Como prática recomendada, defina um <stripename> para todas as entidades que você criará específicas para o segmento. A identificação exclusiva de configurações associadas a um segmento é importante, principalmente quando vários segmentos são configurados.

No IDCS, crie um grupo no segmento secundário e adicione usuários do segmento secundário ao grupo.

1. Adicione um grupo ao segmento secundário e dê a ele seu nome stripename_administrators. Consulte Define a Stripe Naming Convention. Por exemplo, dê o nome stripe2_administrators. Clique em Concluir.
   Para obter mais informações, consulte Criar Grupos em Administrando o Oracle Identity Cloud Service.

   Esses administradores terão permissão para criar instâncias do Oracle Integration. Este grupo do IDCS será mapeado com um grupo do Oracle Cloud Infrastructure.

2. Adicione usuários do segmento secundário ao grupo.

Crie um aplicativo confidencial do IDCS que use credenciais do cliente OAuth e receba a atribuição de administrador de domínio do IDCS. Você deve criar um aplicativo confidencial por segmento secundário.

1. Como administrador do IDCS, acesse a console de administração secundária do IDCS.
2. Adicione um aplicativo confidencial.
   1. Navegue até a guia Aplicativos.
   2. Clique em Adicionar.
   3. Escolha Aplicativo Confidencial.
   4. Dê ao aplicativo o nome Client_Credentials_For_SAML_Federation.
   5. Clique em Próximo.
   
   

   
   

   
   
3. Configure as definições do cliente.
   1. Clique em Configurar este aplicativo como cliente agora.
   2. Em Autorização, selecione Credenciais do Cliente.
      
      

      
      

      
      
   3. Em Conceder ao cliente acesso às APIs de Administração do Identity Cloud Service, clique em Adicionar e selecione a atribuição de aplicativo Administrador de Domínio de Identidades.
      
      

      
      

      
      
   4. Clique em Próximo duas vezes.
4. Clique em Concluir. Quando o aplicativo for criado, observe o ID do cliente e o segredo do cliente. Você precisará dessas informações nas próximas etapas para a federação.
   
   

   
   

   
   
5. Clique em Ativar e confirme a ativação do aplicativo.

Esse grupo é necessário porque a federação SAML IDP do Oracle Cloud Infrastructure requer o mapeamento de grupos para federar usuários do IDP (IDCS) federado e a associação de grupos nativos do OCI é necessária para definir e conceder permissões do Oracle Cloud Infrastructure (políticas) para usuários federados.

1. Na Console do Oracle Cloud Infrastructure, abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Grupos.

   Este grupo do Oracle Cloud Infrastructure será mapeado com o grupo do IDCS criado.

2. Crie um grupo e dê a ele o nome oci_stripename_administrators. Por exemplo, dê a ele o nome oci_stripe2_administrators.
   
   

   
   

   
   

Agora que você tem os grupos do IDCS e do Oracle Cloud Infrastructure criados e as informações do cliente necessárias, crie o provedor de identidades do IDCS e mapeie os grupos.

1. Acesse a console do Oracle Cloud Infrastructure. Selecione o domínio de identidades do segmento primordial (identitycloudservice) e informe as respectivas credenciais de usuário.

   Tenha em mente que o mapeamento de grupo para um segmento secundário usa o acesso do usuário do segmento primordial. Isso é importante, pois a adição de vários segmentos adiciona várias opções a essa lista suspensa.

2. Abra o menu de navegação e clique em Segurança e Identidade e, em seguida, em Federação.
3. Clique em Adicionar Provedor de Identidades.
4. Na tela exibida, preencha os campos, conforme mostrado abaixo.

   Campo	Entrada
   Nome	<stripename>_service
   Descrição	Federation with IDCS secondary stripe
   Tipo	Oracle Identity Cloud Service
   URL Base do Oracle Identity Cloud Service	Informe este URL usando o formato: https://idcs-xxxx.identity.oraclecloud.com Substitua a parte do domínio <idcs-xxxx> pelo segmento secundário do IDCS.
   ID do Cliente/Segredo do Cliente	Especifique essas informações que você criou no segmento secundário e anotou durante as etapas de Criar um Cliente OAuth no Segmento Secundário.
   Impor Autenticação	Selecione esta opção

5. Clique em Continuar.
6. Mapeie o segmento secundário do IDCS e os grupos do OCI criados anteriormente.
   Mapeie o grupo de segmentos secundários do IDCS (criado em Criar um Grupo do IDCS para Usuários de Segmento Secundário) e o grupo do OCI (criado em Criar um Grupo do Oracle Cloud Infrastructure para Usuários de Segmento Secundário).
7. Clique em Adicionar Provedor.
   A federação de segmentos secundários é concluída. Observe que o mapeamento de grupo é exibido.
   
   

   
   

   
   
8. Verifique a faixa secundária e configure a visibilidade para administradores e usuários da faixa secundária.

   • O administrador do tenant pode ver todas as faixas do IDCS federadas na console do OCI:

   • O administrador de faixas secundárias e todos os outros usuários de faixas secundárias não verão faixas sob federação. Para resolver isso, consulte Fornecer Acesso a um Segmento Federado no Grupo de Console do Oracle Cloud Infrastructure para Usuários de Segmento Secundário.

Com a federação concluída, configure políticas do Oracle Cloud Infrastructure que permitam que usuários federados do segmento secundário do IDCS criem instâncias do Oracle Integration. Como um padrão comum, a política tem escopo em um compartimento.

1. Crie um compartimento no qual as instâncias do Oracle Integration para o segmento secundário do IDCS possam ser criadas. Nomeie o compartimento como stripename_compartment.
   Por exemplo, crie um compartimento chamado stripe2_compartment.
2. Crie uma política que permita que usuários federados criem instâncias do Oracle Integration no compartimento. Atribua à política o nome stripename_adminpolicy (por exemplo, stripe2_adminpolicy).
   Em Policy Builder, selecione Mostrar editor manual.

   • Sintaxe: allow group stripename_administrators toverb resource-typein compartmentstripename_compartment

   • Política: allow group oci_stripe2_administrators to manage integration-instances in compartment stripe2_compartment

   Esta política permite que um usuário que é membro do grupo na política crie uma instância do Oracle Integration (integration-instance) no compartimento chamado stripe2_compartment.

Execute etapas adicionais para ativar o administrador de faixas secundário e todos os outros usuários de faixas secundárias para ver faixas sob federação.

1. No Oracle Identity Cloud Service, crie um grupo chamado stripe2_federation_administrators.
2. Adicione usuários ao grupo que você deseja que vejam a federação e crie usuários e grupos na console do Oracle Cloud Infrastructure nessa faixa.
3. Na console do Oracle Cloud Infrastructure, usando o usuário de faixa principal com a permissão correta, crie um grupo do Oracle Cloud Infrastructure chamado oci_stripe2_federation_administrators.
4. Mapeie os grupos stripe2_federation_administrators e oci_stripe2_federation_administrators.
5. Usando os exemplos de instrução a seguir, defina uma política que conceda acesso a faixas federadas.
   Vários dos exemplos mostram como conceder acesso a uma faixa federada específica, usando uma cláusula where que identifica a faixa secundária. Você pode obter o OCID da federação na view da federação na console do Oracle Cloud Infrastructure.

   Permite aos administradores de faixas secundárias...	Instrução da política
   Criar grupos (usar)	allow group oci_stripe2_federation_administrators to use groups in tenancy
   Listar os provedores de identidade na federação (inspect)	allow group oci_stripe2_federation_administrators to inspect identity-providers in tenancy Observe que, se os administradores de faixas secundárias forem necessários para criar grupos, essa política será necessária quando uma cláusula where for incluída.
   Acessar uma faixa federada específica (use)	allow group oci_stripe2_federation_administrators to use identity-providers in tenancy where target.identity-provider.id=“ocid1.saml2idp.oc1..aaaaaaaaa…”
   Gerencie TODOS ou SOMENTE um provedor de identidade de faixa secundária (gerenciador) específico	ALL: allow group oci_stripe2_federation_administrators to manage identity-providers in tenancy UM provedor de identidade de faixa secundária específico: allow group oci_stripe2_federation_administrators to manage identity-providers in tenancy where target.identity-provider.id = "ocid1.saml2idp.oc1..aaaaaaaaa…"

Com políticas de federação e do Oracle Cloud Infrastructure definidas, os usuários federados podem acessar a Console do Oracle Cloud Infrastructure e criar instâncias do Oracle Integration.

1. Efetue sign-in como usuário federado na faixa secundária.
   Os usuários precisam selecionar o segmento secundário no campo Provedor de Identidades (idcs-secondary-stripe-service, neste caso).
2. Os administradores autorizados podem criar instâncias do Oracle Integration no compartimento especificado (idcs-secondary-stripe-compartment, neste caso).