Documentation Oracle Cloud Infrastructure

Configurer plusieurs stripes d'identité pour l'automatisation des processus

Pour Oracle Cloud Infrastructure Process Automation, le stripe principal (primordial) est automatiquement fédéré à l'aide de groupes préconfigurés. Vous pouvez toutefois créer des environnements distincts pour une application ou un service cloud unique (par exemple, un pour le développement et un pour la production), chaque environnement présentant des exigences différentes en matière d'identité et de sécurité.

Remarque

Cette rubrique s'applique uniquement aux locations qui n'utilisent pas de domaines d'identité. Reportez-vous à Différences entre les locations avec et sans domaines d'identité.

L'implémentation de stripes secondaires permet de créer et de gérer plusieurs instances d'Oracle Identity Cloud Service afin de protéger vos applications et vos services Oracle Cloud.

Vous pouvez fédérer manuellement des stripes secondaires avec Oracle Cloud Infrastructure à l'aide de la fédération de fournisseurs d'identité SAML, dans laquelle plusieurs stripes Oracle Identity Cloud Service sont associés au même compte cloud. Le propriétaire du compte administre les stripes principal et secondaires, mais les identités qu'ils contiennent sont isolées les unes des autres.

Tout d'abord, définissez la convention de dénomination du stripe, comme décrit dans Définition d'une convention de dénomination de stripe. Suivez ensuite les étapes ci-dessous afin de fédérer manuellement un stripe secondaire pour le compte cloud. Vous devez être le propriétaire du compte.

  1. Création d'un groupe IDCS pour les utilisateurs du stripe secondaire
  2. Création d'un client OAuth dans la partition secondaire
  3. Création d'un groupe IAM pour les utilisateurs de stripe secondaire
  4. Créer la fédération et sa correspondance de groupes
  5. Création d'une stratégie IAM permettant aux utilisateurs fédérés de créer des instances
  6. Octroi de l'accès à une partition fédérée dans le groupe IAM aux utilisateurs de la partition secondaire
  7. Créer des instances d'automatisation des processus dans les compartiments de stripe secondaires

Définir une convention de dénomination de stripe

Il est recommandé de définir <stripename> pour toutes les entités que vous allez créer propres au stripe. Il est important d'identifier de manière unique les configurations associées à un bandeau, surtout lorsque plusieurs bandes sont configurées.

Dans les sections suivantes, vous utiliserez stripename dans ces entités :

Entité Convention de dénomination
Groupe IDCS stripename_administrators
Groupe OCI oci_stripename_administrators
Compartiment stripename_compartment
Fournisseur d'identités stripename_service
Stratégie stripename_adminpolicy
Instruction de stratégie allow group oci_stripename_administrators to manage process-automation-instance in compartment stripename_compartment

Création d'un groupe IDCS pour les utilisateurs du stripe secondaire

Dans IDCS, créez un groupe dans le bandeau secondaire et ajoutez-y des utilisateurs du bandeau secondaire.

  1. Ajoutez un groupe dans le stripe secondaire et nommez-le stripename_administrators. Par exemple, nommez-le stripe2_administrators. Cliquez sur Terminer.
    Ces administrateurs seront autorisés à créer des instances Process Automation. Ce groupe IDCS sera mis en correspondance avec un groupe IAM. Reportez-vous à Mise en correspondance des groupes IDCS et IAM.
  2. Ajoutez des utilisateurs du stripe secondaire au groupe.

Création d'un client OAuth dans la partition secondaire

Créez une application confidentielle IDCS qui utilise les informations d'identification client OAuth et à laquelle est affecté le rôle d'administrateur de domaine IDCS. Vous devez créer une application confidentielle par stripe secondaire.

  1. En tant qu'administrateur IDCS, connectez-vous à la console d'administration IDCS secondaire.
  2. Ajoutez une application confidentielle.
    1. Accédez à l'onglet Applications.
    2. Cliquez sur Ajouter.
    3. Sélectionnez Application confidentielle.
    4. Nommez l'application Client_Credentials_For_SAML_Federation.
    5. Cliquez sur Suivant.
  3. Configurez les paramètres client.
    1. Cliquez Configurer cette application comme client maintenant.
    2. Sous Autorisation, sélectionnez Informations d'identification client.
    3. Sous Octroyer au client l'accès aux API d'administration d'Identity Cloud Service, cliquez sur Ajouter et sélectionnez le rôle d'application Administrateur de domaine d'identité.
    4. Cliquez deux fois sur Suivant.
  4. Cliquez sur Terminer. Une fois l'application créée, notez son ID client et sa clé secrète client. Ces informations vous seront utiles pour les prochaines étapes de la fédération
  5. Cliquez sur Activer et confirmez l'activation de l'application.

Création d'un groupe IAM pour les utilisateurs de stripe secondaire

Ce groupe est nécessaire car la fédération de fournisseurs d'identités SAML Oracle Cloud Infrastructure requiert la mise en correspondance de groupes pour fédérer des utilisateurs à partir du fournisseur d'identités fédéré (IDCS). Par ailleurs, l'appartenance à un groupe natif OCI est requise afin de définir et d'octroyer des droits d'accès (stratégies) Oracle Cloud Infrastructure pour les utilisateurs fédérés.

  1. Dans la console d'Oracle Cloud Infrastructure, ouvrez le menu de navigation et cliquez sur Identité, sécurité. Sous Identité, cliquez sur Groupes.
    Ce groupe IAM sera mis en correspondance avec le groupe IDCS que vous avez créé.
  2. Créez un groupe et nommez-le oci_stripename_administrators. Par exemple, nommez-le oci_stripe2_administrators.

Créer la fédération et sa correspondance de groupes

Maintenant que les groupes IDCS et IAM sont créés et que vous disposez des informations client nécessaires, créez le fournisseur d'identités IDCS et mettez les groupes en correspondance.

  1. Connectez-vous à la console Oracle Cloud Infrastructure. Sélectionnez le domaine d'identité du stripe primordial (identitycloudservice) et entrez les informations d'identification utilisateur correspondantes.
    N'oubliez pas que la mise en correspondance de groupes d'un bandeau secondaire utilise la connexion utilisateur du bandeau principal. Ceci est important, car l'ajout de plusieurs stripes entraîne l'ajout de plusieurs options à la liste déroulante.
  2. Ouvrez le menu de navigation et cliquez sur Identité et sécurité, puis sur Fédération.
  3. Cliquez sur Ajouter un fournisseur d'identités.
  4. Dans la fenêtre qui s'affiche, renseignez les champs comme indiqué ci-dessous.
    Champ Informations à saisir
    Nom <stripename>_service
    Description Federation with IDCS secondary stripe
    Type Oracle Identity Cloud Service
    URL de base Oracle Identity Cloud Service

    Utilisez le format suivant :

    https://idcs-xxxx.identity.oraclecloud.com

    Remplacez la partie correspondant au domaine (<idcs-xxxx>) par votre stripe IDCS secondaire.

    ID client/Clé secrète du client

    Saisissez l'ID et la clé secrète client que vous avez obtenus lors de la création d'un client OAuth dans le stripe secondaire. Reportez-vous à Création d'un client OAuth dans la partition secondaire.

    Forcer l'authentification Sélectionnez cette option.
  5. Cliquez sur Continuer.
  6. Mettez en correspondance les groupes du stripe secondaire IDCS et OCI que vous avez créés précédemment.
    Mettez en correspondance le groupe de stripe secondaire IDCS (créé dans Création d'un groupe IDCS pour les utilisateurs du stripe secondaire) et le groupe OCI (créé dans Création d'un groupe IAM pour les utilisateurs du stripe secondaire).
  7. Cliquez sur Ajouter un fournisseur.
    La fédération de stripe secondaire est terminée. La correspondance de groupes est affichée.
  8. Vérifiez le stripe secondaire, et configurez la visibilité pour ses administrateurs et ses utilisateurs.

Création d'une stratégie IAM permettant aux utilisateurs fédérés de créer des instances

Lorsque la fédération est terminée, configurez des stratégies IAM qui permettent aux utilisateurs fédérés du stripe IDCS secondaire, de créer des instances Oracle Cloud Infrastructure Process Automation. Comme souvent, la stratégie est appliquée à un compartiment.

  1. Créer un compartiment dans lequel des instances Oracle Cloud Infrastructure Process Automation pour le stripe IDCS secondaire peuvent être créées. Nommez le compartiment stripename_compartment.
    Créez par exemple un compartiment nommé stripe2_compartment.
  2. Créez une stratégie qui permettra aux utilisateurs fédérés de créer des instances Oracle Cloud Infrastructure Process Automation dans le compartiment. Nommez la stratégie stripename_adminpolicy (par exemple, stripe2_adminpolicy).

    Sous Policy Builder, sélectionnez Afficher l'éditeur manuel.

    • Syntaxe : allow group stripename_administrators to verb resource-type in compartment stripename_compartment
    • Stratégie : allow group oci_stripe2_administrators to manage process-automation-instance in compartment stripe2_compartment
Cette stratégie permet à un utilisateur membre du groupe dans la stratégie, de créer une instance Oracle Cloud Infrastructure Process Automation (process-automation-instance) dans le compartiment nommé stripe2_compartment.

Octroi de l'accès à une partition fédérée dans le groupe IAM aux utilisateurs de la partition secondaire

Effectuez des étapes supplémentaires pour permettre à l'administrateur du stripe secondaire et à tous les autres utilisateurs du stripe secondaire de voir les stripes sous Federation.

  1. Dans Oracle Identity Cloud Service, créez un groupe nommé stripe2_federation_administrators.
  2. Ajoutez des utilisateurs au groupe qui doit pouvoir visualiser la fédération et créer les utilisateurs et les groupes dans la console Oracle Cloud Infrastructure dans ce stripe.
  3. Dans la console Oracle Cloud Infrastructure, via l'utilisateur de stripe principal disposant du droit d'accès approprié, créez un groupe IAM nommé oci_stripe2_federation_administrators.
  4. Mettez en correspondance les groupes stripe2_federation_administrators et oci_stripe2_federation_administrators.
  5. A l'aide des exemples d'instruction suivants, définissez une stratégie qui accorde l'accès aux stripes fédérés.

    Plusieurs exemples montrent comment accorder l'accès à une bande fédérée spécifique, à l'aide d'une clause where qui identifie la bande secondaire.

    Vous pouvez obtenir l'OCID de la fédération à partir de la vue de fédération dans la console Oracle Cloud Infrastructure.

    Autorise les administrateurs de stripe secondaires à... Instruction de stratégie
    Créer des groupes (utilisation) allow group oci_stripe2_federation_administrators to use groups in tenancy
    Répertorier les fournisseurs d'identités de la fédération (inspecter) allow group oci_stripe2_federation_administrators to inspect identity-providers in tenancy

    Si les administrateurs de stripe secondaires sont requis pour créer des groupes, cette stratégie est requise lorsqu'une clause WHERE est incluse.
    Accéder à un stripe fédéré spécifique (utiliser) allow group oci_stripe2_federation_administrators to use identity-providers in tenancy where target.identity-provider.id=“ocid1.saml2idp.oc1..aaaaaaaaa…”

    Lorsque vous êtes connecté en tant qu'utilisateur au groupe IDCS ci-dessus, vous pouvez créer des utilisateurs et des groupes dans la console Oracle Cloud Infrastructure et affecter des droits d'accès comme dans un stripe principal.

Créer des instances d'automatisation des processus dans les compartiments de stripe secondaires

Lorsque la fédération et les stratégies Oracle Cloud Infrastructure définies, les utilisateurs fédérés peuvent se connecter à la console Oracle Cloud Infrastructure et créer des instances Oracle Cloud Infrastructure Process Automation.

  1. Connectez-vous en tant qu'utilisateur fédéré à partir du stripe secondaire.
    Les utilisateurs doivent sélectionner le stripe secondaire dans le champ Fournisseur d'identités. Par exemple, stripe2_administrators.
  2. Les administrateurs autorisés peuvent arrêter les instances Process Automation dans le compartiment indiqué (par exemple, stripe2_compartment).