Visual Builder, affectez aux utilisateurs un rôle Visual Builder. Vous pouvez accorder le rôle individuellement à chaque utilisateur IDCS, ou créer un groupe d'utilisateurs IDCS et affecter le rôle au groupe. Vous pouvez créer des groupes Oracle Identity Cloud Service afin de les mapper ultérieurement aux identités GIA pour Oracle Cloud Infrastructure.

Avant de créer des utilisateurs ou des groupes, découvrez les rôles et privilèges Oracle Visual Builder disponibles.
  1. Connectez-vous à la console OCI.
  2. Dans l'angle supérieur gauche, cliquez sur Menu de navigation icône de menu.
  3. Sélectionnez Identité et sécurité, puis sous Identité, sélectionnez Fédération.

    L'écran Fédération est affiché. Il indique le fournisseur d'identités, nommé OracleIdentityCloudService. Il s'agit de la fédération par défaut entre le segment Oracle Identity Cloud Service et la location OCI dans un compte en nuage.

  4. Cliquez sur OracleIdentityCloudService.
  5. Créer des utilisateurs et des groupes IDCS et ajouter des utilisateurs à ces groupes.
  6. Cliquez sur le lien Oracle Identity Cloud Service Console.
  7. Dans l'angle supérieur gauche, cliquez sur Menu de navigation icône de menu et sélectionnez Oracle Cloud Services.
  8. Cliquez sur le nom du service Visual Builder.
  9. Cliquez sur l'onglet Rôles d'application.
  10. Cliquez sur l'icône des options de menu affichée à côté du rôle, puis sélectionnez Affecter des utilisateurs. Pour affecter le rôle à un groupe, sélectionnez Affecter des groupes.
  11. Cochez la case à côté du nom de chaque utilisateur ou groupe que vous voulez ajouter au rôle, puis cliquez sur OK.

Créer des groupes et des politiques Oracle Cloud Infrastructure

Pour permettre à d'autres utilisateurs non administrateurs de créer et de gérer des instances Visual Builder, créez un groupe OCI d'utilisateurs non administrateurs et affectez-leur les politiques OCI appropriées.

Si vous êtes un administrateur de locataire et que vous prévoyez de créer vous-même des instances Visual Builder, ignorez cette procédure.
  1. Connectez-vous à la console OCI.
  2. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Groupes.
  3. Créez un groupe OCI.

    Dans l'écran Créer un groupe, affectez au groupe un nom qui le distingue du groupe IDCS (par exemple, oci-visualbuilder-admins) et entrez une description.

  4. Créez une politique avec un ou plusieurs des énoncés suivants :

    Tableau 3-1 Syntaxe des énoncés de politique pour un groupe

    Politique Syntaxe
    Autoriser le groupe à gérer (créer, supprimer, modifier, déplacer et voir) l'instance Visual Builder d'un compartiment Allow group <group_name> to manage visualbuilder-instances in compartment <compartment-name>

    Voici un exemple :

    Allow group VBInstanceAdmins to manage visualbuilder-instances in compartment MyVBCompartment
    Autoriser le groupe à gérer (créer, supprimer, modifier, déplacer et voir) toutes les instances Visual Builder de la location Allow group <group_name> to manage visualbuilder-instances in tenancy

    Voici un exemple :

    Allow group VBInstanceAdmins to manage visualbuilder-instances in tenancy
    Si vous avez l'intention d'utiliser des points d'extrémité personnalisés, autorisez le groupe à accéder aux clés secrètes et aux chambres fortes d'un compartiment.

    allow group <group-name> to manage secrets in compartment <secrets-compartment>

    allow group <group-name> to manage vaults in compartment <secrets-compartment>

    Voici un exemple :

    Allow group VBInstanceAdmins to manage secrets in compartment MySecretCompartment

    et

    Allow group VBInstanceAdmins to manage vaults in compartment MySecretCompartment

Mappage des groupes IDCS et OCI

Vous pouvez maintenant mapper votre groupe d'administrateurs d'instance dans le service IAM au groupe IDCS créé précédemment. Pour plus de détails, voir Mapper le groupe IDCS avec le groupe OCI.

  1. Ouvrez le menu de navigation OCI et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Fédération.
  2. Dans la page Fédération, sélectionnez le lien OracleIdentityCloudService.
  3. Dans les options Ressources, sélectionnez Mappage de groupes.
  4. Cliquez sur Modifier le mappage.
  5. Au bas de la boîte de dialogue Modifier le fournisseur d'identités, cliquez sur Ajouter un mappage.
    1. Si la boîte de dialogue suivante vous invite à fournir des données d'identification, entrez ces informations à partir de l'application IDCS COMPUTEBAREMETAL dans votre compte IDCS. Cette boîte de dialogue indique que votre location est presque entièrement fédérée et qu'il ne reste que cette dernière étape. Voir Présentation de la fédération. (Si vous ne parvenez pas à localiser ces informations, déposez une demande de service pour obtenir de l'aide d'Oracle Support.)
      Description de complete-federation.png :
      Description de l'illustration complete-federation.png

    2. Cliquez sur Continuer.
  6. Sélectionnez votre groupe IDCS dans le champ Groupe du fournisseur et votre groupe OCI dans le champ Groupe OCI.
  7. Cliquez sur Soumettre.

Ajout et affectation d'utilisateurs Oracle Cloud Infrastructure pour un accès en lecture seule

Après avoir créé un groupe avec accès en lecture seule et ajouté la politique correspondante, ajoutez des utilisateurs pour un accès en lecture seule aux instances Oracle Visual Builder.

  1. Ajoutez un utilisateur OCI.
    1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Utilisateurs.
    2. Cliquez sur Créer un utilisateur.
    3. Remplissez les champs pour identifier l'utilisateur.
    4. Cliquez sur Créer.
  2. Affectez l'utilisateur au groupe avec accès en lecture seule.
    1. Sélectionnez Groupes dans les options Identité.
    2. Sélectionnez le groupe en lecture seule que vous avez créé (par exemple, oci-visualbuilder-viewers).
    3. Cliquez sur Ajouter un utilisateur au groupe.
    4. Dans la boîte de dialogue Ajouter un utilisateur au groupe, sélectionnez l'utilisateur que vous avez créé et cliquez sur Ajouter.
  3. Créez le mot de passe de l'utilisateur.
    1. Dans la table Membres du groupe de l'écran Détails du groupe, sélectionnez l'utilisateur que vous avez ajouté.
    2. Cliquez sur Créer/Réinitialiser le mot de passe. La boîte de dialogue Créer/Réinitialiser le mot de passe s'affiche avec un mot de passe à usage unique.
    3. Cliquez sur Copier, puis sur Fermer.
  4. Fournissez aux utilisateurs en lecture seule les informations dont ils ont besoin pour se connecter.
    1. Copiez le mot de passe dans un courriel destiné à l'utilisateur.
    2. Demandez à l'utilisateur en lecture seule de se connecter à l'aide des champs User Name (Nom d'utilisateur) et Password (Mot de passe).
      Description de admin-oci-signin.png :
      Description de l'illustration admin-oci-signin.png

    3. Lors de la connexion, l'utilisateur est invité à entrer un nouveau mot de passe.
    4. Voir les instances Visual Builder.
      Les utilisateurs en lecture seule peuvent voir les instances Visual Builder en sélectionnant Visual Builder dans le volet de navigation.

Affectation de rôles de service Oracle Visual Builder à des groupes

Une fois qu'une instance Visual Builder a été créée, affectez des rôles Visual Builder à des groupes d'utilisateurs dans Oracle Visual Builder pour leur permettre d'utiliser les fonctions de l'instance Visual Builder.

Note

La meilleure pratique consiste à affecter des rôles de service Visual Builder à des groupes sélectionnés plutôt qu'à des utilisateurs individuels.

Oracle Visual Builder fournit un jeu standard de rôles de service, qui régissent l'accès aux fonctions. Selon les fonctions du service Visual Builder que votre organisation utilise, vous pouvez choisir de créer des groupes nommés en fonction du rôle de service qui lui est accordé. Par exemple, VBServiceAdministrators pour les autorisations d'administration.

  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Fédération.
  2. Dans l'écran Fédération, sélectionnez le lien OracleIdentityCloudService pour voir la fédération d'identités Oracle Identity Cloud Service par défaut.
  3. Dans la page Détails du fournisseur d'identités, sélectionnez Groupes dans les options Ressources.
  4. Dans la table, sélectionnez un groupe IDCS pour octroyer à ses utilisateurs l'accès.
  5. Dans la page Détails du groupe, cliquez sur Gérer les rôles du service.
  6. Dans la page Gérer les rôles de service, localisez votre service Visual Builder (VISUALBUILDERAUTO). À l'extrémité droite, cliquez sur Menu Tâches et sélectionnez Gérer l'accès aux instances.
    L'écran Gérer l'accès liste les instances. Notez que vous devez affecter les rôles de manière individuelle pour chaque instance.

    • Les noms d'instance suivent ce format : displayname-tenancyid-regionid

    • Les URL d'instance suivent ce format : https://displayname-tenancyid-regionid.visualbuilder.ocp.oraclecloud.com/ic/home/
  7. Dans les options de gestion des accès, sélectionnez des rôles d'instance pour le groupe sous une ou plusieurs instances spécifiées.
  8. Cliquez sur Enregistrer les paramètres d'instance, puis sur Appliquer les paramètres de rôle pour le service.