Documentation Oracle Cloud Infrastructure

Configuration d'utilisateurs et de groupes dans des comptes cloud utilisant des domaines d'identité

Pour un compte cloud dans une région mis à jour afin d'utiliser des domaines d'identité avant la création du compte cloud, les utilisateurs et les groupes sont configurés dans Oracle Cloud Infrastructure (IAM) uniquement.

Remarque

Cette section s'applique uniquement aux comptes cloud qui utilisent des domaines d'identité. Si vous n'êtes pas sûr que votre compte cloud utilise des domaines d'identité, reportez-vous à A propos de la configuration des utilisateurs et des groupes.

Pour plus d'informations sur Oracle Cloud Infrastructure IAM et la documentation qui fournit les informations dont vous avez besoin, reportez-vous à Documentation à utiliser pour l'identité cloud dans Présentation d'IAM dans la documentation Oracle Cloud Infrastructure.

Avec les domaines d'identité, les rôles sont affectés aux groupes Oracle Cloud Infrastructure IAM au sein d'un domaine, comme illustré dans le diagramme suivant.

Description de l'image identity-domain-config.png
Description de l'image identity-domain-config.png

Création d'un domaine d'identité

Créez un domaine d'identité dans lequel configurer les utilisateurs et les groupes.

Dans une location Oracle Cloud Infrastructure (compte cloud), votre environnement inclut un compartiment racine (par défaut) et potentiellement plusieurs autres compartiments, selon la configuration de l'environnement. Afin de créer des compartiments, reportez-vous à Création d'un compartiment pour Visual Builder. Dans chaque compartiment, vous pouvez créer des utilisateurs et des groupes. Par exemple, voici les meilleures pratiques à suivre :

  • Dans le compartiment racine (par défaut), créez un domaine par défaut pour les administrateurs uniquement.
  • Dans un autre compartiment (par exemple, nommé Dev), créez un domaine pour les utilisateurs et les groupes dans un environnement de développement.
  • Dans un autre compartiment (par exemple, nommé Prod), créez un domaine pour les utilisateurs et les groupes dans un environnement de production.

Vous pouvez également créer plusieurs domaines dans un seul compartiment.

  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines.
    La page Domaines s'affiche.
  2. Si ce n'est pas déjà fait, sélectionnez le compartiment dans lequel créer le domaine.
  3. Cliquez sur Créer un domaine.
  4. Entrez les informations requises sur la page Créer un domaine. Reportez-vous à Création de domaines d'identité dans la documentation Oracle Cloud Infrastructure.

Création d'un groupe Oracle Cloud Infrastructure dans un domaine d'identité

Créez un groupe, tel qu'un administrateur d'instance ou un groupe en lecture seule, dans un domaine d'identité.

  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines.
    La page Domaines s'affiche.
  2. Si ce n'est pas déjà fait, sélectionnez le compartiment dans lequel réside le domaine où créer le groupe.
  3. Dans la colonne Nom, cliquez sur le domaine dans lequel créer le groupe pour la création et la gestion des instances.
    La page d'aperçu du domaine s'affiche.
  4. Cliquez sur Groupes.
    La page Groupes du domaine apparaît.
  5. Cliquez sur Créer un groupe.
  6. Dans l'écran Créer un groupe, affectez un nom au groupe (par exemple, oci-visualbuilder-admins) et entrez une description.
  7. Cliquez sur Créer.

Création d'une stratégie Oracle Cloud Infrastructure dans un domaine d'identité

Créez une stratégie pour accorder des droits d'accès aux utilisateurs d'un groupe de domaines afin qu'ils puissent utiliser des instances Oracle Cloud Infrastructure dans une location ou un compartiment donné.

  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Stratégies.
  2. Cliquez sur Créer une stratégie.
  3. Dans la fenêtre Créer une stratégie, saisissez un nom (par exemple, VisualBuilderGroupPolicy) et une description.
  4. Dans Générateur de stratégies, sélectionnez Afficher l'éditeur manuel et entrez les instructions de stratégie requises.

    Syntaxe :

    • allow group domain-name/group_name to verb resource-type in compartment compartment-name

    • allow group domain-name/group_name to verb resource-type in tenancy

    Exemple : allow group admin/oci-visualbuilder-admins to manage visualbuilder-instances in compartment VBCompartment

    Remarque

    Si vous omettez le nom de domaine, le domaine par défaut est pris en compte.

    Cette instruction de stratégie autorise le groupe oci-visualbuilder-admins du domaine admin à manage l'instance visualbuilder-instances du compartiment VBCompartment.

    Vous pouvez créer des groupes distincts pour différentes autorisations, par exemple un groupe disposant uniquement des droits d'accès read.

    Voulez-vous en savoir plus sur les stratégies ? Reportez-vous à Fonctionnement des stratégies et à Référence de stratégie, ou cliquez sur Aide dans la fenêtre.

    • Lorsque vous définissez des instructions de stratégie, vous pouvez spécifier des verbes (comme ceux utilisés dans ces étapes) ou des droits d'accès (généralement utilisés par les super utilisateurs).

    • Les verbes read et manage sont ceux qui conviennent le mieux à Visual Builder. Le verbe manage dispose du plus grand nombre de droits d'accès (create, delete, edit, move et view).

      Verbe Accès

      read

      Inclut les droits d'accès permettant de visualiser les instances Oracle Visual Builder et leurs détails.

      manage

      Inclut tous les droits d'accès pour les instances Oracle Visual Builder.
  5. Si vous avez l'intention d'utiliser des adresses personnalisées, ajoutez des instructions de stratégie supplémentaires. Sinon, ignorez cette étape.
    Ajoutez des stratégies qui indiquent le compartiment dans lequel résident les coffres et les clés secrètes, et autorisez le groupe d'administrateurs à y gérer les clés secrètes. Reportez-vous à Création et configuration d'une adresse personnalisée.
    Vous devez indiquer la ressource à renvoyer dans resource-type, comme décrit dans Détails du service Vault. Notez également qu'Oracle Visual Builder requiert le verbe read uniquement, mais manage est recommandé si le même groupe administrera également les clés secrètes (opérations de téléchargement/cycle de vie).

    Exemple :

    • allow group admin/oci-visualbuilder-admins to manage secrets in compartment SecretsCompartment

    • allow group admin/oci-visualbuilder-admins to manage vaults in compartment SecretsCompartment

  6. Cliquez sur Créer.
    Les instructions de stratégie sont validées et les erreurs de syntaxe sont affichées.

Création d'un utilisateur dans un domaine d'identité

Créez un utilisateur à affecter à un groupe dans un domaine d'identité Oracle Cloud Infrastructure.

  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines.
    La page Domaines s'affiche.
  2. Si ce n'est pas déjà fait, sélectionnez le compartiment dans lequel réside le domaine contenant le groupe auquel ajouter un nouvel utilisateur.
  3. Dans la colonne Nom, cliquez sur le domaine du groupe dans lequel créer l'utilisateur.
    La page d'aperçu du domaine s'affiche.
  4. Cliquez sur Utilisateurs.
    La page Utilisateurs du domaine s'affiche.
  5. Cliquez sur Créer un utilisateur.
  6. Sur l'écran Créer un utilisateur, entrez le prénom et le nom de famille de l'utilisateur, ainsi que son nom utilisateur, puis sélectionnez les groupes auxquels l'utilisateur doit être affecté.
  7. Cliquez sur Créer.
    Le nouvel utilisateur est ajouté aux groupes sélectionnés et dispose de droits d'accès affectés au groupe par son instruction de stratégie.
  8. Sur la page de détails de l'utilisateur qui apparaît, vous pouvez modifier les informations de l'utilisateur selon vos besoins et réinitialiser son mot de passe.
  9. Fournissez aux nouveaux utilisateurs les informations d'identification dont ils ont besoin pour se connecter à leur compte cloud. Une fois connectés, ils sont invités à saisir un nouveau mot de passe.

Affectation de rôles de service Visual Builder à des groupes dans un domaine d'identité

Une fois qu'une instance Visual Builder a été créée, affectez des rôles de service Oracle Visual Builder à des groupes d'utilisateurs afin qu'ils puissent utiliser les fonctionnalités de l'instance.

Remarque

Il est recommandé d'affecter des rôles de service Oracle Visual Builder à des groupes sélectionnés plutôt qu'à des utilisateurs individuels.

Oracle Visual Builder fournit un ensemble standard de rôles de service qui régissent l'accès aux fonctionnalités. Selon les fonctionnalités Oracle Visual Builder utilisées par votre organisation, vous pouvez choisir de créer des groupes nommés en fonction du rôle de service qui leur est accordé. Par exemple, VisualBuilderServiceAdministrators pour le rôle ServiceAdministrator d'Oracle Visual Builder.

  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines.
    La page Domaines s'affiche.
  2. Si ce n'est pas déjà fait, sélectionnez le compartiment dans lequel réside le domaine contenant le groupe auquel affecter des rôles Oracle Visual Builder.
  3. Dans la colonne Nom, cliquez sur le domaine du groupe auquel affecter des rôles.
    La page d'aperçu du domaine s'affiche.
  4. Dans le panneau de navigation, cliquez sur Services Oracle Cloud.
    La page Oracle Cloud Services s'affiche.
  5. Dans la colonne Nom, cliquez sur l'instance Oracle Visual Builder pour laquelle affecter des rôles de groupe.
    La page de détails de l'instance apparaît.
  6. Dans le panneau de navigation, cliquez sur Rôles d'application.
  7. Dans la liste Rôles d'application, localisez les rôles à affecter au groupe. Tout à droite, cliquez sur Menu des tâches et sélectionnez Affecter des groupes.
  8. Sur la page Affecter des groupes, sélectionnez le groupe auquel affecter le rôle de service, puis cliquez sur Affecter.