Remarques :

• Ce tutoriel nécessite un accès à Oracle Cloud. Pour vous inscrire à un compte gratuit, reportez-vous à Introduction au niveau gratuit d'Oracle Cloud Infrastructure.
• Il utilise des exemples de valeurs pour les informations d'identification, la location et les compartiments Oracle Cloud Infrastructure. Lorsque vous terminez votre atelier, remplacez ces valeurs par celles propres à votre environnement cloud.

Automatiser la gestion des capacités des utilisateurs de domaine d'identité OCI IAM à l'aide de balises et d'OCI Functions

Introduction

En tant que meilleure pratique en matière de sécurité, les clients cherchent à désactiver les fonctionnalités inutilisées des utilisateurs d'Oracle Cloud Infrastructure Identity and Access Management (OCI IAM). Cela les aidera à éviter toute attaque via des informations d'identification non standard telles que des clés d'API, un jeton d'authentification, etc.

Les fonctionnalités utilisateur sont gérées par un administrateur dans les détails de l'utilisateur. Chaque utilisateur peut voir ses fonctionnalités, mais seul un administrateur peut les activer ou les désactiver. Les utilisateurs fédérés peuvent disposer des fonctionnalités suivantes :

• Mot de passe de la console
• clé de signature d'API
• Jetons d'authentification
• Informations d'identification SMTP
• Clés secrètes client
• Informations d'identification de client OAuth 2.0

Remarque : la fonctionnalité Mot de passe de console n'est pas disponible pour les utilisateurs fédérés. Les utilisateurs fédérés se connectent à la console via leur fournisseur d'identités (IdP), où leur mot de passe de connexion est géré.

Par défaut, ces fonctionnalités sont activées lorsque vous provisionnez de nouveaux utilisateurs, ce qui permet aux utilisateurs de créer ces informations d'identification pour eux-mêmes. Pour plus d'informations sur ces informations d'identification utilisateur, reportez-vous à Utilisation de ces dernières.

Cette solution permet d'automatiser la gestion des fonctionnalités pour les utilisateurs existants ou nouveaux à l'aide de balises. Cette automatisation dispose de deux modes :

• Mode en masse : traite tous les utilisateurs d'un domaine, sans charge utile d'entrée. Il peut être exécuté ou appelé avec OCI Resource Scheduler ou manuellement.

• Mode unique : exécutez la fonction automatiquement sur un seul utilisateur en fonction des événements de création (événement créé par l'utilisateur) générés avec la règle d'événement configurée.

L'intégration à OCI Events Service garantit que les fonctionnalités sont gérées correctement pour les nouveaux utilisateurs en fonction des balises fournies lors de la création.

Objectifs

• Implémentez une solution native pour gérer les fonctionnalités des utilisateurs du domaine d'identité OCI IAM en fonction des balises et de la fonction.

Prérequis

• Accès à une location OCI.

• Privilèges permettant de gérer les règles du service OCI Events, les applications Oracle, OCI Functions et OCI Tagging.

Tâche 1 : configuration des stratégies requises et des droits d'accès OCI IAM

Chaque composant de cette solution doit avoir accès aux ressources OCI avec lesquelles il interagit. Pour suivre ce tutoriel, les autorisations suivantes sont requises.

• Stratégies utilisateur : gérez les règles OCI Event Service et OCI Functions.

• Stratégie de service : autorisez la fonction à gérer les fonctionnalités utilisateur. Un groupe dynamique est requis.

Pour plus d'informations sur les stratégies détaillées, reportez-vous à Détails du service Events et à Détails du service Functions.

Tâche 2 : définition de l'espace de noms de balise, des clés de balise et des valeurs de balise

Les balises sont la base de cette solution. L'espace de noms de balise et la clé de balise requis doivent donc être en place.

Tâche 2.1 : création d'un espace de noms de balise

1. Accédez à la console OCI, accédez à Gouvernance et administration, à Gestion des locations et cliquez sur Espaces de noms de balise.

2. La liste des espaces de noms de balise dans le compartiment en cours apparaît. Cliquez sur Créer des espaces de noms de balise.

3. Sur la page Créer un espace de noms de balise, saisissez les informations suivantes.

   • Créer dans le compartiment : sélectionnez le compartiment dans lequel créer la définition d'espace de noms.
   • Nom de définition d'espace de noms : entrez un nom unique pour cet ensemble de balises. Le nom doit être unique dans votre location. L'espace de noms de balise ne respecte pas la casse. Vous ne pouvez pas modifier cette valeur ultérieurement. Evitez de saisir des informations confidentielles.
   • Description : saisissez une description conviviale. Vous pouvez modifier cette valeur ultérieurement si vous le souhaitez.

4. Cliquez sur Créer un espace de noms de balise.

Tâche 2.2 : créer une définition de clé de balise

1. Sur la page Espaces de noms de balise, cliquez sur l'espace de noms de balise auquel ajouter la définition de clé de balise.

2. Sur la page Détails de l'espace de noms de balise, cliquez sur Créer une définition de clé de balise.

3. Sur la page Créer une définition de clé de balise, saisissez les informations suivantes.

   • Clé de balise : entrez la clé. La valeur doit être api_keys, console_password, auth_tokens, customer_secret_keys, db_credentials, o_auth2_client_credentials et smtp_credentials.
   • Description : saisissez une description conviviale.
   • Suivi des coûts : sélectionnez cette option pour activer la balise pour le suivi des coûts. Vous pouvez utiliser jusqu'à 10 balises de suivi des coûts dans votre location.

4. Dans Type de valeur de balise, sélectionnez Liste de valeurs et entrez Oui dans Valeurs, où ces fonctionnalités sont nécessaires, sinon elles seront désactivées pour un utilisateur.

5. Cliquez sur Créer une définition de clé de balise.

Tâche 2.3 : ajout de balises à l'utilisateur

1. Ajoutez des balises à l'utilisateur existant.

   1. Accédez à la console OCI, accédez à Identité et sécurité, Identité et cliquez sur Domaines.

   2. La liste des domaines dans le compartiment en cours apparaît. Sélectionnez le domaine et cliquez sur Utilisateurs. Recherchez l'utilisateur à ajouter à la balise et cliquez dessus.

   3. Dans le menu déroulant Actions supplémentaires, cliquez sur Ajouter des balises.

   4. Sur la page Ajouter des balises, entrez les informations suivantes.

      • Sélectionnez Espace de noms de balise.
      • Sélectionnez Clé de balise.
      • Dans Valeur, sélectionnez-en une dans la liste.
      • Pour appliquer une autre balise, cliquez sur Ajouter une balise.

   5. Lorsque vous avez fini d'ajouter des balises, cliquez sur Ajouter des balises.

2. Ajouter au nouvel utilisateur. Ajoutez des balises à partir des options d'affichage avancées lors de la création d'un utilisateur.

Remarque : ajoutez des balises pour toutes les fonctionnalités à activer.

Tâche 3 : développer et déployer OCI Functions

La fonction lit les balises sur les utilisateurs et agit sur la fonctionnalité. Pour cela, il effectue les opérations suivantes :

• Lisez l'espace de noms de balise (tag_namespace) à partir de la configuration de fonction.

• Lisez les fonctionnalités de gestion (manage_capability) à partir de la configuration de la fonction.

• Lisez l'entrée de fonctionnalité de fonction (function_feature) à partir de la configuration de fonction.

• Lisez les domaines cible (domain_ocids) à partir de la configuration de la fonction (en cas de mode en masse).

• Vérifiez les balises sur les utilisateurs.

• Désactivez ou activez la fonctionnalité pour l'utilisateur en fonction des balises manquantes.

Téléchargez le code de la fonction à partir de GitHub, personnalisez le code et déployez-le.

1. Téléchargez le référentiel GitHub à partir de cet emplacement : iam-user-capability-management.

2. Suivez les instructions mentionnées dans la fonction Créer et déployer OCI.

Pour plus d'informations, reportez-vous à la section Création de fonctions.

Tâche 4 : création d'une programmation dans OCI Resource Scheduler

1. Accédez à la console OCI, accédez à Gouvernance et administration, à Planificateur de ressources et cliquez sur Programmations.

2. Cliquez sur Créer une programmation.

3. Dans Informations de base, entrez le nom de la programmation, la description de la programmation et l'action à exécuter en tant que début, puis cliquez sur Suivant.

4. Dans Ressources, sélectionnez le compartiment et la fonction de la fonction, puis cliquez sur Suivant.

5. Dans Programmation, sélectionnez Quotidien et configurez d'autres paramètres selon vos besoins.

   • Répéter tou(te)s les : entrez la fréquence d'exécution de la programmation ou utilisez le menu pour sélectionner un intervalle. La valeur minimale est 1. La valeur maximale est 99.

   • Heure de début : entrez l'heure en heures et en minutes au format 24 heures.

6. Cliquez sur Suivant et vérifiez les informations. Cliquez sur Créer une programmation.

Votre fonction sera exécutée sur un intervalle planifié. Pour plus d'informations, reportez-vous à Création de programmations.

Tâche 5 : configuration d'une règle Events dans le service OCI Events

1. Accédez à la console OCI, accédez à Observation et gestion, à Service Events et cliquez sur Règles.

2. Sélectionnez le compartiment racine et cliquez sur Créer une règle.

3. Entrez le nom d'affichage et la description.

4. Dans la section Conditions de règle, entrez les informations suivantes.

   • Condition : sélectionnez Type d'événement.
   • Nom de service : sélectionnez Identité.
   • Type d'événement : sélectionnez Création utilisateur.

5. Dans la section Actions, saisissez les informations suivantes.

   • Type d'action : sélectionnez Fonctions.
   • Sélectionnez Application de fonction et Fonction.

6. Cliquez sur Créer une règle.

Cette opération appelle la fonction lorsqu'un utilisateur est créé. Pour plus d'informations, reportez-vous à Création d'une règle Events.

Remarque : l'activation des journaux pour les règles d'événement et les applications de fonction offre des fonctionnalités de surveillance supplémentaires.

Liens connexes

• Activer la notification d'expiration des informations d'identification pour OCI Identity and Access Management

• Activation de la rotation automatique des informations d'identification Oracle Cloud Infrastructure Identity and Access Management

Remerciements

• Auteur - Bhanu Prakash Lohumi

Ressources de formation supplémentaires

Explorez d'autres ateliers sur docs.oracle.com/learn ou accédez à d'autres contenus de formation gratuits sur le canal Oracle Learning YouTube. De plus, visitez le site education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir la documentation produit, consultez le site Oracle Help Center.

---

Informations relatives au titre et au copyright

Automate OCI IAM Identity Domain Users Capability Management using Tags and OCI Functions

G24401-01

January 2025

Copyright ©2025,

Oracle et/ou ses affiliés.