È consigliabile definire un valore <stripename> per tutte le entità create in modo specifico per lo striping. È importante identificare in modo univoco le configurazioni associate a uno striping, soprattutto quando sono configurate più striping.

Nelle sezioni seguenti verrà utilizzato stripename in queste entità:

In IDCS, creare un gruppo nello striping secondario e aggiungere utenti dallo striping secondario al gruppo.

1. Aggiungere un gruppo nello striping secondario e denominarlo stripename_administrators. Ad esempio, denominarlo stripe2_administrators. Fare clic su Fine.
   A questi amministratori verrà concessa l'autorizzazione per creare istanze di Process Automation. Questo gruppo IDCS verrà mappato con un gruppo IAM. Vedere Eseguire il mapping dei gruppi IDCS e IAM.
2. Aggiungere utenti dallo striping secondario al gruppo.

Creare un'applicazione riservata IDCS che utilizzi le credenziali client OAuth e a cui sia assegnato il ruolo di amministratore del dominio IDCS. È necessario creare un'applicazione riservata per ogni striping secondario.

1. Un amministratore IDCS può collegarsi alla console di amministrazione IDCS secondaria.
2. Aggiungere un'applicazione riservata.
   1. Passare alla scheda Applicazioni.
   2. Fare clic su Aggiungi.
   3. Scegliere Applicazione riservata.
   4. Assegnare un nome all'applicazione Client_Credentials_For_SAML_Federation.
   5. Successivo.
3. Configurare le impostazioni client.
   1. Fare clic su Configure this application as a client now.
   2. In Autorizzazione selezionare Credenziali client.
   3. In Concedere l'accesso client alle API di amministrazione di Identity Cloud Service fare clic su Aggiungi e selezionare il ruolo applicazione amministratore del dominio di Identity.
   4. Fare clic due volte su Avanti.
4. Fare clic su Fine. Una volta creata l'applicazione, annotare l'ID client e il segreto client. Queste informazioni saranno necessarie nei prossimi passi per la federazione
5. Fare clic su Attiva e confermare l'attivazione dell'applicazione.

Questo gruppo è necessario perché la federazione IDP SAML di Oracle Cloud Infrastructure richiede il mapping dei gruppi per federare gli utenti dall'IDP (IDCS) federato e l'appartenenza ai gruppi nativi OCI è necessaria per definire e concedere le autorizzazioni (criteri) di Oracle Cloud Infrastructure per gli utenti federati.

1. Nella console di Oracle Cloud Infrastructure, aprire il menu di navigazione e fare clic su Identità e sicurezza. In Identità fare clic su Gruppi.
   Questo gruppo IAM verrà mappato al gruppo IDCS creato.
2. Creare un gruppo e denominarlo oci_stripename_administrators. Ad esempio, denominarlo oci_stripe2_administrators.

Dopo aver creato i gruppi IDCS e IAM e le informazioni client necessarie, creare il provider di identità IDCS e mappare i gruppi.

1. Accedi alla console di Oracle Cloud Infrastructure. Selezionare il dominio di Identity dello striping primordiale (identitycloudservice) e immettere le relative credenziali utente.
   Tenere presente che il mapping dei gruppi per uno striping secondario utilizza l'accesso utente dello striping primordiale. Questo è importante, poiché l'aggiunta di più strisce aggiunge più opzioni a questo elenco a discesa.
2. Aprire il menu di navigazione e fare clic su Identità e sicurezza, quindi su Federazione.
3. Fare clic su Aggiungi provider di identità.
4. Nella finestra risultante, completare i campi come indicato di seguito.

   Campo	Informazioni da immettere
   Nome	<stripename>_service
   descrizione;	Federation with IDCS secondary stripe
   Digitare	Oracle Identity Cloud Service
   URL di base di Oracle Identity Cloud Service	Immettere il seguente URL utilizzando il formato: https://idcs-xxxx.identity.oraclecloud.com Sostituire la parte del dominio <idcs-xxxx> con lo striping IDCS secondario.
   ID client/ Segreto client	Immettere l'ID client e il segreto ottenuti durante la creazione di un client OAuth nello striping secondario. Vedere Create a OAuth Client in the Secondary Stripe.
   Forza autenticazione	Selezionare questa opzione.

5. Fare clic su Continua.
6. Mappare lo striping secondario IDCS e i gruppi OCI creati in precedenza.
   Eseguire il mapping del gruppo di striping secondario IDCS (creato in Create a IDCS Group for Secondary Stripe Users) e del gruppo OCI (creato in Create a IAM Group for Secondary Stripe Users).
7. Fare clic su Aggiungi provider.
   Federazione striping secondaria completata. Si noti che viene visualizzato il mapping dei gruppi.
8. Verificare lo striping secondario e configurare la visibilità per gli amministratori e gli utenti dello striping secondario.
   • L'amministratore del tenant può visualizzare tutti gli striping IDCS federati nella console OCI.
   • L'amministratore dello striping secondario e tutti gli altri utenti dello striping secondario non visualizzeranno alcun striping nella federazione. Per risolvere questo problema, vedere Fornire l'accesso a uno striping federato nel gruppo IAM per gli utenti dello striping secondario.

Al termine della federazione, impostare i criteri IAM che consentono agli utenti federati dello striping IDCS secondario di creare istanze di Oracle Cloud Infrastructure Process Automation. Come pattern comune, il criterio viene applicato a un compartimento.

1. Creare un compartimento in cui è possibile creare istanze di Oracle Cloud Infrastructure Process Automation per lo striping IDCS secondario. Assegnare un nome al compartimento stripename_compartment.
   Ad esempio, creare un compartimento denominato stripe2_compartment.
2. Creare un criterio che consenta agli utenti federati di creare istanze di Oracle Cloud Infrastructure Process Automation nel compartimento. Assegnare un nome al criterio stripename_adminpolicy (ad esempio, stripe2_adminpolicy).

   In Policy Builder selezionare Mostra editor manuale.

   • Sintassi: allow group stripename_administrators to verb resource-type in compartment stripename_compartment
   • Criterio: allow group oci_stripe2_administrators to manage process-automation-instance in compartment stripe2_compartment

Eseguire passi aggiuntivi per consentire all'amministratore dello striping secondario e a tutti gli altri utenti dello striping secondario di visualizzare gli striping nella federazione.

1. In Oracle Identity Cloud Service creare un gruppo denominato stripe2_federation_administrators.
2. Aggiungere al gruppo gli utenti che si desidera possano visualizzare la federazione e creare utenti e gruppi nella console di Oracle Cloud Infrastructure in tale striping.
3. Nella console di Oracle Cloud Infrastructure, utilizzando l'utente striping primario con l'autorizzazione corretta, creare un gruppo IAM denominato oci_stripe2_federation_administrators.
4. Eseguire il mapping dei gruppi stripe2_federation_administrators e oci_stripe2_federation_administrators.
5. Utilizzare gli esempi di istruzioni riportati di seguito per definire un criterio che conceda l'accesso agli striping federati.

   Molti esempi mostrano come concedere l'accesso a uno striping federato specifico utilizzando una clausola where che identifica lo striping secondario.

   È possibile ottenere l'OCID della federazione dalla vista federazione nella console di Oracle Cloud Infrastructure.

   Consente agli amministratori di striping secondari di...	Istruzione criteri
   Crea gruppi (uso)	allow group oci_stripe2_federation_administrators to use groups in tenancy
   Elenca i provider di identità nella federazione (ispezione)	allow group oci_stripe2_federation_administrators to inspect identity-providers in tenancy Tenere presente che se gli amministratori degli striping secondari sono tenuti a creare gruppi, questo criterio è obbligatorio quando viene inclusa una clausola WHERE.
   Accesso a una stripe federata specifica (uso)	allow group oci_stripe2_federation_administrators to use identity-providers in tenancy where target.identity-provider.id=“ocid1.saml2idp.oc1..aaaaaaaaa…”

   Quando si accede come utente nel gruppo IDCS precedente, è possibile creare utenti e gruppi nella console di Oracle Cloud Infrastructure e assegnare le autorizzazioni come in uno striping primario.

Con i criteri federazione e Oracle Cloud Infrastructure definiti, gli utenti federati possono accedere alla console di Oracle Cloud Infrastructure e creare istanze di Oracle Cloud Infrastructure Process Automation.

1. Collegarsi come utente federato dallo striping secondario.
   Gli utenti dovranno selezionare lo striping secondario nel campo Provider di identità. Ad esempio stripe2_administrators.
2. Gli amministratori autorizzati possono consolidare le istanze di Process Automation nel compartimento specificato (ad esempio, stripe2_compartment).