Il est recommandé de définir <stripename> pour toutes les entités que vous allez créer propres au stripe. Il est important d'identifier de manière unique les configurations associées à un bandeau, surtout lorsque plusieurs bandes sont configurées.

Dans les sections suivantes, vous utiliserez stripename dans ces entités :

Dans IDCS, créez un groupe dans le bandeau secondaire et ajoutez-y des utilisateurs du bandeau secondaire.

1. Ajouter un groupe dans le stripe secondaire et lui donner le nom stripename_administrators. Par exemple, nommez-le stripe2_administrators. Cliquez sur Terminer.
   Ces administrateurs seront autorisés à créer des instances Process Automation. Ce groupe IDCS sera mis en correspondance avec un groupe IAM. Reportez-vous à Mise en correspondance des groupes IDCS et IAM.
2. Ajoutez des utilisateurs du bande secondaire au groupe.

Créez une application confidentielle IDCS qui utilise les informations d'identification client OAuth et à laquelle est affecté le rôle d'administrateur de domaine IDCS. Vous devez créer une application confidentielle par stripe secondaire.

1. En tant qu'administrateur IDCS, connectez-vous à la console d'administration IDCS secondaire.
2. Ajoutez une application confidentielle.
   1. Accédez à l'onglet Applications.
   2. Cliquez sur Ajouter.
   3. Sélectionnez Application confidentielle.
   4. Nommez l'application Client_Credentials_For_SAML_Federation.
   5. Cliquez sur Suivant.
3. Configurez les paramètres client.
   1. Cliquez sur Configurer cette application maintenant comme client.
   2. Sous Autorisation, sélectionnez Informations d'identification client.
   3. Sous Autoriser le client à accéder aux API d'administration d'Identity Cloud Service, cliquez sur Ajouter et sélectionnez le rôle d'application Administrateur de domaine d'identité.
   4. Cliquez deux fois sur Suivant.
4. Cliquez sur Terminer. Une fois l'application créée, notez l'ID client et la clé secrète client correspondants. Vous aurez besoin de ces informations pour des étapes ultérieures de la fédération
5. Cliquez sur Activer et confirmez l'activation de l'application.

Ce groupe est nécessaire car la fédération de fournisseurs d'identités SAML Oracle Cloud Infrastructure exige la mise en correspondance de groupes pour la fédération d'utilisateurs à partir du fournisseur d'identités fédéré (IDCS). Par ailleurs, l'appartenance aux groupes natifs OCI est requise afin de définir et d'accorder des droits d'accès (stratégies) Oracle Cloud Infrastructure pour les utilisateurs fédérés.

1. Dans la console Oracle Cloud Infrastructure, ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Groupes.
   Ce groupe IAM sera mis en correspondance avec le groupe IDCS que vous avez créé.
2. Créez un groupe et nommez-le oci_stripename_administrators. Par exemple, nommez-le oci_stripe2_administrators.

Maintenant que les groupes IDCS et IAM sont créés et que vous disposez des informations client nécessaires, créez le fournisseur d'identités IDCS et mettez les groupes en correspondance.

1. Connectez-vous à la console Oracle Cloud Infrastructure. Sélectionnez le domaine d'identité du bandeau primordial (identitycloudservice) et entrez les informations d'identification utilisateur correspondantes.
   N'oubliez pas que la mise en correspondance de groupes d'un bandeau secondaire utilise la connexion utilisateur du bandeau principal. Ceci est important, car l'ajout de plusieurs stripes entraîne l'ajout de plusieurs options à la liste déroulante.
2. Ouvrez le menu de navigation et cliquez sur Identité et sécurité, puis sur Fédération.
3. Cliquez sur Ajouter un fournisseur d'identités.
4. Dans la fenêtre qui s'affiche, renseignez les champs comme indiqué ci-dessous.

   Champ	Informations à saisir
   Nom	<stripename>_service
   Description	Federation with IDCS secondary stripe
   Type	Oracle Identity Cloud Service
   URL de base Oracle Identity Cloud Service	Utilisez le format suivant : https://idcs-xxxx.identity.oraclecloud.com Remplacez la partie correspondant au domaine (<idcs-xxxx>) par votre stripe IDCS secondaire.
   ID client/Clé secrète du client	Saisissez l'ID et la clé secrète client que vous avez obtenus lors de la création d'un client OAuth dans le stripe secondaire. Reportez-vous à Création d'un client OAuth dans la partition secondaire.
   Forcer l'authentification	Sélectionnez cette option.

5. Cliquez sur Continuer.
6. Mettez en correspondance le stripe secondaire IDCS et les groupes OCI que vous avez créés précédemment.
   Mettez en correspondance le groupe de stripe secondaire IDCS (créé dans Création d'un groupe IDCS pour les utilisateurs du stripe secondaire) et le groupe OCI (créé dans Création d'un groupe IAM pour les utilisateurs du stripe secondaire).
7. Cliquez sur Ajouter un fournisseur.
   La fédération de stripe secondaire est terminée. La correspondance de groupes est affichée.
8. Vérifiez la bande secondaire et configurez la visibilité pour les administrateurs et les utilisateurs de la bande secondaire.
   • L'administrateur de locataires peut voir tous les stripes IDCS fédérés dans la console OCI.
   • L'administrateur du stripe secondaire et tous les autres utilisateurs du stripe secondaire ne verront aucun stripe sous la fédération. Pour résoudre ce problème, reportez-vous à Fourniture de l'accès à une bande fédérée dans le groupe IAM pour les utilisateurs de bande secondaire.

Une fois la fédération terminée, configurez des stratégies IAM qui permettent aux utilisateurs fédérés du stripe IDCS secondaire de créer des instances Oracle Cloud Infrastructure Process Automation. En tant que modèle commun, la stratégie est limitée à un compartiment.

1. Créer un compartiment dans lequel des instances Oracle Cloud Infrastructure Process Automation pour le stripe IDCS secondaire peuvent être créées. Nommez le compartiment stripename_compartment.
   Créez par exemple un compartiment nommé stripe2_compartment.
2. Créer une stratégie permettant aux utilisateurs fédérés de créer des instances Oracle Cloud Infrastructure Process Automation dans le compartiment. Nommez la stratégie stripename_adminpolicy ( par exemple, stripe2_adminpolicy).

   Sous Policy Builder, sélectionnez Afficher l'éditeur manuel.

   • Syntaxe : allow group stripename_administrators to verb resource-type in compartment stripename_compartment
   • Stratégie : allow group oci_stripe2_administrators to manage process-automation-instance in compartment stripe2_compartment

Effectuez des étapes supplémentaires pour permettre à l'administrateur du stripe secondaire et à tous les autres utilisateurs du stripe secondaire de voir les stripes sous Federation.

1. Dans Oracle Identity Cloud Service, créez un groupe nommé stripe2_federation_administrators.
2. Ajoutez au groupe des utilisateurs qui pourront voir la fédération et créer des utilisateurs et des groupes dans la console Oracle Cloud Infrastructure de ce stripe.
3. Dans la console Oracle Cloud Infrastructure, à l'aide de l'utilisateur du stripe principal disposant du droit d'accès correct, créez un groupe IAM nommé oci_stripe2_federation_administrators.
4. Mettez en correspondance les groupes stripe2_federation_administrators et oci_stripe2_federation_administrators.
5. A l'aide des exemples d'instruction suivants, définissez une stratégie qui accorde l'accès aux bandes fédérées.

   Plusieurs exemples montrent comment accorder l'accès à une bande fédérée spécifique, à l'aide d'une clause where qui identifie la bande secondaire.

   Vous pouvez obtenir l'OCID de la fédération dans la vue de fédération de la console Oracle Cloud Infrastructure.

   Autorise les administrateurs de stripe secondaires à...	Instruction de stratégie
   Créer des groupes (utilisation)	allow group oci_stripe2_federation_administrators to use groups in tenancy
   Répertorier les fournisseurs d'identités de la fédération (inspecter)	allow group oci_stripe2_federation_administrators to inspect identity-providers in tenancy Si les administrateurs de stripe secondaires sont requis pour créer des groupes, cette stratégie est requise lorsqu'une clause WHERE est incluse.
   Accéder à un stripe fédéré spécifique (utiliser)	allow group oci_stripe2_federation_administrators to use identity-providers in tenancy where target.identity-provider.id=“ocid1.saml2idp.oc1..aaaaaaaaa…”

   Lorsque vous connectez-vous en tant qu'utilisateur au groupe IDCS ci-dessus, vous pouvez créer des utilisateurs et des groupes dans la console Oracle Cloud Infrastructure et affecter des droits d'accès comme vous le feriez dans un stripe principal.

Une fois la fédération et les stratégies Oracle Cloud Infrastructure définies, les utilisateurs fédérés peuvent se connecter à la console Oracle Cloud Infrastructure et créer des instances Oracle Cloud Infrastructure Process Automation.

1. Connectez-vous en tant qu'utilisateur fédéré à partir du bandeau secondaire.
   Les utilisateurs doivent sélectionner le stripe secondaire dans le champ Fournisseur d'identités. Par exemple, stripe2_administrators.
2. Les administrateurs autorisés peuvent céder des instances Process Automation dans le compartiment spécifié (par exemple, stripe2_compartment).