Documentazione di Oracle Cloud Infrastructure

Istanze di Identity Cloud Service in problemi noti IAM

Problemi noti per la migrazione delle istanze di Identity Cloud Service in IAM OCI.

Valori attributo imprevisti dopo la conversione

Dopo aver convertito le istanze di Identity Cloud Service in domini di Identity in IAM OCI, è possibile che alcuni attributi per alcuni oggetti nel dominio di Identity predefinito abbiano un risultato imprevisto. Nella console non verrà visualizzato nulla di diverso, ma se si utilizzano script e API queste modifiche potrebbero influire sui risultati.

Gli attributi interessati sono:

  • meta.lastModified
  • meta.version (tag)
  • idcsLastModifiedBy

Le modifiche si applicano ai seguenti oggetti quando sono stati aggiornati entro circa 3 settimane prima della conversione delle istanze:

  • Utenti
  • Gruppi
  • Applicazioni
  • Alcune credenziali (TOTP MFA)
  • Password utente createdOn

Di seguito sono riportati i dettagli delle modifiche agli attributi.

Quando la risorsa viene creata per la prima volta come parte della migrazione:

  • meta.lastModified, meta.created viene impostato sulla data/ora originale in cui la risorsa viene creata in IAM.
  • meta.version (etag) è il set di tag originale quando la risorsa è stata creata in IAM.
  • idcsLastModifiedBy, idcsCreatedBy viene impostato sul principal originale che ha creato la risorsa in IAM.

Se la risorsa viene aggiornata prima del completamento della migrazione:

  • meta.lastModified viene impostato sulla data/ora in cui la risorsa viene aggiornata in Identity Cloud Service.
  • meta.version (etag) viene impostato in base alla data e all'ora di aggiornamento della risorsa in Identity Cloud Service.
  • idcsLastModifiedBy è impostato sul principal del servizio identità che ha aggiornato la risorsa in Identity Cloud Service.

Non è necessario eseguire altre azioni. Questi attributi vengono impostati correttamente alla successiva modifica dell'oggetto.

L'utente in uno striping può visualizzare i dati di audit per altri striping

Nelle istanze di Identity Cloud Service, un utente in uno striping autorizzato a visualizzare AuditEvents può visualizzarli solo da tale striping. La migrazione a IAM OCI crea una risorsa di dominio per ogni striping nel compartimento predefinito della tenancy OCI corrispondente e, poiché l'autorizzazione per vedere AuditEvents si basa sui compartimenti, l'utente può vedere AuditEvents da ogni striping nello stesso compartimento.

È possibile preservare il comportamento che un utente in uno striping può visualizzare solo AuditEvents nello striping creando un compartimento per ogni striping, quindi spostando la risorsa di dominio che rappresenta lo striping nel proprio compartimento.

L'amministratore della tenancy OCI dispone della visibilità e dei diritti appropriati per visualizzare tutte le risorse del dominio di Identity a tale scopo.

  • Lo spostamento di una risorsa di dominio in un compartimento sposta tutti gli utenti di tale dominio nel nuovo compartimento e consente loro di accedere in modo implicito alle risorse in tale compartimento.
  • Lo spostamento di una risorsa di dominio in un compartimento rende anche tutti gli eventi verificabili che il dominio emette nell'audit OCI V2 specifico di tale compartimento.
  • Solo un utente con accesso a tale compartimento può visualizzare gli eventi che possono essere sottoposti ad audit emessi da un dominio in tale compartimento.