Gestione dei connettori in uscita
Lo storage di file utilizza connettori in uscita per comunicare con un server esterno, ad esempio un server LDAP.
Un connettore in uscita contiene tutte le informazioni necessarie per connettersi, autenticare e ottenere l'autorizzazione per eseguire le funzioni richieste dall'account. Attualmente, i connettori in uscita vengono utilizzati solo per la comunicazione con i server LDAP. È possibile specificare le opzioni di configurazione per il connettore quando si aggiunge l'autenticazione LDAP a una destinazione di accesso.
Quando si esegue la connessione a un server LDAP, una destinazione di accesso utilizza il primo connettore in uscita specificato nella relativa configurazione. Se la destinazione di accesso non riesce a eseguire il login al server LDAP utilizzando il primo connettore in uscita, utilizza il secondo connettore in uscita.
Più destinazioni di accesso possono utilizzare lo stesso connettore in uscita. È possibile associare un connettore in uscita a una destinazione di accesso solo quando esiste nello stesso dominio di disponibilità. Puoi avere fino a 32 connettori in uscita per dominio di disponibilità.
Per istruzioni dettagliate sulla gestione dei connettori in uscita, vedere gli argomenti riportati di seguito.
- Creazione di un connettore in uscita
- Elenco dei connettori in uscita
- Recupero dei dettagli di un connettore in uscita
- Modifica di un connettore in uscita
- Spostamento di un connettore in uscita tra i compartimenti
- Ruota connettori in uscita
- Blocco di un connettore in uscita
- Eliminazione di un connettore in uscita
Criteri IAM necessari
Per utilizzare Oracle Cloud Infrastructure, un amministratore deve essere membro di un gruppo a cui è stato concesso l'accesso di sicurezza in un criterio da un amministratore della tenancy. Questo accesso è necessario, indipendentemente dal fatto che si stia utilizzando la console o l'API REST con un SDK, un'interfaccia CLI o unaltro strumento. Se viene visualizzato un messaggio che informa che non si dispone dell'autorizzazione o che non si è autorizzati, verificare con l'amministratore della tenancy il tipo di accesso di cui si dispone e il compartimento in cui funziona l'accesso.
Per gli amministratori: il criterio in Consenti agli utenti di creare, gestire ed eliminare file system consente agli utenti di gestire i connettori in uscita.
Per poter configurare le destinazioni di accesso in modo che utilizzino LDAP per l'autorizzazione, è necessario creare questi criteri.
Criterio per abilitare la configurazione della destinazione di accesso
Concedere all'utente o al gruppo che configura LDAP in una destinazione di accesso le autorizzazioni utilizzando un criterio simile al seguente:allow <user|group> to read secret-family in compartment <Compartment_ID> where any { target.secret.id = <LDAP_Password_Secret_ID> }Ciò consente all'utente di eseguire comandi di storage di file che leggeranno i segreti del vault e visualizzeranno parti del segreto per la convalida durante la configurazione.
Criterio che consente a una destinazione di accesso di recuperare i segreti
Il servizio di storage di file richiede la possibilità di leggere i segreti. Lo storage di file utilizza i principal delle risorse per concedere a un set specifico di destinazioni di accesso l'accesso al segreto del vault. Si tratta di un processo in due fasi, in primo luogo le destinazioni di accesso che richiedono l'accesso devono essere inserite in un gruppo dinamico, quindi al gruppo dinamico viene concesso l'accesso per leggere i segreti.
-
Creare un gruppo dinamico per le destinazioni di accesso con un criterio, ad esempio:
ALL { resource.type='mounttarget', resource.compartment.id = '<mount_target_compartment_id>' }Nota
Se in un gruppo dinamico sono presenti più regole, assicurarsi di utilizzare l'opzioneMatch any rules defined below. -
Creare un criterio IAM che fornisca al gruppo dinamico di destinazioni di accesso l'accesso in lettura ai segreti del vault:
allow dynamic-group <dynamic_group_name> to read secret-family in compartment <secret_compartment_name>
Se non conosci i criteri, consulta la Guida introduttiva ai criteri e i dettagli del servizio di storage di file.
Dettagli su un connettore in uscita
La pagina dei dettagli fornisce le informazioni riportate di seguito su un connettore in uscita.
- OCID
- Ogni risorsa Oracle Cloud Infrastructure ha un ID univoco assegnato da Oracle chiamato OCID (Oracle Cloud Identifier). Per utilizzare l'interfaccia CLI (Command Line Interface) o l'API, è necessario disporre dell'OCID di un connettore in uscita. È inoltre necessario l'OCID quando si contatta il supporto. Vedere Identificativi risorsa.
- DATA CREAZIONE
- La data e l'ora di creazione del connettore in uscita.
- COMPARTIMENTO
- Quando si crea un connettore in uscita, è necessario specificare il compartimento in cui si trova. Un compartimento è una raccolta di risorse correlate (ad esempio reti cloud, istanze di computazione o file system) accessibili solo ai gruppi autorizzati da un amministratore dell'organizzazione. Per utilizzare l'interfaccia CLI (Command Line Interface) o l'API, è necessario disporre del compartimento del connettore in uscita. Per ulteriori informazioni, vedere Gestione dei compartimenti.
- DOMINIO DI DISPONIBILITÀ
- Quando si crea un connettore in uscita, si specifica il dominio di disponibilità in cui risiede. Un dominio di disponibilità è uno o più data center all'interno di un'area regionale. Per utilizzare l'interfaccia CLI (Command Line Interface) o l'API, è necessario disporre di un dominio di disponibilità di un connettore in uscita. Per ulteriori informazioni, vedere Aree e domini di disponibilità.
- TIPO DI CONNETTORE
- Tipo di connettore in uscita. L'unico tipo supportato è LDAPBIND.
- NOME DNS DEL SERVER
- Il nome dominio completamente qualificato dell'istanza in cui è in esecuzione il servizio LDAP.
- PORT
- La porta LDAPS del servizio LDAP.
- NOME DISTINTO AUTENTICAZIONE
- Nome distinto LDAP utilizzato per eseguire il login al server LDAP.
- OCID SEGRETO
- OCID del segreto nel vault che contiene la password associata al nome distinto di autenticazione.
- VERSIONE DEL SEGRETO
- Numero di versione del segreto password LDAP.