Documentation Oracle Cloud Infrastructure

Configuration d'utilisateurs et de groupes dans des comptes cloud n'utilisant pas de domaines d'identité

Pour un compte cloud se trouvant dans une région qui n'avait pas encore été mise à jour de sorte à utiliser des domaines d'identité avant la création du compte, les utilisateurs et les groupes sont configurés dans Oracle Cloud Infrastructure Identity and Access Management (IAM) et Oracle Identity Cloud Service (IDCS).

Remarque

Cette section s'applique uniquement aux comptes cloud qui n'utilisent pas des domaines d'identité. Si vous n'êtes pas sûr que votre compte cloud utilise les domaines d'identité, reportez-vous àA propos de la définition d'utilisateurs et de groupes.

Pour plus d'informations sur Oracle Cloud Infrastructure IAM, IDCS et la documentation qui fournit les informations dont vous avez besoin, reportez-vous à la section Documentation à utiliser pour les identités cloud dans Présentation d'Identity and Access Management dans la documentation Oracle Cloud Infrastructure.

Sans domaines d'identité, les rôles sont affectés aux groupes IDCS, puis liés aux groupes Oracle Cloud Infrastructure IAM à l'aide de la fédération, comme illustré dans le schéma suivant.


Description de l'image idcs-iam-config.png
description de l'illustration idcs-iam-config.png,

Présentation de la fédération Oracle Visual Builder

Si votre compte cloud n'utilise pas de domaines d'identité, Oracle Cloud Infrastructure Identity and Access Management (IAM) doit être fédéré avec Oracle Identity Cloud Service (IDCS) pour votre location.

La fédération d'utilisateurs consiste à lier l'identité et les attributs d'un utilisateur sur plusieurs systèmes de gestion des identités. La fédération Oracle Visual Builder signifie que les identités sont liées dans IDCS et Oracle Cloud Infrastructure Identity and Access Management (IAM).

Oracle Visual Builder utilise IDCS et IAM pour gérer les utilisateurs et les groupes :

  • Créer et gérer des utilisateurs dans IDCS. Par défaut, la plupart des locations sont fédérées avec IDCS. Pour plus d'informations sur Oracle Identity Cloud Service, reportez-vous à la section Understanding Administrator Roles dans Administering Oracle Identity Cloud Service.

  • Gérez les droits d'accès à l'aide de stratégies dans le service IAM d'Oracle Cloud Infrastructure.

Pour obtenir des informations générales sur la fédération avec IDCS, reportez- vous à Fédération avec les fournisseurs d'identités et Fédération avec Oracle Identity Cloud Service.

Plusieurs facteurs permettent de déterminer si votre location a besoin d'une fédération, tels que la période de création du compte cloud et la version Oracle Visual Builder que vous provisionnez. Votre location peut posséder l'une des caractéristiques suivantes :

  • Déjà entièrement fédérée : la quasi-totalité des comptes des régions qui n'ont pas encore été mises à jour pour utiliser des domaines d'identité appartiennent à cette catégorie. Vous allez suivre les étapes standard de configuration des utilisateurs et des groupes, décrites dans les rubriques de cette section.

  • Majoritairement fédérée : si vous disposez d'un ancien compte créé avant le 21 décembre 2018, vous devrez peut-être effectuer une dernière étape de fédération. Vous allez suivre les étapes de configuration des utilisateurs et des groupes, décrites dans les rubriques de cette section. A l'étape de mise en correspondance (Mise en correspondance du groupe IDCS et des groupes OCI), vous êtes invité à saisir des informations.

  • Fédération requise : si vous configurez Oracle Visual Builder avec une SKU gouvernementale dans un centre de données commercial, vous devrez probablement effectuer une étape de fédération manuelle Dans le cadre de la configuration de utilisateurs et de groupes. Reportez-vous à Fédération manuelle de la location.

Vous avez des doutes sur la fédération qui vous concerne ? Reportez-vous à Existe-t-elle une fédération entre Oracle Cloud Infrastructure IAM et Oracle Cloud Identity Service ?

Créer des groupes et des utilisateurs IDCS

Pour accorder l'accès aux instances Visual Builder, affectez un rôle Visual Builder aux utilisateurs. Vous pouvez accorder le rôle individuellement à chaque utilisateur IDCS, ou créer un groupe d'utilisateurs IDCS et l'affecter au groupe. Vous pouvez créer des groupes Oracle Identity Cloud Service afin de les mettre en correspondance ultérieurement avec des identités Oracle Cloud Infrastructure Identity and Access Management.

Avant de créer des utilisateurs ou des groupes, découvrez les rôles et privilèges Oracle Visual Builder disponibles.
  1. Se connecter à la console OCI.
  2. Dans le coin supérieur gauche, cliquez sur Menu de navigation l'icône Menu.
  3. Sélectionnez Identité et sécurité, puis sous Identité, sélectionnez Fédération.

    L'écran Fédération apparaît et inclut le fournisseur d'identités, appelé OracleIdentityCloudService. Il s'agit de la fédération par défaut entre le stripe Oracle Identity Cloud Service et la location OCI dans un compte cloud.

  4. Cliquez sur OracleIdentityCloudService.
  5. Créez des utilisateurs et des groupes IDCS, puis ajoutez des utilisateurs aux groupes.
  6. Cliquez sur le lien de la console Oracle Identity Cloud Service,
  7. Dans l'angle supérieur gauche, cliquez sur Menu de navigation l'icône Menu et sélectionnez Services Oracle Cloud.
  8. Cliquez sur le nom du service Visual Builder.
  9. Cliquez sur l'onglet Rôles d'application.
  10. Cliquez sur l'icône des options du menu affichée en regard du rôle, puis sélectionnez Affecter des utilisateurs. Si vous souhaitez affecter le rôle à un groupe, sélectionnez Affecter des groupes.
  11. Cochez la case en regard du nom de chaque utilisateur ou groupe à ajouter au rôle, puis cliquez sur OK.

Création de groupes et de stratégies Oracle Cloud Infrastructure

Pour permettre à d'autres utilisateurs non administrateurs de créer et de gérer des instances Visual Builder, créez un groupe OCI d'utilisateurs non administrateurs et affectez-leur les stratégies OCI appropriées.

Si vous êtes administrateur de locataires et que vous prévoyez de créer vous-même des instances Visual Builder, ignorez cette procédure.
  1. Se connecter à la console OCI.
  2. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Groupes.
  3. Créez un groupe OCI.

    Dans l'écran Créer un groupe, affectez un nom au groupe qui le différencie du groupe IDCS (par exemple, oci-visualbuilder-admins) et entrez une description.

  4. Créez une stratégie avec au moins une des instructions suivantes :

    Tableau 3-1 Syntaxe des instructions de stratégie pour un groupe

    Stratégie Syntaxe
    Autoriser le groupe à gérer (créer, supprimer, modifier, déplacer et visualiser) l'instance Visual Builder dans un compartiment Allow group <group_name> to manage visualbuilder-instances in compartment <compartment-name>

    Voici un exemple :

    Allow group VBInstanceAdmins to manage visualbuilder-instances in compartment MyVBCompartment
    Autoriser le groupe à gérer (créer, supprimer, modifier, déplacer et visualiser) toutes les instances Visual Builder de la location Allow group <group_name> to manage visualbuilder-instances in tenancy

    Voici un exemple :

    Allow group VBInstanceAdmins to manage visualbuilder-instances in tenancy
    Si vous prévoyez d'utiliser des adresses personnalisées, autorisez le groupe à accéder aux clés secrètes et aux coffres d'un compartiment.

    allow group <group-name> to manage secrets in compartment <secrets-compartment>

    allow group <group-name> to manage vaults in compartment <secrets-compartment>

    Voici un exemple :

    Allow group VBInstanceAdmins to manage secrets in compartment MySecretCompartment

    et

    Allow group VBInstanceAdmins to manage vaults in compartment MySecretCompartment

Mise en correspondance des groupes IDCS et OCI

Vous pouvez désormais mettre en correspondance votre groupe d'administrateurs d'instance dans IAM avec le groupe IDCS créé précédemment. Pour plus de détails, reportez-vous à Mise en correspondance du groupe IDCS avec le groupe OCI.

  1. Ouvrez le menu de navigation OCI et cliquez sur Identité, sécurité. Sous Identité, cliquez sur Fédération.
  2. Sur la page Fédération, sélectionnez le lien OracleIdentityCloudService.
  3. Dans les options Ressources, sélectionnez Mise en correspondance de groupes.
  4. Cliquez sur Modifier la correspondance.
  5. Dans la boîte de dialogue Modifier le fournisseur d'identités, cliquez sur Ajouter une correspondance en bas.
    1. Si la boîte de dialogue suivante apparaît et vous invite à fournir des informations d'identification, saisissez ces informations de l'application IDCS COMPUTEBAREMETAL dans votre compte IDCS. Cette boîte de dialogue indique que la location est en grande partie fédérée et requiert uniquement cette dernière étape. Reportez-vous à Présentation de la fédération. (Si vous ne parvenez pas à localiser ces informations, enregistrez une demande d'assistance pour obtenir l'aide du support technique Oracle.)
      Description de l'image complete-federation.png ci-après
      Description de l'illustration complete-federation.png

    2. Cliquez sur Continuer.
  6. Sélectionnez votre groupe IDCS dans le champ Groupe de fournisseur d'identités, et le groupe OCI dans le champ Groupe d'OCI.
  7. Cliquez sur Soumettre.

Ajout et affectation d'utilisateurs Oracle Cloud Infrastructure pour un accès en lecture seule

Après avoir créé un groupe de visualisation seule et ajouté sa stratégie, ajoutez-en des utilisateurs pour qu'ils aient accès en lecture seule aux instances Oracle Visual Builder.

  1. Ajoutez un utilisateur OCI.
    1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Utilisateurs.
    2. Cliquez sur Créer un utilisateur.
    3. Remplissez les champs pour identifier l'utilisateur.
    4. Cliquez sur Créer.
  2. Affectez l'utilisateur au groupe en lecture seule.
    1. Sélectionnez Groupes dans les options Identité.
    2. Sélectionnez le groupe en lecture seule que vous avez créé (par exemple, oci-visualbuilder-viewers).
    3. Cliquez sur Ajouter un utilisateur à un groupe.
    4. Dans la boîte de dialogue Ajouter un utilisateur à un groupe, sélectionnez l'utilisateur que vous avez créé et cliquez sur Ajouter.
  3. Créez le mot de passe de l'utilisateur.
    1. Dans la table Membres de groupe de l'écran Détails du groupe, sélectionnez l'utilisateur que vous avez ajouté.
    2. Cliquez sur Créer/Réinitialiser le mot de passe. La boîte de dialogue Créer/Réinitialiser le mot de passe est affichée avec un mot de passe à usage unique.
    3. Cliquez sur Copier, puis sur Fermer.
  4. Fournissez aux utilisateurs en lecture seule les informations nécessaires à leur connexion.
    1. Copiez le mot de passe dans un courriel destiné à l'utilisateur.
    2. Demandez à l'utilisateur de se connecter en lecture seule à l'aide des champs Nom utilisateur et Mot de passe.
      Description de l'image admin-oci-signin.png
      Description de l'image admin-oci-signin.png

    3. Lors de la connexion, l'utilisateur sera invité à saisir un nouveau mot de passe.
    4. Affichez les instances Visual Builder.
      Les utilisateurs en lecture seule peuvent visualiser les instances Visual Builder en sélectionnant Visual Builder dans le panneau de navigation.

Affecter des rôles de service Oracle Visual Builder à des groupes

Une fois qu'une instance Visual Builder a été créée, affectez des rôles Visual Builder à des groupes d'utilisateurs dans Oracle Visual Builder pour leur permettre d'utiliser les fonctionnalités de l'instance Visual Builder.

Remarque

La pratique conseillée consiste à affecter des rôles de service Visual Builder à des groupes sélectionnés plutôt qu'à des utilisateurs individuels.

Oracle Visual Builder fournit un ensemble standard de rôles de service, qui régissent l'accès aux fonctionnalités. Selon les fonctionnalités Visual Builder utilisées dans votre organisation, vous avez le choix entre créer des groupes nommés en fonction du rôle qui leur a été accordé. Par exemple, VBServiceAdministrators pour les droits d'accès d'administration.

  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Fédération.
  2. Sur l'écran Fédération, sélectionnez le lien OracleIdentityCloudService pour visualiser la fédération d'identités Oracle Identity Cloud Service par défaut.
  3. Sur la page Détails du fournisseur d'identités, sélectionnez Groupes dans les options Ressources.
  4. Dans la table, sélectionnez un groupe IDCS pour accorder l'accès aux utilisateurs du groupe.
  5. Sur la page Détails du Groupe, cliquez sur Gérer les rôles de service.
  6. Sur la page Gérer les rôles de service, localisez le service Visual Builder (VISUALBUILDERAUTO). A l'extrémité droite, cliquez sur Menu des tâches et sélectionnez Gérer l'accès à l'instance.
    L'écran Gérer l'accès répertorie les instances. Vous devez affecter des rôles pour chaque instance individuellement.

    • Les noms d'instance respectent le format suivant : nomaffichage-idlocation-idrégion

    • Les URL d'instance respectent le format suivant : https://displayname-tenancyid-regionid.visualbuilder.ocp.oraclecloud.com/ic/home/
  7. Dans les options Gérer l'accès, sélectionnez des rôles d'instance pour le groupe sous les instances indiquées.
  8. Cliquez sur Enregistrer les paramètres d'instance, puis sur Appliquer les paramètres de rôle de service.