Note :

• Ce tutoriel nécessite l'accès à Oracle Cloud. Pour vous inscrire à un compte gratuit, voir Introduction à l' niveau gratuit d'Oracle Cloud Infrastructure.
• Il utilise des exemples de valeurs pour les données d'identification, la location et les compartiments Oracle Cloud Infrastructure. À la fin de votre laboratoire, remplacez ces valeurs par celles propres à votre environnement en nuage.

Automatiser la gestion des capacités des utilisateurs du domaine d'identité IAM OCI à l'aide de marqueurs et du service des fonctions pour OCI

Présentation

À titre de meilleure pratique en matière de sécurité, les clients cherchent à désactiver les capacités inutilisées des utilisateurs d'Oracle Cloud Infrastructure Identity and Access Management (OCI IAM). Cela les aidera à éviter toute attaque au moyen de données d'identification non standard telles que des clés d'API, un jeton d'authentification, etc.

Les capacités d'utilisateur sont gérées par un administrateur dans les détails de l'utilisateur. Chaque utilisateur peut voir ses capacités, mais seul un administrateur peut les activer ou les désactiver. Les capacités des utilisateurs fédérés sont les suivantes :

• Mot de passe de la console
• clé de signature d'API
• Jetons d'authentification
• Données d'identification SMTP (Simple Mail Transfer Protocol)
• Clé secrète du client
• Données d'identification de client OAuth 2.0

Note : La capacité Mot de passe de la console n'est pas disponible pour les utilisateurs fédérés. Les utilisateurs fédérés se connectent à la console au moyen de leur fournisseur d'identités (IdP), où sont gérés leurs mots de passe de connexion.

Par défaut, ces capacités sont activées lors du provisionnement de nouveaux utilisateurs, ce qui permet aux utilisateurs de créer ces données d'identification pour eux-mêmes. Pour plus d'informations sur ces données d'identification d'utilisateur, voir Utilisation des données d'identification d'utilisateur.

Cette solution permet d'automatiser la gestion des capacités des utilisateurs existants ou nouveaux à l'aide de marqueurs. Cette automatisation a deux modes :

• Mode en masse : Traitez tous les utilisateurs d'un domaine, sans données utiles d'entrée. Cela peut être exécuté ou appelé avec le programmateur de ressources OCI ou manuellement.

• Mode unique : Exécutez automatiquement la fonction sur un seul utilisateur en fonction des événements de création (événement créé par l'utilisateur) générés avec la règle d'événement configurée.

L'intégration au service d'événements pour OCI garantit que les capacités sont gérées correctement pour les nouveaux utilisateurs en fonction des marqueurs fournis lors de la création.

Objectifs

• Mettez en oeuvre une solution native pour gérer les capacités des utilisateurs du domaine d'identité IAM OCI en fonction des marqueurs et de la fonction.

Préalables

• Accès à une location OCI.

• Privilèges pour gérer les règles du service d'événements pour OCI, les applications Oracle, le service des fonctions pour OCI et le marquage pour OCI.

Tâche 1 : Configurer les politiques requises et les autorisations IAM pour OCI

Chaque composant de cette solution doit avoir accès aux ressources OCI avec lesquelles il interagit. Pour suivre ce tutoriel, les autorisations suivantes sont requises.

• Politiques d'utilisateur : Gérer les règles du service d'événements pour OCI et le service des fonctions pour OCI.

• Politique de service : Accordez l'autorisation de fonction pour gérer les capacités de l'utilisateur. Un groupe dynamique est requis.

Pour plus d'informations sur les politiques détaillées, voir Détails pour le service d'événements et Détails pour le service des fonctions.

Tâche 2 : Définir l'espace de noms de marqueur, les clés de marqueur et les valeurs de marqueur

Les marqueurs sont la base de cette solution. L'espace de noms de marqueur et la clé de marqueur requis doivent donc être en place.

Tâche 2.1 : Créer un espace de noms de marqueur

1. Allez à la console OCI, naviguez jusqu'à Gouvernance et administration, Gestion des locations et cliquez sur Espaces de noms de marqueur.

2. Une liste des espaces de noms de marqueur dans le compartiment courant est affichée. Cliquez sur Créer des espaces de noms de marqueur.

3. Dans la page Créer un espace de noms de marqueur, entrez les informations suivantes.

   • Créer dans le compartiment : Sélectionnez le compartiment dans lequel créer la définition d'espace de noms.
   • Nom de la définition d'espace de noms : Entrez un nom unique pour ce jeu de marqueurs. Le nom doit être unique dans votre location. L'espace de noms de marqueur n'est pas sensible à la casse. Vous ne pouvez pas modifier cette valeur ultérieurement. Évitez d'entrer des informations confidentielles.
   • Description : Entrez une description conviviale. Vous pouvez modifier cette valeur plus tard si vous le souhaitez.

4. Cliquez sur Créer un espace de noms de marqueur.

Tâche 2.2 : Créer une définition de clé de marqueur

1. Dans la page Espaces de noms de marqueur, cliquez sur l'espace de noms de marqueur auquel ajouter la définition de clé de marqueur.

2. Dans la page Détails de l'espace de noms de marqueur, cliquez sur Créer une définition de clé de marqueur.

3. Dans la page Créer une définition de clé de marqueur, entrez les informations suivantes.

   • Clé de marqueur : Entrez la clé. La valeur doit être api_keys, console_password, auth_tokens, customer_secret_keys, db_credentials, o_auth2_client_credentials et smtp_credentials.
   • Description : Entrez une description conviviale.
   • Suivi des coûts : Sélectionnez cette option pour que ce marqueur soit activé pour le suivi des coûts. Vous pouvez utiliser jusqu'à 10 marqueurs de suivi des coûts dans votre location.

4. Dans Type de valeur de marqueur, sélectionnez Une liste de valeurs et entrez Oui dans Valeurs où ces fonctions sont nécessaires, sinon elles seront désactivées pour un utilisateur.

5. Cliquez sur Créer une définition de clé de marqueur.

Tâche 2.3 : Ajouter des balises à l'utilisateur

1. Ajoutez des marqueurs à l'utilisateur existant.

   1. Allez à la console OCI, naviguez jusqu'à Identity & Security, Identity et cliquez sur Domains.

   2. Une liste des domaines du compartiment courant est affichée. Sélectionnez le domaine et cliquez sur Utilisateurs. Recherchez et cliquez sur l'utilisateur à ajouter.

   3. Dans le menu déroulant Actions supplémentaires, cliquez sur Ajouter des marqueurs.

   4. Dans la page Ajouter des marqueurs, entrez les informations suivantes.

      • Sélectionnez Espace de noms de marqueur.
      • Sélectionnez une clé de marqueur.
      • Dans Valeur, sélectionnez-en une dans la liste.
      • Pour appliquer un autre marqueur, cliquez sur Ajouter un marqueur.

   5. Une fois l'ajout de marqueurs terminé, cliquez sur Ajouter des marqueurs.

2. Ajouter au nouvel utilisateur. Ajoutez des marqueurs à partir de l'option Afficher les options avancées lors de la création d'un utilisateur.

Note : Ajoutez des marqueurs pour toutes les fonctions que vous souhaitez activer.

Tâche 3 : Développer et déployer le service des fonctions pour OCI

La fonction lit les marqueurs des utilisateurs et agit sur la capacité. Pour ce faire, il effectue les opérations suivantes :

• Lisez l'espace de noms de marqueur (tag_namespace) dans la configuration de la fonction.

• Lisez les fonctions à gérer (manage_capability) à partir de la configuration de la fonction.

• Lisez l'entrée de fonction de fonction (function_feature) dans la configuration de la fonction.

• Lisez les domaines cibles (domain_ocids) à partir de la configuration de la fonction (en cas de mode en masse).

• Vérifiez les marqueurs des utilisateurs.

• Désactiver ou activer la capacité de l'utilisateur selon les marqueurs manquants.

Téléchargez le code de fonction à partir de GitHub, personnalisez-le et déployez-le.

1. Téléchargez le référentiel GitHub à partir d'ici : iam-user-capability-management.

2. Suivez les instructions mentionnées dans Créer et déployer une fonction OCI.

Pour plus d'informations, voir Création de fonctions.

Tâche 4 : Créer un programme dans le programmateur de ressources OCI

1. Allez à la console OCI, naviguez jusqu'à Gouvernance et administration, Programmateur de ressources et cliquez sur Programmations.

2. Cliquez sur Créer une programmation.

3. Dans Informations de base, entrez nom du programme, description du programme et l'action à exécuter en tant que démarrer, puis cliquez sur Suivant.

4. Dans Ressources, sélectionnez le compartiment et la fonction de votre fonction et cliquez sur Suivant.

5. Dans Programmation, sélectionnez Tous les jours et configurez d'autres paramètres selon vos besoins.

   • Répéter tous les : Entrez la fréquence d'exécution du programme ou utilisez le menu pour sélectionner un intervalle. La valeur minimale est 1. La valeur maximale est 99.

   • Heure de début : Entrez l'heure en heures et en minutes dans le format de 24 heures.

6. Cliquez sur Suivant et vérifiez les informations. Cliquez sur Créer une programmation.

Votre fonction sera exécutée selon un intervalle programmé. Pour plus d'informations, voir Création de programmes.

Tâche 5 : Configurer la règle d'événements dans le service d'événements OCI

1. Allez à la console OCI, naviguez jusqu'à Observabilité et gestion, Service d'événements et cliquez sur Règles.

2. Sélectionnez le compartiment racine et cliquez sur Créer une règle.

3. Entrez le nom d'affichage et la description.

4. Dans la section Conditions de règle, entrez les informations suivantes.

   • Condition : Sélectionnez Type d'événement.
   • Nom du service : Sélectionnez Identité.
   • Type d'événement : Sélectionnez Utilisateur - Créer.

5. Dans la section Actions, entrez les informations suivantes.

   • Type d'action : Sélectionnez Fonctions.
   • Sélectionnez Application de fonction et Fonction.

6. Cliquez sur Créer une règle.

Cette action appelle la fonction lorsqu'un nouvel utilisateur est créé. Pour plus d'informations, voir Création d'une règle d'événement.

Note : L'activation des journaux pour les règles d'événement et les applications fonctionnelles offrira des capacités de surveillance supplémentaires.

Liens connexes

• Activer l'avis d'expiration des données d'identification pour la gestion des identités et des accès OCI

• Activer la rotation automatique des données d'identification du service de gestion des identités et des accès pour Oracle Cloud Infrastructure

Confirmation

• Auteur - Bhanu Prakash Lohumi

Autres ressources d'apprentissage

Explorez d'autres laboratoires sur la page docs.oracle.com/learn ou accédez à plus de contenu d'apprentissage gratuit sur le canal YouTube d'Oracle Learning. De plus, visitez education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir de la documentation sur le produit, visitez Oracle Help Center.

---

Titre et Copyright

Automate OCI IAM Identity Domain Users Capability Management using Tags and OCI Functions

G24400-01

January 2025

Copyright ©2025,

Oracle et/ou ses sociétés affiliées.