Nota:
- Questa esercitazione richiede l'accesso a Oracle Cloud. Per iscriversi a un account gratuito, vedere Inizia a utilizzare Oracle Cloud Infrastructure Free Tier.
- Utilizza valori di esempio per le credenziali, la tenancy e i compartimenti Oracle Cloud Infrastructure. Al termine del laboratorio, sostituire questi valori con quelli specifici del tuo ambiente cloud.
Gestione di identità e accessi
Introduzione
Oracle Cloud Infrastructure Identity and Access Management (IAM) Service consente di controllare l'accesso alle risorse cloud. È possibile controllare i tipi di accesso di un gruppo di utenti e a quali risorse specifiche. Lo scopo di questo laboratorio è fornire una panoramica dei componenti del servizio IAM e uno scenario di esempio per aiutarti a capire il funzionamento congiunto.
C'è una registrazione dell'istruttore che passa attraverso questo laboratorio qui:
Video per Lab100 01 Identity Access and Management
Prerequisiti
- Credenziali account Oracle Cloud Infrastructure (utente, password e tenant)
- Per accedere alla console, è necessario quanto segue:
- Tenant, nome utente e password
- URL della console: https://oracle.com
- Oracle Cloud Infrastructure supporta le versioni più recenti di Google Chrome, Firefox e Internet Explorer 11
Connettersi alla console
In questo passo, accedi alla console di Oracle Cloud Infrastructure utilizzando le tue credenziali.
-
Vai a cloud.oracle.com.
-
Fare clic su Accedi al cloud.
-
Immettere il nome account cloud e fare clic su Avanti. Questo è il nome scelto durante la creazione dell'account nella sezione precedente. NON è il tuo indirizzo email. Se hai dimenticato il nome, controlla l'email di conferma.
-
Aprire un browser supportato e andare all'URL della console: https://oracle.com.
-
Fare clic sull'icona del ritratto nella sezione superiore destra della finestra del browser, quindi fare clic sul collegamento Collega al cloud.
-
Immettere il nome della tenancy (immettere il nome account e non il nome utente), quindi fare clic sul pulsante Avanti.
-
Oracle Cloud Infrastructure è integrato con Identity Cloud Services: scoprirai una schermata per convalidare il tuo provider di identità. Immettere il nome utente e la password personali. Fare clic su Accedi.
-
Quando ci si collega alla console, viene visualizzato il dashboard Oracle Cloud.
Crea compartimenti
Un compartimento è una raccolta di asset cloud, ad esempio istanze di computazione, load balancer, database e così via. Per impostazione predefinita, è stato creato automaticamente un compartimento radice quando hai creato la tua tenancy, vale a dire quando hai registrato per l'account di prova. È possibile creare tutto nel compartimento radice, ma Oracle consiglia di creare compartimenti secondari per migliorare l'efficienza della gestione delle risorse.
-
Nel menu selezionare Identità e Compartimenti. Fare clic sul pulsante blu Crea compartimento per creare un sottocomparto.
-
Assegnare un nome al compartimento Demo e fornire una breve descrizione. Assicurarsi che il compartimento radice sia visualizzato come compartimento padre. Al termine, fare clic sul pulsante blu Crea compartimento.
-
Hai appena creato un compartimento demo per tutto il tuo lavoro.
Gestire gli utenti, i gruppi e i criteri per controllare l'accesso
Le autorizzazioni di un utente per accedere ai servizi provengono dai gruppi a cui appartengono. Le autorizzazioni per un gruppo sono definite dai criteri. I criteri definiscono le azioni che i membri di un gruppo possono eseguire e in quali compartimenti. Gli utenti possono accedere ai servizi ed eseguire operazioni in base ai criteri impostati per i gruppi di cui sono membri.
Verrà creato un utente, un gruppo e un criterio di sicurezza per comprendere il concetto.
-
Accedere alla console, nel menu fare clic su Identità, quindi selezionare Gruppi.
-
Fare clic su Crea gruppo.
-
Nella finestra di dialogo Crea gruppo immettere quanto segue.
- Nome: immettere un nome univoco per il gruppo, ad esempio "oci-group" Tenere presente che il nome del gruppo non può contenere spazi.
- Descrizione: immettere una descrizione, ad esempio "Nuovo gruppo per gli utenti OCI".
- Fare clic su Crea.
-
Fare clic sul nuovo gruppo per visualizzarlo. Viene visualizzato il nuovo gruppo.
-
Creare un criterio di sicurezza che consenta alle autorizzazioni di gruppo nel compartimento assegnato. Ad esempio, creare un criterio che consenta l'autorizzazione per compartimento Demo ai membri o al gruppo oci-group:
-
In Menu fare clic su Identità, quindi su Criteri.
-
Sul lato sinistro, selezionare il compartimento Demo.
Nota: potrebbe essere necessario fare clic sul segno + accanto al nome del compartimento principale per visualizzare il sottocompartimento Demo. Aggiornare il browser se ancora non viene visualizzato il sottocompartimento. A volte il browser inserisce nella cache le informazioni sul compartimento e non aggiorna la cache interna.
-
Dopo aver selezionato il compartimento Demo, fare clic su Crea criterio.
-
Immettere un Nome univoco per il criterio (ad esempio, "Policy-for-oci-group") Nota che il nome non può contenere spazi.
-
Immettere una descrizione, ad esempio "Criterio per gruppo OCI".
-
Immettere la istruzione seguente:
Allow group oci-group to manage all-resources in compartment Demo
-
Fare clic su Crea.
-
-
Creare un nuovo utente.
-
Nel Menu fare clic su Identità, quindi fare clic su Utenti.
-
Fare clic su Crea utente.
-
Nella finestra di dialogo Nuovo utente immettere quanto riportato di seguito.
- Nome: immettere un nome univoco o un indirizzo di posta elettronica per il nuovo utente. Questo valore corrisponde al nome di login dell'utente per la console ed è necessario che sia univoco per tutti gli altri utenti della tenancy.
- Descrizione: immettere una descrizione. Ad esempio, Nuovo utente oci.
- E-mail: è possibile utilizzare un indirizzo e-mail personale a cui si ha accesso (GMail, Yahoo e così via).
-
Fare clic su Crea.
-
-
Impostare una password temporanea per l'utente appena creato.
-
Dall'elenco di utenti, fare clic su l'utente creato per visualizzarne i dettagli.
-
Fare clic su Create/Reset Password.
-
Nella finestra di dialogo, fare clic su Crea/Reimposta password.
-
Viene visualizzata la nuova password monouso.
-
Fare clic sul collegamento Copia, quindi su Chiudi. Assicurarsi di copiare questa password nel blocco informazioni.
-
Fare clic su Disconnetti dal menu utente e disconnettersi completamente dall'account utente amministratore.
-
-
Accedere come nuovo utente utilizzando un browser Web diverso o una finestra incognito.
-
Aprire un browser supportato e andare all'URL della console: https://oracle.com.
-
Fare clic sull'icona del ritratto nella sezione superiore destra della finestra del browser, quindi fare clic sul collegamento Collega al cloud.
-
Immettere il nome della tenancy (utilizzare il nome account e non il nome utente), quindi fare clic sul pulsante Avanti.
-
Questa volta si accede utilizzando la casella delle credenziali locali con l'utente creato. Tenere presente che l'utente creato non fa parte di Identity Cloud Services.
-
Immettere la password copiata.
Nota: poiché si tratta della prima volta che si esegue l'accesso come utente, verrà richiesto di modificare la password temporanea come mostrato nell'acquisizione dello schermo.
-
Impostare la nuova password su Welc0me2*bmcs. Fare clic su Save New Password.
-
-
Verificare le autorizzazioni dell'utente.
-
Andare al Menu, fare clic su Computazione, quindi su Istanze.
-
Provare a selezionare qualsiasi compartimento dal menu a sinistra.
-
Viene visualizzato il messaggio "Non si dispone dell'autorizzazione per visualizzare queste risorse". Questo comportamento è normale in quanto non è stato aggiunto l'utente al gruppo al quale è stato associato il criterio.
-
Disconnettersi dalla console.
-
-
Aggiungere l'utente a un gruppo.
-
Accedere con l'account admin.
-
Nell'elenco Utenti fare clic sull'account utente appena creato, ad esempio
user01
, per andare alla pagina dei dettagli utente. -
Nel menu Risorse a sinistra fare clic su Gruppi.
-
Fare clic su Aggiungi utente a gruppo.
-
Nell'elenco a discesa Gruppi selezionare il gruppo di associazioni creato.
-
Fare clic su Aggiungi.
-
Uscire dal sito Web di Oracle Cloud.
-
-
Verificare le autorizzazioni utente quando un utente appartiene a un gruppo specifico.
-
Accedere con l'account user01 locale creato. Ricordarsi di utilizzare la password più recente assegnata a questo utente (Welc0me2*bmcs).
-
Andare al Menu, fare clic su Computazione, quindi su Istanze.
-
Selezionare il compartimento Demo dalla lista dei compartimenti a sinistra.
-
Non esistono messaggi correlati alle autorizzazioni e si è autorizzati a creare nuove istanze.
-
Andare a Menu, fare clic su Identità e selezionare Gruppi.
-
Viene visualizzato il messaggio "Autorizzazione non riuscita o risorsa richiesta non trovata". Ciò è previsto poiché l'utente non dispone dell'autorizzazione per modificare i gruppi. Nota: è invece possibile ottenere il messaggio "Si è verificato un errore imprevisto". Anche questo va bene.
-
Scollegarsi.
-
Riconoscimenti
-
Authors - Flavio Pereira, Larry Beausoleil
-
Contributori: Arabella Yao, Product Manager Intern, DB Product Management
Altre risorse di apprendimento
Esplora altri laboratori su docs.oracle.com/learn o accedi a più contenuti di apprendimento gratuito sul canale Oracle Learning YouTube. Inoltre, visitare education.oracle.com/learning-explorer per diventare Oracle Learning Explorer.
Per la documentazione del prodotto, visitare il sito Oracle Help Center.
Identity and Access Management
F51412-01
December 2021
Copyright © 2021, Oracle and/or its affiliates.