Nota

• Questa esercitazione richiede l'accesso a Oracle Cloud. Per iscriverti a un account gratuito, consulta Inizia a utilizzare Oracle Cloud Infrastructure Free Tier.
• Utilizza valori di esempio per le credenziali, la tenancy e i compartimenti di Oracle Cloud Infrastructure. Al termine del laboratorio, sostituisci questi valori con quelli specifici del tuo ambiente cloud.

Automatizza la gestione delle capacità degli utenti del dominio di Identity IAM OCI utilizzando tag e funzioni OCI

Introduzione

Come best practice per la sicurezza, i clienti stanno cercando di disabilitare le funzionalità inutilizzate degli utenti Oracle Cloud Infrastructure Identity and Access Management (OCI IAM). Ciò li aiuterà a evitare qualsiasi attacco tramite credenziali non standard come chiavi API, token di autenticazione e così via.

Le funzionalità utente vengono gestite da un amministratore nei dettagli dell'utente. Ogni utente può visualizzare le proprie funzionalità, ma solo un amministratore può abilitarle o disabilitarle. Di seguito sono riportate le funzionalità utente disponibili per gli utenti federati.

• Password di Console
• la chiave di firma API
• Token di autenticazione
• Credenziali SMTP (Simple Mail Transfer Protocol)
• Chiavi segrete cliente
• Credenziali client OAuth 2.0

Nota: la funzionalità password della console non è disponibile per gli utenti federati. Gli utenti federati eseguono l'autenticazione alla console tramite il provider di identità (IdP), in cui vengono gestite le password di accesso.

Per impostazione predefinita, queste funzionalità sono abilitate quando si esegue il provisioning di nuovi utenti, consentendo agli utenti di creare queste credenziali per se stessi. Per maggiori informazioni su queste credenziali utente, vedere Utilizzo delle credenziali utente.

Questa soluzione consente di automatizzare la gestione delle funzionalità di utenti esistenti o nuovi con l'aiuto delle tag. Questa automazione ha due modalità:

• Modalità di massa: elabora tutti gli utenti di un dominio, senza alcun payload di input. Questa operazione può essere eseguita o richiamata con OCI Resource Scheduler o manualmente.

• Modalità singola: la funzione viene eseguita automaticamente su un singolo utente in base agli eventi di creazione (evento creato dall'utente) generati con la regola evento configurata.

L'integrazione con OCI Events Service garantisce la corretta gestione delle funzionalità per i nuovi utenti in base alle tag fornite durante la creazione.

Obiettivi

• Implementa una soluzione nativa per gestire le funzionalità degli utenti del dominio di Identity IAM OCI in base alle tag e alla funzione.

Prerequisiti

• Accesso a una tenancy OCI.

• Privilegi per gestire le regole del servizio OCI Events, le applicazioni Oracle, le funzioni OCI e l'applicazione di tag OCI.

Task 1: impostare i criteri richiesti e le autorizzazioni IAM OCI

Ogni componente di questa soluzione deve avere accesso alle risorse OCI con cui interagisce. Per seguire questa esercitazione, sono necessarie le seguenti autorizzazioni.

• Criteri utente: gestisci le regole del servizio eventi OCI e le funzioni OCI.

• Criterio servizio: concedere l'autorizzazione della funzione per gestire le funzionalità utente. È necessario un gruppo dinamico.

Per ulteriori informazioni sui criteri dettagliati, vedere Dettagli per il servizio Eventi e Dettagli per le funzioni.

Task 2: Definisci spazio di nomi tag, chiavi tag e valori tag

Le tag sono la base per questa soluzione, quindi lo spazio di nomi e la chiave di tag richiesti devono essere in posizione.

Task 2.1: Crea spazio di nome tag

1. Andare alla console OCI, andare a Governance e amministrazione, Gestione della tenancy e fare clic su Spazi di nomi tag.

2. Viene visualizzata una lista di spazi di nomi tag nel compartimento corrente. Fare clic su Crea spazi di nomi tag.

3. Nella pagina Crea spazio di nomi tag, immettere le informazioni riportate di seguito.

   • Crea nel compartimento: selezionare il compartimento in cui si desidera creare la definizione dello spazio di nomi.
   • Nome definizione spazio di nomi: immettere un nome univoco per questo set di tag. Il nome deve essere univoco all'interno della tenancy. Lo spazio di nomi tag non fa distinzione tra maiuscole e minuscole. Impossibile modificare questo valore in un secondo momento. Evitare di fornire informazioni riservate.
   • Descrizione: immettere una descrizione descrittiva. Se lo si desidera, è possibile modificarlo successivamente.

4. Fare clic su Crea spazio di nomi tag.

Task 2.2: Crea definizione chiave tag

1. Nella pagina Spazi di nomi tag fare clic sullo spazio di nomi tag a cui si desidera aggiungere la definizione della chiave di tag.

2. Nella pagina Dettagli spazio di nomi tag fare clic su Crea definizione chiave di tag.

3. Nella pagina Crea definizione chiave tag, immettere le informazioni riportate di seguito.

   • Chiave tag: immettere la chiave. Il valore deve essere uno dei seguenti: api_keys, console_password, auth_tokens, customer_secret_keys, db_credentials, o_auth2_client_credentials e smtp_credentials.
   • Descrizione: immettere una descrizione descrittiva.
   • Registrazione dei costi: selezionare questa opzione per abilitare questa tag per la registrazione dei costi. Puoi utilizzare fino a 10 tag di registrazione dei costi nella tua tenancy.

4. In Tipo di valore tag, selezionare Elenco di valori e immettere Sì in Valori, dove sono necessarie queste funzionalità, altrimenti verranno disabilitate per un utente.

5. Fare clic su Crea definizione chiave di tag.

Task 2.3: aggiungere tag all'utente

1. Aggiungere tag all'utente esistente.

   1. Andare a OCI Console, accedere a Identity & Security, Identity e fare clic su Domini.

   2. Viene visualizzata una lista dei domini nel compartimento corrente. Selezionare il dominio e fare clic su Utenti. Trovare e fare clic sull'utente che si desidera aggiungere la tag.

   3. Nel menu a discesa Altre azioni fare clic su Aggiungi tag.

   4. Nella pagina Aggiungi tag immettere le informazioni riportate di seguito.

      • Selezionare Spazio di nomi tag.
      • Selezionare Chiave tag.
      • In Valore, selezionarne uno dall'elenco.
      • Per applicare un'altra tag, fare clic su Aggiungi tag.

   5. Al termine dell'aggiunta delle tag, fare clic su Aggiungi tag.

2. Aggiungere al nuovo utente. Aggiungere tag dalla finestra Mostra opzioni avanzate durante la creazione di un nuovo utente.

Nota: aggiungere tag per tutte le funzionalità che si desidera abilitare.

Task 3: Sviluppa e distribuisci le funzioni OCI

La funzione leggerà i tag sugli utenti e agirà sulla capacità. Per raggiungere questo obiettivo, esegue le seguenti operazioni:

• Leggere lo spazio di nomi tag (tag_namespace) dalla configurazione della funzione.

• Leggere le funzionalità di gestione (manage_capability) dalla configurazione della funzione.

• Leggere l'input della funzione (function_feature) dalla configurazione della funzione.

• Leggere i domini di destinazione (domain_ocids) dalla configurazione della funzione (in caso di modalità bulk).

• Controllare i tag sugli utenti.

• Disabilitare o abilitare la funzionalità per l'utente in base alle tag mancanti.

Scaricare il codice funzione da GitHub, personalizzare il codice e distribuirlo.

1. Scaricare il repository GitHub da qui: iam-user-capability-management.

2. Seguire le istruzioni indicate nella sezione Crea e distribuisci la funzione OCI.

Per ulteriori informazioni, vedere Creazione di funzioni.

Task 4: Crea pianificazione in Resource Scheduler OCI

1. Andare a OCI Console, andare a Governance e amministrazione, Programmazione risorse e fare clic su Programmi.

2. Fare clic su Crea una pianificazione.

3. In Informazioni di base, immettere nome programma, descrizione programma e l'azione da eseguire come inizio, quindi fare clic su Avanti.

4. In Risorse, selezionare il compartimento funzioni e la funzione e fare clic su Successivo.

5. In Programma, selezionare Giornaliero e configurare altri parametri in base alle proprie esigenze.

   • Ripeti ogni: immettere la frequenza con cui si desidera eseguire la pianificazione o utilizzare il menu per selezionare un intervallo. Il valore minimo è 1. Il valore massimo è 99.

   • Ora di inizio: immettere l'ora in ore e minuti nel formato 24 ore.

6. Fare clic su Successivo e rivedere le informazioni. Fare clic su Crea pianificazione.

Questa operazione eseguirà la funzione in un intervallo pianificato. Per ulteriori informazioni, vedere Creazione di pianificazioni.

Task 5: Imposta regola eventi in OCI Events Service

1. Andare alla console OCI, andare a Osservabilità e gestione, Servizio eventi e fare clic su Regole.

2. Selezionare il compartimento radice e fare clic su Crea regola.

3. Immettere Nome visualizzato e Descrizione.

4. Nella sezione Condizioni regola, immettere le informazioni riportate di seguito.

   • Condizione: selezionare Tipo di evento.
   • Nome servizio: selezionare Identità.
   • Tipo di evento: selezionare Creazione utente.

5. Nella sezione Azioni, immettere le informazioni riportate di seguito.

   • Tipo di azione: selezionare Funzioni.
   • Selezionare Applicazione funzione e Funzione.

6. Fai clic su Crea regola.

La funzione verrà richiamata quando viene creato un nuovo utente. Per ulteriori informazioni, vedere Creazione di una regola di eventi.

Nota: l'abilitazione dei log per le regole di eventi e le applicazioni di funzione fornirà funzionalità di monitoraggio aggiuntive.

Collegamenti correlati

• Abilita notifica di scadenza credenziali per OCI Identity and Access Management

• Abilita la rotazione automatica delle credenziali di Oracle Cloud Infrastructure Identity and Access Management

Conferme

• Autore - Bhanu Prakash Lohumi

Altre risorse di apprendimento

Esplora altri laboratori su docs.oracle.com/learn o accedi a più contenuti gratuiti sulla formazione su Oracle Learning YouTube channel. Inoltre, visita education.oracle.com/learning-explorer per diventare un Oracle Learning Explorer.

Per la documentazione del prodotto, visita l'Oracle Help Center.

---

Titolo e informazioni sul copyright

Automate OCI IAM Identity Domain Users Capability Management using Tags and OCI Functions

G24407-01

January 2025

Copyright ©2025,

Oracle e/o relative consociate.