Como prática recomendada, defina um <stripename> para todas as entidades que você criará específicas para o segmento. A identificação exclusiva de configurações associadas a um segmento é importante, principalmente quando vários segmentos são configurados.

Nas seções a seguir, você usará stripename nestas entidades:

No IDCS, crie um grupo no segmento secundário e adicione usuários do segmento secundário ao grupo.

1. Adicionar um grupo no segmento secundário e nomeá-lo como stripename_administrators. Por exemplo, dê o nome stripe2_administrators. Clique em Finalizar.
   Esses administradores terão permissão para criar instâncias do Process Automation. Este grupo do IDCS será mapeado com um grupo do IAM. Consulte Mapear os Grupos do IDCS e do Serviço IAM.
2. Adicione usuários do segmento secundário ao grupo.

Crie um aplicativo confidencial do IDCS que use credenciais do cliente OAuth e receba a atribuição de administrador de domínio do IDCS. Você deve criar um aplicativo confidencial por segmento secundário.

1. Como administrador do IDCS, acesse a console de administração secundária do IDCS.
2. Adicione um aplicativo confidencial.
   1. Navegue até a guia Aplicativos.
   2. Clique em Adicionar.
   3. Escolha Aplicativo Confidencial.
   4. Nomeie o aplicativo como Client_Credentials_For_SAML_Federation.
   5. Clique em Próximo.
3. Defina as configurações do cliente.
   1. Clique em Configurar este aplicativo como cliente agora.
   2. Em Autorização, selecione Credenciais do Cliente.
   3. Em Conceder ao cliente acesso às APIs de Administração do Identity Cloud Service, clique em Adicionar e selecione a atribuição de aplicativo Administrador de Domínio de Identidades.
   4. Clique em Próximo duas vezes.
4. Clique em Finalizar. Depois que o aplicativo for criado, anote o ID do cliente e o segredo do cliente. Você precisará dessas informações nas próximas etapas para a federação
5. Clique em Ativar e confirme a ativação do aplicativo.

Este grupo é necessário porque a federação IDP SAML do Oracle Cloud Infrastructure requer mapeamento de grupo para federar usuários do IDCS (IDP) federado, e a associação de grupo nativo do OCI é necessária para definir e conceder permissões (políticas) do Oracle Cloud Infrastructure para usuários federados.

1. Na Console do Oracle Cloud Infrastructure, abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Grupos.
   Este grupo do IAM será mapeado com o grupo do IDCS criado.
2. Crie um grupo e dê a ele o nome oci_stripename_administrators. Por exemplo, dê a ele o nome oci_stripe2_administrators.

Agora que você tem os grupos do IDCS e do IAM criados e as informações do cliente necessárias, crie o provedor de identidades do IDCS e mapeie os grupos.

1. Acesse a console do Oracle Cloud Infrastructure. Selecione o domínio de identidades do segmento primordial (identitycloudservice) e informe as respectivas credenciais de usuário.
   Lembre-se de que o mapeamento de grupo para um segmento secundário usa o acesso do usuário do segmento primordial. Isso é importante, pois a adição de vários segmentos adiciona várias opções a essa lista suspensa.
2. Abra o menu de navegação e clique em Identidade e Segurança; em seguida, em Federação.
3. Clique em Adicionar Provedor de Identidades.
4. Na janela resultante, preencha os campos conforme mostrado abaixo.

   Campo	Informações para Inserir
   Nome	<stripename>_service
   Descrição	Federation with IDCS secondary stripe
   Tipo	Oracle Identity Cloud Service
   URL Base do Oracle Identity Cloud Service	Informe o seguinte URL usando o formato: https://idcs-xxxx.identity.oraclecloud.com Substitua a parte do domínio <idcs-xxxx> pelo segmento secundário do IDCS.
   ID do Cliente/Segredo do Cliente	Informe o ID e o segredo do cliente que você obteve ao criar um cliente OAuth no segmento secundário. Consulte Criar um Cliente OAuth no Segmento Secundário.
   Impor Autenticação	Selecione esta opção.

5. Clique em Continuar.
6. Mapeie o segmento secundário do IDCS e os grupos do OCI criados anteriormente.
   Mapeie o grupo de segmentos secundários do IDCS (criado em Criar um Grupo do IDCS para Usuários Secundários do Stripe) e o grupo do OCI (criado em Criar um Grupo do IAM para Usuários Secundários do Stripe).
7. Clique em Adicionar Provedor.
   A federação de segmentos secundários é concluída. Observe que o mapeamento de grupo é exibido.
8. Verifique o segmento secundário e configure a visibilidade para administradores e usuários do segmento secundário.
   • O administrador do tenant pode ver todas as faixas do IDCS federadas na console do OCI.
   • O administrador de segmentos secundários e todos os outros usuários de segmentos secundários não verão faixas sob federação. Para resolver isso, consulte Fornecer Acesso a um Segmento Federado no Grupo do IAM para Usuários Secundários do Stripe.

Com a federação concluída, configure políticas do serviço IAM que permitam que usuários federados do segmento secundário do IDCS criem instâncias do Oracle Cloud Infrastructure Process Automation. Como um padrão comum, a política tem escopo em um compartimento.

1. Criar um compartimento no qual as instâncias do Oracle Cloud Infrastructure Process Automation para o segmento secundário do IDCS podem ser criadas. Dê ao compartimento o nome stripename_compartment.
   Por exemplo, crie um compartimento chamado stripe2_compartment.
2. Crie uma política que permita que usuários federados criem instâncias do Oracle Cloud Infrastructure Process Automation no compartimento. Dê à política o nome stripename_adminpolicy (por exemplo, stripe2_adminpolicy)

   Em Policy Builder, selecione Mostrar editor manual.

   • Sintaxe: allow group stripename_administrators to verb resource-type in compartment stripename_compartment
   • Política: allow group oci_stripe2_administrators to manage process-automation-instance in compartment stripe2_compartment

Execute etapas adicionais para permitir que o administrador do segmento secundário e todos os outros usuários do segmento secundário vejam faixas sob federação.

1. No Oracle Identity Cloud Service, crie um grupo chamado stripe2_federation_administrators.
2. Adicione usuários ao grupo que você deseja que possa ver a federação e criar usuários e grupos na console do Oracle Cloud Infrastructure nesse segmento.
3. Na console do Oracle Cloud Infrastructure, usando o usuário do segmento principal com a permissão correta, crie um grupo do IAM chamado oci_stripe2_federation_administrators.
4. Mapeie os grupos stripe2_federation_administrators e oci_stripe2_federation_administrators.
5. Usando os exemplos de instrução a seguir, defina uma política que conceda acesso a faixas federadas.

   Vários dos exemplos mostram como conceder acesso a um segmento federado específico, usando uma cláusula where que identifica o segmento secundário.

   Você pode obter o OCID da federação na view da federação na console do Oracle Cloud Infrastructure.

   Permite que administradores de segmentos secundários...	Instrução da política
   Criar grupos (usar)	allow group oci_stripe2_federation_administrators to use groups in tenancy
   Listar os provedores de identidade na federação (inspect)	allow group oci_stripe2_federation_administrators to inspect identity-providers in tenancy Observe que se os administradores de segmentos secundários forem necessários para criar grupos, essa política será necessária quando uma cláusula where for incluída.
   Acessar uma faixa federada específica (usar)	allow group oci_stripe2_federation_administrators to use identity-providers in tenancy where target.identity-provider.id=“ocid1.saml2idp.oc1..aaaaaaaaa…”

   Ao acessar como usuário no grupo do IDCS acima, você pode criar usuários e grupos na console do Oracle Cloud Infrastructure e designar permissões como faria em um segmento principal.

Com as políticas de federação e do Oracle Cloud Infrastructure definidas, os usuários federados podem acessar a Console do Oracle Cloud Infrastructure e criar instâncias do Oracle Cloud Infrastructure Process Automation.

1. Efetue sign-in como um usuário federado do segmento secundário.
   Os usuários precisarão selecionar o segmento secundário no campo Provedor de Identidades. Por exemplo, stripe2_administrators.
2. Os administradores autorizados podem encerrar instâncias do Process Automation no compartimento especificado (por exemplo, stripe2_compartment).