Documentação do Oracle Cloud Infrastructure

Instâncias do Identity Cloud Service para problemas conhecidos do IAM

Problemas conhecidos da migração de instâncias do Identity Cloud Service para o OCI IAM.

Valores de Atributo Inesperados Após Conversão

Depois que as instâncias do Identity Cloud Service forem convertidas em domínios de identidades no OCI IAM, você poderá encontrar alguns atributos para alguns objetos no domínio de identidades padrão com um resultado inesperado. Você não verá nada diferente no console, mas se estiver usando scripts e APIs, essas alterações poderão afetar os resultados.

Os atributos afetados são:

  • meta.lastModified
  • meta.version (etag)
  • idcsLastModifiedBy

As alterações se aplicam aos seguintes objetos quando eles foram atualizados dentro de aproximadamente 3 semanas antes de as instâncias serem convertidas:

  • Usuários
  • Grupos
  • Aplicativos
  • Algumas credenciais (MFA TOTP)
  • Senha do usuário createdOn

Aqui estão detalhes das alterações de atributo.

Quando o recurso é criado pela primeira vez como parte da migração:

  • meta.lastModified, meta.created é definido como a data/hora original quando o recurso é criado no serviço IAM.
  • meta.version (etag) é o conjunto de etags original quando o recurso foi criado no serviço IAM.
  • idcsLastModifiedBy, idcsCreatedBy é definido como o principal original que criou o recurso no serviço IAM.

Se o recurso for atualizado antes da conclusão da migração:

  • meta.lastModified é definido como a data e hora em que o recurso é atualizado no Identity Cloud Service.
  • meta.version (etag) é definido com base na data e hora em que o recurso é atualizado no Identity Cloud Service.
  • idcsLastModifiedBy é definido como o Controlador de Serviços de Identidade que atualizou o recurso no Identity Cloud Service.

Não é necessário fazer nada. Esses atributos são definidos corretamente na próxima vez que o objeto for modificado.

O usuário em uma faixa pode ver dados de auditoria para outras faixas

Nas instâncias do Identity Cloud Service, um usuário em um segmento autorizado a ver AuditEvents só pode vê-los desse segmento. A migração para o OCI IAM cria um recurso de domínio para cada segmento no compartimento padrão da tenancy correspondente do OCI e, como a autorização para ver AuditEvents se baseia em compartimentos, o usuário pode ver AuditEvents de cada segmento no mesmo compartimento.

Você pode preservar o comportamento de que um usuário em um segmento só pode ver AuditEvents nesse segmento criando um compartimento para cada segmento e, em seguida, movendo o recurso de domínio que representa o segmento para seu próprio compartimento.

O administrador da tenancy do OCI tem a visibilidade e os direitos apropriados para ver todos os recursos do domínio de identidades para fazer isso.

  • A movimentação de um recurso de domínio para um compartimento move todos os usuários desse domínio para esse novo compartimento e, implicitamente, dá a eles acesso a recursos desse compartimento.
  • A movimentação de um recurso de domínio para um compartimento também torna todos os eventos auditáveis que o domínio emite na Auditoria do OCI V2 específica desse compartimento.
  • Somente um usuário com acesso a esse compartimento pode ver os eventos auditáveis emitidos por um domínio nesse compartimento.