Usuários, Grupos e Políticas

O Oracle Digital Assistant usa o Oracle Cloud Infrastructure Identity and Access Management (IAM) como seu serviço base de autenticação e autorização.

O serviço IAM vem em dois tipos:

IAM sem Domínios de Identidade. Esta versão fornece acesso baseado em política. O administrador da tenancy da sua organização precisa configurar compartimentos, grupos e políticas que controlem quais usuários podem acessar quais recursos e como. Para obter uma visão geral desse processo, consulte Configurando Sua Tenancy.
Nas instâncias do Digital Assistant que são provisionadas sem domínios de identidade, as políticas controlam quem pode desenvolver habilidades e assistentes digitais, acessar dados do Insights e chamar as APIs do serviço. Para obter detalhes sobre como as políticas funcionam, consulte Conceitos Básicos de Políticas. Para detalhes específicos sobre como escrever políticas, consulte Referência de Políticas.
IAM com Domínios de Identidade. Esta versão oferece a possibilidade de acesso baseado em atribuição, além de acesso baseado em política. Para fornecer acesso baseado em atribuição, o administrador da tenancy da sua organização precisa configurar compartimentos, grupos e atribuições que controlem quais usuários podem acessar quais recursos e como. O processo é semelhante ao descrito em Configurando sua Tenancy, exceto que você usa atribuições predefinidas em vez de gravar instruções de política.
O recurso de domínio de identidades permite que você gerencie o acesso ao Digital Assistant usando os mesmos conceitos e técnicas usados no Oracle Identity Cloud Service (IDCS).

Observação

É possível que o recurso Domínios de Identidade ainda não esteja disponível para sua tenancy. Para determinar se a sua tenancy foi atualizada com esse recurso, faça log-in na sua conta da nuvem, abra o menu de navegação da console () e selecione Identidade e Segurança. Se você vir um link Domínios na seção Identidade da página, os domínios de identidade estarão disponíveis na sua tenancy.

Observação

Se sua instância do Digital Assistant for emparelhada com uma assinatura de um serviço do Oracle Cloud Applications baseado no Fusion, como o HCM Cloud ou o Sales Cloud, consulte Conceitos Básicos do Oracle Digital Assistant para Fusion Applications para obter informações sobre como configurar permissões para usuários.

Políticas do Digital Assistant

Antes de começar a organizar seus usuários em grupos, você deve conhecer os conceitos básicos sobre como as políticas funcionam e decidir quais políticas deseja aplicar a quais grupos de usuários.

As políticas são criadas com instruções que especificam tipos de recursos, verbos (que descrevem o nível de acesso a esses tipos de recursos) e locais (geralmente os nomes dos compartimentos).

Por exemplo, você pode criar uma instrução de política que permita que um grupo chamado ServiceDevelopers possa use o tipo de recurso oda-design em um compartimento chamado MyDigitalAssistantTest.

Tipos de Recursos

Esta tabela mostra os tipos de recursos disponíveis para o Oracle Digital Assistant.

Tipo de recurso	Descrição
`oda-instance-resource`	Permite o uso de APIs REST para exportar dados do Insights, exportar logs de conversa, gerenciar entidades dinâmicas e gerenciar pacotes de recursos. Existem três níveis de permissão (verbos) que você pode aplicar. Para obter detalhes sobre quais pontos finais são cobertos em cada nível de permissão (`inspect`, `read` e `use`), consulte API REST para o Oracle Digital Assistant e clique em Permissões na navegação esquerda da página. Observação: Para APIs da Instância do Serviço que permitem criar habilidades e canais, você precisa de uma política com o tipo de recurso `oda-design`.
`oda-design`	Permite acesso à interface do usuário para habilidades, assistentes digitais e canais. No nível de permissão `read`, os usuários podem ver os artefatos que foram criados. No nível `use`, os usuários podem desenvolver, testar e implantar esses artefatos de forma ativa. Também permite que você crie um gerenciamento desses artefatos usando as APIs da Instância de Serviço.
`oda-insights`	Permite o acesso à interface do usuário para Insights de habilidades e assistentes digitais.
`oda-instances`	Permite o acesso à console para instâncias do Oracle Digital Assistant. No nível de permissão `manage`, você pode criar e excluir instâncias.
`oda-family`	Este tipo de recurso é um superconjunto dos tipos de recursos do Oracle Digital Assistant. Para cada verbo (`inspect`, `read`, `use` e `manage`) que você usa com esse tipo de recurso em uma definição de política, todas as operações cobertas pelo verbo são incluídas. Por exemplo, se você tiver uma política usando esse tipo de recurso e o verbo `manage`, o(s) usuário(s) coberto(s) por essa política terá(ão) todas as permissões possíveis do Oracle Digital Assistant. Esse tipo de recurso também inclui os tipos de recursos `oda-private-endpoints` e `oda-private-endpoint-attachments`, que se relacionam com a funcionalidade Ponto Final Privado.

Verbos

Use verbos nas definições de política para definir os níveis de permissão que determinados grupos de usuários têm para determinados tipos de recurso. Por exemplo, use o verbo read para permitir acesso somente para leitura.

Aqui estão os verbos definidos para o conjunto de tipos de recursos do Oracle Digital Assistant.

Verbo	Descrição
inspecionar	Geralmente abrange operações que listam o conteúdo de um recurso. Este é o verbo que fornece o acesso mais limitado.
ler	Em termos de interface do usuário, isso geralmente significa acesso somente para leitura. Em termos de API, geralmente se aplica a operações GET.
usar	Quando aplicado a recursos na interface do usuário do serviço, geralmente permite o desenvolvimento, o teste e a implantação desses recursos. No nível da API, geralmente permite operações GET, PUT, POST, PATCH e DELETE, com exceção de mais operações de alto impacto (como criar instâncias e expurgar dados).
gerenciar	Geralmente permite que o usuário execute todo o conjunto de operações de um tipo de recurso, incluindo operações de alto impacto, como a criação de instâncias e a expurgação de dados.

Exemplo de Conjunto de Políticas

A tabela a seguir ilustra os padrões das políticas do serviço IAM e fornece exemplos típicos para o Oracle Digital Assistant.

Política do Serviço IAM	Padrão de Instrução de Política
Política para Administradores de Serviço	`Allow group <name_of_your_Service_Administrators_Group> to manage oda-family in compartment <your_digital_assistant_compartment>`
Política para Desenvolvedores de Serviço	`Allow group <name_of_your_Service_Developers_Group> to use oda-design in compartment <your_digital_assistant_compartment>` `Allow group <name_of_your_Service_Developers_Group> to use oda-insights in compartment <your_digital_assistant_compartment>` Além disso, se quiser que esses usuários possam ver detalhes das instâncias do Digital Assistant na console do OCI, você poderá adicionar esta instrução: `Allow group <name_of_your_Service_Developers_Group> to read oda-instances in compartment <your_digital_assistant_compartment>`
Política para Usuários de Negócios de Serviço	`Allow group <name_of_your_Service_Business_Users_Group> to read oda-design in compartment <your_digital_assistant_compartment>` `Allow group <name_of_your_Service_Business_Users_Group> to use oda-insights in compartment <your_digital_assistant_compartment>` Além disso, se quiser que esses usuários possam ver detalhes das instâncias do Digital Assistant na console do OCI, você poderá adicionar esta instrução: `Allow group <name_of_your_Service_Business_Users_Group> to read oda-instances in compartment <your_digital_assistant_compartment>`
Política para Usuários da API do Digital Assistant	`Allow group <name_of_your_Digital_Assistant_API_Users_Group> to use oda-instance-resource in compartment <your_digital_assistant_compartment>` `Allow group <name_of_your_Digital_Assistant_API_Users_Group> to use oda-design in compartment <your_digital_assistant_compartment>` Observação A primeira instrução fornece acesso a todos os pontos finais na API REST para tarefas como exportar insights, gerenciar entidades dinâmicas e gerenciar pacotes de recursos. Também é possível criar políticas usando os verbos `inspect` e `read` para obter acesso mais limitado. Para ver quais pontos finais são cobertos por quais verbos, consulte a documentação dessas APIs. A segunda instrução fornece acesso às APIs da Instância de Serviço, que permitem que você faça coisas como criar habilidades e canais.

Criar um Compartimento

Os compartimentos permitem que você particione recursos no Oracle Cloud para que possa controlar melhor o acesso a esses recursos. Quando você grava políticas para conceder aos usuários acesso a uma instância do Digital Assistant, o nome do compartimento é uma das partes da instrução de política.

Observação

Você também pode gravar políticas que concedam aos usuários acesso aos recursos em todo o tenant, mas isso é melhor para configurações muito simples (como se você nunca pretender ter mais de uma instância do Digital Assistant.

Para criar um compartimento:

Na Console de Infraestrutura, clique em na parte superior esquerda para abrir o menu de navegação, selecione Identidade e Segurança e depois clique em Compartimentos.
Clique em Criar Compartimento.
Preencha os valores obrigatórios e clique em Criar Compartimento.

Criar Novos Usuários do Serviço IAM

Se qualquer um de seus usuários ainda não tiver contas de usuário, crie-as no serviço IAM.

Na Console de Infraestrutura, clique em na parte superior esquerda para abrir o menu de navegação, selecione Identidade e Segurança e depois clique em Usuários.
Clique em Criar Usuário.
Na caixa de diálogo Criar Usuário, preencha os detalhes necessários com atenção especial para o seguinte:
- O valor de Nome pode ser um endereço de e-mail ou um nome exclusivo. Este será o nome que o usuário usará para fazer log-in na instância.
- O valor E-mail, que é usado para recuperação da senha.
Clique em Criar.
Depois que o usuário for criado, selecione o usuário e clique em Criar/Redefinir Senha.
Clique em Copiar.
Cole a senha em um local seguro e forneça-a ao usuário.

O usuário precisará fazer log-in com essa senha e, depois, alterá-la imediatamente.

Criar Grupos

Grupos são conjuntos de usuários que podem ser referenciados em políticas. Crie grupos para ajudar a gerenciar quais usuários têm acesso a quê.

Este é um exemplo de conjunto de grupos de usuários que você pode configurar.

Grupo de Usuários	Descrição e Finalidade
Administradores de Serviço	Possui acesso completo e irrestrito para gerenciar, administrar e desenvolver com a instância do serviço Oracle Digital Assistant.
Desenvolvedor de Serviço	Tem privilégios para desenvolver e treinar assistentes digitais. No entanto, não pode excluir assistentes digitais ou habilidades publicados nem expurgar dados. Esses privilégios são um subconjunto de privilégios de administrador de serviço.
Usuários de Negócios de Serviço	Principalmente acesso somente para leitura. Pode usar o testador de assistente digital e de habilidade, exibir relatórios de Insights e também melhorar o corpus de treinamento adicionando declarações de amostra (novo treinamento). Esses privilégios são um subconjunto de privilégios de desenvolvedor de serviço. Destinado a usuários e analistas de linha de negócios.
Usuários de Serviço Externos	Tem permissões para chamar APIs REST do Oracle Digital Assistant. Há três níveis de permissão diferentes (os verbos `inspect`, `read` e `use`) para APIs do Oracle Digital Assistant. Dessa forma, talvez você queira criar um grupo separado para dois ou três desses níveis de permissão.

Para criar um grupo:

Na Console de Infraestrutura, clique em na parte superior esquerda para abrir o menu de navegação, selecione Identidade e Segurança e depois clique em Grupos.

Uma lista dos grupos em sua tenancy será exibida.
Clique em Criar Grupo.
Informe o seguinte:
- Nome: Um nome exclusivo para o grupo. O nome deve ser exclusivo em todos os grupos da sua tenancy. Não é possível alterar essa opção posteriormente.
- Descrição: Uma descrição amigável. Você poderá alterar essa opção posteriormente, se quiser.
- Tags: Opcionalmente, você pode aplicar tags. Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deverá ter permissões para usar o namespace da tag. Para obter mais informações sobre tags, consulte Tags de Recursos. Se você não tiver certeza de que deve aplicar tags, ignore essa opção (você poderá aplicar tags posteriormente) ou pergunte ao administrador.
Clique em Criar Grupo.

Adicionar Usuários do IAM a um Grupo

Você precisará adicionar cada usuário a um grupo para conceder a eles acesso ao serviço.

Na Console de Infraestrutura, clique em na parte superior esquerda para abrir o menu de navegação, selecione Identidade e Segurança e depois clique em Grupos.

Uma lista dos grupos em sua tenancy será exibida.
Localize o grupo na lista.
Clique no grupo.
Clique em Adicionar Usuário ao Grupo.
Selecione o usuário na lista drop-down e clique em Adicionar Usuário.

Criar Políticas

Defina políticas do IAM para serem aplicadas aos seus grupos de usuários.

Para criar uma política:

Na Console de Infraestrutura, clique em na parte superior esquerda para abrir o menu de navegação, selecione Identidade e Segurança e depois clique em Políticas.

É exibida uma lista das políticas no compartimento que você está exibindo.
Se você quiser anexar a política a um compartimento distinto daquele que está exibindo, selecione o compartimento desejado na lista drop-down Compartimento à esquerda. O local onde a política está anexada controla quem pode modificá-la ou excluí-la posteriormente (consulte Anexação de Políticas).
Clique em Criar Política.
Informe o seguinte:
- Nome: Um nome exclusivo para a política. O nome deve ser exclusivo em todas as políticas em sua tenancy. Não é possível alterar essa opção posteriormente.
- Descrição: Uma descrição amigável. Você poderá alterar essa opção posteriormente, se quiser.
- Versões da Política: Selecione Manter Política Atual se desejar que a política permaneça atualizada com alterações futuras nas definições de verbos e recursos do serviço. Ou se você preferir limitar o acesso de acordo com as definições atuais em uma data específica, selecione Usar Data da Versão e informe essa data no formato AAAA-MM-DD. Para obter mais informações, consulte Versão do Idioma da Política.
- Instrução: Uma instrução da política. Para obter o formato correto a ser usado, consulte Informações Básicas da Política e também Sintaxe da Política. Se quiser adicionar mais de uma instrução, clique em +.
- Tags: Opcionalmente, você pode aplicar tags. Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deverá ter permissões para usar o namespace da tag. Para obter mais informações sobre tags, consulte Tags de Recursos. Se você não tiver certeza de que deve aplicar tags, ignore essa opção (você poderá aplicar tags posteriormente) ou pergunte ao administrador.
Clique em Criar.

A nova política entrará em vigor normalmente em 10 segundos.

Para obter um exemplo de como você pode definir suas políticas do Oracle Digital Assistant, consulte Exemplo de Conjunto de Políticas.

Para obter mais informações sobre políticas do IAM, consulte Como as Políticas Funcionam.

Configuração e Políticas do Oracle Functions

Se você decidir usar o Oracle Functions para hospedar o código de componente personalizado para qualquer uma de suas habilidades, configure sua tenancy para desenvolvimento de funções. Isso inclui configurar permissões para os desenvolvedores e dar à instância do Digital Assistant permissões para chamar as funções que contêm esse código.

Estas são as etapas gerais:

Configure compartimentos para Funções e uma rede virtual na nuvem (VCN).
Configure a VCN.
Configure permissões para acesso à rede.
Configure permissões para desenvolvedores de Funções.
Configure um grupo dinâmico para sua instância (ou instâncias) do Digital Assistant.
Defina uma política para conceder ao grupo dinâmico acesso às funções.

Os tópicos a seguir darão a você uma apresentação rápida dessas etapas. Se você precisar de mais informações básicas, consulte Configurando a sua Tenancy para Desenvolvimento de Funções.

Criar Compartimento para Funções e Recursos de Rede

Em sua tenancy, você vai querer ter compartimentos distintos para suas funções e recursos de rede. Isso permite que você crie políticas específicas para cada uma.

Para criar os compartimentos:

Na Console de Infraestrutura, clique em na parte superior esquerda para abrir o menu de navegação, selecione Identidade e Segurança e depois clique em Compartimentos.
Clique em Criar Compartimento.
Preencha os valores obrigatórios do compartimento dedicado a Funções e clique em Criar Compartimento.
Clique em Criar Compartimento novamente e preencha os valores do compartimento que você está dedicando a recursos de rede.

Configurar uma Rede Virtual na Nuvem (VCN)

Para que sua equipe possa criar e implantar funções, você precisa de uma rede virtual na nuvem (VCN) que contenha as sub-redes de suas funções.

A maneira mais fácil de criar a VCN é usar o assistente VCN com Conectividade de Internet, que cria os artefatos necessários para você. Consulte Criar a VCN e Sub-redes a Serem Usadas com o Oracle Functions na Documentação do Oracle Cloud Infrastructure.

Observação

Crie a VCN na região em que planeja implantar suas funções.

Configurar Permissões de Acesso à Rede

Para configurar permissões para os usuários que vão gerenciarão recursos de rede:

Se você ainda não tiver feito isso, crie um grupo para esses usuários.
1. Na Console de Infraestrutura, clique em na parte superior esquerda para abrir o menu de navegação, selecione Identidade e Segurança e depois clique em Grupos.
2. Clique em Criar Grupo.
3. Conclua o assistente, certificando-se de que o nome do grupo seja exclusivo entre todos os grupos da tenancy. Não é possível alterar essa opção posteriormente.
4. Clique em Criar Grupo.
Adicione os usuários apropriados ao grupo.
- Para cada usuário, clique em Adicionar Usuário ao Grupo, selecione o usuário na lista drop-down e clique em Adicionar Usuário.
Crie a política obrigatória para o grupo:
1. No Menu de navegação da Console de Infraestrutura, selecione Identidade & Segurança e clique em Políticas.
2. Clique em Criar Política.
3. Preencha o assistente, prestando atenção especial aos seguintes campos:
  - Nome: Digite um nome exclusivo para a política. O nome deve ser exclusivo em todas as políticas em sua tenancy. Não é possível alterar essa opção posteriormente.
  - Instrução: Adicione a seguinte instrução de política, em que você substitui <group-name> e <network-resources-compartment-name> pelos nomes do grupo de usuários e compartimento apropriados, respectivamente:
```
Allow group <group-name> to manage virtual-network-family in compartment <network-resources-compartment-name>
```
    Para obter elaboração adicional sobre o formato de política, consulte Conceitos Básicos de Política e Sintaxe de Política.

Configurar Permissões para Desenvolvedores de Funções

Para configurar permissões para os desenvolvedores de funções:

Se você ainda não tiver feito isso, crie um grupo para esses usuários.
1. Na Console de Infraestrutura, clique em na parte superior esquerda para abrir o menu de navegação, selecione Identidade e Segurança e depois clique em Grupos.
2. Clique em Criar Grupo.
3. Conclua o assistente, certificando-se de que o nome do grupo seja exclusivo entre todos os grupos da tenancy. Não é possível alterar essa opção posteriormente.
4. Clique em Criar Grupo.
Adicione os usuários apropriados ao grupo.
- Para cada usuário, clique em Adicionar Usuário ao Grupo, selecione o usuário na lista drop-down e clique em Adicionar Usuário.
Crie as políticas necessárias para o grupo:
1. No Menu de navegação da Console de Infraestrutura, selecione Identidade & Segurança e clique em Políticas.
2. Clique em Criar Política.
3. Preencha o assistente, prestando atenção especial aos seguintes campos:
  - Nome: Digite um nome exclusivo para a política. O nome deve ser exclusivo em todas as políticas em sua tenancy. Não é possível alterar essa opção posteriormente.
  - Instrução: Adicione as seguintes instruções de política (clicando em + para cada instrução após a primeira), em que você substitui <group-name>, <network-resources-compartment-name> e <functions-compartment-name> pelos nomes do grupo de usuários e compartimento apropriados:
```
Allow group <group-name> to use virtual-network-family in compartment <network-resources-compartment-name>
Allow group <group-name> to manage functions-family in compartment <functions-compartment-name>
Allow group <group-name> to read metrics in compartment <functions-compartment-name>
Allow group <group-name> to manage logging-family in compartment <functions-compartment-name>
Allow group <group-name> to manage repos in tenancy
Allow group <group-name> to read objectstorage-namespaces in tenancy
```
  Observação
  
  A primeira instrução se aplica a um compartimento diferente das próximas três instruções. Certifique-se de que a primeira dessas instruções de política especifique o compartimento configurado para recursos de rede e as três próximas instruções especifiquem o compartimento configurado para desenvolvimento de funções.

Criar um Grupo Dinâmico

Para que o Digital Assistant possa chamar funções gravadas no Oracle Functions ou chamar outros serviços do OCI (como Linguagem), você precisa conceder permissões à própria instância de serviço do Digital Assistant (em oposição aos usuários da instância). Para isso, primeiro você precisa criar um grupo dinâmico que contenha uma regra que corresponda a essa instância. Em seguida, você pode aplicar uma política ao grupo dinâmico para conceder a ele as permissões desejadas.

Aqui estão as etapas para a criação de um grupo dinâmico para instâncias do Digital Assistant.

Na Console de Infraestrutura, clique em na parte superior esquerda para abrir o menu de navegação, selecione Identidade e Segurança e depois clique em Grupos Dinâmicos.
Clique em Criar Grupo Dinâmico para abrir a caixa de diálogo Criar Grupo Dinâmico.
Preencha os valores de Nome e Descrição.
O nome deve ser exclusivo em todos os grupos de sua tenancy (grupos dinâmicos e grupos de usuários). Não é possível alterar essa opção posteriormente.
Na seção Regras de Correspondência, adicione uma ou mais regras para corresponder a uma ou mais instâncias que você deseja que tenha(am) acesso ao componente.
Você pode adicionar regras para instâncias ou para compartimentos que contenham as instâncias.

Dica:
Clique no link Rule Builder para obter ajuda com a sintaxe de regra.

Aqui estão as regras que você pode usar para instâncias do Digital Assistant em um compartimento específico.
```
  resource.type = 'odainstance',
  resource.compartment.id = '<ocid-of-compartment-containing-DigitalAssistant-instance>'
```
Clique em Criar.

Exemplo: Grupo Dinâmico para uma Única Instância

Aqui estão as etapas que você seguiria para criar um grupo dinâmico para uma única instância do Digital Assistant.

Obtenha o OCID da sua instância. Isso pode ser feito seguindo estas etapas:
1. Na Console de Infraestrutura, clique em no canto superior esquerdo para abrir o menu de navegação, selecione Análise e Inteligência Artificial e selecione Digital Assistant (que aparece na categoria Serviços de Inteligência Artificial da página).
2. No painel Compartimentos, selecione um compartimento.
3. Selecione a instância.
4. Na seção Informações da Instância da página, clique no link Copiar do OCID da instância.
No Menu de navegação da Console do Infrastructure, selecione Identidade & Segurança e clique em Grupos Dinâmicos.
Clique em Criar Grupo Dinâmico para abrir a caixa de diálogo Criar Grupo Dinâmico.
Preencha os valores de Nome e Descrição.
Clique no link Rule Builder.
Na caixa de diálogo Criar Regra de Correspondência, no campo Corresponder Instâncias com, selecione OCID da Instância.
No campo Valor, cole o OCID que você acabou de copiar.
Clique em Adicionar Regra.
Clique em Criar.

Criar uma Política para Acessar o Oracle Functions

Uma vez que você tenha um grupo dinâmico para a(s) instância(s) que você deseja que consiga(am) chamar funções no Oracle Functions, crie uma política para esse grupo dinâmico para acessar as funções:

Na Console de Infraestrutura, clique em na parte superior esquerda para abrir o menu de navegação, selecione Identidade e Segurança e depois clique em Políticas.

É exibida uma lista das políticas no compartimento que você está exibindo.
Na lista de compartimentos, selecione o compartimento ao qual deseja anexar a política. Isso controla quem pode modificar ou excluir posteriormente a política (consulte Anexação de Políticas).
Clique em Criar Política.
Preencha o assistente, prestando atenção especial aos seguintes campos:
- Nome: Digite um nome exclusivo para a política. O nome deve ser exclusivo em todas as políticas em sua tenancy. Não é possível alterar essa opção posteriormente.
- Instrução: Digite uma instrução de política com o seguinte formato:
```
Allow dynamic-group <name_of_your_dynamic_group> to use fn-invocation in compartment <name_of_your_Functions_compartment>
```

Políticas do OCI Language

Se você configurar o OCI Language como um serviço de tradução no Digital Assistant, precisará criar as políticas apropriadas para conceder à sua instância do Digital Assistant permissão para usá-la.

As etapas de configuração e a política (ou políticas) necessárias para usar o serviço OCI Language em suas habilidades e assistentes digitais dependem de como sua instância do Digital Assistant foi configurada e se o serviço OCI Language está disponível para você na mesma tenancy do OCI.

Configurar o OCI Language na Mesma Tenancy

Se você tiver provisionado sua instância do Digital Assistant por meio do programa Crédito Universal do OCI, estas serão as etapas gerais:

Na Console do OCI para sua tenancy, inscreva-se no serviço OCI Language.
Opcionalmente, crie um grupo dinâmico para a instância do Digital Assistant que chamará o OCI Language. Consulte Criar um Grupo Dinâmico.
Crie uma política que permita que a instância do Digital Assistant use o serviço Language.
Se você não tiver um grupo dinâmico, a política assumirá esta forma:
```
Allow any-user to use ai-service-language-family in compartment <name_of_your_compartment> where request.principal.id='<ocid_of_your_Digital_Assistant_instance>'
```
Se você tiver um grupo dinâmico, a política assumirá esta forma:
```
Allow dynamic-group <name_of_your_dynamic_group> to use ai-service-language-family in compartment <name_of_your_Language_compartment>
```
Consulte Criar Políticas para obter as etapas para criar políticas na Console do OCI.

Configurar o OCI Language em Outra Tenancy

Se o serviço OCI Language não estiver disponível para você na mesma tenancy do OCI que o Oracle Digital Assistant, você precisará provisionar uma tenancy do Modelo de Crédito Universal (UCM) e configurar as tenancies para trabalhar umas com as outras. Isso se aplica aos seguintes casos:

Você tem uma assinatura do Oracle Digital Assistant Platform for SaaS e está usando uma instância do Digital Assistant nessa tenancy do OCI.
Nesse caso, você precisa de políticas para o tenant do Oracle Digital Assistant e o tenant do cliente (UCM).
Sua instância do Digital Assistant é emparelhada com uma assinatura de um serviço Oracle Cloud Applications baseado no Fusion.
Nesse caso, você só precisa de uma política no tenant do cliente (UCM).

Em ambos os casos, a política no tenant do cliente deve nomear o OCID (Oracle Cloud Identifier) de um tenant baseado em UCM, que você obtém arquivando uma SR (Service Request, Solicitação de serviço) com o Suporte da Oracle.

Estas são as etapas se você tiver uma assinatura do Oracle Digital Assistant Platform for SaaS e estiver usando um Assistente Digital nessa tenancy do OCI.

Na tenancy do programa Universal Credit, inscreva-se no serviço OCI Language.

Na tenancy em que você tem sua assinatura do OCI Language, adicione uma política admit no seguinte formato:

define tenancy digital-assistant-tenancy as <tenancy-ocid> 
admit any-user of tenancy digital-assistant-tenancy to use ai-service-language-family in compartment <chosen-compartment> where request.principal.id = '<digital-assistant-instance-OCID>'

Na tenancy do OCI em que você tem sua instância do Digital Assistant, adicione uma política endorse no seguinte formato:
```
endorse any-user to use ai-service-language-family in any-tenancy where request.principal.type = '<ocid_of_your_Digital_Assistant_instance>'
```
Consulte Criar Políticas para obter as etapas para criar políticas na Console do OCI.

Estas são as etapas se sua instância do Digital Assistant parecida com uma assinatura de um serviço do Oracle Cloud Applications baseado no Fusion, mas você não tiver uma assinatura do Oracle Digital Assistant Platform for SaaS:

Obtenha uma locação separada do Oracle Cloud por meio do programa de Crédito Universal do Oracle Cloud. Consulte Comprar uma Assinatura do Oracle Cloud.
Na tenancy do programa Universal Credit, inscreva-se no serviço OCI Language.
Registre uma solicitação de serviço (SR) no Suporte Técnico da Oracle para:
- Crie uma política na sua instância do Digital Assistant gerenciada pela Oracle para permitir que ela use o serviço OCI Language.
- Determine o OCID da sua instância do Digital Assistant gerenciada pela Oracle que você pode usar na definição de política na tenancy do UCM para conceder à instância do Digital Assistant permissão para acessar o serviço Language.
Forneça as seguintes informações na SR:
- O OCID do compartimento raiz da tenancy do UCM que você está usando para o serviço OCI Language. (O Suporte Técnico da Oracle usará essa opção para criar uma política em sua instância do Digital Assistant para permitir que ela use o serviço OCI Language.)
- O URL da interface do usuário da instância do Digital Assistant. (Isso é para que o suporte possa fornecer o OCID necessário na política admit que você criará na próxima etapa.)
Na tenancy em que você se inscreveu no OCI Language, crie uma política para permitir que o Digital Assistant use o OCI Language. Na instrução, você usa o OCID que é fornecido a você como resultado da sua solicitação de serviço. A instrução assume a seguinte forma.
```
define tenancy digital-assistant-tenancy as <tenancy-ocid> 
admit any-user of tenancy digital-assistant-tenancy to use ai-service-language-family in compartment <chosen-compartment> where request.principal.id = '<digital-assistant-instance-OCID>'
```
Consulte Criar Políticas para obter as etapas para criar políticas na Console do OCI.

Acesso Baseado em Atribuição e Domínios de Identidade

Se, ao criar uma instância do Digital Assistant, você tiver ativado o acesso baseado em atribuição para essa instância, poderá designar atribuições a grupos e usuários do Oracle Cloud Infrastructure IAM dentro de um domínio de identidades.

A tenancy na qual sua instância do Digital Assistant é provisionada contém um domínio de identidades padrão no compartimento raiz. Se a tenancy já existia antes da ativação do recurso Domínios de Identidades, todos os usuários e grupos existentes na tenancy no momento em que os Domínios de Identidades foram ativados serão incluídos no domínio de identidades padrão.

Você pode criar domínios de identidades adicionais para seu tenant, no compartimento raiz ou em outros compartimentos. Por exemplo, você pode fazer algo como o seguinte:

No compartimento-raiz (padrão), crie um domínio padrão somente para administradores.
Em outro compartimento (por exemplo, chamado Dev), crie um domínio para usuários e grupos em um ambiente de desenvolvimento
Em outro compartimento (por exemplo, chamado Prod), crie um domínio para usuários e grupos em um ambiente de produção.

Criar um Domínio de Identidades

Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Domínios. A página Domínios é exibida.
Se ainda não estiver selecionado, selecione o Compartimento no qual você deseja criar o domínio.
Clique em Criar domínio.
Digite as informações necessárias na página Criar domínio. Consulte Criando Domínios de Identidades na documentação do Oracle Cloud Infrastructure.

Atribuições do Usuário no Serviço IAM

Se sua instância do Digital Assistant estiver configurada para acesso baseado em atribuição, você concederá aos membros da sua equipe acesso à instância atribuindo a eles uma das seguintes atribuições:

ServiceBusinessUser. Essa função foi projetada para que os usuários corporativos analisem como as habilidades e os assistentes digitais estão sendo usados. Os usuários com essa atribuição podem fazer o seguinte:
- Veja habilidades, assistentes digitais e canais que já foram criados.
- Use recursos do Insights para habilidades e assistentes digitais, incluindo o uso do novo treinador para adicionar declarações a versões preliminares de habilidades.
ServiceDeveloper. Essa função foi projetada para desenvolvedores que estarão estendendo, atualizando e/ou desenvolvendo habilidades e assistentes digitais. Os usuários com essa função podem:
- Desenvolva, teste, treine e implemente habilidades e assistentes digitais e crie canais.
- Use os recursos de Insights para habilidades e assistentes digitais, incluindo o uso do novo treinador para adicionar declarações a versões preliminares de habilidades.
ServiceAdministrator. Essa atribuição foi projetada para administradores e dá a eles permissões para fazer coisas como expurgar dados e excluir habilidades publicadas. Os usuários com essa função podem:
- Acesse a console do OCI para instâncias do Oracle Digital Assistant.
- Desenvolva, teste, treine e implemente habilidades e assistentes digitais e crie canais.
- Use os recursos de Insights para habilidades e assistentes digitais, incluindo o uso do novo treinador para adicionar declarações a versões preliminares de habilidades.

Criar um Usuário em um Domínio de Identidades

Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Domínios.
Se ainda não estiver selecionado, selecione o Compartimento no qual reside o domínio que contém o grupo ao qual você deseja adicionar um novo usuário.
Na coluna Nome, clique no domínio do grupo no qual você deseja criar o usuário.
Clique em Usuários.
Clique em Criar usuário.
Na tela Criar usuário, digite o nome e o sobrenome do usuário e o nome de usuário dele. Em seguida, selecione um ou mais grupos aos quais o usuário deve ser designado.
Clique em Criar.
O novo usuário é adicionado ao(s) grupo(s) selecionado(s) e tem permissões designadas ao grupo pela declaração de política.
Na página de detalhes do usuário exibida, você pode editar informações do usuário conforme necessário e redefinir a senha do usuário.
Forneça aos novos usuários as credenciais de que eles precisam para acessar a conta da nuvem. Ao acessar o sistema, eles serão solicitados a digitar uma nova senha.

Crie um Grupo em um Domínio de Identidades

Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Domínios.
Se ainda não estiver selecionado, selecione o Compartimento no qual reside o domínio cujo grupo você deseja criar.
Na coluna Nome, clique em um domínio no qual você deseja criar o grupo para criação e gerenciamento da página Visão Geral do domínio instances.The será exibida.
Clique em Grupos. A página Grupos do domínio é exibida.
Clique em Criar grupo.
Na tela Criar grupo, designe um nome ao grupo (por exemplo, oci-integration-admins) e digite uma descrição.
Clique em Criar.

Designar uma Atribuição em um Domínio da Identidade

Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Domínios.
Se ainda não tiver sido selecionado, selecione o Compartimento no qual reside o domínio que contém o usuário ou o grupo ao qual você deseja atribuir as atribuições do Assistente Digital.
Na coluna Nome, clique em um domínio para o usuário ou grupo ao qual você deseja atribuir funções.
No painel de navegação, clique em Oracle Cloud Services.
Na coluna Nome, clique na instância do Assistente Digital para a qual você deseja atribuir funções de grupo.
No painel de navegação, clique em Atribuições de aplicativo.
Na lista Atribuições do aplicativo, localize as atribuições que você deseja atribuir. Na extremidade direita, clique no ícone de menu e selecione Designar grupos ou Designar usuários.
Selecione o usuário ou grupo ao qual a atribuição de serviço será designada e clique em Designar.