Gerenciando Usuários do Oracle Cloud com Funções Específicas
Adicione usuários com permissões predefinidas para trabalhar com ambientes do Fusion Applications.
O administrador padrão da tenancy foi definido quando você criou sua conta na nuvem. O administrador padrão pode executar todas as tarefas de todos os serviços, incluindo exibir e gerenciar todas as assinaturas de aplicativos.
Este tópico explica como configurar usuários adicionais para trabalhar com seus ambientes do Fusion Applications na Console do Oracle Cloud. Esses usuários administradores adicionais geralmente têm funções mais específicas e; portanto, têm acesso e autoridade reduzidos em comparação com o usuário administrador padrão. Se você precisar adicionar usuários finais para trabalhar em seus aplicativos, consulte a documentação dos aplicativos, Oracle Fusion Cloud Applications Suite.
O gerenciamento de ambientes de aplicativos integra-se ao serviço Identity and Access Management Service (IAM) para autenticação e autorização. O IAM usa políticas para conceder permissões a grupos. Os usuários têm acesso a recursos (como ambientes de aplicativos) com base nos grupos aos quais pertencem. O administrador padrão pode criar grupos, políticas e usuários para conceder acesso aos recursos.
Este tópico fornece os procedimentos básicos para criar tipos de usuário específicos em sua conta para você começar a usar o gerenciamento de ambientes. Para obter detalhes completos sobre como usar o serviço IAM para gerenciar usuários na Console do Oracle Cloud, consulte Gerenciando Usuários.
Compreendendo a Diferença entre Funções de Usuário do Gerenciamento de Ambiente e Funções de Usuário do Aplicativo
As atribuições de usuário do ambiente descritas aqui têm acesso para gerenciar ou interagir com o ambiente de aplicativos. Dependendo do nível de permissões concedidas, eles podem acessar a conta do Oracle Cloud, navegar até a página de detalhes do ambiente e executar tarefas para gerenciar ou monitorar o ambiente. Essas atribuições incluem o Administrador de Ambientes do Fusion Applications, o Administrador de Segurança do Ambiente, o Gerente específico do Ambiente e o Monitor de Ambientes.
As atribuições de usuário do aplicativo têm acesso para acessar o aplicativo (por meio do URL do aplicativo) e administrar, desenvolver ou usar o aplicativo. Consulte a documentação de seus aplicativos para obter informações sobre como administrar esses usuários.
-
Para obter informações sobre como adicionar um Administrador do Fusion, consulte Para adicionar ou remover administradores do Fusion.
- Para obter informações sobre atribuições de aplicativos, consulte a documentação do aplicativo ou, para obter uma referência geral, consulte Atribuições Comuns para Todas as Ofertas.
Adicionando um Administrador da Tenancy
Este procedimento descreve como adicionar outro usuário ao grupo Administradores da tenancy. Os membros do grupo Administradores têm acesso a todos os recursos e serviços na Console do Oracle Cloud.
Este procedimento não fornece ao usuário acesso para acessar a console do serviço de aplicativo. Para adicionar usuários ao aplicativo, consulte a documentação do aplicativo.
Para adicionar um administrador:
- Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Domínios.
- Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Usuários.
- Selecione Criar usuário.
- Digite o Nome e o Sobrenome do usuário.
- Para que o usuário faça log-in com seu endereço de e-mail:
- Deixe a caixa de seleção Usar o endereço de e-mail como nome de usuário marcada.
- No campo Nome do Usuário/E-mail, informe o endereço de e-mail da conta do usuário.
ou
Para que o usuário faça log-in com seu nome de usuário:- Desmarque a caixa de seleção Usar o endereço de e-mail como nome de usuário.
- No campo Nome do Usuário, informe o nome que o usuário deverá utilizar para fazer log-in na Console.
- No campo E-mail, informe o endereço de e-mail da conta do usuário.
- Em Selecionar grupos aos quais designar este usuário, marque a caixa de seleção Administradores.
- Selecione Criar.
Um e-mail de boas-vindas é enviado ao endereço fornecido para o novo usuário. O novo usuário pode seguir as instruções de ativação de conta no e-mail para acessar e começar a usar a tenancy.
Usando Compartimentos para Agrupar Recursos para Atribuições
Compartimentos são um recurso de gerenciamento de acesso (IAM) que permite agrupar recursos de forma lógica, para que você possa controlar quem pode acessar os recursos especificando quem pode acessar o compartimento.
Por exemplo, para criar uma política de acesso restrito que permita o acesso apenas a um ambiente de teste específico e seus recursos relacionados, você pode colocar esses recursos em seus próprios compartimentos e, em seguida, criar a política que permite o acesso apenas aos recursos do compartimento. Para obter mais informações , consulte Escolhendo um Compartimento.
Adicionando um Usuário com Acesso Especificado para uma Atribuição
Para usuários que não devem ter acesso total de administrador, você pode criar um grupo que tenha acesso a ambientes de aplicativos específicos na Console do Oracle Cloud, mas que não possa executar outras tarefas administrativas na Console do Oracle Cloud.
Para conceder aos usuários permissões para exibir ambientes de aplicativos e assinaturas na Console do Oracle Cloud, você precisa:
- Localize o domínio de identidades.
- Criar um grupo.
- Criar uma política que conceda ao grupo acesso apropriado aos recursos.
- Criar um usuário e adicioná-lo ao grupo.
Os procedimentos a seguir orientam você na criação de um grupo, uma política e um usuário. O administrador padrão pode executar essas tarefas ou outro usuário que tenha recebido acesso para administrar recursos do IAM.
Domínio de identidades é um contêiner para gerenciar usuários e atribuições, federar e provisionar usuários, proteger a integração de aplicativos por meio da configuração do Oracle Single Sign-On (SSO) e administração de OAuth. Ao criar uma política, você deve identificar a qual domínio de identidades o grupo pertence.
Para localizar os domínios de identidades em sua tenancy:
Abra o menu de navegação, em Infraestrutura, selecione Identidade e Segurança para expandir o menu e, em Identidade, selecione Domínios.
Todas as tenancies incluem um domínio Padrão. Sua tenancy também pode incluir o domínio OracleIdentityCloudService, bem como outros domínios criados por sua organização.
- Na página inicial da Console do Oracle Cloud, em Ações rápidas, selecione Adicionar um usuário à sua tenancy. Essa ação leva você à lista de usuários no domínio atual.
- Na lista de recursos à esquerda, selecione Grupos.
- Selecione Criar grupo.
- Digite as seguintes informações:
- Nome: Um nome exclusivo para o grupo, por exemplo, "environment-viewers". O nome deve ser exclusivo entre todos os grupos da tenancy. Você não pode alterar isso posteriormente.
- Descrição: uma descrição amigável. Você poderá alterar essa opção posteriormente, se quiser.
- Opções avançadas: Se desejar, você poderá aplicar tags. Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deverá ter permissões para usar o namespace de tag. Para obter mais informações sobre tags, consulte Tags de Recurso. Se você não tiver certeza se deverá aplicar tags, ignore essa opção (você poderá aplicar tags posteriormente) ou pergunte ao seu administrador.
- Selecione Criar.
Antes de criar a política, você precisará saber os recursos aos quais deseja conceder acesso. O recurso (ou às vezes chamado de tipo de recurso) é a que a política concede acesso. Consulte Referência de Política para Atribuições para localizar a lista de instruções de política para a atribuição que você deseja criar.
- Navegue até a página Políticas:
- Se você ainda estiver na página Grupos da etapa anterior, selecione Domínios nos links de trilha de navegação na parte superior da página. Na página Domínios, selecione Políticas no lado esquerdo da página.
- Caso contrário, abra o menu de navegação, em Infraestrutura, selecione Identidade e Segurança para expandir o menu e, em Identidade, selecione Políticas. A lista de políticas é exibida.
- Selecione Criar Política.
- Digite as seguintes informações:
- Nome: Um nome exclusivo para a política. O nome deve ser exclusivo entre todas as políticas da tenancy. Você não pode alterar isso posteriormente.
- Descrição: uma descrição amigável. Você poderá alterar essa opção posteriormente, se quiser.
- Compartimento: Certifique-se de que a tenancy (compartimento raiz) esteja selecionada.
- No Policy Builder, ative Mostrar editor manual para exibir a caixa de texto para entrada de texto de formato livre.
- Informe as instruções apropriadas para os recursos aos quais você deseja conceder acesso. Consulte Referência de Política para Atribuições para obter as instruções que você pode copiar e colar para atribuições comuns.
Certifique-se de substituir '<identity-domain-name>'/'<your-group-name>' em cada uma das instruções pelo nome correto do domínio de identidades e do grupo criados na etapa anterior e quaisquer outras variáveis.
Por exemplo, suponha que você tenha um grupo chamado "FA-Admins" que você criou no domínio OracleIdentityCloudService. Você deseja que esse grupo tenha permissões de Administrador de Serviços do Fusion Applications.
- Vá para a Referência de Política para Atribuições na documentação (mostrada abaixo).
- Localize o Administrador de Serviços do Fusion Applications. Clique em Copiar para copiar as instruções de política.
- Vá para o Editor de Política, cole as instruções da documentação e, em seguida, atualize o valor de '<identity-domain-name>'/'<your-group-name>' em cada uma das instruções. Para este exemplo, a atualização seria 'OracleIdentityCloudService'/'FA-Admins'.
- Selecione Criar.
- Na home page da Console do Oracle Cloud, em Ações Rápidas, selecione Adicionar um usuário à sua tenancy.
- Selecione Criar Usuário.
- Digite o Nome e o Sobrenome do usuário.
- Para que o usuário faça log-in com seu endereço de e-mail:
- Deixe a caixa de seleção Usar o endereço de e-mail como nome de usuário marcada.
- No campo Nome do Usuário/E-mail, informe o endereço de e-mail da conta do usuário.
ou
Para que o usuário faça log-in com seu nome de usuário:- Desmarque a caixa de seleção Usar o endereço de e-mail como nome de usuário.
- No campo Nome do Usuário, informe o nome que o usuário deverá utilizar para fazer log-in na Console.
- No campo E-mail, informe o endereço de e-mail da conta do usuário.
- Para designar o usuário a um grupo, marque a caixa de seleção de cada grupo que você deseja designar à conta do usuário.
- Selecione Criar.
Referência de Política para Atribuições
Há determinadas atribuições comuns que você vai desejar configurar para seus usuários. Você pode criar políticas para conceder as permissões necessárias para funções específicas. Esta seção fornece exemplos de política para algumas funções comuns.
Os exemplos nesta seção mostram todas as instruções de política necessárias para as atribuições descritas. A tabela subsequente fornece os detalhes sobre a permissão concedida por cada instrução. Para criar um usuário com o acesso concedido por meio de políticas, você pode copiar e colar a política fornecida, substituindo o nome do grupo. Para obter detalhes, consulte a tarefa Criar Política acima. Se você não precisar de todas as instruções, por exemplo, seu aplicativo não está integrado ao Oracle Digital Assistant, poderá remover a instrução.
Siga as diretrizes aqui para configurar os seguintes tipos de atribuições:
O Administrador de Ambientes do Fusion Applications pode executar todas as tarefas necessárias para criar e gerenciar ambientes e famílias de ambientes do Fusion Applications em sua tenancy (conta). O Administrador de Ambientes do Fusion Applications também pode interagir com os aplicativos e serviços relacionados que suportam seus ambientes. Para executar totalmente essas tarefas, o Administrador de Ambientes do Fusion Applications exige permissões em vários serviços e recursos.
Ao criar essa política, você precisará saber:
- O nome do grupo.
- O nome do domínio de identidades no qual o grupo está localizado.
- O nome do compartimento no qual o ambiente e outros recursos estão localizados. Para obter informações sobre compartimentos, consulte Usando Compartimentos para Agrupar Recursos para Atribuições. Observe que você pode mover os recursos para o compartimento depois de criar a política, mas ele deve existir antes de você gravar a política.
Exemplo de política para copiar e colar:
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to use vcns in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read vaults in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read keys in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to use key-delegate in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read lockbox-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage oda-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage vbstudio-instances in tenancy
Define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
Endorse group '<identity-domain-name>'/'<your-group-name>' to read objects in tenancy usage-reportA tabela a seguir descreve a que cada instrução na política anterior concede acesso:
| Instrução de Política | Para que serve |
|---|---|
|
Concede permissões completas de gerenciamento para ambientes e famílias de ambientes do Fusion Applications. Inclui as atividades de criação, atualização e manutenção. |
|
Concede permissões para ler informações relacionadas a assinaturas para acessar suas assinaturas de aplicativos na Console. Obrigatório para exibir suas assinaturas; deve estar no nível da tenancy. |
|
Concede permissões para exibir as informações do aplicativo na home page Aplicativos. |
|
Concede acesso a gráficos de métricas e dados mostrados para seus recursos do FA. |
|
Concede acesso a anúncios de leitura. |
|
Concede acesso para adicionar ou editar regras de acesso à rede. |
|
Concede permissão para gerenciar o aplicativo integrado do Oracle Digital Assistant |
|
Concede permissão para gerenciar o aplicativo integrado do Visual Studio. |
|
Concede permissão para exibir relatórios mensais de métricas de uso. |
Depois que o Administrador do Ambiente do Fusion Applications cria os ambientes do Fusion Applications, o Administrador do Ambiente pode gerenciar um ambiente específico, mas não pode criar ou excluir o ambiente nem acessar outros ambientes. Por exemplo, você pode configurar um grupo chamado Prod-Admins que só pode acessar seu ambiente de produção e um grupo chamado Test-Admins que só pode acessar ambientes que não são de produção.
Tarefas que o Administrador de Ambientes pode executar:
- Atualizar pacotes de idioma, opções de manutenção do ambiente, regras de acesso à rede
- Monitorar métricas
- Atualizar ambientes (somente que não sejam de produção)
- Adicionar administradores de aplicativos
Tarefas que o Administrador de Ambientes não pode executar:
- Criar ambientes
- Excluir ambientes
- Acessar outros ambientes
Veja a seguir um exemplo de política que mostra todas as instruções de política necessárias para esta atribuição. A tabela subsequente fornece os detalhes sobre a permissão concedida por cada instrução. Para criar um usuário com esse conjunto de permissões, você pode copiar e colar essa política, substituindo o nome do grupo e o nome do compartimento. Para obter detalhes, consulte a tarefa Criar Política acima.
Ao criar essa política, você precisará saber:
- O nome do seu grupo
- O nome do domínio de identidades no qual o grupo está localizado.
- O nome do compartimento no qual o ambiente e outros recursos estão localizados. Para obter informações sobre compartimentos, consulte Usando Compartimentos para Agrupar Recursos para Atribuições. Observe que você pode mover os recursos para o compartimento depois de criar a política, mas ele deve existir antes de você gravar a política.
Exemplo de política para copiar e colar:
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-environment in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-scheduled-activity in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-refresh-activity in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-work-request in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-environment-group in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to use vcns in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage oda-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage vbstudio-instances in tenancy
Define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
Endorse group '<identity-domain-name>'/'<your-group-name>' to read objects in tenancy usage-reportA tabela a seguir descreve a que cada instrução na política anterior concede acesso:
| Instrução de Política | Para que serve |
|---|---|
|
Concede permissões para gerenciar ambientes do Fusion Applications no compartimento nomeado. |
|
Concede permissões para exibir a atividade de manutenção programada para ambientes no compartimento nomeado. |
|
Concede permissões para criar solicitações de atualização de ambientes no compartimento nomeado. Não aplicável a ambientes de produção. |
|
Concede permissões para exibir as solicitações de serviço para ambientes no compartimento nomeado. |
|
Concede permissões para exibir detalhes de todas as famílias de ambientes na tenancy. |
|
Concede permissões para ler informações relacionadas a assinaturas para acessar suas assinaturas de aplicativos na Console. Obrigatório para exibir suas assinaturas; deve estar no nível da tenancy. |
|
Concede permissões para exibir as informações do aplicativo na home page Aplicativos. |
|
Concede acesso a gráficos de métricas e dados mostrados para seus recursos do FA no compartimento nomeado. |
|
Concede acesso para adicionar ou editar regras de acesso à rede para vcns no compartimento nomeado. |
|
Concede acesso a anúncios de leitura. |
|
Concede permissão para gerenciar o aplicativo integrado do Oracle Digital Assistant no compartimento nomeado. |
|
Concede permissão para gerenciar o aplicativo integrado do Oracle Integration. Não será obrigatório se o seu ambiente não usar essa integração. |
|
Concede permissão para gerenciar o aplicativo integrado do Visual Studio no compartimento nomeado. |
|
Concede permissão para exibir relatórios mensais de métricas de uso. |
As políticas incluídas para essa atribuição permitem que os membros do grupo acessem somente leitura para exibir os detalhes e o status dos ambientes do Fusion Applications e dos aplicativos relacionados. O usuário somente para leitura do ambiente não pode fazer alterações.
Veja a seguir um exemplo de política que mostra todas as instruções de política necessárias para a atribuição. A tabela subsequente fornece os detalhes sobre a permissão concedida por cada instrução. Para criar um usuário com esse conjunto de permissões, você pode copiar e colar essa política, substituindo o nome do grupo. Para obter detalhes, consulte a tarefa Criar Política acima.
Ao criar essa política, você precisará saber:
- O nome do seu grupo
- O nome do domínio de identidades no qual o grupo está localizado.
- O nome do compartimento no qual o ambiente e outros recursos estão localizados. Para obter informações sobre compartimentos, consulte Usando Compartimentos para Agrupar Recursos para Atribuições. Observe que você pode mover os recursos para o compartimento depois de criar a política, mas ele deve existir antes de você gravar a política.
Exemplo de política para copiar e colar:
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read oda-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read vbstudio-instances in tenancy
Define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
Endorse group '<identity-domain-name>'/'<your-group-name>' to read objects in tenancy usage-reportA tabela a seguir descreve a que cada instrução na política anterior concede acesso:
| Instrução de Política | Para que serve |
|---|---|
|
Concede permissão para exibir todos os aspectos do ambiente e da família de ambientes do Fusion Applications. |
|
Concede permissões para ler informações relacionadas a assinaturas para acessar suas assinaturas de aplicativos na Console. Obrigatório para exibir suas assinaturas; deve estar no nível da tenancy. |
|
Concede permissões para exibir as informações do aplicativo na home page Aplicativos. |
|
Concede acesso para exibir gráficos de métricas e dados mostrados para seus recursos do FA. |
|
Concede acesso para exibir anúncios. |
|
Concede permissão para exibir o aplicativo integrado do Oracle Digital Assistant |
|
Concede permissão para exibir o aplicativo integrado do Visual Studio. |
|
Concede permissão para exibir relatórios mensais de métricas de uso. |
As políticas incluídas para esta atribuição permitem que os membros do grupo executem atualizações de ambiente em um compartimento especificado. Os membros do grupo também têm acesso somente leitura aos detalhes dos ambientes do Fusion Applications. Atualizar um ambiente é a única ação que esta função pode executar.
Veja a seguir um exemplo de política que mostra todas as instruções de política necessárias para a atribuição. A tabela subsequente fornece os detalhes sobre a permissão concedida por cada instrução. Para criar um usuário com esse conjunto de permissões, você pode copiar e colar essa política, substituindo o nome do grupo. Para obter detalhes, consulte a tarefa Criar Política acima.
Ao criar essa política, você precisará saber:
- O nome do seu grupo.
- O nome do domínio de identidades no qual o grupo está localizado.
- O nome do compartimento no qual o ambiente está localizado.
Exemplo de política para copiar e colar:
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read oda-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read vbstudio-instances in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-refresh-activity in compartment <your-compartment-name>A tabela a seguir descreve a que cada instrução na política anterior concede acesso:
| Instrução de Política | Para que serve |
|---|---|
|
Concede permissão para exibir todos os aspectos do ambiente e da família de ambientes do Fusion Applications. |
|
Concede permissões para ler informações relacionadas a assinaturas para acessar suas assinaturas de aplicativos na Console. Obrigatório para exibir suas assinaturas; deve estar no nível da tenancy. |
|
Concede permissões para exibir as informações do aplicativo na home page Aplicativos. |
|
Concede acesso para exibir gráficos de métricas e dados mostrados para seus recursos do FA. |
|
Concede acesso para exibir anúncios. |
|
Concede permissão para exibir o aplicativo integrado do Oracle Digital Assistant |
|
Concede permissão para exibir o aplicativo integrado do Visual Studio. |
|
Concede permissão para executar uma atualização em ambientes do Fusion Applications localizados no compartimento especificado. |
O Administrador de Segurança do Ambiente gerencia recursos de segurança para ambientes do Fusion Applications. Os recursos de segurança incluem chaves gerenciadas pelo cliente e o Oracle Managed Access (também conhecido como break glass). Você deve ter adquirido assinaturas desses recursos para que eles sejam ativados em seus ambientes. Para obter mais informações, consulte Chaves Gerenciadas pelo Cliente para o Oracle Break Glass e Suporte a Break Glass para Ambientes.
Tarefas que o Administrador de Segurança de Ambiente pode executar:
- Cria vaults e chaves no serviço Vault
- Rotaciona chaves
- Verifica a rotação de chaves para um ambiente do Fusion Applications
- Desativa e ativa chaves
Veja a seguir um exemplo de política que mostra todas as instruções de política necessárias para esta atribuição. A tabela subsequente fornece os detalhes sobre a permissão concedida por cada instrução. Para criar um usuário com esse conjunto de permissões, você pode copiar e colar essa política, substituindo o nome do grupo e o nome do compartimento. Para obter detalhes, consulte a tarefa Criar Política acima.
Ao criar essa política, você precisará saber:
- O nome do grupo
- O nome do domínio de identidades no qual o grupo está localizado.
- O nome do compartimento no qual o ambiente e outros recursos estão localizados. Para obter informações sobre compartimentos, consulte Usando Compartimentos para Agrupar Recursos para Atribuições. Observe que você pode mover os recursos para o compartimento depois de criar a política, mas ele deve existir antes de você gravar a política.
Exemplo de política para copiar e colar:
Allow group '<identity-domain-name>'/'<your-group-name>' to manage vaults in tenancy where request.permission not in ('VAULT_DELETE', 'VAULT_MOVE')
Allow group '<identity-domain-name>'/'<your-group-name>' to manage keys in tenancy where request.permission not in ('KEY_DELETE', 'KEY_MOVE')
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-environment-group in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-environment in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage lockbox-family in tenancy
A tabela a seguir descreve a que cada instrução na política anterior concede acesso:
| Instrução de Política | Para que serve |
|---|---|
|
Concede permissões para criar e gerenciar vaults na tenancy, mas não permite a capacidade de excluir um vault ou mover um vault para outro compartimento. |
|
Concede permissões para criar e gerenciar chaves para ambientes na tenancy, mas não permite a capacidade de excluir uma chave ou mover uma chave para outro compartimento. |
|
Concede permissões para ler os detalhes de um grupo de ambientes do Fusion Applications. |
|
Concede permissões para ler os detalhes de um ambiente do Fusion Applications. |
Excluindo um Usuário
Excluir um usuário quando ele sair da empresa. Para obter mais detalhes sobre o gerenciamento de usuários em um domínio de identidades, consulte Ciclo de Vida para Gerenciar Usuários.
- Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Domínios.
- Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Usuários.
- Marque a caixa de seleção ao lado de cada conta de usuário que deseja excluir.
- Selecione Mais ações e, em seguida, Excluir.
- Na caixa de diálogo Excluir usuário, clique em Excluir usuário. Se o usuário ainda for membro de um grupo, você verá uma mensagem de aviso. Para confirmar a exclusão, selecione Sim.
Removendo um Usuário de um Grupo
Remova um usuário de um grupo quando ele não precisar mais acessar os recursos aos quais o grupo concede acesso.
- Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Domínios.
- Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Usuários.
- Selecione a conta de usuário que você deseja modificar.
- Selecione Grupos.
- Marque a caixa de seleção de cada grupo que você deseja remover da conta de usuário.
- Selecione Remover usuário do grupo.
- Confirme sua seleção.