Documentazione di Oracle Cloud Infrastructure

Configura stripe identità multiple per automazione processo

Per Oracle Cloud Infrastructure Process Automation, lo striping primario (primordiale) viene federato automaticamente utilizzando gruppi preconfigurati. Tuttavia, è possibile creare ambienti separati per un singolo servizio o applicazione cloud (ad esempio, creare un ambiente per lo sviluppo e uno per la produzione), in cui ogni ambiente dispone di requisiti di identità e sicurezza diversi.

Nota

Questo argomento si applica solo alle tenancy che non utilizzano domini di Identity. Vedere Differenze tra tenancy con e senza domini di Identity.

L'implementazione di uno o più striping secondari consente di creare e gestire più istanze di Oracle Identity Cloud Service per proteggere le applicazioni e i servizi Oracle Cloud.

Puoi federare manualmente una o più striping secondari con Oracle Cloud Infrastructure utilizzando la federazione SAML IDP in cui più striping di Oracle Identity Cloud Service sono associati allo stesso account cloud. Tenere presente che il proprietario dell'account amministra sia le righe principali che quelle secondarie, ma le identità all'interno delle righe sono isolate l'una dall'altra.

Definire innanzitutto una convenzione di denominazione per lo striping, come descritto in Definire una convenzione di denominazione dello striping. Seguire quindi i passi riportati di seguito per federare manualmente uno striping secondario per l'account cloud. È necessario essere il proprietario del conto.

  1. Creare un gruppo IDCS per gli utenti dello striping secondario
  2. Creare un client OAuth nello striping secondario
  3. Creare un gruppo IAM per gli utenti dello striping secondario
  4. Creare la federazione e il relativo mapping di gruppi
  5. Creare un criterio IAM per gli utenti federati per creare istanze
  6. Fornire l'accesso a uno striping federato nel gruppo IAM per gli utenti dello striping secondario
  7. Crea istanze di automazione dei processi nei compartimenti striping secondari

Definisci convenzione di denominazione striping

È consigliabile definire un valore <stripename> per tutte le entità create in modo specifico per lo striping. È importante identificare in modo univoco le configurazioni associate a uno striping, soprattutto quando sono configurate più striping.

Nelle sezioni seguenti verrà utilizzato stripename in queste entità:

Entità Convenzione di denominazione
Gruppo IDCS stripename_administrators
Gruppo OCI oci_stripename_administrators
Compartimento stripename_compartment
Provider di identità stripename_service
Criteri stripename_adminpolicy
Istruzione criteri allow group oci_stripename_administrators to manage process-automation-instance in compartment stripename_compartment

Creare un gruppo IDCS per gli utenti dello striping secondario

In IDCS, creare un gruppo nello striping secondario e aggiungere utenti dallo striping secondario al gruppo.

  1. Aggiungere un gruppo nello striping secondario e denominarlo stripename_administrators. Ad esempio, denominarlo come stripe2_administrators. Fare clic su Fine.
    A questi amministratori verrà concessa l'autorizzazione per creare istanze di Process Automation. Questo gruppo IDCS verrà mappato con un gruppo IAM. Vedere Eseguire il mapping dei gruppi IDCS e IAM.
  2. Aggiungere gli utenti dallo striping secondario al gruppo.

Creare un client OAuth nello striping secondario

Creare un'applicazione riservata IDCS che utilizzi le credenziali client OAuth e a cui sia assegnato il ruolo di amministratore del dominio IDCS. È necessario creare un'applicazione riservata per ogni striping secondario.

  1. Come amministratore IDCS, accedere alla console di amministrazione IDCS secondaria.
  2. Aggiungere un'applicazione riservata.
    1. Passare alla scheda Applicazioni.
    2. Fare clic su Aggiungi.
    3. Scegliere Applicazione riservata.
    4. Assegnare un nome all'applicazione Client_Credentials_For_SAML_Federation.
    5. Fare clic su Avanti.
  3. Configurare le impostazioni del client.
    1. Fare clic su Configurare l'applicazione come client ora.
    2. In Autorizzazione, selezionare Credenziali client.
    3. In Concedere al client l'accesso alle API di amministrazione di Identity Cloud Service, fare clic su Aggiungi e selezionare il ruolo applicazione Amministratore dominio di Identity.
    4. Fare clic due volte su Avanti.
  4. Fare clic su Fine. Una volta creata l'applicazione, annotare l'ID client e il segreto client. Queste informazioni saranno necessarie nei prossimi passi per la federazione
  5. Fare clic su Attiva e confermare l'attivazione dell'applicazione.

Creare un gruppo IAM per gli utenti dello striping secondario

Questo gruppo è necessario perché la federazione SAML IDP di Oracle Cloud Infrastructure richiede il mapping dei gruppi per la federazione degli utenti dall'IDP federato (IDCS) e l'appartenenza al gruppo nativo OCI è necessaria per definire e concedere le autorizzazioni (criteri) di Oracle Cloud Infrastructure per gli utenti federati.

  1. Nella console di Oracle Cloud Infrastructure, aprire il menu di navigazione e fare clic su Identità e sicurezza. In Identità fare clic su Gruppi.
    Questo gruppo IAM verrà mappato al gruppo IDCS creato.
  2. Creare un gruppo e assegnargli il nome oci_stripename_administrators. Ad esempio, denominarlo oci_stripe2_administrators.

Creare la federazione e il relativo mapping di gruppi

Dopo aver creato i gruppi IDCS e IAM e le informazioni client necessarie, creare il provider di identità IDCS e mappare i gruppi.

  1. Connettersi alla console di Oracle Cloud Infrastructure. Selezionare il dominio di Identity dello striping primordiale (identitycloudservice) e immettere le relative credenziali utente.
    Tenere presente che il mapping dei gruppi per uno striping secondario utilizza l'accesso utente dello striping primordiale. Questo è importante, poiché l'aggiunta di più strisce aggiunge più opzioni a questo elenco a discesa.
  2. Aprire il menu di navigazione e fare clic su Identità e sicurezza, quindi su Federazione.
  3. Fare clic su Aggiungi provider di identità.
  4. Nella finestra risultante, completare i campi come mostrato di seguito.
    Campo Informazioni da immettere
    Nome <stripename>_service
    descrizione; Federation with IDCS secondary stripe
    Digitare Oracle Identity Cloud Service
    URL di base di Oracle Identity Cloud Service

    Immettere il seguente URL utilizzando il formato:

    https://idcs-xxxx.identity.oraclecloud.com

    Sostituire la parte del dominio <idcs-xxxx> con lo striping IDCS secondario.

    ID client/ Segreto client

    Immettere l'ID client e il segreto ottenuti durante la creazione di un client OAuth nello striping secondario. Vedere Create a OAuth Client in the Secondary Stripe.

    Forza autenticazione Selezionare questa opzione.
  5. Fare clic su Continua.
  6. Eseguire il mapping dello striping secondario IDCS e dei gruppi OCI creati in precedenza.
    Eseguire il mapping del gruppo di striping secondario IDCS (creato in Create a IDCS Group for Secondary Stripe Users) e del gruppo OCI (creato in Create a IAM Group for Secondary Stripe Users).
  7. Fare clic su Aggiungi provider.
    Federazione striping secondaria completata. Si noti che viene visualizzato il mapping dei gruppi.
  8. Verificare lo striping secondario e configurare la visibilità per gli amministratori e gli utenti dello striping secondario.

Creare un criterio IAM per gli utenti federati per creare istanze

Al termine della federazione, imposta i criteri IAM che consentono agli utenti federati dello striping IDCS secondario di creare istanze di Oracle Cloud Infrastructure Process Automation. Come pattern comune, il criterio viene applicato a un compartimento.

  1. Crea un compartimento in cui è possibile creare istanze di Oracle Cloud Infrastructure Process Automation per lo striping IDCS secondario. Assegnare un nome al compartimento stripename_compartment.
    Ad esempio, creare un compartimento denominato stripe2_compartment.
  2. Crea un criterio che consentirà agli utenti federati di creare istanze di Oracle Cloud Infrastructure Process Automation nel compartimento. Assegnare un nome al criterio stripename_adminpolicy (ad esempio, stripe2_adminpolicy).

    In Policy Builder selezionare Mostra editor manuale.

    • Sintassi: allow group stripename_administrators to verb resource-type in compartment stripename_compartment
    • Criterio: allow group oci_stripe2_administrators to manage process-automation-instance in compartment stripe2_compartment
Questo criterio consente a un utente che è membro del gruppo nel criterio di creare un'istanza di Oracle Cloud Infrastructure Process Automation (istanza-automazione-processo) nel compartimento denominato stripe2_compartment.

Fornire l'accesso a uno striping federato nel gruppo IAM per gli utenti dello striping secondario

Eseguire passi aggiuntivi per consentire all'amministratore dello striping secondario e a tutti gli altri utenti dello striping secondario di visualizzare gli striping nella federazione.

  1. In Oracle Identity Cloud Service creare un gruppo denominato stripe2_federation_administrators.
  2. Aggiungere utenti al gruppo che si desidera sia in grado di visualizzare la federazione e di creare utenti e gruppi nella console di Oracle Cloud Infrastructure in tale striping.
  3. Nella console di Oracle Cloud Infrastructure, utilizzando l'utente striping primario con l'autorizzazione corretta, creare un gruppo IAM denominato oci_stripe2_federation_administrators.
  4. Mappare i gruppi stripe2_federation_administrators e oci_stripe2_federation_administrators.
  5. Utilizzando gli esempi di istruzione riportati di seguito, definire un criterio che concede l'accesso agli striping federati.

    Molti esempi mostrano come concedere l'accesso a uno striping federato specifico utilizzando una clausola where che identifica lo striping secondario.

    Puoi ottenere l'OCID della federazione dalla vista federazione nella console di Oracle Cloud Infrastructure.

    Consente agli amministratori di striping secondari di... Istruzione criteri
    Crea gruppi (uso) allow group oci_stripe2_federation_administrators to use groups in tenancy
    Elenca i provider di identità nella federazione (ispezione) allow group oci_stripe2_federation_administrators to inspect identity-providers in tenancy

    Tenere presente che se gli amministratori degli striping secondari sono tenuti a creare gruppi, questo criterio è obbligatorio quando viene inclusa una clausola WHERE.
    Accesso a una stripe federata specifica (uso) allow group oci_stripe2_federation_administrators to use identity-providers in tenancy where target.identity-provider.id=“ocid1.saml2idp.oc1..aaaaaaaaa…”

    Quando ti connetti come utente nel gruppo IDCS sopra riportato, puoi creare utenti e gruppi nella console di Oracle Cloud Infrastructure e assegnare le autorizzazioni come faresti in uno striping primario.

Crea istanze di automazione dei processi nei compartimenti striping secondari

Con i criteri di federazione e Oracle Cloud Infrastructure definiti, gli utenti federati possono accedere alla console di Oracle Cloud Infrastructure e creare istanze di Oracle Cloud Infrastructure Process Automation.

  1. Connettersi come utente federato dallo striping secondario.
    Gli utenti dovranno selezionare lo striping secondario nel campo Provider di identità. Ad esempio stripe2_administrators.
  2. Gli amministratori autorizzati possono interrompere le istanze di Process Automation nel compartimento specificato (ad esempio, stripe2_compartment).