Preparando sua Tenancy

Antes da instalação de um dispositivo Roving Edge, sua tenancy deve ser configurada para usar um provedor de identidades federado para gerenciar a autenticação.

Se a sua tenancy já estiver configurada para usar um provedor de identidades federado, incluindo o Identity Cloud Service da Oracle, você estará tudo definido. Compartilhe suas informações de identidade federada com seu representante Oracle. Caso contrário, trabalhe com seu representante Oracle para estabelecer um provedor de identidades federado.

Você pode usar um provedor de identidades externo ou o Oracle Identity Cloud Service. O tipo de provedor de identidades que você pode usar depende do tipo de tenancy que você tem (uma tenancy com domínios de identidades do IAM ou sem domínios de identidades do IAM).

Para obter mais informações, consulte estes recursos:

• Determinando o Tipo de Tenancy
• Tenancies com Domínios de Identidades – Federando com Provedores de Identidades
• Tenancies sem Domínios de Identidades – Federando com Provedores de Identidades

Para obter informações sobre como proteger a Federação do IAM, consulte Federação do IAM.

Para preparar sua tenancy do Oracle Cloud Infrastructure (OCI), identifique usuários e crie grupos para as pessoas em sua organização que administram dispositivos Roving Edge.

Execute esta tarefa antes que um dispositivo Roving Edge seja instalado.

Para obter informações sobre como adicionar usuários e grupos, consulte Gerenciando Usuários e Grupos Oracle Identity Cloud Service na Console do Oracle Cloud Infrastructure.

1. Identifique o administrador da tenancy.

2. Crie pelo menos um grupo com usuários que possam executar estas tarefas administrativas:

   • Crie, atualize e exclua infraestruturas do Roving Edge.
   • Crie, atualize e exclua programações de upgrade do Roving Edge.
   • Execute o processo de registro baseado em certificado que estabelece a conexão segura da infraestrutura à sua tenancy. Recomendamos que você crie um grupo específico para esta tarefa administrativa e conceda apenas permissões limitadas à execução desta tarefa.

Os grupos são incluídos nas políticas definidas posteriormente. Consulte Adicionar Políticas Obrigatórias.

Quando um dispositivo Roving Edge está associado ao Oracle Cloud Infrastructure, um ou mais compartimentos são necessários.

Um compartimento é uma coleção de recursos relacionados. Compartimentos são um componente fundamental do Oracle Cloud Infrastructure para organizar e isolar seus recursos na nuvem. Use-os para separar recursos para fins de controle de acesso (usando políticas) e isolamento (separando os recursos para um projeto ou unidade de negócios de outro).

Para dispositivos Roving Edge, pelo menos um compartimento é necessário para os seguintes itens:

• Associação de dispositivo Roving Edge com o Oracle Cloud Infrastructure.
• A VCN que você eventualmente cria para a associação ao Oracle Cloud Infrastructure.

O dispositivo Roving Edge pode ser associado à sua tenancy (compartimento raiz), a um compartimento existente ou a um novo compartimento. Você pode usar vários compartimentos. Por exemplo, você pode usar um compartimento para a conexão de infraestrutura e outro para a VCN.

1. Crie ou escolha um compartimento existente com base em como você usa compartimentos para controlar o acesso a recursos.

   Se você planeja criar um novo compartimento, acesse o OCI e use a Console do Oracle Cloud, a CLI do OCI ou a API do OCI para criar o compartimento em sua tenancy.

   Para obter uma introdução aos compartimentos e instruções sobre como gerenciar compartimentos, consulte Gerenciando Compartimentos.

Determinadas políticas do IAM devem ser configuradas para que o Roving Edge esteja associado à sua tenancy.

1. Configure as políticas a seguir em sua tenancy.

   Para obter informações sobre como trabalhar com políticas, consulte Gerenciando Políticas.

   Se sua tenancy suportar Domínios de Identidade, você poderá criar políticas que especifiquem o grupo dinâmico. Para determinar se sua tenancy tem ou não Domínios de Identidade, consulte Determinando o Tipo de Tenancy.

   Observação
   
   

   Diferentes declarações de política podem ser construídas para atingir o mesmo nível de acesso aos recursos. A lista de políticas a seguir fornece exemplos. Você pode usar o exemplo ou criar variações de política, desde que as políticas permitam o acesso ao usuário ou grupo correto para o recurso específico.

   Política 1 – Permite que os usuários criem, leiam, atualizem e excluam programações de upgrade e Roving Edge.

   Importante
   
   Especifique um grupo do serviço IAM que inclua apenas os usuários que exigem permissões para gerenciar infraestruturas e programações de upgrade. A administração desses recursos é fundamental para a funcionalidade dos dispositivos Roving Edge e não deve ser permitida para usuários não autorizados.

   Exemplo de política para o serviço IAM com ou sem Domínios de Identidades:

   allow group <group_name> to manage ccc-family in tenancy

   Política 2 – Permite que os dispositivos Roving Edge usem seus dados do IAM para gerenciamento de identidade e acesso nos recursos do Roving Edge.

   Exemplo de política para o serviço IAM com ou sem Domínios de Identidades:

   allow any-user to {COMPARTMENT_INSPECT, USER_INSPECT, GROUP_INSPECT, DYNAMIC_GROUP_INSPECT, POLICY_READ, TAG_NAMESPACE_INSPECT, USER_READ, TAG_DEFAULT_INSPECT, TAG_NAMESPACE_READ, DOMAIN_READ, DOMAIN_INSPECT } in tenancy where all { request.principal.id='<ccc-infrastructure_OCID>', request.principal.type='cccinfrastructure' }

   Exemplo de política para o serviço IAM com Domínios de Identidade:

   allow dynamic-group <dynamic-group> to {COMPARTMENT_INSPECT, USER_INSPECT, GROUP_INSPECT, DYNAMIC_GROUP_INSPECT, POLICY_READ, TAG_NAMESPACE_INSPECT, USER_READ, TAG_DEFAULT_INSPECT, TAG_NAMESPACE_READ, DOMAIN_READ, DOMAIN_INSPECT} in tenancy

   Política 3 – Permite que o serviço Roving Edge envie notificações sobre atualizações.

   Os exemplos a seguir mostram políticas para o serviço IAM com ou sem Domínios de Identidades:

   allow any-user to manage ons-topics in tenancy where request.principal.type ='cccinfrastructurenotifier'

   A política pode ser modificada para restringir o acesso ao compartimento raiz, conforme mostrado no seguinte exemplo:

   allow any-user to manage ons-topics in tenancy where all {request.principal.type='cccinfrastructurenotifier', target.compartment.name = 'root_compartment' }

   Se você restringir o acesso a um compartimento, ele deverá ser ao compartimento raiz (tenancy).

   Política 4 – Permite que um usuário do grupo especificado inicie o processo de registro que permite que a infraestrutura se comunique com sua tenancy do OCI.

   Observação
   
   

   Não especifique um grupo de administradores regular. Em vez disso, crie um grupo com um usuário cujo único objetivo seja executar o processo de registro.

   Para obter mais informações, consulte Associando um Roving Edge Device à sua Tenancy do OCI.

   Os exemplos de política a seguir são para o serviço IAM com ou sem Domínios de Identidade.

   Este exemplo define a política no nível da tenancy:

   allow group <group_name> to { CCC_CERTIFICATE_REGISTER } in tenancy

   Este exemplo define a política no nível do compartimento. O compartimento deve ser o compartimento associado à infraestrutura:

   allow group <group_name> to { CCC_CERTIFICATE_REGISTER } in compartment '<compartment_name>'

Antes de um dispositivo Roving Edge ser conectado à sua tenancy, crie uma VCN com uma sub-rede na tenancy.