Documentation Oracle Cloud Infrastructure

Problèmes connus relatifs à la migration des instances Identity Cloud Service vers IAM

Problèmes connus relatifs à la migration des instances Identity Cloud Service vers OCI IAM.

Valeurs d'attribut inattendues après conversion

Une fois que les instances Identity Cloud Service ont été converties en domaines d'identité dans OCI IAM, certains attributs de certains objets du domaine d'identité par défaut peuvent avoir un résultat inattendu. Vous ne verrez rien de différent dans la console, mais si vous utilisez des scripts et des API, ces modifications peuvent affecter les résultats.

Les attributs concernés sont les suivants :

  • meta.lastModified
  • meta.version (etag)
  • idcsLastModifiedBy

Les modifications s'appliquent aux objets suivants lorsqu'ils ont été mis à jour environ 3 semaines avant la conversion des instances :

  • Utilisateurs
  • Groupes
  • Applications
  • Certains identifiants (MFA TOTP)
  • Mot de passe de l'utilisateur createdOn

Voici les détails des modifications d'attribut.

Lorsque la ressource est créée pour la première fois dans le cadre de la migration :

  • meta.lastModified, meta.created est défini sur la date et l'heure d'origine de la création de la ressource dans IAM.
  • meta.version (etag) est l'ensemble etag d'origine lors de la création de la ressource dans IAM.
  • idcsLastModifiedBy, idcsCreatedBy est défini sur le principal d'origine qui a créé la ressource dans IAM.

Si la ressource est mise à jour avant la fin de la migration :

  • meta.lastModified est défini sur la date et l'heure de mise à jour de la ressource dans Identity Cloud Service.
  • meta.version (etag) est défini en fonction de la date et de l'heure de mise à jour de la ressource dans Identity Cloud Service.
  • idcsLastModifiedBy est défini sur le principal de service d'identité qui a mis à jour la ressource dans Identity Cloud Service.

Vous n'avez besoin de rien faire. Ces attributs sont définis correctement lors de la prochaine modification de l'objet.

L'utilisateur d'un stripe peut voir les données d'audit d'autres stripes

Dans les instances Identity Cloud Service, un utilisateur d'un stripe autorisé à voir AuditEvents peut uniquement les voir à partir de ce stripe. La migration vers OCI IAM crée une ressource de domaine pour chaque stripe dans le compartiment par défaut de la location OCI correspondante. Etant donné que l'autorisation de visualisation de AuditEvents est basée sur des compartiments, l'utilisateur peut visualiser AuditEvents à partir de chaque stripe du même compartiment.

Vous pouvez conserver le comportement qu'un utilisateur d'un stripe ne peut voir que AuditEvents dans ce stripe en créant un compartiment pour chaque stripe, puis en déplaçant la ressource de domaine qui représente le stripe dans son propre compartiment.

L'administrateur de location OCI dispose de la visibilité et des droits appropriés pour voir toutes les ressources de domaine d'identité à cette fin.

  • Le déplacement d'une ressource de domaine dans un compartiment déplace tous les utilisateurs de ce domaine vers ce nouveau compartiment et leur donne implicitement accès aux ressources de ce compartiment.
  • Le déplacement d'une ressource de domaine dans un compartiment rend également tous les événements auditables émis par le domaine dans OCI Audit V2 propres à ce compartiment.
  • Seul un utilisateur ayant accès à ce compartiment peut voir les événements auditables émis par un domaine de ce compartiment.