Gérer l'accès des utilisateurs aux environnements d'application

Configurez les utilisateurs pour qu'ils utilisent des environnements d'application dans la console Oracle Cloud.

Cette rubrique explique comment configurer des utilisateurs supplémentaires pour travailler avec des environnements d'application gérés dans la console Oracle Cloud. Si vous devez ajouter des utilisateurs pour travailler dans votre application, reportez-vous à la documentation de l'application.

La gestion de l'environnement des applications est intégrée au service Identity and Access Management Service (IAM) pour l'authentification et l'autorisation. IAM utilise des stratégies pour accorder des droits d'accès aux groupes. Les utilisateurs ont accès aux ressources (comme les environnements des applications) en fonction des groupes auxquels ils appartiennent.

L'utilisateur saisi lors de l'étape de création de la location est l'administrateur par défaut de la location. L'administrateur par défaut peut effectuer toutes les tâches pour tous les services, y compris la création de groupes, de stratégies et d'utilisateurs pour accorder l'accès aux ressources.

Conseil

Cette rubrique fournit les procédures de base permettant d'établir des types d'utilisateur spécifiques dans votre compte pour vous lancer dans l'environnement applicatif. Pour plus d'informations sur la gestion des utilisateurs dans la console Oracle Cloud, reportez-vous à Gestion des utilisateurs.

Ajout d'un administrateur de location

Vous pouvez ajouter un administrateur de location en créant un utilisateur et en l'ajoutant au groupe Administrateurs de location. Les membres du groupe d'administrateurs ont accès à l'ensemble des fonctionnalités et des services dans la console Oracle Cloud.

Pour ajouter un administrateur de location, procédez comme suit :

Sur la page d'accueil d'Oracle Cloud Console, sélectionnez Ajouter un utilisateur à votre location. La liste des utilisateurs dans le domaine en cours apparaît.
Choisissez Créer.
Saisissez le prénom et le nom de l'utilisateur.
Pour que l'utilisateur se connecte avec son adresse électronique, procédez comme suit :
1. Laissez l'option Utiliser l'adresse électronique en tant que nom utilisateur cochée.
2. Dans le champ Nom utilisateur/adresse électronique, entrez l'adresse électronique du compte utilisateur.
Pour que l'utilisateur se connecte avec son nom utilisateur, procédez comme suit :
1. Désélectionnez le bouton Utiliser l'adresse électronique en tant que nom utilisateur.
2. Dans le champ Nom utilisateur, entrez le code utilisateur que l'utilisateur utilisera pour se connecter à la console.
3. Dans le champ Adresse électronique, entrez l'adresse électronique du compte utilisateur.
Sous Groupes, cochez la case Administrateurs.
(Facultatif) Dans la section Balises, ajoutez des balises à l'utilisateur.
Si vous disposez des droits d'accès nécessaires pour créer une ressource, vous disposez également de droits d'accès permettant d'appliquer des balises à format libre à cette ressource. Pour appliquer une balise définie, vous devez disposer des droits d'accès nécessaires pour utiliser l'espace de noms de balise. Pour plus d'informations sur le balisage, reportez-vous à Balises de ressource. Si vous n'êtes pas certain d'appliquer des balises, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des balises ultérieurement.
Choisissez Créer.

Un courriel de bienvenue est envoyé à l'adresse que vous avez saisie pour le nouvel utilisateur. Le nouvel utilisateur peut suivre les instructions d'activation de compte dans le courriel pour se connecter et commencer à utiliser la location.

Ajouter un utilisateur avec accès limité

Pour les utilisateurs qui ne doivent pas disposer d'un accès administrateur complet, vous pouvez créer des stratégies qui définissent l'accès autorisé. Ce processus se compose de quatre étapes :

Recherchez le domaine d'identité.
Créez un groupe.
Créez une stratégie qui accorde au groupe l'accès approprié aux ressources.
Créez un utilisateur et ajoutez-le au groupe.

Vous pouvez créer des stratégies qui accordent différents niveaux d'accès à différents groupes. Par exemple, vous pouvez créer une stratégie qui accorde des droits complets de gestion d'environnement à un groupe appelé Administrateurs d'environnement. Vous pouvez créer une deuxième stratégie qui accorde uniquement des fonctionnalités de surveillance pour un groupe appelé Visualiseurs d'environnement.

Les tâches suivantes vous guident tout au long de la création d'un groupe, d'une stratégie et d'un utilisateur dans le service Identity and Access Management (IAM). Soit l'administrateur par défaut, soit un autre utilisateur disposant d'un accès qui administre IAM.

Rechercher le domaine d'identité

Un domaine d'identité est un conteneur destiné à la gestion des utilisateurs et des rôles, à la fédération et au provisionnement des utilisateurs, à l'intégration sécurisée d'applications via l'accès avec connexion unique Oracle (SSO), ainsi qu'à l'administration OAuth. Lorsque vous écrivez une stratégie, vous devez identifier le domaine d'identité auquel le groupe appartient.

Pour rechercher les domaines d'identité dans votre location, procédez comme suit :

Ouvrez le menu de navigation et, sous Infrastructure, sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines.

La page de liste Domaines s'ouvre. Toutes les locations incluent un domaine par défaut. Votre location peut également inclure le domaine OracleIdentityCloudService, ainsi que d'autres domaines créés par votre organisation.

Créer un groupe

Créez un groupe sur la page de liste Domaines.

Ouvrez le menu de navigation et, sous Infrastructure, sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines.
Sur la page de liste Domaines, sélectionnez le domaine dans lequel vous souhaitez ajouter le groupe.
Sur la page de détails du domaine, vous pouvez maintenant créer un groupe. Pour obtenir des étapes détaillées, reportez-vous à Procédure de création d'un groupe.

Créer la stratégie

Avant de créer la stratégie, vous devez connaître la valeur correcte pour le type de ressource de votre application. Le type de ressource correspond à l'élément auquel la stratégie accorde un accès. Reportez-vous à Référence de stratégie d'Applications Services pour trouver le type de ressource approprié pour votre application.

Si vous êtes toujours sur les détails du domaine de la tâche précédente, créer un groupe, effectuez l'une des étapes suivantes en fonction de l'option qui s'affiche :
- Dans le volet de navigation sur le côté gauche de la page, sélectionnez Stratégies.
- Sélectionnez Domaines dans les liens de chemin de navigation en haut de la page. Sur la page Domaines, sélectionnez Stratégies sur le côté gauche de la page.
Sinon, ouvrez le menu de navigation et, sous Infrastructure, sélectionnez Identité et sécurité. Sous Identité, sélectionnez Stratégies.
La liste des stratégies est affichée.
Sélectionnez Créer une stratégie.
Saisissez les informations suivantes :
- Nom : nom unique de la stratégie. Le nom doit être unique parmi toutes les stratégies de la location. Vous ne pouvez pas modifier cet élément ultérieurement.
- Description : description conviviale. Si vous le souhaitez, vous pourrez la modifier ultérieurement.
- Compartiment : assurez-vous que la location (compartiment racine) est sélectionnée.
Dans la section Générateur de stratégies, activez l'option Afficher l'éditeur manuel pour afficher la zone de saisie de texte au format libre.
Entrez les instructions de stratégie pour accorder l'accès aux ressources requises.
Les stratégies respectent le format suivant :
Allow '<identity_domain_name>'/'<group-name>' to <verb> <resource-type> in <location>
- <identity-domain-name> est le domaine d'identité dans lequel réside le groupe.
- <your-group-name> est le groupe que vous avez créé à une étape précédente.
- <application-name> est le nom de ressource IAM approprié pour votre application. Pour obtenir la liste des noms de ressource, reportez-vous à Applications Services Policy Reference.
- <location> peut être un nom de compartiment ou une location pour indiquer que le droit d'accès est accordé à tous les compartiments de la location.
Par exemple, les instructions permettant de créer un administrateur d'environnement pour Maxymiser dans le domaine par défaut sont les suivantes :
```
Allow group 'Default'/'Environment-Admins' to manage maxymiser-environment-family in tenancy
Allow group 'Default'/'Environment-Admins' to read organizations-subscriptions in tenancy
Allow group 'Default'/'Environment-Admins' to read organizations-assigned-subscriptions in tenancy
Allow group 'Default'/'Environment-Admins'' to read organizations-subscription-regions in tenancy
Allow group 'Default'/'Environment-Admins' to read app-listing-environments in tenancy
Allow group 'Default'/'Environment-Admins' to read metrics in tenancy
Allow group 'Default'/'Environment-Admins' to inspect domains in tenancy
Allow group 'Default'/'Environment-Admins' to read announcements in tenancy 
```
Remarque

Si le groupe se trouve dans le domaine d'identité par défaut, vous pouvez omettre de spécifier <identity-domain-name> dans la stratégie. Vous devez uniquement indiquer le nom du groupe. Exemples :
Allow group Environment-Admins to manage maxymiser-environment-family in tenancy
Choisissez Créer.

Conseil

Vous pouvez utiliser l'option Copier dans l'exemple de stratégie affiché dans la référence de stratégie Applications Services pour copier l'ensemble d'instructions de stratégie. Vous pouvez ensuite coller les instructions dans la zone de texte Générateur de stratégies afin de ne mettre à jour que les valeurs de <identity-domain-name> et <your-group-name>.

Créer un utilisateur

Sur la page d'accueil de la console des applications, sous Actions rapides, sélectionnez Ajouter un utilisateur à votre location.
Choisissez Créer.
Saisissez le prénom et le nom de l'utilisateur.
Pour que l'utilisateur se connecte avec son adresse électronique, procédez comme suit :
1. Laissez l'option Utiliser l'adresse électronique en tant que nom utilisateur cochée.
2. Dans le champ Nom utilisateur/adresse électronique, entrez l'adresse électronique du compte utilisateur.
Pour que l'utilisateur se connecte avec son nom utilisateur, procédez comme suit :
1. Désélectionnez le bouton Utiliser l'adresse électronique en tant que nom utilisateur.
2. Dans le champ Nom utilisateur, entrez le Nom utilisateur que l'utilisateur va utiliser pour se connecter à la console.
3. Dans le champ Adresse électronique, entrez l'adresse électronique du compte utilisateur.
Sous Groupes, cochez la case correspondant à chaque groupe que vous souhaitez affecter au compte utilisateur.
(Facultatif) Dans la section Balises, ajoutez des balises à l'utilisateur.
Si vous disposez des droits d'accès nécessaires pour créer une ressource, vous disposez également de droits d'accès permettant d'appliquer des balises à format libre à cette ressource. Pour appliquer une balise définie, vous devez disposer des droits d'accès nécessaires pour utiliser l'espace de noms de balise. Pour plus d'informations sur le balisage, reportez-vous à Balises de ressource. Si vous n'êtes pas certain d'appliquer des balises, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des balises ultérieurement.
Choisissez Créer.

Référence de stratégie de services d'applications

Remarque

Les services applicatifs présentés ici prennent en charge le provisionnement et la gestion de l'environnement en libre-service. Pour obtenir de l'aide sur l'écriture de stratégies pour les services applicatifs qui ne prennent pas en charge le provisionnement en libre-service, reportez-vous à Ajout d'utilisateurs de la console Oracle Cloud.

Les sections suivantes fournissent des exemples de stratégies que vous pouvez utiliser pour créer un rôle d'administrateur d'environnement et un rôle de visualiseur d'environnement. Pour créer un utilisateur avec l'accès accordé via ces stratégies, vous pouvez copier et coller la stratégie fournie pour votre service, en remplaçant votre nom de groupe. Pour plus de détails, reportez-vous au conseil dans la tâche Créer la stratégie ci-dessus.

Niveau d'autorisation

Le niveau d'autorisation est indiqué par le verbe dans l'instruction. Pour permettre à un autre utilisateur d'interagir avec vos environnements dans la console Oracle Cloud, utilisez l'un des verbes suivants dans vos instructions de stratégie :

manage : permet à l'utilisateur d'effectuer toutes les tâches de gestion pour un environnement, y compris la création et la suppression (si elle est prise en charge).
use : permet à l'utilisateur de mettre à jour un environnement existant ; l'utilisateur ne peut pas créer ni supprimer un environnement.
read : permet à l'utilisateur de visualiser toutes les informations sur l'environnement.
inspect : permet à l'utilisateur de répertorier uniquement les environnements ; l'utilisateur ne peut pas visualiser les pages de détails.

Pour plus d'informations sur les opérations autorisées par chacun de ces verbes, reportez-vous à Référence de stratégie IAM Application Environment Management.

Instructions requises

Les rôles d'administrateur d'environnement et de visualiseur d'environnement doivent avoir accès aux ressources d'environnement d'application. L'administrateur requiert les droits d'accès manage, tandis que le visualiseur n'a besoin que des droits d'accès read. En outre, les deux rôles requièrent des droits d'accès aux abonnements aux applications read.

Instructions requises pour l'administrateur d'environnement

L'administrateur de l'environnement peut effectuer toutes les tâches requises pour créer et gérer des environnements. L'administrateur peut également visualiser les abonnements de votre location et accéder aux données de mesure. Reportez-vous à Exemples de stratégie propres à l'application pour connaître la valeur <application> de votre application.

Allow group '<identity-domain-name>'/'<your-group-name>' to manage <application>-environment-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to inspect domains in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy

Détails de chaque instruction de stratégie :


Instruction de stratégie	Pour quoi il s'agit
`Allow group '<identity-domain-name>'/'<your-group-name>' to manage <application>-environment-family in tenancy`	Accorde des autorisations de gestion complètes pour les environnements d'application spécifiés. Accès à la documentation sur la conformité inclus.
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy	Autorise la lecture des informations relatives aux abonnements pour accéder à vos abonnements d'application dans la console. Requis pour afficher vos abonnements ; ils doivent être au niveau de la location.
`Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy`	Donne accès aux graphiques de mesures et aux données de mesures pour les ressources OCI.
`Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy`	Donner accès aux annonces en lecture.
`Allow group '<identity-domain-name>'/'<your-group-name>' to inspect domains in tenancy`	Permet d'accéder à la liste des domaines d'identité.

Instructions requises pour le visualiseur d'environnement

Cet utilisateur peut visualiser les détails et surveiller les environnements dans la console Oracle Cloud. Ce rôle ne peut effectuer aucune mise à jour. Le visualiseur d'environnement peut également visualiser les abonnements de votre location et accéder aux données de mesure. Reportez-vous à Exemples de stratégie propres à l'application pour connaître la valeur <application> de votre application.

Allow group '<identity-domain-name>'/'<your-group-name>' to read <application>-environment-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to inspect domains in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy

La seule différence entre cette stratégie et la stratégie d'administrateur est le verbe read pour la ressource environment-family.

Exemples de stratégies propres aux applications

Utilisez les exemples de cette section pour créer des rôles d'administrateur d'environnement et de visualiseur d'environnement pour votre application.

Stratégies Oracle B2C Service

B2C Administrateur de service ou visualiseur

L'administrateur ou le visualiseur de service B2C peut visualiser les détails et surveiller les environnements dans la console Oracle Cloud. L'administrateur ou le visualiseur peut également accéder aux données de mesure et visualiser les abonnements et les environnements d'application de votre location.

Exemple de stratégie pour copier-coller :

Allow group '<identity-domain-name>'/'<your-group-name>' to read rnow-environment-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy 
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy

Politiques Oracle Commerce Cloud

Administrateur de l'environnement Commerce Cloud

L'administrateur de l'environnement Commerce Cloud peut effectuer toutes les tâches requises pour créer et gérer des environnements Commerce. L'administrateur Commerce Cloud peut également accéder aux données de mesures et visualiser les abonnements, les environnements d'application et les domaines d'identité de votre location.

Exemple de stratégie pour copier-coller :

Allow group '<identity-domain-name>'/'<your-group-name>' to manage commercecloud-environment-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy 
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to inspect domains in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy

Visualiseur d'environnement Commerce Cloud

Le visualiseur d'environnement Commerce Cloud peut afficher les détails et surveiller les environnements dans la console Oracle Cloud. Ce rôle ne peut effectuer aucune mise à jour. Le visualiseur d'environnement peut également accéder aux données de mesure et visualiser les abonnements, les environnements d'application et les domaines d'identité de votre location.

Exemple de stratégie à copier-coller :

Allow group '<identity-domain-name>'/'<your-group-name>' to read commercecloud-environment-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to inspect domains in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy

Stratégies Oracle Digital Assistant Platform for SaaS

Plate-forme Digital Assistant pour l'administrateur ou le visualiseur d'environnement SaaS

L'administrateur ou le visualiseur d'environnement Digital Assistant Platform pour SaaS peut visualiser les détails et surveiller les environnements dans la console Oracle Cloud. L'administrateur ou le visualiseur peut également accéder aux données de mesure et visualiser les abonnements et les environnements d'application de votre location.

Exemple de stratégie à copier-coller :

Allow group '<identity-domain-name>'/'<your-group-name>' to read odanative-environment-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy 
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy

Politiques Oracle EPM Planning

Administrateur de l'environnement EPM Planning

L'administrateur de l'environnement EPM Planning peut effectuer toutes les tâches requises pour créer et gérer des environnements EPM Planning. L'administrateur EPM Planning peut également accéder aux données de mesure et visualiser les abonnements, les environnements d'application et les domaines d'identité de votre location.