Documentação do Oracle Cloud Infrastructure

Configurar Vários Segmentos de Identidade para Automação de Processos

Para o Oracle Cloud Infrastructure Process Automation, o segmento principal (primordial) é federado automaticamente usando grupos pré-configurados. No entanto, você pode criar ambientes distintos para um único serviço de nuvem ou aplicativo (por exemplo, criar um ambiente para desenvolvimento e um para produção), em que cada ambiente tem diferentes requisitos de identidade e segurança.

Observação

Este tópico só se aplica a tenancies que não usam domínios de identidades. Consulte Diferenças entre Tenancies com e sem Domínios de Identidades.

A implementação de um ou mais segmentos secundários permite criar e gerenciar várias instâncias do Oracle Identity Cloud Service para proteger seus aplicativos e os serviços do Oracle Cloud.

Você pode federar manualmente uma ou mais faixas secundárias com o Oracle Cloud Infrastructure usando uma federação SAML IDP na qual várias faixas do Oracle Identity Cloud Service estão associadas à mesma conta de nuvem. Observe que o proprietário da conta administra os segmentos primários e secundários, mas as identidades dentro dos segmentos são isoladas umas das outras.

Primeiro, defina uma convenção de nomeação para a segmentação, conforme descrito em Definir uma Convenção de Nomeação de Segmento. Em seguida, siga estas etapas para federar manualmente um segmento secundário para sua conta na nuvem. Você deve ser o proprietário da conta.

  1. Criar um Grupo IDCS para Usuários Secundários do Stripe
  2. Criar um Cliente OAuth no Segmento Secundário
  3. Criar um Grupo do IAM para Usuários Secundários do Stripe
  4. Criar a Federação e Seu Mapeamento de Grupo
  5. Criar uma Política do IAM para Usuários Federados para Criar Instâncias
  6. Fornecer Acesso a um Segmento Federado no Grupo do IAM para Usuários Secundários do Segmento
  7. Criar Instâncias do Process Automation nos Compartimentos Secundários do Stripe

Definir uma Convenção de Nomeação de Segmento

Como prática recomendada, defina um <stripename> para todas as entidades que você criará específicas para o segmento. A identificação exclusiva de configurações associadas a um segmento é importante, principalmente quando vários segmentos são configurados.

Nas seções a seguir, você usará stripename nestas entidades:

Entidade Convenção de nomeação
Grupo do IDCS stripename_administrators
Grupo do OCI oci_stripename_administrators
Compartimento stripename_compartment
Provedor de identidades stripename_service
Política stripename_adminpolicy
Instrução da Política allow group oci_stripename_administrators to manage process-automation-instance in compartment stripename_compartment

Criar um Grupo IDCS para Usuários Secundários do Stripe

No IDCS, crie um grupo no segmento secundário e adicione usuários do segmento secundário ao grupo.

  1. Adicione um grupo ao segmento secundário e dê a ele um nome stripename_administrators. Por exemplo, nomeie-o como stripe2_administrators. Clique em Finalizar.
    Esses administradores terão permissão para criar instâncias do Process Automation. Este grupo do IDCS será mapeado com um grupo do IAM. Consulte Mapear os Grupos do IDCS e do Serviço IAM.
  2. Adicione usuários do segmento secundário ao grupo.

Criar um Cliente OAuth no Segmento Secundário

Crie um aplicativo confidencial do IDCS que use credenciais do cliente OAuth e receba a atribuição de administrador de domínio do IDCS. Você deve criar um aplicativo confidencial por segmento secundário.

  1. Como administrador do IDCS, acesse a console de administração secundária do IDCS.
  2. Adicione um aplicativo confidencial.
    1. Navegue até a guia Aplicativos.
    2. Clique em Adicionar.
    3. Escolha Aplicativo Confidencial.
    4. Nomeie o aplicativo como Client_Credentials_For_SAML_Federation.
    5. Clique em Próximo.
  3. Configure as definições do cliente.
    1. Clique em Configurar este aplicativo como cliente agora.
    2. Em Autorização, selecione Credenciais do Cliente.
    3. Em Conceder ao cliente acesso às APIs de Administração do Identity Cloud Service, clique em Adicionar e selecione a atribuição de aplicativo Administrador de Domínio de Identidades.
    4. Clique em Próximo duas vezes.
  4. Clique em Finalizar. Depois que o aplicativo for criado, anote o ID e o segredo do cliente. Você precisará dessas informações nas próximas etapas para a federação
  5. Clique em Ativar e confirme a ativação do aplicativo.

Criar um Grupo do IAM para Usuários Secundários do Stripe

Esse grupo é necessário porque a federação IDP SAML do Oracle Cloud Infrastructure exige mapeamento de grupo para federar usuários do IDP (IDCS) federado, e a associação de grupo nativo do OCI é necessária para definir e conceder permissões (políticas) do Oracle Cloud Infrastructure para usuários federados.

  1. Na Console do Oracle Cloud Infrastructure, abra o Menu de Navegação e clique em Identidade & Segurança. Em Identidade, clique em Grupos.
    Este grupo do IAM será mapeado com o grupo do IDCS criado.
  2. Crie um grupo e dê a ele o nome oci_stripename_administrators. Por exemplo, nomeie-o como oci_stripe2_administrators.

Criar a Federação e Seu Mapeamento de Grupo

Agora que você tem os grupos do IDCS e do IAM criados e as informações do cliente necessárias, crie o provedor de identidades do IDCS e mapeie os grupos.

  1. Acesse a console do Oracle Cloud Infrastructure. Selecione o domínio de identidades do segmento primordial (identitycloudservice) e informe as respectivas credenciais de usuário.
    Lembre-se de que o mapeamento de grupo para um segmento secundário usa o acesso do usuário do segmento primordial. Isso é importante, pois a adição de vários segmentos adiciona várias opções a essa lista suspensa.
  2. Abra o menu de navegação e clique em Identidade e Segurança e depois em Federação.
  3. Clique em Adicionar Provedor de Identidades.
  4. Na janela resultante, preencha os campos conforme mostrado abaixo.
    Campo Informações para Inserir
    Nome <stripename>_service
    Descrição Federation with IDCS secondary stripe
    Tipo Oracle Identity Cloud Service
    URL Base do Oracle Identity Cloud Service

    Informe o seguinte URL usando o formato:

    https://idcs-xxxx.identity.oraclecloud.com

    Substitua a parte do domínio <idcs-xxxx> pelo segmento secundário do IDCS.

    ID do Cliente/Segredo do Cliente

    Informe o ID e o segredo do cliente que você obteve ao criar um cliente OAuth no segmento secundário. Consulte Criar um Cliente OAuth no Segmento Secundário.

    Impor Autenticação Selecione esta opção.
  5. Clique em Continuar.
  6. Mapeie o segmento secundário do IDCS e os grupos do OCI criados anteriormente.
    Mapeie o grupo de segmentos secundários do IDCS (criado em Criar um Grupo do IDCS para Usuários Secundários do Stripe) e o grupo do OCI (criado em Criar um Grupo do IAM para Usuários Secundários do Stripe).
  7. Clique em Adicionar Provedor.
    A federação de segmentos secundários é concluída. Observe que o mapeamento de grupo é exibido.
  8. Verifique o segmento secundário e configure a visibilidade para os administradores e usuários do segmento secundário.

Criar uma Política do IAM para Usuários Federados para Criar Instâncias

Com a federação feita, configure políticas do serviço IAM que permitam que usuários federados do segmento secundário do IDCS criem instâncias do serviço Oracle Cloud Infrastructure Process Automation. Como padrão comum, a política tem escopo em um compartimento.

  1. Crie um compartimento no qual possam ser criadas instâncias do Oracle Cloud Infrastructure Process Automation para o segmento secundário do IDCS. Nomeie o compartimento stripename_compartment.
    Por exemplo, crie um compartimento chamado stripe2_compartment.
  2. Crie uma política que permita que usuários federados criem instâncias do Oracle Cloud Infrastructure Process Automation no compartimento. Dê à política o nome stripename_adminpolicy (por exemplo, stripe2_adminpolicy).

    Em Policy Builder, selecione Mostrar editor manual.

    • Sintaxe: allow group stripename_administrators to verb resource-type in compartment stripename_compartment
    • Política: allow group oci_stripe2_administrators to manage process-automation-instance in compartment stripe2_compartment
Esta política permite a um usuário que seja membro do grupo na política criar uma instância do Oracle Cloud Infrastructure Process Automation (process-automation-instance) no compartimento chamado stripe2_compartment.

Fornecer Acesso a um Segmento Federado no Grupo do IAM para Usuários Secundários do Segmento

Execute etapas adicionais para permitir que o administrador do segmento secundário e todos os outros usuários do segmento secundário vejam faixas sob federação.

  1. No Oracle Identity Cloud Service, crie um grupo chamado stripe2_federation_administrators.
  2. Adicione usuários ao grupo que você deseja poder ver a federação e crie usuários e grupos na console do Oracle Cloud Infrastructure nessa faixa.
  3. Na console do Oracle Cloud Infrastructure, usando o usuário de segmento principal com a permissão correta, crie um grupo do serviço IAM chamado oci_stripe2_federation_administrators.
  4. Mapeie os grupos stripe2_federation_administrators e oci_stripe2_federation_administrators.
  5. Usando os exemplos de instrução a seguir, defina uma política que conceda acesso a segmentos federados.

    Vários dos exemplos mostram como conceder acesso a um segmento federado específico, usando uma cláusula where que identifica o segmento secundário.

    Você pode obter o OCID da federação pela view de federação na console do Oracle Cloud Infrastructure.

    Permite que administradores de segmentos secundários... Instrução da política
    Criar grupos (usar) allow group oci_stripe2_federation_administrators to use groups in tenancy
    Listar os provedores de identidade na federação (inspect) allow group oci_stripe2_federation_administrators to inspect identity-providers in tenancy

    Observe que se os administradores de segmentos secundários forem necessários para criar grupos, essa política será necessária quando uma cláusula where for incluída.
    Acessar uma faixa federada específica (usar) allow group oci_stripe2_federation_administrators to use identity-providers in tenancy where target.identity-provider.id=“ocid1.saml2idp.oc1..aaaaaaaaa…”

    Ao acessar como usuário no grupo do IDCS acima, você pode criar usuários e grupos na console do Oracle Cloud Infrastructure e atribuir permissões como faria em um segmento principal.

Criar Instâncias do Process Automation nos Compartimentos Secundários do Stripe

Com a federação e as políticas do Oracle Cloud Infrastructure definidas, os usuários federados podem acessar o Console do Oracle Cloud Infrastructure e criar instâncias doOracle Cloud Infrastructure Process Automation.

  1. Acesse como um usuário federado do segmento secundário.
    Os usuários precisarão selecionar o segmento secundário no campo Provedor de Identidades. Por exemplo, stripe2_administrators.
  2. Os administradores autorizados podem interromper as instâncias do Process Automation no compartimento especificado (por exemplo, stripe2_compartment).