Documentation Oracle Cloud Infrastructure

Problèmes connus relatifs à la migration des instances Identity Cloud Service vers IAM

Problèmes connus pour la migration des instances Identity Cloud Service vers OCI IAM.

Valeurs d'attribut inattendues après conversion

Une fois les instances Identity Cloud Service converties en domaines d'identité dans OCI IAM, certains attributs de certains objets du domaine d'identité par défaut peuvent avoir un résultat inattendu. Vous ne verrez rien de différent dans la console, mais si vous utilisez des scripts et des API, ces modifications peuvent affecter les résultats.

Les attributs concernés sont les suivants :

  • meta.lastModified
  • meta.version (étiquette)
  • idcsLastModifiedBy

Les modifications s'appliquent aux objets suivants lorsqu'ils ont été mis à jour dans les 3 semaines précédant la conversion des instances :

  • Utilisateurs
  • Groupes
  • Applications
  • Quelques informations d'identification (MFA TOTP)
  • Mot de passe utilisateur createdOn

Détails des modifications d'attribut :

Lorsque la ressource est créée pour la première fois dans le cadre de la migration :

  • meta.lastModified, meta.created est défini sur la date et l'heure d'origine de la création de la ressource dans IAM.
  • meta.version (etag) est l'ensemble d'indicateurs d'origine lors de la création de la ressource dans IAM.
  • idcsLastModifiedBy, idcsCreatedBy est défini sur le principal d'origine qui a créé la ressource dans IAM.

Si la ressource est mise à jour avant la fin de la migration :

  • meta.lastModified est défini sur la date et l'heure auxquelles la ressource est mise à jour dans Identity Cloud Service.
  • meta.version (balisage) est défini en fonction de la date et de l'heure de mise à jour de la ressource dans Identity Cloud Service.
  • idcsLastModifiedBy est défini sur le principal de service d'identité qui a mis à jour la ressource dans Identity Cloud Service.

Vous n'avez rien à faire. Ces attributs sont définis correctement lors de la prochaine modification de l'objet.

L'utilisateur dans une bande peut voir les données d'audit pour d'autres bandes

Dans les instances Identity Cloud Service, un utilisateur d'un stripe autorisé à voir AuditEvents ne peut les voir qu'à partir de ce stripe. La migration vers OCI IAM crée une ressource de domaine pour chaque stripe dans le compartiment par défaut de la location OCI correspondante. Etant donné que l'autorisation de visualiser AuditEvents est basée sur des compartiments, l'utilisateur peut visualiser AuditEvents à partir de chaque stripe du même compartiment.

Vous pouvez conserver le comportement qu'un utilisateur d'une bande ne peut voir que AuditEvents dans cette bande en créant un compartiment pour chaque bande, puis en déplaçant la ressource de domaine qui représente la bande dans son propre compartiment.

L'administrateur de location OCI dispose de la visibilité et des droits appropriés pour visualiser toutes les ressources de domaine d'identité à cette fin.

  • Le déplacement d'une ressource de domaine dans un compartiment déplace tous les utilisateurs de ce domaine dans ce nouveau compartiment et leur donne implicitement accès aux ressources de ce compartiment.
  • Le déplacement d'une ressource de domaine dans un compartiment rend également tous les événements auditables émis par le domaine dans OCI Audit V2 propres à ce compartiment.
  • Seul un utilisateur ayant accès à ce compartiment peut voir les événements auditables émis par un domaine dans ce compartiment.