Gestion des utilisateurs Oracle Cloud avec des fonctions spécifiques
Ajoutez des utilisateurs dotés d'autorisations prédéfinies pour utiliser les environnements Fusion Applications.
L'administrateur par défaut de la location a été défini lors de la création de votre compte cloud. L'administrateur par défaut peut effectuer toutes les tâches pour tous les services, y compris afficher et gérer tous les abonnements d'application.
Cette rubrique explique comment configurer des utilisateurs supplémentaires pour travailler avec vos environnements Fusion Applications dans la console Oracle Cloud. Ces administrateurs supplémentaires assurent généralement des fonctions plus spécifiques, et possèdent donc un accès et une autorité réduits par rapport à l'administrateur par défaut. Si vous devez ajouter des utilisateurs finals afin qu'ils puissent travailler dans vos applications, reportez-vous à la documentation des applications Oracle Fusion Cloud Applications Suite.
La gestion de l'environnement des applications est intégrée au service Identity and Access Management Service (IAM) pour l'authentification et l'autorisation. IAM utilise des stratégies pour accorder des droits d'accès aux groupes. Les utilisateurs ont accès aux ressources (comme les environnements des applications) en fonction des groupes auxquels ils appartiennent. L'administrateur par défaut peut créer des groupes, des stratégies et des utilisateurs pour accorder l'accès aux ressources.
Cette rubrique fournit les procédures de base permettant de créer des types d'utilisateur spécifiques dans votre compte pour vous lancer dans la gestion d'environnement. Pour obtenir des détails complets sur l'utilisation du service IAM afin de gérer les utilisateurs dans la console Oracle Cloud, reportez-vous à Gestion des utilisateurs.
Présentation de la différence entre les rôles d'utilisateur de gestion de l'environnement et les rôles d'utilisateur d'application
Les rôles utilisateur d'environnement décrits ici ont accès à la gestion ou à l'interaction avec l'environnement d'applications. Selon le niveau de droits d'accès accordé, ils peuvent se connecter au compte Oracle Cloud, accéder à la page de détails de l'environnement et effectuer des tâches de gestion ou de surveillance de l'environnement. Ces rôles incluent Administrateur de l'environnement Fusion Applications, Administrateur de la sécurité de l'environnement, Gestionnaire propre à l'environnement et Moniteur d'environnement.
Les rôles utilisateur d'application peuvent se connecter à l'application (via l'URL de l'application) et l'administrer, le développer ou l'utiliser. Pour plus d'informations sur l'administration de ces utilisateurs, reportez-vous à la documentation de vos applications.
-
Pour plus d'informations sur l'ajout d'un administrateur Fusion, reportez-vous à Procédure d'ajout ou de suppression d'administrateurs Fusion.
- Pour plus d'informations sur les rôles d'application, reportez-vous à la documentation de l'application ou, pour une référence générale, reportez-vous à Rôles communs pour toutes les offres.
Ajout d'un administrateur de location
Cette procédure explique comment ajouter un autre utilisateur à votre groupe d'administrateurs de location. Les membres du groupe d'administrateurs ont accès à l'ensemble des fonctionnalités et des services dans la console Oracle Cloud.
Cette procédure ne donne pas à l'utilisateur l'accès pour se connecter à la console du service d'application. Pour ajouter des utilisateurs à votre application, reportez-vous à la documentation de l'application.
Pour ajouter un administrateur, procédez comme suit :
- Ouvrez le menu de navigation et, sous Infrastructure, sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines.
- Sélectionnez un domaine, puis sélectionnez Gestion des utilisateurs.
- Sous Utilisateurs, sélectionnez Créer.
- Saisissez le prénom et le nom de l'utilisateur.
- Pour que l'utilisateur se connecte avec son adresse électronique, procédez comme suit :
- Laissez l'option Utiliser l'adresse électronique en tant que nom utilisateur cochée.
- Dans le champ Nom utilisateur/adresse électronique, entrez l'adresse électronique du compte utilisateur.
- Pour que l'utilisateur se connecte avec son nom utilisateur, procédez comme suit :
- Désélectionnez le bouton Utiliser l'adresse électronique en tant que nom utilisateur.
- Dans le champ Nom utilisateur, entrez le code utilisateur que l'utilisateur utilisera pour se connecter à la console.
- Dans le champ Adresse électronique, entrez l'adresse électronique du compte utilisateur.
- Sous Groupes, cochez la case Administrateurs.
- (Facultatif) Dans la section Balises, ajoutez des balises à l'utilisateur.
Si vous disposez des droits d'accès nécessaires pour créer une ressource, vous disposez également de droits d'accès permettant d'appliquer des balises à format libre à cette ressource. Pour appliquer une balise définie, vous devez disposer des droits d'accès nécessaires pour utiliser l'espace de noms de balise. Pour plus d'informations sur le balisage, reportez-vous à Balises de ressource. Si vous n'êtes pas certain d'appliquer des balises, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des balises ultérieurement.
- Choisissez Créer.
Un courriel de bienvenue est envoyé à l'adresse fournie pour le nouvel utilisateur. Ce nouvel utilisateur peut suivre les instructions d'activation du compte dans le courriel pour se connecter et commencer à utiliser la location.
Utilisation de compartiments afin de regrouper des ressources pour les rôles fonctionnels
Les compartiments constituent une fonctionnalité de gestion des accès (IAM) qui permet de regrouper les ressources de manière logique. Vous pouvez ainsi contrôler l'accès aux ressources en indiquant qui peut accéder au compartiment.
Par exemple, pour créer une stratégie d'accès restreint qui autorise l'accès uniquement à un environnement de test spécifique et aux ressources associées, vous pouvez placer ces ressources dans leur propre compartiment, puis créer la stratégie qui autorise l'accès uniquement aux ressources du compartiment. Pour plus d'informations, reportez-vous à Choix du compartiment.
Ajout d'un utilisateur avec un accès spécifié pour un rôle fonctionnel
Pour les utilisateurs qui ne doivent pas disposer d'un accès administrateur complet, vous pouvez créer un groupe ayant accès à des environnements d'applications spécifiques dans la console Oracle Cloud, mais ne pouvant pas effectuer d'autres tâches d'administration dans la console Oracle Cloud.
Pour accorder aux utilisateurs des droits d'accès permettant de visualiser les environnements d'applications et les abonnements dans la console Oracle Cloud, vous devez effectuer les opérations suivantes :
- Recherchez le domaine d'identité.
- Créez un groupe.
- Créez une stratégie qui accorde au groupe l'accès approprié aux ressources.
- Créez un utilisateur et ajoutez-le au groupe.
Les procédures suivantes vous guident tout au long de la création d'un groupe, d'une stratégie et d'un utilisateur. L'administrateur par défaut ou un autre utilisateur disposant d'un accès qui permet d'administrer les ressources IAM peut effectuer ces tâches.
Un domaine d'identité est un conteneur destiné à la gestion des utilisateurs et des rôles, à la fédération et au provisionnement des utilisateurs, à l'intégration sécurisée d'applications via l'accès avec connexion unique Oracle (SSO), ainsi qu'à l'administration OAuth. Lorsque vous écrivez une stratégie, vous devez identifier le domaine d'identité auquel le groupe appartient.
Pour rechercher les domaines d'identité dans votre location, procédez comme suit :
Ouvrez le menu de navigation et, sous Infrastructure, sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines.
La page de liste Domaines s'ouvre. Toutes les locations incluent un domaine par défaut. Votre location peut également inclure le domaine OracleIdentityCloudService, ainsi que d'autres domaines créés par votre organisation.
Pour créer un groupe, commencez à partir de la page de liste Domaines.
- Ouvrez le menu de navigation et, sous Infrastructure, sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines.
- Sur la page de liste Domaines, sélectionnez le domaine dans lequel ajouter le groupe, puis sélectionnez Gestion des utilisateurs.
Vous pouvez également sélectionner Ajouter un utilisateur à votre location dans la page d'accueil d'Oracle Cloud Console, sous Actions rapides.
- Vous pouvez maintenant créer un groupe. Pour plus d'informations, reportez-vous à Création d'un groupe.
Avant de créer la stratégie, vous devez connaître les ressources auxquelles vous souhaitez accorder l'accès. La ressource (parfois appelée resource-type) correspond à l'élément auquel la stratégie accorde un accès. Afin d'obtenir la liste des instructions de stratégie pour le rôle fonctionnel à créer, reportez-vous à Référence de stratégie pour les rôles fonctionnels.
- Si vous êtes toujours sur la page Domaines de la tâche précédente, comme décrit dans Création d'un groupe, sélectionnez Stratégies sur le côté gauche de la page.
Ou :
Ouvrez le menu de navigation et, sous Infrastructure, sélectionnez Identité et sécurité. Sous Identité, sélectionnez Stratégies.
La liste des stratégies est affichée.
- Sélectionnez Créer une stratégie.
- Saisissez les informations suivantes :
- Nom : nom unique de la stratégie. Le nom doit être unique parmi toutes les stratégies de la location. Vous ne pouvez pas modifier cet élément ultérieurement. Evitez de saisir des informations confidentielles.
- Description : description conviviale. Si vous le souhaitez, vous pourrez la modifier ultérieurement. Evitez de saisir des informations confidentielles.
- Compartiment : assurez-vous que la location (compartiment racine) est sélectionnée.
- Dans la section Générateur de stratégies, activez l'option Afficher l'éditeur manuel pour afficher la zone de saisie de texte au format libre.
- Entrez les instructions appropriées pour les ressources auxquelles vous voulez accorder l'accès. Afin de connaître les instructions que vous pouvez copier et coller pour les rôles fonctionnels courants, reportez-vous à Référence de stratégie pour les rôles fonctionnels.
Veillez à remplacer '<identity-domain-name>'/'<your-group-name>' dans chacune des instructions par le nom de domaine d'identité et le nom de groupe corrects que vous avez créés à l'étape précédente et toute autre variable.
Par exemple, supposons que vous disposez d'un groupe nommé "FA-Admins" que vous avez créé dans le domaine OracleIdentityCloudService. Vous voulez que ce groupe dispose des droits d'accès d'administrateur de service Fusion Applications.
- Accédez à la Référence de stratégie pour les rôles fonctionnels dans la documentation.
- Recherchez Administrateur de service Fusion Applications. Sélectionnez Copier pour copier les instructions de stratégie.
- Accédez à l'éditeur de stratégie, collez les instructions de la documentation, puis mettez à jour la valeur <identity-domain-name>'/'<your-group-name> dans chacune des instructions. Dans cet exemple, la mise à jour serait 'OracleIdentityCloudService'/'FA-Admins'.
- Choisissez Créer.
- Sur la page d'accueil d'Oracle Cloud Console, sous Actions rapides, sélectionnez Ajouter un utilisateur à votre location.
La liste des utilisateurs du domaine actuel s'affiche.
- Choisissez Créer.
- Saisissez le prénom et le nom de l'utilisateur.
- Pour que l'utilisateur se connecte avec son adresse électronique, procédez comme suit :
- Laissez l'option Utiliser l'adresse électronique en tant que nom utilisateur sélectionnée.
- Dans le champ Nom utilisateur/adresse électronique, entrez l'adresse électronique du compte utilisateur.
- Pour que l'utilisateur se connecte avec son nom utilisateur, procédez comme suit :
- Désélectionnez le bouton Utiliser l'adresse électronique en tant que nom utilisateur.
- Dans le champ Nom utilisateur, entrez le code utilisateur que l'utilisateur utilisera pour se connecter à la console.
- Dans le champ Adresse électronique, entrez l'adresse électronique du compte utilisateur.
- Sous Groupes, cochez la case correspondant à chaque groupe que vous souhaitez affecter au compte utilisateur.
- (Facultatif) Dans la section Balises, ajoutez des balises à l'utilisateur.
Si vous disposez des droits d'accès nécessaires pour créer une ressource, vous disposez également de droits d'accès permettant d'appliquer des balises à format libre à cette ressource. Pour appliquer une balise définie, vous devez disposer des droits d'accès nécessaires pour utiliser l'espace de noms de balise. Pour plus d'informations sur le balisage, reportez-vous à Balises de ressource. Si vous n'êtes pas certain d'appliquer des balises, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des balises ultérieurement.
- Choisissez Créer.
Référence de stratégie pour les rôles fonctionnels
Vous voudrez configurer certains rôles fonctionnels courants pour vos utilisateurs. Vous pouvez créer des stratégies pour accorder les droits d'accès nécessaires à des fonctions spécifiques. Cette section fournit des exemples de stratégie pour certaines fonctions courantes.
Les exemples de cette section présentent toutes les instructions de stratégie requises pour les rôles décrits. Le tableau qui suit fournit des détails sur les droits d'accès accordés par chaque instruction. Pour créer un utilisateur avec accès accordé via des stratégies, vous pouvez copier et coller la stratégie fournie, en remplaçant le nom de groupe. Pour obtenir des détails, reportez-vous à la tâche Création de la stratégie. Si vous n'avez pas besoin de toutes les instructions, par exemple, si votre application ne s'intègre pas à Oracle Digital Assistant, vous pouvez enlever l'instruction.
Suivez les directives ci-après pour configurer les types de rôle suivants :
L'administrateur d'environnement Fusion Applications peut effectuer toutes les tâches requises pour créer et gérer les environnements et familles d'environnements Fusion Applications dans votre location (compte). L'administrateur d'environnement Fusion Applications peut également interagir avec les applications et services associés qui prennent en charge vos environnements. Pour réaliser pleinement ces tâches, l'administrateur d'environnement Fusion Applications requiert des droits d'accès sur plusieurs services et ressources.
Lorsque vous créez cette stratégie, vous devez connaître les points suivants :
- Nom du groupe.
- Nom du domaine d'identité dans lequel se trouve le groupe.
- Nom du compartiment dans lequel se trouvent l'environnement et les autres ressources. Pour plus d'informations sur les compartiments, reportez-vous à Utilisation de compartiments afin de regrouper des ressources pour les rôles fonctionnels. Vous pouvez déplacer les ressources vers le compartiment après avoir créé la stratégie, mais le compartiment doit exister avant que vous n'écriviez la stratégie.
Exemple de stratégie à copier et coller :
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to use vcns in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read vaults in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read keys in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to use key-delegate in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read lockbox-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage oda-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage vbstudio-instances in tenancy
Define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
Endorse group '<identity-domain-name>'/'<your-group-name>' to read objects in tenancy usage-reportLe tableau suivant décrit ce à quoi chaque instruction de la stratégie précédente accorde un accès :
| Instruction de stratégie | Objet |
|---|---|
|
Accorde des droits de gestion complets pour les environnements et familles d'environnements Fusion Applications. Inclut les activités de création, de mise à jour, d'actualisation et de maintenance. |
|
Accorde des droits de lecture des informations relatives aux abonnements afin d'accéder aux abonnements d'application dans la console. Requise pour afficher vos abonnements ; doit être établie au niveau de la location. |
|
Accorde des droits d'affichage des informations d'application sur la page d'accueil Applications. |
|
Accorde l'accès aux graphiques de mesures et aux données affichés pour vos ressources FA. |
|
Permet d'accéder à la lecture des annonces. |
|
Accorde l'accès permettant d'ajouter ou de modifier des règles d'accès réseau. |
|
Accorde des droits de gestion de l'application intégrée Oracle Digital Assistant. |
|
Accorde des droits de gestion de l'application intégrée Visual Studio. |
|
Autorise l'affichage des rapports mensuels sur les mesures d'utilisation. |
Une fois que l'administrateur d'environnement Fusion Applications a créé les environnements Fusion Applications, l'administrateur d'environnement peut gérer un environnement spécifique, mais il ne peut pas créer ou supprimer l'environnement, ni accéder à d'autres environnements. Par exemple, vous pouvez configurer un groupe nommé Prod-Admins qui peut uniquement accéder à votre environnement de production, et un groupe nommé Test-Admins qui peut uniquement accéder aux environnements hors production.
Tâches que l'administrateur d'environnement peut effectuer :
- Mise à jour des packs de langue, des options de maintenance d'environnement et des règles d'accès réseau
- Surveillance des mesures
- Actualisation des environnements (hors production uniquement)
- Ajout d'administrateurs d'application
Tâches que l'administrateur d'environnement ne peut pas effectuer :
- Création d'environnements
- Suppression d'environnements
- Accès à d'autres environnements
Vous trouverez ci-dessous un exemple de stratégie montrant toutes les instructions de stratégie requises pour ce rôle. Le tableau qui suit fournit des détails sur les droits d'accès accordés par chaque instruction. Pour créer un utilisateur avec cet ensemble de droits d'accès, vous pouvez copier et coller cette stratégie en remplaçant le nom de groupe et le nom de compartiment. Pour obtenir des détails, reportez-vous à la tâche Création de la stratégie.
Lorsque vous créez cette stratégie, vous devez connaître les points suivants :
- Nom du groupe
- Nom du domaine d'identité dans lequel se trouve le groupe.
- Nom du compartiment dans lequel se trouvent l'environnement et les autres ressources. Pour plus d'informations sur les compartiments, reportez-vous à Utilisation de compartiments afin de regrouper des ressources pour les rôles fonctionnels. Vous pouvez déplacer les ressources vers le compartiment après avoir créé la stratégie, mais le compartiment doit exister avant que vous n'écriviez la stratégie.
Exemple de stratégie à copier et coller :
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-environment in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-scheduled-activity in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-refresh-activity in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-work-request in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-environment-group in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to use vcns in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage oda-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage vbstudio-instances in tenancy
Define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
Endorse group '<identity-domain-name>'/'<your-group-name>' to read objects in tenancy usage-reportLe tableau suivant décrit ce à quoi chaque instruction de la stratégie précédente accorde un accès :
| Instruction de stratégie | Objet |
|---|---|
|
Accorde des droits de gestion des environnements Fusion Applications dans le compartiment nommé. |
|
Accorde des droits d'affichage de l'activité de maintenance programmée pour les environnements dans le compartiment nommé. |
|
Accorde des droits de création de demandes d'actualisation d'environnement pour les environnements dans le compartiment nommé. Ne s'applique pas aux environnements de production. |
|
Accorde des droits d'affichage des demandes de travail pour les environnements dans le compartiment nommé. |
|
Accorde des droits d'affichage des détails de famille d'environnements pour toutes les familles d'environnements de la location. |
|
Accorde des droits de lecture des informations relatives aux abonnements afin d'accéder aux abonnements d'application dans la console. Requise pour afficher vos abonnements ; doit être établie au niveau de la location. |
|
Accorde des droits d'affichage des informations d'application sur la page d'accueil Applications. |
|
Accorde l'accès aux graphiques de mesures et aux données affichés pour vos ressources FA dans le compartiment nommé. |
|
Accorde l'accès permettant d'ajouter ou de modifier des règles d'accès réseau pour les réseaux cloud virtuels dans le compartiment nommé. |
|
Permet d'accéder à la lecture des annonces. |
|
Accorde des droits de gestion de l'application intégrée Oracle Digital Assistant dans le compartiment nommé. |
|
Accorde des droits de gestion de l'application intégrée Oracle Integration. Non requise si votre environnement n'utilise pas cette intégration. |
|
Accorde des droits de gestion de l'application intégrée Visual Studio dans le compartiment nommé. |
|
Autorise l'affichage des rapports mensuels sur les mesures d'utilisation. |
Les stratégies incluses pour ce rôle donnent aux membres du groupe un accès en lecture seule pour afficher les détails et le statut des environnements Fusion Applications et des applications associées. L'utilisateur de l'environnement en lecture seule ne peut apporter aucune modification.
Vous trouverez ci-dessous un exemple de stratégie illustrant toutes les instructions de stratégie requises pour le rôle. Le tableau qui suit fournit des détails sur les droits d'accès accordés par chaque instruction. Pour créer un utilisateur avec cet ensemble de droits d'accès, vous pouvez copier et coller cette stratégie en remplaçant le nom de groupe. Pour obtenir des détails, reportez-vous à la tâche Création de la stratégie.
Lorsque vous créez cette stratégie, vous devez connaître les points suivants :
- Nom du groupe
- Nom du domaine d'identité dans lequel se trouve le groupe.
- Nom du compartiment dans lequel se trouvent l'environnement et les autres ressources. Pour plus d'informations sur les compartiments, reportez-vous à Utilisation de compartiments afin de regrouper des ressources pour les rôles fonctionnels. Vous pouvez déplacer les ressources vers le compartiment après avoir créé la stratégie, mais le compartiment doit exister avant que vous n'écriviez la stratégie.
Exemple de stratégie à copier et coller :
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read oda-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read vbstudio-instances in tenancy
Define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
Endorse group '<identity-domain-name>'/'<your-group-name>' to read objects in tenancy usage-reportLe tableau suivant décrit ce à quoi chaque instruction de la stratégie précédente accorde un accès :
| Instruction de stratégie | Objet |
|---|---|
|
Accorde des droits d'affichage de tous les aspects de l'environnement et de la famille d'environnements Fusion Applications. |
|
Accorde des droits de lecture des informations relatives aux abonnements afin d'accéder aux abonnements d'application dans la console. Requise pour afficher vos abonnements ; doit être établie au niveau de la location. |
|
Accorde des droits d'affichage des informations d'application sur la page d'accueil Applications. |
|
Accorde l'accès à la visualisation des graphiques de mesures et des données affichés pour vos ressources FA. |
|
Permet d'afficher les annonces. |
|
Accorde des droits d'affichage de l'application intégrée Oracle Digital Assistant. |
|
Accorde des droits d'affichage de l'application intégrée Visual Studio. |
|
Autorise l'affichage des rapports mensuels sur les mesures d'utilisation. |
Les stratégies incluses pour ce rôle permettent aux membres du groupe d'effectuer des actualisations d'environnement dans un compartiment spécifié. Les membres du groupe disposent également d'un accès en lecture seule aux détails des environnements Fusion Applications. L'actualisation d'un environnement est la seule action que ce rôle est autorisé à effectuer.
Vous trouverez ci-dessous un exemple de stratégie illustrant toutes les instructions de stratégie requises pour le rôle. Le tableau qui suit fournit des détails sur les droits d'accès accordés par chaque instruction. Pour créer un utilisateur avec cet ensemble de droits d'accès, vous pouvez copier et coller cette stratégie en remplaçant le nom de groupe. Pour obtenir des détails, reportez-vous à la tâche Création de la stratégie.
Lorsque vous créez cette stratégie, vous devez connaître les points suivants :
- Nom du groupe.
- Nom du domaine d'identité dans lequel se trouve le groupe.
- Nom du compartiment dans lequel se trouve l'environnement.
Exemple de stratégie à copier et coller :
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read oda-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read vbstudio-instances in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-refresh-activity in compartment <your-compartment-name>
Le tableau suivant décrit ce à quoi chaque instruction de la stratégie précédente accorde un accès :
| Instruction de stratégie | Objet |
|---|---|
|
Accorde des droits d'affichage de tous les aspects de l'environnement et de la famille d'environnements Fusion Applications. |
|
Accorde des droits de lecture des informations relatives aux abonnements afin d'accéder aux abonnements d'application dans la console. Requise pour afficher vos abonnements ; doit être établie au niveau de la location. |
|
Accorde des droits d'affichage des informations d'application sur la page d'accueil Applications. |
|
Accorde l'accès à la visualisation des graphiques de mesures et des données affichés pour vos ressources FA. |
|
Permet d'afficher les annonces. |
|
Accorde des droits d'affichage de l'application intégrée Oracle Digital Assistant. |
|
Accorde des droits d'affichage de l'application intégrée Visual Studio. |
|
Accorde le droit d'effectuer une actualisation sur les environnements Fusion Applications situés dans le compartiment indiqué. |
L'administrateur de la sécurité de l'environnement gère les fonctionnalités de la sécurité des environnements Fusion Applications. Les fonctionnalités de sécurité incluent les clés gérées par le client et Oracle Managed Access (connu sous le nom de "break glass"). Vous devez avoir acheté des abonnements à ces fonctionnalités afin de pouvoir les activer dans vos environnements. Pour plus d'informations, reportez-vous à Clés gérées par le client pour Oracle Break Glass et à Support technique Break Glass pour les environnements.
Tâches que l'administrateur de sécurité d'environnement peut effectuer :
- Crée des coffres et des clés dans le service Vault
- Rotation des clés
- Vérification de la rotation des clés pour un environnement Fusion Applications
- Désactivation et activation des clés
Vous trouverez ci-dessous un exemple de stratégie montrant toutes les instructions de stratégie requises pour ce rôle. Le tableau qui suit fournit des détails sur les droits d'accès accordés par chaque instruction. Pour créer un utilisateur avec cet ensemble de droits d'accès, vous pouvez copier et coller cette stratégie en remplaçant le nom de groupe et le nom de compartiment. Pour obtenir des détails, reportez-vous à la tâche Création de la stratégie.
Lorsque vous créez cette stratégie, vous devez connaître les points suivants :
- Nom du groupe
- Nom du domaine d'identité dans lequel se trouve le groupe.
- Nom du compartiment dans lequel se trouvent l'environnement et les autres ressources. Pour plus d'informations sur les compartiments, reportez-vous à Utilisation de compartiments afin de regrouper des ressources pour les rôles fonctionnels. Vous pouvez déplacer les ressources vers le compartiment après avoir créé la stratégie, mais le compartiment doit exister avant que vous n'écriviez la stratégie.
Exemple de stratégie à copier et coller :
Allow group '<identity-domain-name>'/'<your-group-name>' to manage vaults in tenancy where request.permission not in ('VAULT_DELETE', 'VAULT_MOVE')
Allow group '<identity-domain-name>'/'<your-group-name>' to manage keys in tenancy where request.permission not in ('KEY_DELETE', 'KEY_MOVE')
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-environment-group in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-environment in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage lockbox-family in tenancy
Le tableau suivant décrit ce à quoi chaque instruction de la stratégie précédente accorde un accès :
| Instruction de stratégie | Objet |
|---|---|
|
Accorde des droits de création et de gestion des coffres dans la location, mais empêche la suppression d'un coffre ou le déplacement d'un coffre vers un autre compartiment. |
|
Accorde des droits de création et de gestion des clés pour les environnements de la location, mais empêche la suppression d'une clé ou le déplacement d'une clé vers un autre compartiment. |
|
Accorde des droits de lecture des détails d'un groupe d'environnements Fusion Applications. |
|
Accorde des droits de lecture des détails d'un environnement Fusion Applications. |
Suppression d'un utilisateur
Supprimer un utilisateur lorsqu'il quitte la société. Pour plus d'informations, reportez-vous à Suppression d'un utilisateur.
Pour plus de détails sur la gestion des utilisateurs dans un domaine d'identité, reportez-vous à Cycle de vie de la gestion des utilisateurs.
Suppression d'un utilisateur d'un groupe
Enlevez un utilisateur d'un groupe lorsqu'il n'a plus besoin d'accéder aux ressources auxquelles il accorde l'accès. Pour plus d'informations, reportez-vous à la section Removing Users from a Group.