Gestione degli utenti Oracle Cloud con funzioni mansione specifiche
Aggiungere utenti con autorizzazioni predefinite per utilizzare gli ambienti Fusion Applications.
L'amministratore predefinito della tenancy è stato definito quando si creava l'account cloud. L'amministratore predefinito può eseguire tutti i task per tutti i servizi, inclusa la visualizzazione e la gestione di tutte le sottoscrizioni alle applicazioni.
In questo argomento viene spiegato come impostare utenti aggiuntivi per utilizzare gli ambienti Fusion Applications nella console di Oracle Cloud. Questi utenti amministratori aggiuntivi in genere hanno funzioni lavorative più specifiche e quindi hanno accesso e autorità ridotte rispetto all'utente amministratore predefinito. Se devi aggiungere utenti finali per lavorare nelle tue applicazioni, consulta la documentazione delle applicazioni, Oracle Fusion Cloud Applications Suite.
La gestione dell'ambiente delle applicazioni si integra con il servizio Identity and Access Management Service (IAM) per l'autenticazione e l'autorizzazione. IAM utilizza i criteri per concedere autorizzazioni ai gruppi. Gli utenti hanno accesso alle risorse (come gli ambienti applicativi) in base ai gruppi a cui appartengono. L'amministratore predefinito può creare gruppi, criteri e utenti per concedere l'accesso alle risorse.
In questo argomento vengono fornite le procedure di base per la creazione di tipi di utente specifici nell'account per iniziare a utilizzare la gestione dell'ambiente. Per informazioni dettagliate complete sull'uso del servizio IAM per la gestione degli utenti nella console di Oracle Cloud, vedere Gestione degli utenti.
Informazioni sulla differenza tra i ruoli utente di gestione dell'ambiente e i ruoli utente dell'applicazione
I ruoli utente dell'ambiente descritti qui dispongono dell'accesso per gestire o interagire con l'ambiente delle applicazioni. A seconda del livello di autorizzazioni concesso, gli utenti possono accedere all'account Oracle Cloud, accedere alla pagina dei dettagli dell'ambiente ed eseguire i task per gestire o monitorare l'ambiente. Questi ruoli includono Fusion Applications Environment Administrator, Environment Security Administrator, Environment-specific Manager e Environment Monitor.
I ruoli utente dell'applicazione dispongono dell'accesso per accedere all'applicazione (tramite l'URL dell'applicazione) e amministrare, sviluppare o utilizzare l'applicazione. Per informazioni su come amministrare questi utenti, consultare la documentazione delle applicazioni.
-
Per informazioni sull'aggiunta di un amministratore Fusion, vedere Per aggiungere o rimuovere amministratori Fusion.
- Per informazioni sui ruoli delle applicazioni, consultare la documentazione dell'applicazione oppure, per un riferimento generale, vedere Ruoli comuni per tutte le offerte.
Aggiunta di un amministratore di tenancy
Questa procedura descrive come aggiungere un altro utente al gruppo di amministratori della tenancy. I membri del gruppo Amministratori hanno accesso a tutte le funzioni e a tutti i servizi della console di Oracle Cloud.
Questa procedura non consente all'utente di accedere alla console del servizio applicazioni. Per aggiungere utenti all'applicazione, consultare la documentazione dell'applicazione.
Per aggiungere un amministratore:
- Aprire il menu di navigazione e, in Infrastruttura, selezionare Identità e sicurezza. In Identità selezionare Domini.
- Selezionare un dominio, quindi selezionare Gestione utenti.
- In Utenti, selezionare Crea.
- Immettere il nome e il cognome dell'utente.
- Per fare in modo che l'utente acceda con il proprio indirizzo e-mail:
- Lasciare l'opzione Utilizzare l'indirizzo di posta elettronica come nome utente selezionata.
- Nel campo Nome utente/posta elettronica immettere l'indirizzo di posta elettronica per l'account utente.
- Per fare in modo che l'utente acceda con il proprio nome utente:
- Deselezionare l'opzione Usa l'indirizzo di posta elettronica come nome utente,
- Nel campo Nome utente immettere il nome utente che verrà utilizzato dall'utente per connettersi alla console.
- Nel campo Posta elettronica immettere l'indirizzo di posta elettronica per l'account utente.
- In Gruppi, selezionare la casella di controllo Amministratori.
- (Facoltativo) Nella sezione Tag aggiungere una o più tag all'utente.
Se si dispone delle autorizzazioni per creare una risorsa, si dispone anche delle autorizzazioni per applicare tag in formato libero a tale risorsa. Per applicare una tag defined, è necessario disporre delle autorizzazioni per utilizzare la tag namespace. Per ulteriori informazioni sull'applicazione di tag, vedere Tag risorsa. Se non sei sicuro di applicare i tag, salta questa opzione o chiedi a un amministratore. È possibile applicare le tag in un secondo momento.
- Selezionare Crea.
Viene inviata un'e-mail di benvenuto all'indirizzo fornito per il nuovo utente. Il nuovo utente può seguire le istruzioni di attivazione dell'account nel messaggio di posta elettronica per collegarsi e iniziare a utilizzare la tenancy.
Uso dei compartimenti per raggruppare le risorse per i ruoli mansione
I compartimenti sono una funzione di gestione dell'accesso (IAM) che consente di raggruppare logicamente le risorse, in modo da poter controllare chi può accedere alle risorse specificando chi può accedere al compartimento.
Ad esempio, per creare un criterio di accesso limitato che consenta l'accesso solo a un ambiente di test specifico e alle relative risorse correlate, è possibile inserire queste risorse nel proprio compartimento e quindi creare il criterio che consenta l'accesso solo alle risorse nel compartimento. Per ulteriori informazioni, vedere Scelta di un compartimento.
Aggiunta di un utente con accesso specificato per un ruolo mansione
Per gli utenti che non devono disporre dell'accesso amministratore completo, è possibile creare un gruppo che abbia accesso ad ambienti applicativi specifici nella console di Oracle Cloud, ma non possa eseguire altri task amministrativi nella console di Oracle Cloud.
Per concedere agli utenti le autorizzazioni per visualizzare gli ambienti e le sottoscrizioni delle applicazioni nella console di Oracle Cloud, è necessario effettuare le operazioni riportate di seguito.
- Trovare il dominio di Identity.
- Creare un gruppo.
- Creare un criterio che conceda al gruppo l'accesso appropriato alle risorse.
- Creare un utente e aggiungerlo al gruppo.
Le procedure riportate di seguito consentono di creare un gruppo, un criterio e un utente. L'amministratore predefinito può eseguire questi task o un altro utente a cui è stato concesso l'accesso per amministrare le risorse IAM.
Un dominio di identità è un contenitore per la gestione di utenti e ruoli, la federazione e il provisioning degli utenti, l'integrazione sicura delle applicazioni tramite la configurazione Oracle Single Sign-On (SSO) e l'amministrazione OAuth. Quando si scrive un criterio, è necessario identificare il dominio di Identity a cui appartiene il gruppo.
Per trovare i domini di Identity nella tenancy:
Aprire il menu di navigazione e, in Infrastruttura, selezionare Identità e sicurezza. In Identità selezionare Domini.
Viene visualizzata la pagina di elenco Domini. Tutte le tenancy includono un dominio predefinito. La tenancy potrebbe includere anche il dominio OracleIdentityCloudService, nonché altri domini creati dall'organizzazione.
Per creare un gruppo, iniziare dalla pagina elenco Domini.
- Aprire il menu di navigazione e, in Infrastruttura, selezionare Identità e sicurezza. In Identità selezionare Domini.
- Nella pagina elenco Domini, selezionare il dominio in cui si desidera aggiungere il gruppo, quindi selezionare Gestione utenti.
In alternativa, nella home page della console di Oracle Cloud, in Azioni rapide selezionare Aggiungi un utente alla tenancy.
- Ora è possibile creare un gruppo. Per informazioni dettagliate, vedere Creazione di un gruppo.
Prima di creare il criterio, è necessario conoscere le risorse a cui si desidera concedere l'accesso. La risorsa (o talvolta denominata tipo-risorsa) è ciò a cui il criterio concede l'accesso. Vedere Informazioni di riferimento sui criteri per i ruoli mansione per trovare la lista delle istruzioni dei criteri per il ruolo mansione che si desidera creare.
- Se si è ancora nella pagina Domini del task precedente, come descritto in Creazione di un gruppo, selezionare Criteri sul lato sinistro della pagina.
Oppure:
Aprire il menu di navigazione e, in Infrastruttura, selezionare Identità e sicurezza. In Identità selezionare Criteri.
Viene visualizzata la lista dei criteri.
- Selezionare Crea criterio.
- Immettere le informazioni riportate di seguito.
- Nome: un nome univoco per il criterio. Il nome deve essere univoco in tutti i criteri della tenancy. Non è possibile modificare questa impostazione in seguito. Evitare di fornire informazioni riservate.
- Descrizione: una descrizione descrittiva. Se lo si desidera, è possibile modificarlo in un secondo momento. Evitare di fornire informazioni riservate.
- Compartimento: assicurarsi che la tenancy (compartimento radice) sia selezionata.
- Nella sezione Costruzione guidata criteri, selezionare Mostra editor manuale per visualizzare la casella di testo per l'immissione di testo in formato libero.
- Immettere le istruzioni appropriate per le risorse a cui si desidera concedere l'accesso. Per le istruzioni che è possibile copiare e incollare per i ruoli mansione comuni, vedere Riferimento criteri per i ruoli mansione.
Assicurarsi di sostituire '<identity-domain-name>'/'<your-group-name>' in ciascuna istruzione con il nome del dominio di Identity e il nome del gruppo corretti creati nel passo precedente e con qualsiasi altra variabile.
Ad esempio, si supponga di disporre di un gruppo denominato "FA-Admins" creato nel dominio OracleIdentityCloudService. Si desidera che questo gruppo disponga delle autorizzazioni di amministratore del servizio Fusion Applications.
- Andare a Riferimento criteri per i ruoli mansione nella documentazione.
- Trova amministratore del servizio Fusion Applications. Selezionare Copia per copiare le istruzioni dei criteri.
- Andare all'Editor criteri, incollare le istruzioni dalla documentazione, quindi aggiornare il valore di '<identity-domain-name>'/'<your-group-name>' in ciascuna delle istruzioni. Per questo esempio, l'aggiornamento sarebbe 'OracleIdentityCloudService'/'FA-Admins'.
- Selezionare Crea.
- Nella home page della console di Oracle Cloud, in Azioni rapide, selezionare Aggiungi un utente alla tenancy.
Viene visualizzata una lista di utenti nel dominio corrente.
- Selezionare Crea.
- Immettere il nome e il cognome dell'utente.
- Per fare in modo che l'utente acceda con il proprio indirizzo e-mail:
- Lasciare l'opzione Utilizzare l'indirizzo di posta elettronica come nome utente selezionata.
- Nel campo Nome utente/posta elettronica immettere l'indirizzo di posta elettronica per l'account utente.
- Per fare in modo che l'utente acceda con il proprio nome utente:
- Deselezionare l'opzione Usa l'indirizzo di posta elettronica come nome utente,
- Nel campo Nome utente immettere il nome utente che verrà utilizzato dall'utente per connettersi alla console.
- Nel campo Posta elettronica immettere l'indirizzo di posta elettronica per l'account utente.
- In Gruppi selezionare la casella di controllo per ogni gruppo che si desidera assegnare all'account utente.
- (Facoltativo) Nella sezione Tag aggiungere una o più tag all'utente.
Se si dispone delle autorizzazioni per creare una risorsa, si dispone anche delle autorizzazioni per applicare tag in formato libero a tale risorsa. Per applicare una tag defined, è necessario disporre delle autorizzazioni per utilizzare la tag namespace. Per ulteriori informazioni sull'applicazione di tag, vedere Tag risorsa. Se non sei sicuro di applicare i tag, salta questa opzione o chiedi a un amministratore. È possibile applicare le tag in un secondo momento.
- Selezionare Crea.
Riferimento criterio per i ruoli mansione
Esistono alcuni ruoli mansione comuni che si desidera impostare per gli utenti. È possibile creare criteri per concedere le autorizzazioni necessarie per funzioni mansione specifiche. In questa sezione vengono forniti esempi di criteri per alcune funzioni mansione comuni.
Gli esempi riportati in questa sezione mostrano tutte le istruzioni dei criteri necessarie per i ruoli descritti. La tabella successiva fornisce i dettagli sull'autorizzazione concessa da ogni istruzione. Per creare un utente con l'accesso concesso tramite i criteri, è possibile copiare e incollare il criterio fornito sostituendo il nome del gruppo. Per i dettagli, vedere il task Crea criterio. Se non sono necessarie tutte le istruzioni, ad esempio l'integrazione dell'applicazione con Oracle Digital Assistant, è possibile rimuovere l'istruzione.
Per impostare i tipi di ruoli indicati di seguito, attenersi alle linee guida riportate di seguito.
L'amministratore dell'ambiente Fusion Applications può eseguire tutti i task necessari per creare e gestire gli ambienti e le famiglie di ambienti Fusion Applications nella tenancy (account). L'amministratore dell'ambiente di Fusion Applications può anche interagire con le applicazioni e i servizi correlati che supportano gli ambienti. Per eseguire completamente questi task, l'amministratore dell'ambiente di Fusion Applications richiede autorizzazioni per più servizi e risorse.
Quando crei questo criterio, devi sapere:
- Il nome del gruppo.
- Il nome del dominio di Identity in cui si trova il gruppo.
- Nome del compartimento in cui si trovano l'ambiente e le altre risorse. Per informazioni sui compartimenti, vedere Utilizzo dei compartimenti per raggruppare le risorse per i ruoli mansione. Tenere presente che è possibile spostare le risorse nel compartimento dopo aver creato il criterio, ma il compartimento deve esistere prima di scrivere il criterio.
Criterio di esempio da copiare e incollare:
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to use vcns in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read vaults in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read keys in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to use key-delegate in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read lockbox-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage oda-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage vbstudio-instances in tenancy
Define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
Endorse group '<identity-domain-name>'/'<your-group-name>' to read objects in tenancy usage-reportNella tabella riportata di seguito vengono descritte le istruzioni a cui ogni istruzione del criterio precedente concede l'accesso:
| Istruzione criteri | A cosa serve |
|---|---|
|
Concede autorizzazioni di gestione complete per gli ambienti e le famiglie di ambienti Fusion Applications. Include le attività di creazione, aggiornamento, aggiornamento e manutenzione. |
|
Concede le autorizzazioni per leggere le informazioni relative alle sottoscrizioni per accedere alle sottoscrizioni delle applicazioni nella console. Obbligatorio per la visualizzazione delle sottoscrizioni; deve essere a livello di tenancy. |
|
Concede le autorizzazioni per visualizzare le informazioni sull'applicazione nella home page Applicazioni. |
|
Concede l'accesso ai grafici delle metriche e ai dati visualizzati per le risorse FA. |
|
Concede l'accesso agli annunci di lettura. |
|
Concede l'accesso per aggiungere o modificare le regole di accesso alla rete. |
|
Concede l'autorizzazione per gestire l'applicazione integrata di Oracle Digital Assistant |
|
Concede l'autorizzazione per gestire l'applicazione integrata di Visual Studio. |
|
Concede l'autorizzazione per visualizzare i report delle metriche d'uso mensili. |
Dopo che l'amministratore dell'ambiente di Fusion Applications ha creato gli ambienti Fusion Applications, l'amministratore dell'ambiente può gestire un ambiente specifico, ma non può creare o eliminare l'ambiente o accedere ad altri ambienti. Ad esempio, è possibile impostare un gruppo denominato Prod-Admins che può accedere solo all'ambiente di produzione e un gruppo denominato Test-Admins che può accedere solo agli ambienti non di produzione.
Task che l'amministratore dell'ambiente può eseguire:
- Aggiorna Language Pack, opzioni di manutenzione dell'ambiente, regole di accesso alla rete
- Monitorare le metriche
- Aggiorna ambienti (solo non di produzione)
- Aggiungi amministratori applicazioni
Task che l'amministratore dell'ambiente non può eseguire:
- Crea ambienti
- Elimina ambienti
- Accedere ad altri ambienti
Di seguito è riportato un criterio di esempio che mostra tutte le istruzioni dei criteri necessarie per questo ruolo. La tabella successiva fornisce i dettagli sull'autorizzazione concessa da ogni istruzione. Per creare un utente con questo set di autorizzazioni, è possibile copiare e incollare questo criterio sostituendo il nome del gruppo e il nome del compartimento. Per i dettagli, vedere il task Crea criterio.
Quando crei questo criterio, devi sapere:
- Il nome del gruppo
- Il nome del dominio di Identity in cui si trova il gruppo.
- Nome del compartimento in cui si trovano l'ambiente e altre risorse. Per informazioni sui compartimenti, vedere Uso dei compartimenti per raggruppare le risorse per i ruoli mansione. Tenere presente che è possibile spostare le risorse nel compartimento dopo aver creato il criterio, ma il compartimento deve esistere prima di scrivere il criterio.
Criterio di esempio da copiare e incollare:
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-environment in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-scheduled-activity in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-refresh-activity in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-work-request in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-environment-group in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to use vcns in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage oda-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage vbstudio-instances in tenancy
Define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
Endorse group '<identity-domain-name>'/'<your-group-name>' to read objects in tenancy usage-reportNella tabella riportata di seguito vengono descritte le istruzioni a cui ogni istruzione del criterio precedente concede l'accesso:
| Istruzione criteri | A cosa serve |
|---|---|
|
Concede le autorizzazioni per gestire gli ambienti Fusion Applications nel compartimento denominato. |
|
Concede le autorizzazioni per visualizzare l'attività di manutenzione pianificata per gli ambienti nel compartimento denominato. |
|
Concede le autorizzazioni per creare richieste di aggiornamento dell'ambiente per gli ambienti nel compartimento denominato. Non applicabile agli ambienti di produzione. |
|
Concede le autorizzazioni per visualizzare le richieste di lavoro per gli ambienti nel compartimento denominato. |
|
Concede le autorizzazioni per visualizzare i dettagli della famiglia di ambienti per tutte le famiglie di ambienti nella tenancy. |
|
Concede le autorizzazioni per leggere le informazioni relative alle sottoscrizioni per accedere alle sottoscrizioni delle applicazioni nella console. Obbligatorio per la visualizzazione delle sottoscrizioni; deve essere a livello di tenancy. |
|
Concede le autorizzazioni per visualizzare le informazioni sull'applicazione nella home page Applicazioni. |
|
Concede l'accesso ai grafici delle metriche e ai dati visualizzati per le risorse FA nel compartimento denominato. |
|
Concede l'accesso per aggiungere o modificare le regole di accesso alla rete per le vcns nel compartimento denominato. |
|
Concede l'accesso agli annunci di lettura. |
|
Concede l'autorizzazione per gestire l'applicazione integrata Oracle Digital Assistant nel compartimento denominato. |
|
Concede l'autorizzazione per gestire l'applicazione integrata di Oracle Integration. Non richiesto se l'ambiente in uso non utilizza questa integrazione. |
|
Concede l'autorizzazione per gestire l'applicazione integrata di Visual Studio nel compartimento denominato. |
|
Concede l'autorizzazione per visualizzare i report delle metriche d'uso mensili. |
I criteri inclusi per questo ruolo offrono ai membri del gruppo l'accesso in sola lettura per visualizzare i dettagli e lo stato degli ambienti Fusion Applications e delle applicazioni correlate. L'utente di sola lettura dell'ambiente non può apportare modifiche.
Di seguito è riportato un criterio di esempio che mostra tutte le istruzioni dei criteri necessarie per il ruolo. La tabella successiva fornisce i dettagli sull'autorizzazione concessa da ogni istruzione. Per creare un utente con questo set di autorizzazioni, è possibile copiare e incollare questo criterio sostituendo il nome del gruppo. Per i dettagli, vedere il task Crea criterio.
Quando crei questo criterio, devi sapere:
- Il nome del gruppo
- Il nome del dominio di Identity in cui si trova il gruppo.
- Nome del compartimento in cui si trovano l'ambiente e altre risorse. Per informazioni sui compartimenti, vedere Uso dei compartimenti per raggruppare le risorse per i ruoli mansione. Tenere presente che è possibile spostare le risorse nel compartimento dopo aver creato il criterio, ma il compartimento deve esistere prima di scrivere il criterio.
Criterio di esempio da copiare e incollare:
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read oda-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read vbstudio-instances in tenancy
Define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
Endorse group '<identity-domain-name>'/'<your-group-name>' to read objects in tenancy usage-reportNella tabella riportata di seguito vengono descritte le istruzioni a cui ogni istruzione del criterio precedente concede l'accesso:
| Istruzione criteri | A cosa serve |
|---|---|
|
Concede l'autorizzazione per visualizzare tutti gli aspetti dell'ambiente e della famiglia di ambienti Fusion Applications. |
|
Concede le autorizzazioni per leggere le informazioni relative alle sottoscrizioni per accedere alle sottoscrizioni delle applicazioni nella console. Obbligatorio per la visualizzazione delle sottoscrizioni; deve essere a livello di tenancy. |
|
Concede le autorizzazioni per visualizzare le informazioni sull'applicazione nella home page Applicazioni. |
|
Concede l'accesso per visualizzare i grafici delle metriche e i dati visualizzati per le risorse FA. |
|
Concede l'accesso per visualizzare gli annunci. |
|
Concede l'autorizzazione per visualizzare l'applicazione integrata di Oracle Digital Assistant |
|
Concede l'autorizzazione per visualizzare l'applicazione integrata di Visual Studio. |
|
Concede l'autorizzazione per visualizzare i report delle metriche d'uso mensili. |
I criteri inclusi per questo ruolo consentono ai membri del gruppo di eseguire aggiornamenti dell'ambiente all'interno di un compartimento specificato. I membri del gruppo dispongono inoltre dell'accesso in sola lettura ai dettagli degli ambienti Fusion Applications. L'aggiornamento di un ambiente è l'unica azione che questo ruolo è autorizzato a eseguire.
Di seguito è riportato un criterio di esempio che mostra tutte le istruzioni dei criteri necessarie per il ruolo. La tabella successiva fornisce i dettagli sull'autorizzazione concessa da ogni istruzione. Per creare un utente con questo set di autorizzazioni, è possibile copiare e incollare questo criterio sostituendo il nome del gruppo. Per i dettagli, vedere il task Crea criterio.
Quando crei questo criterio, devi sapere:
- Nome del gruppo.
- Il nome del dominio di Identity in cui si trova il gruppo.
- Il nome del compartimento in cui si trova l'ambiente.
Criterio di esempio da copiare e incollare:
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read oda-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read vbstudio-instances in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-refresh-activity in compartment <your-compartment-name>
Nella tabella riportata di seguito vengono descritte le istruzioni a cui ogni istruzione del criterio precedente concede l'accesso:
| Istruzione criteri | A cosa serve |
|---|---|
|
Concede l'autorizzazione per visualizzare tutti gli aspetti dell'ambiente e della famiglia di ambienti Fusion Applications. |
|
Concede le autorizzazioni per leggere le informazioni relative alle sottoscrizioni per accedere alle sottoscrizioni delle applicazioni nella console. Obbligatorio per la visualizzazione delle sottoscrizioni; deve essere a livello di tenancy. |
|
Concede le autorizzazioni per visualizzare le informazioni sull'applicazione nella home page Applicazioni. |
|
Concede l'accesso per visualizzare i grafici delle metriche e i dati visualizzati per le risorse FA. |
|
Concede l'accesso per visualizzare gli annunci. |
|
Concede l'autorizzazione per visualizzare l'applicazione integrata di Oracle Digital Assistant |
|
Concede l'autorizzazione per visualizzare l'applicazione integrata di Visual Studio. |
|
Concede l'autorizzazione per eseguire un aggiornamento sugli ambienti Fusion Applications posizionati nel compartimento specificato. |
L'amministratore della sicurezza dell'ambiente gestisce le funzioni di sicurezza per gli ambienti Fusion Applications. Le funzioni di sicurezza includono chiavi gestite dal cliente e Oracle Managed Access (noto anche come break glass). È necessario aver acquistato le sottoscrizioni a queste funzioni prima che siano abilitate negli ambienti in uso. Per ulteriori informazioni, vedere Chiavi gestite dal cliente per Oracle Break Glass e Break Glass Support for Environments.
Task che l'amministratore della sicurezza dell'ambiente può eseguire:
- Crea vault e chiavi nel servizio Vault
- Ruota chiavi
- Verifica la rotazione delle chiavi per un ambiente Fusion Applications
- Disabilita e abilita le chiavi
Di seguito è riportato un criterio di esempio che mostra tutte le istruzioni dei criteri necessarie per questo ruolo. La tabella successiva fornisce i dettagli sull'autorizzazione concessa da ogni istruzione. Per creare un utente con questo set di autorizzazioni, è possibile copiare e incollare questo criterio sostituendo il nome del gruppo e il nome del compartimento. Per i dettagli, vedere il task Crea criterio.
Quando crei questo criterio, devi sapere:
- Nome del gruppo
- Il nome del dominio di Identity in cui si trova il gruppo.
- Nome del compartimento in cui si trovano l'ambiente e altre risorse. Per informazioni sui compartimenti, vedere Uso dei compartimenti per raggruppare le risorse per i ruoli mansione. Tenere presente che è possibile spostare le risorse nel compartimento dopo aver creato il criterio, ma il compartimento deve esistere prima di scrivere il criterio.
Criterio di esempio da copiare e incollare:
Allow group '<identity-domain-name>'/'<your-group-name>' to manage vaults in tenancy where request.permission not in ('VAULT_DELETE', 'VAULT_MOVE')
Allow group '<identity-domain-name>'/'<your-group-name>' to manage keys in tenancy where request.permission not in ('KEY_DELETE', 'KEY_MOVE')
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-environment-group in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-environment in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage lockbox-family in tenancy
Nella tabella riportata di seguito vengono descritte le istruzioni a cui ogni istruzione del criterio precedente concede l'accesso:
| Istruzione criteri | A cosa serve |
|---|---|
|
Concede le autorizzazioni per creare e gestire i vault nella tenancy, ma non consente di eliminare un vault o di spostarlo in un altro compartimento. |
|
Concede le autorizzazioni per creare e gestire le chiavi per gli ambienti nella tenancy, ma non consente di eliminare una chiave o di spostare una chiave in un altro compartimento. |
|
Concede le autorizzazioni per leggere i dettagli di un gruppo di ambienti Fusion Applications. |
|
Concede le autorizzazioni per leggere i dettagli di un ambiente Fusion Applications. |
Eliminazione utente
Eliminare un utente quando lascia l'azienda. Per informazioni dettagliate, vedere Eliminazione di un utente.
Per ulteriori dettagli sulla gestione degli utenti in un dominio di Identity, vedere Ciclo di vita per la gestione degli utenti.
Rimozione di un utente da un gruppo
Rimuovere un utente da un gruppo quando non ha più bisogno dell'accesso alle risorse a cui il gruppo concede l'accesso. Per i passi dettagliati, vedere Rimozione di utenti da un gruppo.