Gestion des utilisateurs Oracle Cloud avec des fonctions spécifiques
Ajoutez des utilisateurs dotés d'autorisations prédéfinies pour utiliser les environnements Fusion Applications.
L'administrateur par défaut de la location a été défini lors de la création de votre compte cloud. L'administrateur par défaut peut effectuer toutes les tâches pour tous les services, y compris afficher et gérer tous les abonnements d'application.
Cette rubrique explique comment configurer des utilisateurs supplémentaires pour travailler avec vos environnements Fusion Applications dans la console Oracle Cloud. Ces administrateurs supplémentaires assurent généralement des fonctions plus spécifiques, et possèdent donc un accès et une autorité réduits par rapport à l'administrateur par défaut. Si vous devez ajouter des utilisateurs finals afin qu'ils puissent travailler dans vos applications, reportez-vous à la documentation des applications Oracle Fusion Cloud Applications Suite.
La gestion de l'environnement des applications est intégrée au service Identity and Access Management Service (IAM) pour l'authentification et l'autorisation. IAM utilise des stratégies pour accorder des droits d'accès aux groupes. Les utilisateurs ont accès aux ressources (comme les environnements des applications) en fonction des groupes auxquels ils appartiennent. L'administrateur par défaut peut créer des groupes, des stratégies et des utilisateurs pour accorder l'accès aux ressources.
Cette rubrique fournit les procédures de base permettant de créer des types d'utilisateur spécifiques dans votre compte pour vous lancer dans la gestion d'environnement. Pour obtenir des détails complets sur l'utilisation du service IAM afin de gérer les utilisateurs dans la console Oracle Cloud, reportez-vous à Gestion des utilisateurs.
Présentation de la différence entre les rôles d'utilisateur de gestion de l'environnement et les rôles d'utilisateur d'application
Les rôles utilisateur d'environnement décrits ici ont accès à la gestion ou à l'interaction avec l'environnement d'applications. Selon le niveau de droits d'accès accordé, ils peuvent se connecter au compte Oracle Cloud, accéder à la page de détails de l'environnement et effectuer des tâches de gestion ou de surveillance de l'environnement. Ces rôles incluent Administrateur de l'environnement Fusion Applications, Administrateur de la sécurité de l'environnement, Gestionnaire propre à l'environnement et Moniteur d'environnement.
Les rôles utilisateur d'application peuvent se connecter à l'application (via l'URL de l'application) et l'administrer, le développer ou l'utiliser. Pour plus d'informations sur l'administration de ces utilisateurs, reportez-vous à la documentation de vos applications.
-
Pour plus d'informations sur l'ajout d'un administrateur Fusion, reportez-vous à Procédure d'ajout ou de suppression d'administrateurs Fusion.
- Pour plus d'informations sur les rôles d'application, reportez-vous à la documentation de l'application ou, pour une référence générale, reportez-vous à Rôles communs pour toutes les offres.
Ajout d'un administrateur de location
Cette procédure explique comment ajouter un autre utilisateur à votre groupe d'administrateurs de location. Les membres du groupe d'administrateurs ont accès à l'ensemble des fonctionnalités et des services dans la console Oracle Cloud.
Cette procédure ne permet pas à l'utilisateur de se connecter à la console de service d'application. Pour ajouter des utilisateurs à votre application, reportez-vous à la documentation de l'application.
Pour ajouter un administrateur, procédez comme suit :
- Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines.
- Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Utilisateurs.
- Sélectionnez Créer un utilisateur.
- Entrez le prénom et le nom de l'utilisateur.
- Pour que l'utilisateur se connecte avec son adresse électronique :
- Laissez la case Utiliser l'adresse électronique en tant que nom utilisateur cochée.
- Dans le champ Nom utilisateur/adresse électronique, entrez l'adresse électronique du compte utilisateur.
ou
Pour que l'utilisateur se connecte avec son nom utilisateur :- Désélectionnez la case Utiliser l'adresse électronique en tant que nom utilisateur.
- Dans le champ Nom utilisateur, saisissez le nom utilisateur à employer pour se connecter à la console.
- Dans le champ Adresse électronique, entrez l'adresse électronique du compte utilisateur.
- Sous Sélectionner les groupes auxquels affecter cet utilisateur, cochez la case Administrateurs.
- Choisissez Créer.
Un courriel de bienvenue est envoyé à l'adresse fournie pour le nouvel utilisateur. Ce nouvel utilisateur peut suivre les instructions d'activation du compte dans le courriel pour se connecter et commencer à utiliser la location.
Utilisation de compartiments afin de regrouper des ressources pour les rôles fonctionnels
Les compartiments constituent une fonctionnalité de gestion des accès (IAM) qui permet de regrouper les ressources de manière logique. Vous pouvez ainsi contrôler l'accès aux ressources en indiquant qui peut accéder au compartiment.
Par exemple, pour créer une stratégie d'accès restreint qui autorise l'accès uniquement à un environnement de test spécifique et aux ressources associées, vous pouvez placer ces ressources dans leur propre compartiment, puis créer la stratégie qui autorise l'accès uniquement aux ressources du compartiment. Pour plus d'informations, reportez-vous à Choix du compartiment.
Ajout d'un utilisateur avec un accès spécifié pour un rôle fonctionnel
Pour les utilisateurs qui ne doivent pas disposer d'un accès administrateur complet, vous pouvez créer un groupe ayant accès à des environnements d'applications spécifiques dans la console Oracle Cloud, mais ne pouvant pas effectuer d'autres tâches d'administration dans la console Oracle Cloud.
Pour accorder aux utilisateurs des droits d'accès permettant de visualiser les environnements d'applications et les abonnements dans la console Oracle Cloud, vous devez effectuer les opérations suivantes :
- Recherchez le domaine d'identité.
- Créez un groupe.
- Créez une stratégie qui accorde au groupe l'accès approprié aux ressources.
- Créez un utilisateur et ajoutez-le au groupe.
Les procédures suivantes vous guident tout au long de la création d'un groupe, d'une stratégie et d'un utilisateur. L'administrateur par défaut ou un autre utilisateur disposant d'un accès qui permet d'administrer les ressources IAM peut effectuer ces tâches.
Un domaine d'identité est un conteneur destiné à la gestion des utilisateurs et des rôles, à la fédération et au provisionnement des utilisateurs, à l'intégration sécurisée d'applications via l'accès avec connexion unique Oracle (SSO), ainsi qu'à l'administration OAuth. Lorsque vous écrivez une stratégie, vous devez identifier le domaine d'identité auquel le groupe appartient.
Pour rechercher les domaines d'identité dans votre location, procédez comme suit :
Ouvrez le menu de navigation, sous Infrastructure, sélectionnez Identité et sécurité pour développer le menu, puis sous Identité, sélectionnez Domaines.
Toutes les locations incluent un domaine par défaut. Votre location peut également inclure le domaine OracleIdentityCloudService, ainsi que d'autres domaines créés par votre organisation.
- Sur la page d'accueil de la console Oracle Cloud, sous Actions rapides, sélectionnez Ajouter un utilisateur à votre location. Cette action vous dirige vers la liste des utilisateurs dans le domaine en cours.
- Sous la liste des ressources à gauche, sélectionnez Groupes.
- Sélectionnez Créer un groupe.
- Entrez les informations suivantes :
- Nom : nom unique du groupe, par exemple "environment-viewers". Le nom doit être unique parmi tous les groupes de la location. Vous ne pouvez pas modifier cette valeur ultérieurement.
- Description : description conviviale. Si vous le souhaitez, vous pourrez la modifier ultérieurement.
- Options avancées - balises : vous pouvez éventuellement appliquer des balises. Si vous êtes autorisé à créer une ressource, vous disposez également des droits d'accès nécessaires pour lui appliquer des balises de format libre. Pour appliquer une balise définie, vous devez disposer de droits d'accès permettant d'utiliser l'espace de noms de balise. Pour plus d'informations sur le balisage, reportez-vous à Balises de ressource. Si vous n'êtes pas certain de devoir appliquer des balises, ignorez cette option (vous pouvez les appliquer ultérieurement) ou demandez à l'administrateur.
- Choisissez Créer.
Avant de créer la stratégie, vous devez connaître les ressources auxquelles vous souhaitez accorder l'accès. La ressource (parfois appelée type de ressource) correspond à l'élément auquel la stratégie accorde un accès. Afin d'obtenir la liste des instructions de stratégie pour le rôle fonctionnel à créer, reportez-vous à Référence de stratégie pour les rôles fonctionnels.
- Accédez à la page Stratégies :
- Si vous êtes toujours sur la page Groupes de l'étape précédente, sélectionnez Domaines dans les liens du chemin de navigation en haut de la page. Sur la page Domaines, sélectionnez Stratégies sur le côté gauche de la page.
- Sinon, ouvrez le menu de navigation. Sous Infrastructure, sélectionnez Identité et sécurité pour développer le menu, puis sous Identité, sélectionnez Stratégies. La liste des stratégies est affichée.
- Sélectionnez Créer une stratégie.
- Entrez les informations suivantes :
- Nom : nom unique de la stratégie. Le nom doit être unique parmi toutes les stratégies de la location. Vous ne pouvez pas modifier cette valeur ultérieurement.
- Description : description conviviale. Si vous le souhaitez, vous pourrez la modifier ultérieurement.
- Compartiment : assurez-vous que la location (compartiment racine) est sélectionnée.
- Dans le générateur de stratégies, activez l'option Afficher l'éditeur manuel pour afficher la zone de saisie de texte à format libre.
- Entrez les instructions appropriées pour les ressources auxquelles vous voulez accorder l'accès. Afin de connaître les instructions que vous pouvez copier et coller pour les rôles fonctionnels courants, reportez-vous à Référence de stratégie pour les rôles fonctionnels.
Veillez à remplacer '<identity-domain-name>'/'<your-group-name>' dans chacune des instructions par le nom de domaine d'identité et le nom de groupe corrects que vous avez créés à l'étape précédente et toute autre variable.
Par exemple, supposons que vous disposez d'un groupe nommé "FA-Admins" que vous avez créé dans le domaine OracleIdentityCloudService. Vous voulez que ce groupe dispose des droits d'accès d'administrateur de service Fusion Applications.
- Accédez à Référence de stratégie pour les rôles fonctionnels dans la documentation (image ci-dessous).
- Recherchez Administrateur de service Fusion Applications. Cliquez sur Copier pour copier les instructions de stratégie.
- Accédez à l'éditeur de stratégie, collez les instructions de la documentation, puis mettez à jour la valeur '<identity-domain-name>'/'<your-group-name>' dans chacune des instructions. Dans cet exemple, la mise à jour serait 'OracleIdentityCloudService'/'FA-Admins'.
- Choisissez Créer.
- Sur la page d'accueil de la console Oracle Cloud, sous Actions rapides, sélectionnez Ajouter un utilisateur à votre location.
- Sélectionnez Créer un utilisateur.
- Entrez le prénom et le nom de l'utilisateur.
- Pour que l'utilisateur se connecte avec son adresse électronique :
- Laissez la case Utiliser l'adresse électronique en tant que nom utilisateur cochée.
- Dans le champ Nom utilisateur/adresse électronique, entrez l'adresse électronique du compte utilisateur.
ou
Pour que l'utilisateur se connecte avec son nom utilisateur :- Désélectionnez la case Utiliser l'adresse électronique en tant que nom utilisateur.
- Dans le champ Nom utilisateur, saisissez le nom utilisateur à employer pour se connecter à la console.
- Dans le champ Adresse électronique, entrez l'adresse électronique du compte utilisateur.
- Pour affecter l'utilisateur à un groupe, cochez la case de chaque groupe à affecter au compte utilisateur.
- Choisissez Créer.
Référence de stratégie pour les rôles fonctionnels
Vous voudrez configurer certains rôles fonctionnels courants pour vos utilisateurs. Vous pouvez créer des stratégies pour accorder les droits d'accès nécessaires à des fonctions spécifiques. Cette section fournit des exemples de stratégie pour certaines fonctions courantes.
Les exemples de cette section présentent toutes les instructions de stratégie requises pour les rôles décrits. Le tableau qui suit fournit des détails sur les droits d'accès accordés par chaque instruction. Pour créer un utilisateur avec accès accordé via des stratégies, vous pouvez copier et coller la stratégie fournie, en remplaçant le nom de groupe. Pour plus d'informations, reportez-vous à la tâche Création de la stratégie ci-dessus. Si vous n'avez pas besoin de toutes les instructions, par exemple, si votre application ne s'intègre pas à Oracle Digital Assistant, vous pouvez les enlever.
Suivez les directives ci-après pour configurer les types de rôle suivants :
L'administrateur d'environnement Fusion Applications peut effectuer toutes les tâches requises pour créer et gérer les environnements et familles d'environnements Fusion Applications dans votre location (compte). L'administrateur d'environnement Fusion Applications peut également interagir avec les applications et services associés qui prennent en charge vos environnements. Pour réaliser pleinement ces tâches, l'administrateur d'environnement Fusion Applications requiert des droits d'accès sur plusieurs services et ressources.
Lorsque vous créez cette stratégie, voici ce que vous devez connaître :
- Nom du groupe.
- Nom du domaine d'identité dans lequel se trouve le groupe.
- Nom du compartiment dans lequel se trouvent l'environnement et les autres ressources. Pour plus d'informations sur les compartiments, reportez-vous à Utilisation de compartiments afin de regrouper des ressources pour les rôles fonctionnels. Vous pouvez déplacer les ressources vers le compartiment après avoir créé la stratégie, mais le compartiment doit exister avant que vous n'écriviez la stratégie.
Exemple de stratégie à copier et coller :
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to use vcns in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read vaults in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read keys in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to use key-delegate in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read lockbox-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage oda-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage vbstudio-instances in tenancy
Define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
Endorse group '<identity-domain-name>'/'<your-group-name>' to read objects in tenancy usage-reportLe tableau suivant décrit ce à quoi chaque instruction de la stratégie précédente accorde un accès :
| Instruction de stratégie | Objet |
|---|---|
|
Accorde des droits de gestion complets pour les environnements et familles d'environnements Fusion Applications. Inclut les activités de création, de mise à jour, d'actualisation et de maintenance. |
|
Accorde des droits de lecture des informations relatives aux abonnements afin d'accéder aux abonnements d'application dans la console. Requise pour afficher vos abonnements ; doit être établie au niveau de la location. |
|
Accorde des droits d'affichage des informations d'application sur la page d'accueil Applications. |
|
Accorde l'accès aux graphiques de mesures et aux données affichés pour vos ressources FA. |
|
Permet d'accéder à la lecture des annonces. |
|
Accorde l'accès permettant d'ajouter ou de modifier des règles d'accès réseau. |
|
Accorde des droits de gestion de l'application intégrée Oracle Digital Assistant. |
|
Accorde des droits de gestion de l'application intégrée Visual Studio. |
|
Autorise l'affichage des rapports mensuels sur les mesures d'utilisation. |
Une fois que l'administrateur d'environnement Fusion Applications a créé les environnements Fusion Applications, l'administrateur d'environnement peut gérer un environnement spécifique, mais il ne peut pas créer ou supprimer l'environnement, ni accéder à d'autres environnements. Par exemple, vous pouvez configurer un groupe nommé Prod-Admins qui peut uniquement accéder à votre environnement de production, et un groupe nommé Test-Admins qui peut uniquement accéder aux environnements hors production.
Tâches que l'administrateur d'environnement peut effectuer :
- Mise à jour des packs de langue, des options de maintenance d'environnement et des règles d'accès réseau
- Surveillance des mesures
- Actualisation des environnements (hors production uniquement)
- Ajout d'administrateurs d'application
Tâches que l'administrateur d'environnement ne peut pas effectuer :
- Création d'environnements
- Suppression d'environnements
- Accès à d'autres environnements
Voici un exemple de stratégie illustrant toutes les instructions de stratégie requises pour ce rôle. Le tableau qui suit fournit des détails sur les droits d'accès accordés par chaque instruction. Pour créer un utilisateur avec cet ensemble de droits d'accès, vous pouvez copier et coller cette stratégie en remplaçant le nom de groupe et le nom de compartiment. Pour plus d'informations, reportez-vous à la tâche Création de la stratégie ci-dessus.
Lorsque vous créez cette stratégie, voici ce que vous devez connaître :
- Nom du groupe
- Nom du domaine d'identité dans lequel se trouve le groupe.
- Nom du compartiment dans lequel se trouvent l'environnement et les autres ressources. Pour plus d'informations sur les compartiments, reportez-vous à Utilisation de compartiments afin de regrouper des ressources pour les rôles fonctionnels. Vous pouvez déplacer les ressources vers le compartiment après avoir créé la stratégie, mais le compartiment doit exister avant que vous n'écriviez la stratégie.
Exemple de stratégie à copier et coller :
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-environment in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-scheduled-activity in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-refresh-activity in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-work-request in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-environment-group in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to use vcns in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage oda-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage vbstudio-instances in tenancy
Define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
Endorse group '<identity-domain-name>'/'<your-group-name>' to read objects in tenancy usage-reportLe tableau suivant décrit ce à quoi chaque instruction de la stratégie précédente accorde un accès :
| Instruction de stratégie | Objet |
|---|---|
|
Accorde des droits de gestion des environnements Fusion Applications dans le compartiment nommé. |
|
Accorde des droits d'affichage de l'activité de maintenance programmée pour les environnements dans le compartiment nommé. |
|
Accorde des droits de création de demandes d'actualisation d'environnement pour les environnements dans le compartiment nommé. Ne s'applique pas aux environnements de production. |
|
Accorde des droits d'affichage des demandes de travail pour les environnements dans le compartiment nommé. |
|
Accorde des droits d'affichage des détails de famille d'environnements pour toutes les familles d'environnements de la location. |
|
Accorde des droits de lecture des informations relatives aux abonnements afin d'accéder aux abonnements d'application dans la console. Requise pour afficher vos abonnements ; doit être établie au niveau de la location. |
|
Accorde des droits d'affichage des informations d'application sur la page d'accueil Applications. |
|
Accorde l'accès aux graphiques de mesures et aux données affichés pour vos ressources FA dans le compartiment nommé. |
|
Accorde l'accès permettant d'ajouter ou de modifier des règles d'accès réseau pour les réseaux cloud virtuels dans le compartiment nommé. |
|
Permet d'accéder à la lecture des annonces. |
|
Accorde des droits de gestion de l'application intégrée Oracle Digital Assistant dans le compartiment nommé. |
|
Accorde des droits de gestion de l'application intégrée Oracle Integration. Non requise si votre environnement n'utilise pas cette intégration. |
|
Accorde des droits de gestion de l'application intégrée Visual Studio dans le compartiment nommé. |
|
Autorise l'affichage des rapports mensuels sur les mesures d'utilisation. |
Les stratégies incluses pour ce rôle permettent aux membres du groupe d'accéder en lecture seule aux détails et au statut des environnements Fusion Applications et des applications associées. L'utilisateur en lecture seule de l'environnement ne peut apporter aucune modification.
Voici un exemple de stratégie illustrant toutes les instructions de stratégie requises pour le rôle. Le tableau qui suit fournit des détails sur les droits d'accès accordés par chaque instruction. Pour créer un utilisateur avec cet ensemble de droits d'accès, vous pouvez copier et coller cette stratégie en remplaçant le nom de groupe. Pour plus d'informations, reportez-vous à la tâche Création de la stratégie ci-dessus.
Lorsque vous créez cette stratégie, voici ce que vous devez connaître :
- Nom du groupe
- Nom du domaine d'identité dans lequel se trouve le groupe.
- Nom du compartiment dans lequel se trouvent l'environnement et les autres ressources. Pour plus d'informations sur les compartiments, reportez-vous à Utilisation de compartiments afin de regrouper des ressources pour les rôles fonctionnels. Vous pouvez déplacer les ressources vers le compartiment après avoir créé la stratégie, mais le compartiment doit exister avant que vous n'écriviez la stratégie.
Exemple de stratégie à copier et coller :
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read oda-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read vbstudio-instances in tenancy
Define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
Endorse group '<identity-domain-name>'/'<your-group-name>' to read objects in tenancy usage-reportLe tableau suivant décrit ce à quoi chaque instruction de la stratégie précédente accorde un accès :
| Instruction de stratégie | Objet |
|---|---|
|
Accorde des droits d'affichage de tous les aspects de l'environnement et de la famille d'environnements Fusion Applications. |
|
Accorde des droits de lecture des informations relatives aux abonnements afin d'accéder aux abonnements d'application dans la console. Requise pour afficher vos abonnements ; doit être établie au niveau de la location. |
|
Accorde des droits d'affichage des informations d'application sur la page d'accueil Applications. |
|
Accorde l'accès à la visualisation des graphiques de mesures et des données affichés pour vos ressources FA. |
|
Permet d'afficher les annonces. |
|
Accorde des droits d'affichage de l'application intégrée Oracle Digital Assistant. |
|
Accorde des droits d'affichage de l'application intégrée Visual Studio. |
|
Autorise l'affichage des rapports mensuels sur les mesures d'utilisation. |
Les stratégies incluses pour ce rôle permettent aux membres du groupe d'effectuer des actualisations d'environnement dans un compartiment spécifié. Les membres du groupe disposent également d'un accès en lecture seule aux détails des environnements Fusion Applications. L'actualisation d'un environnement est la seule action que ce rôle est autorisé à effectuer.
Voici un exemple de stratégie illustrant toutes les instructions de stratégie requises pour le rôle. Le tableau qui suit fournit des détails sur les droits d'accès accordés par chaque instruction. Pour créer un utilisateur avec cet ensemble de droits d'accès, vous pouvez copier et coller cette stratégie en remplaçant le nom de groupe. Pour plus d'informations, reportez-vous à la tâche Création de la stratégie ci-dessus.
Lorsque vous créez cette stratégie, voici ce que vous devez connaître :
- Nom du groupe.
- Nom du domaine d'identité dans lequel se trouve le groupe.
- Nom du compartiment dans lequel se trouve l'environnement.
Exemple de stratégie à copier et coller :
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read oda-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read vbstudio-instances in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-refresh-activity in compartment <your-compartment-name>Le tableau suivant décrit ce à quoi chaque instruction de la stratégie précédente accorde un accès :
| Instruction de stratégie | Objet |
|---|---|
|
Accorde des droits d'affichage de tous les aspects de l'environnement et de la famille d'environnements Fusion Applications. |
|
Accorde des droits de lecture des informations relatives aux abonnements afin d'accéder aux abonnements d'application dans la console. Requise pour afficher vos abonnements ; doit être établie au niveau de la location. |
|
Accorde des droits d'affichage des informations d'application sur la page d'accueil Applications. |
|
Accorde l'accès à la visualisation des graphiques de mesures et des données affichés pour vos ressources FA. |
|
Permet d'afficher les annonces. |
|
Accorde des droits d'affichage de l'application intégrée Oracle Digital Assistant. |
|
Accorde des droits d'affichage de l'application intégrée Visual Studio. |
|
Accorde le droit d'effectuer une actualisation sur les environnements Fusion Applications situés dans le compartiment indiqué. |
L'administrateur de sécurité d'environnement gère les fonctionnalités de sécurité des environnements Fusion Applications. Les fonctionnalités de sécurité incluent les clés gérées par le client et Oracle Managed Access (appelé aussi accès d'urgence). Vous devez avoir acheté des abonnements à ces fonctionnalités pour pouvoir les activer dans vos environnements. Pour plus d'informations, reportez-vous à Clés gérées par le client pour Oracle Break Glass et à Support technique Break Glass pour les environnements.
Tâches que l'administrateur de sécurité d'environnement peut effectuer :
- Crée des coffres et des clés dans le service Vault
- Rotation des clés
- Vérification de la rotation des clés pour un environnement Fusion Applications
- Désactivation et activation des clés
Voici un exemple de stratégie illustrant toutes les instructions de stratégie requises pour ce rôle. Le tableau qui suit fournit des détails sur les droits d'accès accordés par chaque instruction. Pour créer un utilisateur avec cet ensemble de droits d'accès, vous pouvez copier et coller cette stratégie en remplaçant le nom de groupe et le nom de compartiment. Pour plus d'informations, reportez-vous à la tâche Création de la stratégie ci-dessus.
Lorsque vous créez cette stratégie, voici ce que vous devez connaître :
- Nom du groupe
- Nom du domaine d'identité dans lequel se trouve le groupe.
- Nom du compartiment dans lequel se trouvent l'environnement et les autres ressources. Pour plus d'informations sur les compartiments, reportez-vous à Utilisation de compartiments afin de regrouper des ressources pour les rôles fonctionnels. Vous pouvez déplacer les ressources vers le compartiment après avoir créé la stratégie, mais le compartiment doit exister avant que vous n'écriviez la stratégie.
Exemple de stratégie à copier et coller :
Allow group '<identity-domain-name>'/'<your-group-name>' to manage vaults in tenancy where request.permission not in ('VAULT_DELETE', 'VAULT_MOVE')
Allow group '<identity-domain-name>'/'<your-group-name>' to manage keys in tenancy where request.permission not in ('KEY_DELETE', 'KEY_MOVE')
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-environment-group in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-environment in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage lockbox-family in tenancy
Le tableau suivant décrit ce à quoi chaque instruction de la stratégie précédente accorde un accès :
| Instruction de stratégie | Objet |
|---|---|
|
Accorde des droits de création et de gestion des coffres dans la location, mais empêche la suppression d'un coffre ou le déplacement d'un coffre vers un autre compartiment. |
|
Accorde des droits de création et de gestion des clés pour les environnements de la location, mais empêche la suppression d'une clé ou le déplacement d'une clé vers un autre compartiment. |
|
Accorde des droits de lecture des détails d'un groupe d'environnements Fusion Applications. |
|
Accorde des droits de lecture des détails d'un environnement Fusion Applications. |
Suppression d'un utilisateur
Supprimer un utilisateur lorsqu'il quitte la société. Pour plus de détails sur la gestion des utilisateurs dans un domaine d'identité, reportez-vous à Cycle de vie de la gestion des utilisateurs.
- Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines.
- Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Utilisateurs.
- Cochez la case en regard de chaque compte utilisateur à supprimer.
- Sélectionnez Actions supplémentaires, puis Supprimer.
- Dans la boîte de dialogue Supprimer un utilisateur, cliquez sur Supprimer un utilisateur. Si l'utilisateur est toujours membre d'un groupe, un message d'avertissement s'affiche. Pour confirmer la suppression, sélectionnez Oui.
Suppression d'un utilisateur d'un groupe
Retirez un utilisateur d'un groupe lorsqu'il n'a plus besoin d'accéder aux ressources auxquelles il accorde l'accès.
- Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines.
- Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Utilisateurs.
- Sélectionnez le compte utilisateur à modifier.
- Sélectionnez Groupes.
- Cochez la case correspondant à chaque groupe à supprimer du compte utilisateur.
- Sélectionnez Enlever un utilisateur d'un groupe.
- Confirmez votre sélection.