Gestione dei gruppi
Questo argomento descrive le basi per lavorare con i gruppi.
Se la tenancy è federata con Oracle Identity Cloud Service, fare riferimento alla sezione Gestione degli utenti e dei gruppi di Oracle Identity Cloud Service nella console di Oracle Cloud Infrastructure per gestire i gruppi.
Criterio IAM necessario
Se ci si trova nel gruppo Administrators, si dispone dell'accesso necessario per la gestione dei gruppi.
Se non si conoscono i criteri, vedere Guida introduttiva ai criteri e Criteri comuni. Se si desidera approfondire la scrittura dei criteri per i gruppi o altri componenti IAM, vedere Dettagli per IAM senza domini di Identity.
Applicazione di tag alle risorse
Applica tag alle risorse per organizzarle in base alle tue esigenze aziendali. È possibile applicare tag quando si crea una risorsa ed è possibile aggiornare una risorsa in un secondo momento per aggiungere, rivedere o rimuovere tag. Per informazioni generali sull'applicazione dei tag, vedere Tag risorsa.
Utilizzo dei gruppi
Quando si crea un gruppo, è necessario specificare un nome univoco e immodificabile per il gruppo. Il nome deve essere univoco in tutti i gruppi all'interno della tenancy. È inoltre necessario fornire al gruppo una descrizione (anche se può essere una stringa vuota), che è una descrizione non univoca e modificabile per il gruppo. Oracle assegnerà inoltre al gruppo un ID univoco denominato OCID (Oracle Cloud ID). Per ulteriori informazioni, vedere Identificativi risorse.
Se si elimina un gruppo e quindi si crea un nuovo gruppo con lo stesso nome, questi verranno considerati gruppi diversi perché avranno OCID diversi.
Un gruppo non dispone delle autorizzazioni fino a quando non si scrive almeno un criterio che concede a tale gruppo l'autorizzazione per la tenancy o per un compartimento. Quando si scrive il criterio, è possibile specificare il gruppo utilizzando il nome univoco o l'OCID del gruppo. In base alla nota precedente, anche se si specifica il nome del gruppo nel criterio, IAM utilizza internamente l'OCID per determinare il gruppo. Per informazioni sulla scrittura dei criteri, vedere Gestione dei criteri.
È possibile eliminare un gruppo, ma solo se è vuoto.
Per informazioni sul numero di gruppi che è possibile avere, vedere Limiti per servizio.
Se si esegue la federazione con un provider di identità, verranno creati mapping tra i gruppi del provider di identità e i gruppi IAM. Per ulteriori informazioni, vedere Unione con i provider di identità.
Uso della console
- Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Domini. Viene visualizzata una lista dei gruppi nella tenancy.
- Fare clic su Crea gruppo.
- Inserire quanto segue:
- Nome: un nome univoco per il gruppo. Il nome deve essere univoco in tutti i gruppi della tenancy. Non è possibile modificare questa impostazione in seguito. Il nome deve avere una lunghezza compresa tra 1 e 100 caratteri e può includere i seguenti caratteri: lettere minuscole a-z, lettere maiuscole A-Z, 0-9 e il punto (.), trattino (-) e carattere di sottolineatura (_). Gli spazi non sono consentiti. Evitare di fornire informazioni riservate.
- Descrizione: una descrizione descrittiva. Se lo si desidera, è possibile modificarlo in un secondo momento.
- Tag: se si dispone delle autorizzazioni per creare una risorsa, si dispone anche delle autorizzazioni per applicare tag in formato libero a tale risorsa. Per applicare una tag defined, è necessario disporre delle autorizzazioni per utilizzare la tag namespace. Per ulteriori informazioni sull'applicazione di tag, vedere Tag risorsa. Se non sei sicuro di applicare i tag, salta questa opzione o chiedi a un amministratore. È possibile applicare le tag in un secondo momento.
- Fare clic su Crea gruppo.
Successivamente, potrebbe essere necessario aggiungere utenti al gruppo o scrivere un criterio per il gruppo. Vedere Per creare un criterio.
- Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Domini. Viene visualizzata una lista dei gruppi nella tenancy.
- Individuare il gruppo nell'elenco.
- Selezionare il gruppo. I suoi dettagli sono visualizzati
- Selezionare Aggiungi utente a gruppo.
- Selezionare l'utente dall'elenco a discesa, quindi selezionare Aggiungi utente.
- Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Domini. Viene visualizzata una lista dei gruppi nella tenancy.
- Individuare il gruppo nell'elenco.
- Selezionare il gruppo per visualizzarne i dettagli. Viene visualizzata una lista di utenti nel gruppo.
- Individuare l'utente nell'elenco.
- Per l'utente da rimuovere, selezionare Rimuovi.
- Confermare quando richiesto.
Prerequisito: per eliminare un gruppo, non deve contenere utenti.
- Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Domini. Viene visualizzata una lista dei gruppi nella tenancy.
- Individuare il gruppo nell'elenco.
- Per il gruppo da eliminare, selezionare Elimina.
- Confermare quando richiesto.
È disponibile solo tramite l'API. Se non hai accesso all'API e devi aggiornare la descrizione di un gruppo, contatta il Supporto Oracle.
Utilizzo dell'API
Per informazioni sull'uso dell'API e sulle richieste di firma, consultare la documentazione relativa all'API REST e le credenziali di sicurezza. Per informazioni sugli SDK, vedere SDK e CLI.
Gli aggiornamenti non sono immediati in tutte le aree
Le risorse IAM risiedono nell'area di origine. Per applicare i criteri in tutte le aree, il servizio IAM replica le risorse in ogni area. Ogni volta che si crea o si modifica un criterio, un utente o un gruppo, le modifiche diventano effettive prima nell'area di origine e quindi vengono propagate alle altre aree. L'applicazione delle modifiche in tutte le aree può richiedere alcuni minuti. Si supponga, ad esempio, di disporre di un gruppo con autorizzazioni per avviare le istanze nella tenancy. Se si aggiunge UserA a questo gruppo, UserA sarà in grado di avviare le istanze nell'area di origine entro un minuto. Tuttavia, UserA non sarà in grado di avviare le istanze in altre aree fino al completamento del processo di replica. Questo processo può richiedere fino a diversi minuti. Se UserA tenta di avviare un'istanza prima del completamento della replica, verrà visualizzato un errore non autorizzato.
Utilizza le seguenti operazioni API per gestire i gruppi:
- CreateGroup
- ListGroups
- GetGroup
- UpdateGroup: è possibile aggiornare solo la descrizione del gruppo.
- DeleteGroup
- ListUserGroupMemberships: consente di ottenere una lista degli utenti di un gruppo o dei gruppi in cui si trova un utente.
- AddUserToGroup: questa operazione genera un oggetto
UserGroupMembershipcon il proprio OCID. - GetUserGroupMembership
- RemoveUserFromGroup: questa operazione elimina un oggetto
UserGroupMembership.
Per le operazioni API correlate ai mapping dei gruppi per i provider di identità, vedere Federazione con i provider di identità.