Documentazione dell'infrastruttura Oracle Cloud

Da istanze di Identity Cloud Service a problemi noti IAM

Problemi noti per la migrazione delle istanze di Identity Cloud Service in IAM OCI.

Valori attributo imprevisti dopo la conversione

Dopo la conversione delle istanze di Identity Cloud Service in domini di Identity in IAM OCI, è possibile che alcuni attributi per alcuni oggetti nel dominio di Identity predefinito abbiano un risultato imprevisto. Nella console non verranno visualizzati elementi diversi, ma se si utilizzano script e API queste modifiche potrebbero influire sui risultati.

Gli attributi interessati sono:

  • meta.lastModified
  • meta.version (etichetta)
  • idcsLastModifiedBy

Le modifiche si applicano ai seguenti oggetti quando sono stati aggiornati entro circa 3 settimane prima della conversione delle istanze:

  • Utenti
  • Gruppi
  • Applicazioni
  • Alcune credenziali (MFA TOTP)
  • Password utente createdOn

Di seguito sono elencati i dettagli delle modifiche agli attributi.

Quando la risorsa viene creata per la prima volta come parte della migrazione:

  • meta.lastModified, meta.created viene impostato sulla data/ora originale in cui la risorsa viene creata in IAM.
  • meta.version (etag) è l'etag originale impostato quando la risorsa è stata creata in IAM.
  • idcsLastModifiedBy, idcsCreatedBy viene impostato sul principal originale che ha creato la risorsa in IAM.

Se la risorsa viene aggiornata prima del completamento della migrazione:

  • meta.lastModified è impostato sulla data/ora in cui la risorsa viene aggiornata in Identity Cloud Service.
  • meta.version (etag) viene impostato in base alla data/ora in cui la risorsa viene aggiornata in Identity Cloud Service.
  • idcsLastModifiedBy è impostato sul principal del servizio identità che ha aggiornato la risorsa in Identity Cloud Service.

Non è necessario eseguire altre azioni. Questi attributi vengono impostati correttamente alla successiva modifica dell'oggetto.

L'utente in una striping può visualizzare i dati di audit per altre striping

Nelle istanze di Identity Cloud Service, un utente in uno striping autorizzato a visualizzare AuditEvents può visualizzarle solo da tale striping. La migrazione a IAM OCI crea una risorsa di dominio per ogni striping nel compartimento predefinito della tenancy OCI corrispondente e, poiché l'autorizzazione per visualizzare AuditEvents si basa sui compartimenti, l'utente può visualizzare AuditEvents da ogni striping nello stesso compartimento.

È possibile conservare il comportamento che un utente in uno striping può visualizzare solo AuditEvents nello striping creando un compartimento per ogni striping, quindi spostando la risorsa di dominio che rappresenta lo striping nel proprio compartimento.

L'amministratore della tenancy OCI dispone della visibilità e dei diritti appropriati per visualizzare tutte le risorse del dominio di Identity a tale scopo.

  • Lo spostamento di una risorsa di dominio in un compartimento sposta tutti gli utenti di tale dominio nel nuovo compartimento e concede loro l'accesso implicito alle risorse in tale compartimento.
  • Lo spostamento di una risorsa di dominio in un compartimento rende anche tutti gli eventi che possono essere sottoposti a audit emessi dal dominio in OCI Audit V2 specifici di tale compartimento.
  • Solo un utente con accesso a tale compartimento può visualizzare gli eventi controllabili emessi da un dominio in tale compartimento.