Gerenciando Usuários do Oracle Cloud com Funções Específicas
Adicione usuários com permissões predefinidas para trabalhar com ambientes do Fusion Applications.
O administrador padrão da tenancy foi definido quando você criou sua conta na nuvem. O administrador padrão pode executar todas as tarefas de todos os serviços, incluindo exibir e gerenciar todas as assinaturas de aplicativos.
Este tópico explica como configurar usuários adicionais para trabalhar com seus ambientes do Fusion Applications na Console do Oracle Cloud. Esses usuários administradores adicionais geralmente têm funções mais específicas e; portanto, têm acesso e autoridade reduzidos em comparação com o usuário administrador padrão. Se você precisar adicionar usuários finais para trabalhar em seus aplicativos, consulte a documentação dos aplicativos, Oracle Fusion Cloud Applications Suite.
O gerenciamento de ambientes de aplicativos integra-se ao serviço Identity and Access Management Service (IAM) para autenticação e autorização. O IAM usa políticas para conceder permissões a grupos. Os usuários têm acesso a recursos (como ambientes de aplicativos) com base nos grupos aos quais pertencem. O administrador padrão pode criar grupos, políticas e usuários para conceder acesso aos recursos.
Este tópico fornece os procedimentos básicos para criar tipos de usuário específicos em sua conta para você começar a usar o gerenciamento de ambientes. Para obter detalhes completos sobre como usar o serviço IAM para gerenciar usuários na Console do Oracle Cloud, consulte Gerenciando Usuários.
Compreendendo a Diferença entre Funções de Usuário do Gerenciamento de Ambiente e Funções de Usuário do Aplicativo
As atribuições de usuário do ambiente descritas aqui têm acesso para gerenciar ou interagir com o ambiente de aplicativos. Dependendo do nível de permissões concedidas, eles podem acessar a conta do Oracle Cloud, navegar até a página de detalhes do ambiente e executar tarefas para gerenciar ou monitorar o ambiente. Essas atribuições incluem o Administrador de Ambientes do Fusion Applications, o Administrador de Segurança do Ambiente, o Gerente específico do Ambiente e o Monitor de Ambientes.
As atribuições de usuário do aplicativo têm acesso para acessar o aplicativo (por meio do URL do aplicativo) e administrar, desenvolver ou usar o aplicativo. Consulte a documentação de seus aplicativos para obter informações sobre como administrar esses usuários.
-
Para obter informações sobre como adicionar um Administrador do Fusion, consulte Para adicionar ou remover administradores do Fusion.
- Para obter informações sobre atribuições de aplicativos, consulte a documentação do aplicativo ou, para obter uma referência geral, consulte Atribuições Comuns para Todas as Ofertas.
Adicionando um Administrador da Tenancy
Este procedimento descreve como adicionar outro usuário ao grupo Administradores da tenancy. Os membros do grupo Administradores têm acesso a todos os recursos e serviços na Console do Oracle Cloud.
Este procedimento não permite que o usuário acesse o console de serviço do aplicativo. Para adicionar usuários ao aplicativo, consulte a documentação do aplicativo.
Para adicionar um administrador:
- Abra o menu de navegação e, em Infraestrutura, selecione Identidade e Segurança. Em Identidade, selecione Domínios.
- Selecione um domínio e depois Gerenciamento de usuários.
- Em Usuários, selecione Criar.
- Informe o primeiro e o sobrenome do usuário.
- Para que o usuário se conecte com seu endereço de e-mail:
- Deixe o botão Usar o endereço de e-mail como o nome de usuário selecionado.
- No campo Nome de Usuário/E-mail, informe o endereço de e-mail da conta de usuário.
- Para que o usuário acesse o sistema com o nome de usuário:
- Desmarque a opção Usar o endereço de e-mail como o nome de usuário.
- No campo Nome do Usuário, informe o nome do usuário que o usuário utilizará para acessar a Console.
- No campo E-mail, informe o endereço de e-mail da conta de usuário.
- Em Grupos, marque a caixa de seleção Administradores.
- (Opcional) Na seção Tags, adicione uma ou mais tags ao usuário.
Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deve ter permissões para usar o namespace da tag. Para obter mais informações sobre tags, consulte Tags de Recurso. Se você não tiver certeza se deseja aplicar tags, ignore essa opção ou pergunte a um administrador. Você pode aplicar as tags posteriormente.
- Selecione Criar.
Um e-mail de boas-vindas é enviado ao endereço fornecido para o novo usuário. O novo usuário pode seguir as instruções de ativação de conta no e-mail para acessar e começar a usar a tenancy.
Usando Compartimentos para Agrupar Recursos para Atribuições
Compartimentos são um recurso de gerenciamento de acesso (IAM) que permite agrupar recursos de forma lógica, para que você possa controlar quem pode acessar os recursos especificando quem pode acessar o compartimento.
Por exemplo, para criar uma política de acesso restrito que permita o acesso apenas a um ambiente de teste específico e seus recursos relacionados, você pode colocar esses recursos em seus próprios compartimentos e, em seguida, criar a política que permite o acesso apenas aos recursos do compartimento. Para obter mais informações , consulte Escolhendo um Compartimento.
Adicionando um Usuário com Acesso Especificado para uma Atribuição
Para usuários que não devem ter acesso total de administrador, você pode criar um grupo que tenha acesso a ambientes de aplicativos específicos na Console do Oracle Cloud, mas que não possa executar outras tarefas administrativas na Console do Oracle Cloud.
Para conceder aos usuários permissões para exibir ambientes de aplicativos e assinaturas na Console do Oracle Cloud, você precisa:
- Localize o domínio de identidades.
- Criar um grupo.
- Criar uma política que conceda ao grupo acesso apropriado aos recursos.
- Criar um usuário e adicioná-lo ao grupo.
Os procedimentos a seguir orientam você na criação de um grupo, uma política e um usuário. O administrador padrão pode executar essas tarefas ou outro usuário que tenha recebido acesso para administrar recursos do IAM.
Domínio de identidades é um contêiner para gerenciar usuários e atribuições, federar e provisionar usuários, proteger a integração de aplicativos por meio da configuração do Oracle Single Sign-On (SSO) e administração de OAuth. Ao criar uma política, você deve identificar a qual domínio de identidades o grupo pertence.
Para localizar os domínios de identidades em sua tenancy:
Abra o menu de navegação e, em Infraestrutura, selecione Identidade e Segurança. Em Identidade, selecione Domínios.
A página da lista Domínios é aberta. Todas as tenancies incluem um domínio Padrão. Sua tenancy também pode incluir o domínio OracleIdentityCloudService, bem como outros domínios criados pela sua organização.
Para criar um grupo, inicie na página da lista Domínios.
- Abra o menu de navegação e, em Infraestrutura, selecione Identidade e Segurança. Em Identidade, selecione Domínios.
- Na página da lista Domínios, selecione o domínio ao qual deseja adicionar o grupo e, em seguida, selecione Gerenciamento de usuários.
Ou, na home page da Console do Oracle Cloud, em Ações rápidas, selecione Adicionar um usuário à sua tenancy.
- Agora você pode criar um grupo. Consulte Criando um Grupo para obter etapas detalhadas.
Antes de criar a política, você precisa saber os recursos aos qual deseja conceder acesso. O recurso (ou às vezes chamado resource-type) é o que a política concede acesso. Consulte Referência de Política para Atribuições para localizar a lista de instruções de política para a atribuição que você deseja criar.
- Se você ainda estiver na página Domínios da tarefa anterior, conforme descrito em Criando um Grupo, selecione Políticas no lado esquerdo da página.
Ou:
Abra o menu de navegação e, em Infraestrutura, selecione Identidade e Segurança. Em Identity, selecione Policies.
A lista de políticas é exibida.
- Selecione Criar Política.
- Digite as seguintes informações:
- Nome: Um nome exclusivo para a política. O nome deve ser exclusivo entre todas as políticas da tenancy. Não é possível alterar essa opção posteriormente. Evite digitar informações confidenciais.
- Descrição: uma descrição amigável. Você poderá alterar essa opção posteriormente, se quiser. Evite digitar informações confidenciais.
- Compartimento: Certifique-se de que a tenancy (compartimento raiz) esteja selecionada.
- Na seção Construtor de Políticas, selecione Mostrar editor manual para exibir a caixa do texto para entrada do texto de formato livre.
- Informe as instruções apropriadas para os recursos aos quais você deseja conceder acesso. Consulte Referência de Política para Atribuições para obter as instruções que você pode copiar e colar para atribuições comuns.
Certifique-se de substituir '<identity-domain-name>'/'<your-group-name>' em cada uma das instruções pelo nome correto do domínio de identidades e do grupo criados na etapa anterior e quaisquer outras variáveis.
Por exemplo, suponha que você tenha um grupo chamado "FA-Admins" que você criou no domínio OracleIdentityCloudService. Você deseja que esse grupo tenha permissões de Administrador de Serviços do Fusion Applications.
- Vá até Referência de Política para Atribuições de Cargo na documentação.
- Localize o Administrador de Serviços do Fusion Applications. Selecione Copiar para copiar as instruções de política.
- Vá para o Editor de Políticas, cole as instruções da documentação e atualize o valor de '<identity-domain-name>'/'<your-group-name>' em cada uma das instruções. Para este exemplo, a atualização seria 'OracleIdentityCloudService'/'FA-Admins'.
- Selecione Criar.
- Na home page da Console do Oracle Cloud, em Ações rápidas, selecione Adicionar um usuário à sua tenancy.
Uma lista de usuários no domínio atual é exibida.
- Selecione Criar.
- Digite o nome e o sobrenome do usuário.
- Para que o usuário se conecte com seu endereço de e-mail:
- Deixe o botão Usar o endereço de e-mail como o nome de usuário selecionado.
- No campo Nome de Usuário/E-mail, informe o endereço de e-mail da conta de usuário.
- Para que o usuário acesse o sistema com o nome de usuário:
- Desmarque a opção Usar o endereço de e-mail como o nome de usuário.
- No campo Nome do Usuário, informe o nome do usuário que o usuário usará para acessar a Console.
- No campo E-mail, informe o endereço de e-mail da conta de usuário.
- Em Grupos, marque a caixa de seleção de cada grupo que você deseja designar à conta de usuário.
- (Opcional) Na seção Tags, adicione uma ou mais tags ao usuário.
Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deve ter permissões para usar o namespace da tag. Para obter mais informações sobre tags, consulte Tags de Recurso. Se você não tiver certeza se deseja aplicar tags, ignore essa opção ou pergunte a um administrador. Você pode aplicar as tags posteriormente.
- Selecione Criar.
Referência de Política para Atribuições
Há determinadas atribuições comuns que você vai desejar configurar para seus usuários. Você pode criar políticas para conceder as permissões necessárias para funções específicas. Esta seção fornece exemplos de política para algumas funções comuns.
Os exemplos nesta seção mostram todas as instruções de política necessárias para as atribuições descritas. A tabela subsequente fornece os detalhes sobre a permissão concedida por cada instrução. Para criar um usuário com o acesso concedido por meio de políticas, você pode copiar e colar a política fornecida, substituindo o nome do grupo. Para obter detalhes, consulte a tarefa Criar Política. Caso você não precise de todas as instruções, por exemplo, seu aplicativo não se integra ao Oracle Digital Assistant, poderá removê-lo.
Siga as diretrizes aqui para configurar os seguintes tipos de atribuições:
O Administrador de Ambientes do Fusion Applications pode executar todas as tarefas necessárias para criar e gerenciar ambientes e famílias de ambientes do Fusion Applications em sua tenancy (conta). O Administrador de Ambientes do Fusion Applications também pode interagir com os aplicativos e serviços relacionados que suportam seus ambientes. Para executar totalmente essas tarefas, o Administrador de Ambientes do Fusion Applications exige permissões em vários serviços e recursos.
Ao criar essa política, você precisa saber:
- O nome do grupo.
- O nome do domínio de identidades no qual o grupo está localizado.
- O nome do compartimento no qual o ambiente e outros recursos estão localizados. Para obter informações sobre compartimentos, consulte Usando Compartimentos para Agrupar Recursos para Atribuições. Observe que você pode mover os recursos para o compartimento depois de criar a política, mas ele deve existir antes de você gravar a política.
Exemplo de política para copiar e colar:
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to use vcns in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read vaults in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read keys in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to use key-delegate in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read lockbox-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage oda-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage vbstudio-instances in tenancy
Define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
Endorse group '<identity-domain-name>'/'<your-group-name>' to read objects in tenancy usage-reportA tabela a seguir descreve a que cada instrução na política anterior concede acesso:
| Instrução de Política | Para que serve |
|---|---|
|
Concede permissões completas de gerenciamento para ambientes e famílias de ambientes do Fusion Applications. Inclui as atividades de criação, atualização e manutenção. |
|
Concede permissões para ler informações relacionadas a assinaturas para acessar suas assinaturas de aplicativos na Console. Obrigatório para exibir suas assinaturas; deve estar no nível da tenancy. |
|
Concede permissões para exibir as informações do aplicativo na home page Aplicativos. |
|
Concede acesso a gráficos de métricas e dados mostrados para seus recursos do FA. |
|
Concede acesso a anúncios de leitura. |
|
Concede acesso para adicionar ou editar regras de acesso à rede. |
|
Concede permissão para gerenciar o aplicativo integrado do Oracle Digital Assistant |
|
Concede permissão para gerenciar o aplicativo integrado do Visual Studio. |
|
Concede permissão para exibir relatórios mensais de métricas de uso. |
Depois que o Administrador do Ambiente do Fusion Applications cria os ambientes do Fusion Applications, o Administrador do Ambiente pode gerenciar um ambiente específico, mas não pode criar ou excluir o ambiente nem acessar outros ambientes. Por exemplo, você pode configurar um grupo chamado Prod-Admins que só pode acessar seu ambiente de produção e um grupo chamado Test-Admins que só pode acessar ambientes que não são de produção.
Tarefas que o Administrador de Ambientes pode executar:
- Atualizar pacotes de idioma, opções de manutenção do ambiente, regras de acesso à rede
- Monitorar métricas
- Atualizar ambientes (somente que não sejam de produção)
- Adicionar administradores de aplicativos
Tarefas que o Administrador de Ambientes não pode executar:
- Criar ambientes
- Excluir ambientes
- Acessar outros ambientes
Veja a seguir um exemplo de política que mostra todas as instruções de política necessárias para esta atribuição. A tabela subsequente fornece os detalhes sobre a permissão concedida por cada instrução. Para criar um usuário com este conjunto de permissões, você pode copiar e colar esta política, substituindo seu nome de grupo e o nome de seu compartimento. Para obter detalhes, consulte a tarefa Criar Política.
Ao criar essa política, você precisa saber:
- O nome do grupo
- O nome do domínio de identidades no qual o grupo está localizado.
- O nome do compartimento no qual o ambiente e outros recursos estão localizados. Para obter informações sobre compartimentos, consulte Usando Compartimentos para Agrupar Recursos para Atribuições. Observe que você pode mover os recursos para o compartimento depois de criar a política, mas ele deve existir antes de você gravar a política.
Exemplo de política para copiar e colar:
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-environment in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-scheduled-activity in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-refresh-activity in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-work-request in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-environment-group in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to use vcns in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage oda-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage vbstudio-instances in tenancy
Define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
Endorse group '<identity-domain-name>'/'<your-group-name>' to read objects in tenancy usage-reportA tabela a seguir descreve a que cada instrução na política anterior concede acesso:
| Instrução de Política | Para que serve |
|---|---|
|
Concede permissões para gerenciar ambientes do Fusion Applications no compartimento nomeado. |
|
Concede permissões para exibir a atividade de manutenção programada para ambientes no compartimento nomeado. |
|
Concede permissões para criar solicitações de atualização de ambientes no compartimento nomeado. Não aplicável a ambientes de produção. |
|
Concede permissões para exibir as solicitações de serviço para ambientes no compartimento nomeado. |
|
Concede permissões para exibir detalhes de todas as famílias de ambientes na tenancy. |
|
Concede permissões para ler informações relacionadas a assinaturas para acessar suas assinaturas de aplicativos na Console. Obrigatório para exibir suas assinaturas; deve estar no nível da tenancy. |
|
Concede permissões para exibir as informações do aplicativo na home page Aplicativos. |
|
Concede acesso a gráficos de métricas e dados mostrados para seus recursos do FA no compartimento nomeado. |
|
Concede acesso para adicionar ou editar regras de acesso à rede para vcns no compartimento nomeado. |
|
Concede acesso a anúncios de leitura. |
|
Concede permissão para gerenciar o aplicativo integrado do Oracle Digital Assistant no compartimento nomeado. |
|
Concede permissão para gerenciar o aplicativo integrado do Oracle Integration. Não será obrigatório se o seu ambiente não usar essa integração. |
|
Concede permissão para gerenciar o aplicativo integrado do Visual Studio no compartimento nomeado. |
|
Concede permissão para exibir relatórios mensais de métricas de uso. |
As políticas incluídas para essa atribuição fornecem aos membros do grupo acesso somente leitura para exibir os detalhes e status dos ambientes do Fusion Applications e aplicativos relacionados. O usuário somente leitura do ambiente não pode fazer alterações.
Veja a seguir um exemplo de política que mostra todas as instruções de política necessárias para a atribuição. A tabela subsequente fornece os detalhes sobre a permissão concedida por cada instrução. Para criar um usuário com esse conjunto de permissões, você pode copiar e colar essa política, substituindo o nome do grupo. Para obter detalhes, consulte a tarefa Criar Política.
Ao criar essa política, você precisa saber:
- O nome do grupo
- O nome do domínio de identidades no qual o grupo está localizado.
- O nome do compartimento no qual o ambiente e outros recursos estão localizados. Para obter informações sobre compartimentos, consulte Usando Compartimentos para Agrupar Recursos para Atribuições. Observe que você pode mover os recursos para o compartimento depois de criar a política, mas ele deve existir antes de você gravar a política.
Exemplo de política para copiar e colar:
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read oda-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read vbstudio-instances in tenancy
Define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
Endorse group '<identity-domain-name>'/'<your-group-name>' to read objects in tenancy usage-reportA tabela a seguir descreve a que cada instrução na política anterior concede acesso:
| Instrução de Política | Para que serve |
|---|---|
|
Concede permissão para exibir todos os aspectos do ambiente e da família de ambientes do Fusion Applications. |
|
Concede permissões para ler informações relacionadas a assinaturas para acessar suas assinaturas de aplicativos na Console. Obrigatório para exibir suas assinaturas; deve estar no nível da tenancy. |
|
Concede permissões para exibir as informações do aplicativo na home page Aplicativos. |
|
Concede acesso para exibir gráficos de métricas e dados mostrados para seus recursos do FA. |
|
Concede acesso para exibir anúncios. |
|
Concede permissão para exibir o aplicativo integrado do Oracle Digital Assistant |
|
Concede permissão para exibir o aplicativo integrado do Visual Studio. |
|
Concede permissão para exibir relatórios mensais de métricas de uso. |
As políticas incluídas para esta atribuição permitem que os membros do grupo executem atualizações de ambiente em um compartimento especificado. Os membros do grupo também têm acesso somente leitura aos detalhes dos ambientes do Fusion Applications. Atualizar um ambiente é a única ação que esta função pode executar.
Veja a seguir um exemplo de política que mostra todas as instruções de política necessárias para a atribuição. A tabela subsequente fornece os detalhes sobre a permissão concedida por cada instrução. Para criar um usuário com esse conjunto de permissões, você pode copiar e colar essa política, substituindo o nome do grupo. Para obter detalhes, consulte a tarefa Criar Política.
Ao criar essa política, você precisa saber:
- O nome do grupo.
- O nome do domínio de identidades no qual o grupo está localizado.
- O nome do compartimento no qual o ambiente está localizado.
Exemplo de política para copiar e colar:
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-assigned-subscriptions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read organizations-subscription-regions in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read app-listing-environments in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read metrics in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read announcements in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read oda-family in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read vbstudio-instances in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage fusion-refresh-activity in compartment <your-compartment-name>
A tabela a seguir descreve a que cada instrução na política anterior concede acesso:
| Instrução de Política | Para que serve |
|---|---|
|
Concede permissão para exibir todos os aspectos do ambiente e da família de ambientes do Fusion Applications. |
|
Concede permissões para ler informações relacionadas a assinaturas para acessar suas assinaturas de aplicativos na Console. Obrigatório para exibir suas assinaturas; deve estar no nível da tenancy. |
|
Concede permissões para exibir as informações do aplicativo na home page Aplicativos. |
|
Concede acesso para exibir gráficos de métricas e dados mostrados para seus recursos do FA. |
|
Concede acesso para exibir anúncios. |
|
Concede permissão para exibir o aplicativo integrado do Oracle Digital Assistant |
|
Concede permissão para exibir o aplicativo integrado do Visual Studio. |
|
Concede permissão para executar uma atualização em ambientes do Fusion Applications localizados no compartimento especificado. |
O Administrador de Segurança do Ambiente gerencia recursos de segurança para ambientes do Fusion Applications. As funcionalidades de segurança incluem chaves gerenciadas pelo cliente e Oracle Managed Access (também conhecido como break glass). Você deve ter comprado assinaturas desses recursos antes de eles serem ativados em seus ambientes. Para obter mais informações, consulte Chaves Gerenciadas pelo Cliente para o Oracle Break Glass e Suporte a Break Glass para Ambientes.
Tarefas que o Administrador de Segurança de Ambiente pode executar:
- Cria vaults e chaves no serviço Vault
- Rotaciona chaves
- Verifica a rotação de chaves para um ambiente do Fusion Applications
- Desativa e ativa chaves
Veja a seguir um exemplo de política que mostra todas as instruções de política necessárias para esta atribuição. A tabela subsequente fornece os detalhes sobre a permissão concedida por cada instrução. Para criar um usuário com esse conjunto de permissões, você pode copiar e colar essa política, substituindo o nome do grupo e o nome do compartimento. Para obter detalhes, consulte a tarefa Criar Política.
Ao criar essa política, você precisa saber:
- O nome do grupo
- O nome do domínio de identidades no qual o grupo está localizado.
- O nome do compartimento no qual o ambiente e outros recursos estão localizados. Para obter informações sobre compartimentos, consulte Usando Compartimentos para Agrupar Recursos para Atribuições. Observe que você pode mover os recursos para o compartimento depois de criar a política, mas ele deve existir antes de você gravar a política.
Exemplo de política para copiar e colar:
Allow group '<identity-domain-name>'/'<your-group-name>' to manage vaults in tenancy where request.permission not in ('VAULT_DELETE', 'VAULT_MOVE')
Allow group '<identity-domain-name>'/'<your-group-name>' to manage keys in tenancy where request.permission not in ('KEY_DELETE', 'KEY_MOVE')
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-environment-group in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to read fusion-environment in tenancy
Allow group '<identity-domain-name>'/'<your-group-name>' to manage lockbox-family in tenancy
A tabela a seguir descreve a que cada instrução na política anterior concede acesso:
| Instrução de Política | Para que serve |
|---|---|
|
Concede permissões para criar e gerenciar vaults na tenancy, mas não permite a capacidade de excluir um vault ou mover um vault para outro compartimento. |
|
Concede permissões para criar e gerenciar chaves para ambientes na tenancy, mas não permite a capacidade de excluir uma chave ou mover uma chave para outro compartimento. |
|
Concede permissões para ler os detalhes de um grupo de ambientes do Fusion Applications. |
|
Concede permissões para ler os detalhes de um ambiente do Fusion Applications. |
Excluindo um Usuário
Excluir um usuário quando ele sair da empresa. Para obter etapas detalhadas, consulte Excluindo um Usuário.
Para obter mais detalhes sobre como gerenciar usuários em um domínio de identidades, consulte Ciclo de Vida para Gerenciar Usuários.
Removendo um Usuário de um Grupo
Remova um usuário de um grupo quando ele não precisar mais de acesso aos recursos aos quais o grupo concede acesso. Para obter etapas detalhadas, consulte Removendo Usuários de um Grupo.