Documentation Oracle Cloud Infrastructure

Configuration d'utilisateurs et de groupes dans des comptes cloud utilisant des domaines d'identité

Pour un compte cloud se situant dans une région qui a déjà été mise à jour de manière à utiliser des domaines d'identité avant la création du compte, les utilisateurs et les groupes sont configurés dans Oracle Cloud Infrastructure (IAM) uniquement.

Remarque

Cette section s'applique uniquement aux comptes cloud qui utilisent des domaines d'identité. Si vous n'êtes pas sûr que votre compte cloud utilise ou non des domaines d'identité, reportez-vous à la section About Setting Up Users and Groups.

Pour plus d'informations sur Oracle Cloud Infrastructure IAM et la documentation qui contient les informations dont vous avez besoin, reportez-vous àDocumentation à utiliser pour les identités cloud dans Présentation d'IAM dans la documentation Oracle Cloud Infrastructure.

Avec le domaine d'identité, les rôles sont affectés aux groupes Oracle Cloud Infrastructure IAM au sein d'un domaine, comme illustré dans le schéma suivant.

Description de l'image identity-domain-config.png
Description de l'illustration identity-domain-config.png

Création d'un domaine d'identité

Créez un domaine d'identité dans lequel configurer des utilisateurs et des groupes.

Dans une location Oracle Cloud Infrastructure (compte cloud), votre environnement inclut un compartiment racine (par défaut) et potentiellement plusieurs autres compartiments, selon la configuration de l'environnement. Pour créer des compartiments, reportez-vous à Création d'un compartiment pour Visual Builder. Dans chaque compartiment, vous pouvez créer des utilisateurs et des groupes. Par exemple, voici les meilleures pratiques à suivre :

  • Dans le compartiment racine (par défaut), créez un domaine par défaut pour les administrateurs uniquement.
  • Dans un autre compartiment (nommé Dev, par exemple), créez un domaine pour les utilisateurs et les groupes dans un environnement de développement
  • Dans un autre compartiment (nommé Prod, par exemple), créez un domaine pour les utilisateurs et les groupes dans un environnement de production.

Vous pouvez également créer plusieurs domaines dans un même compartiment.

  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines.
    La page Domaines apparaît.
  2. Si ce n'est pas déjà fait, sélectionnez le compartiment dans lequel créer le domaine.
  3. Cliquez sur Créer un domaine.
  4. Entrez les informations requises sur la page Créer un domaine. Reportez-vous à Création de domaines d'identité dans la documentation Oracle Cloud Infrastructure.

Création d'un groupe Oracle Cloud Infrastructure dans un domaine d'identité

Créez un groupe, tel qu'un groupe d'administrateurs d'instance ou un groupe en lecture seule, dans un domaine d'identité.

  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines.
    La page Domaines apparaît.
  2. Si ce n'est pas déjà fait, sélectionnez le compartiment dans lequel réside le domaine où créer le groupe.
  3. Dans la colonne Nom, cliquez sur le domaine dans lequel créer le groupe pour la création et la gestion des instances.
    La page Présentation du domaine apparaît.
  4. Cliquez sur Groupes.
    La page Groupes du domaine apparaît.
  5. Cliquez sur Créer un groupe.
  6. Sur l'écran Create group (Créer un groupe), affectez un nom au groupe (par exemple, oci-visualbuilder-admins) et entrez une description.
  7. Cliquez sur Créer.

Création d'une stratégie Oracle Cloud Infrastructure dans un domaine d'identité

Créez une stratégie pour accorder des droits d'accès à des utilisateurs d'un groupe de domaines afin qu'ils travaillent avec des instances Oracle Cloud Infrastructure au sein d'une location ou d'un compartiment spécifié.

  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Stratégies.
  2. Cliquez sur Créer une stratégie.
  3. Dans la fenêtre Créer un stratégie, saisissez un nom (par exemple, VisualBuilderGroupPolicy) et une description.
  4. Dans Générateur de stratégies, sélectionnez Afficher l'éditeur manuel et entrez les instructions de stratégie requises.

    Syntaxe :

    • allow group domain-name/group_name to verb resource-type in compartment compartment-name

    • allow group domain-name/group_name to verb resource-type in tenancy

    Exemple : allow group admin/oci-visualbuilder-admins to manage visualbuilder-instances in compartment VBCompartment

    Remarque

    Si vous omettez le nom de domaine, le domaine par défaut est utilisé.

    Cette instruction de stratégie autorise le groupe oci-visualbuilder-admins du domaine admin à utiliser l'instance manage visualbuilder-instances dans le compartiment VBCompartment.

    Vous pouvez créer des groupes distincts pour différents droits d'accès, par exemple un groupe avec le droit d'accès read uniquement.

    Pour en savoir plus sur les stratégies, reportez-vous à Fonctionnement des stratégies et à Référence de stratégie, ou cliquez sur Aide dans la fenêtre.

    • Lorsque vous définissez des instructions de stratégie, vous pouvez spécifier des verbes (comme ceux utilisés dans ces étapes) ou des droits d'accès (généralement employés par les superutilisateurs).

    • Les verbes read et manage sont les plus applicables à Visual Builder. Le verbe manage dispose du plus grand nombre de droits d'accès (create, delete, edit, move et view).

      Verbe Accès

      read

      Inclut l'autorisation de visualiser les instances Oracle Visual Builder et leurs détails.

      manage

      Inclut tous les droits d'accès pour les instances Oracle Visual Builder.
  5. Si vous prévoyez d'utiliser des adresses personnalisées, ajoutez des instructions de stratégie supplémentaires. Sinon, ignorez cette étape.
    Ajoutez des stratégies qui indiquent le compartiment dans lequel résident les coffres et les clés secrètes, et autorisez le groupe d'administrateurs à y gérer les clés secrètes. Reportez-vous à Création et configuration d'une adresse personnalisée.
    Vous devez indiquer la ressource à renvoyer dans resource-type, comme décrit dans Détails du service Vault. Notez également qu'Oracle Visual Builder requiert uniquement le verbe read, mais que manage est recommandé si le même groupe administre également les clés secrètes (opérations de téléchargement/cycle de vie).

    Exemples :

    • allow group admin/oci-visualbuilder-admins to manage secrets in compartment SecretsCompartment

    • allow group admin/oci-visualbuilder-admins to manage vaults in compartment SecretsCompartment

  6. Cliquez sur Créer.
    Les instructions de stratégie sont validées et les erreurs de syntaxe sont affichées.

Création d'un utilisateur dans un domaine d'identité

Créez un utilisateur à affecter à un groupe dans un domaine d'identité Oracle Cloud Infrastructure.

  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines.
    La page Domaines apparaît.
  2. Si ce n'est pas déjà fait, sélectionnez le compartiment dans lequel réside le domaine contenant le groupe auquel ajouter un nouvel utilisateur.
  3. Dans la colonne Nom, cliquez sur le domaine du groupe dans lequel créer l'utilisateur.
    La page Présentation du domaine apparaît.
  4. Cliquez sur Utilisateurs.
    La page Utilisateurs du domaine apparaît.
  5. Cliquez sur Créer un utilisateur.
  6. Sur l'écran Créer un utilisateur, entrez le prénom et le nom de famille de l'utilisateur, ainsi que son nom utilisateur, puis sélectionnez les groupes auxquels l'utilisateur doit être affecté.
  7. Cliquez sur Créer.
    Le nouvel utilisateur est ajouté aux groupes sélectionnés et dispose des droits d'accès affectés à ces groupes via les instructions de stratégie correspondantes.
  8. Sur la page de détails de l'utilisateur qui apparaît, vous pouvez modifier les informations de l'utilisateur selon vos besoins et réinitialiser son mot de passe.
  9. Fournissez aux nouveaux utilisateurs les informations d'identification dont ils ont besoin pour se connecter à leur compte cloud. Une fois connectés, ils sont invités à saisir un nouveau mot de passe.

Affecter des rôles de service Visual Builder à des groupes dans un domaine d'identité

Une fois qu'une instance Visual Builder a été créée, affectez des rôles de service Oracle Visual Builder à des groupes d'utilisateurs pour leur permettre d'utiliser les fonctionnalités de l'instance.

Remarque

La pratique conseillée consiste à affecter des rôles de service Oracle Visual Builder à des groupes sélectionnés plutôt qu'à des utilisateurs individuels.

Oracle Visual Builder fournit un ensemble standard de rôles de service, qui régissent l'accès aux fonctionnalités. Selon les fonctionnalités d'Oracle Visual Builder utilisées dans votre organisation, vous avez le choix entre créer des groupes nommés en fonction du rôle qui leur a été accordé. Par exemple, VisualBuilderServiceAdministrators pour le rôle ServiceAdministrator d'Oracle Visual Builder.

  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines.
    La page Domaines apparaît.
  2. Si ce n'est pas déjà fait, sélectionnez le compartiment dans lequel réside le domaine contenant le groupe auquel vous voulez affecter des rôles Oracle Visual Builder.
  3. Dans la colonne Nom, cliquez sur le domaine du groupe auquel affecter des rôles.
    La page Présentation du domaine apparaît.
  4. Dans le panneau de navigation, cliquez sur Services Oracle Cloud.
    La page Services Oracle Cloud apparaît.
  5. Dans la colonne Nom, cliquez sur l'instance Oracle Visual Builder pour laquelle affecter les rôles de groupe.
    La page de détails de l'instance apparaît.
  6. Dans le panneau de navigation, cliquez sur Rôles d'application.
  7. Dans la liste Rôles d'application, localisez les rôles à affecter au groupe. A l'extrémité droite, cliquez sur Menu des tâches, puis sélectionnez Affecter des groupes.
  8. Sur la page Affecter des groupes, sélectionnez le groupe auquel affecter le rôle de service, puis cliquez sur Affecter.