Bài đăng trên blog này giới thiệu các thành phần Quản lý truy cập và nhận dạng (IAM) của Cơ sở hạ tầng đám mây Oracle® (OCI) và hiển thị một số tính năng giúp bạn quản lý tài nguyên đám mây Oracle.
Bài đăng xác định các loại quyền truy cập cho các tài nguyên cụ thể mà bạn có thể chỉ định cho một nhóm người dùng và cách bạn có thể liên kết OCI với Dịch vụ đám mây nhận dạng Oracle (IDCS).
Các thành phần của IAM
IAM bao gồm các thành phần sau:
-
Tài nguyên :Tài nguyên là một đối tượng được tạo trong OCI, chẳng hạn như Máy tính, khối, mạng đám mây ảo (VCN) và mạng con.
-
Người dùng :Một người dùng được chỉ định vào một nhóm cung cấp các đặc quyền hạn chế và tích lũy tài nguyên OCI theo chính sách thuê và ngăn cho nhóm.
-
Nhóm :Nhóm là tập hợp những người dùng có quyền truy cập vào cùng một Nguồn OCI. Người dùng có thể là thành viên của một hoặc nhiều nhóm.
-
Nhóm động :Một nhóm động cung cấp bảo mật và cho phép bạn quản lý các khóa ở phía máy khách thay vì phía máy chủ. Một nhóm động có thể liên kết các cá thể cụ thể trong ngăn. Bạn có thể chỉ định chính sách cho một nhóm động để cung cấp quyền truy cập vào một phiên bản cụ thể để truy cập thông qua giao diện lập trình viên ứng dụng (API).
-
Ngăn :Ngăn là một vùng chứa logic toàn cầu, nơi bạn có thể thực thi các chính sách và cung cấp quyền truy cập kiểm soát vào Máy tính, Lưu trữ, Mạng, Bộ cân bằng tải và các tài nguyên khác. Ví dụ:bạn có thể sử dụng một chính sách để hạn chế người dùng, không phải quản trị viên, sử dụng tài nguyên được tạo trong ngăn đó.
-
Thuê nhà :Thuê nhà là ngăn gốc mặc định và chứa tất cả các Nguồn OCI. Trong thời hạn thuê, quản trị viên có thể tạo một hoặc nhiều khoang, người dùng và nhóm. Sau đó, quản trị viên có thể chỉ định chính sách cho phép các nhóm sử dụng tài nguyên trong một ngăn.
-
Chính sách :Một chính sách xác định ai có thể truy cập tài nguyên ở cấp nhóm và cấp ngăn với các cấp truy cập sau:
-
Kiểm tra
-
Đọc
-
Sử dụng
-
Quản lý
-
-
Vùng :Một khu vực là một vị trí địa lý nơi các tài nguyên IAM cư trú. Các tài nguyên dịch vụ của IAM là toàn cầu và có thể có một lần thuê duy nhất trên nhiều khu vực. Oracle tuyên truyền những thay đổi được thực hiện trong khu vực chính cho tất cả các khu vực.
-
Liên kết :Liên kết là một cơ chế giữa hai hoặc nhiều bên hoạt động như một nhà cung cấp danh tính và nhà cung cấp dịch vụ. Nó quản lý người dùng và nhóm trong nhà cung cấp danh tính. IDCS cung cấp liên kết cho OCI theo mặc định.
Tài nguyên IAM
Phần này mô tả nguồn tài nguyên, định danh tài nguyên và giới hạn nguồn tài nguyên.
Phạm vi tài nguyên
Bởi vì IAM định nghĩa tài nguyên là toàn cầu, chúng có sẵn trên tất cả các nhóm và thành phần miền khả dụng.
Mã định danh tài nguyên
Tài nguyên OCI sử dụng một tên duy nhất (OCID) với cú pháp sau:
ocid1.<resource-type>.<realm>.[region][.future-use].<unique-ID>
Trình giữ chỗ OCID bao gồm các phần tử sau:
-
ocid1 :Phiên bản OCID.
-
loại tài nguyên :Loại tài nguyên, chẳng hạn như phiên bản, khối lượng, VCN, mạng con, người dùng hoặc nhóm.
-
cảnh giới :Vùng chứa một tập hợp các vùng và chia sẻ các thực thể với các miền khả dụng. Một cảnh giới có thể có các giá trị sau:
- oc1 :lĩnh vực thương mại
- oc2 :Vùng đám mây chính phủ
- oc3 :Khu vực đám mây của Chính phủ Liên bang.
Giới hạn tài nguyên
Giới hạn IAM là hạn ngạch tài nguyên IAM kiểm soát số lượng phiên bản Máy tính tối đa trong miền khả dụng.
Để xem giới hạn thuê nhà và mức sử dụng theo khu vực, hãy thực hiện các bước sau:
- Mở bảng điều khiển IAM.
- Mở Người dùng và nhấp vào Thuê nhà .
- Nhấp vào Giới hạn dịch vụ .
Khi một phiên bản đạt đến giới hạn dịch vụ cho một tài nguyên cụ thể, bạn có thể gửi yêu cầu tăng giới hạn dịch vụ và tạo tài nguyên mới cần thiết.
Để yêu cầu tăng giới hạn dịch vụ, hãy thực hiện các bước sau:
- Mở Trợ giúp , đi tới Hỗ trợ và nhấp vào Yêu cầu tăng giới hạn dịch vụ .
- Nhập các chi tiết sau:
- Chi tiết liên hệ chính
- Danh mục dịch vụ
- Tài nguyên
- Lý do yêu cầu
- Nhấp vào Gửi Yêu cầu .
Liên kết với các nhà cung cấp danh tính
OCI hỗ trợ liên kết cho các thành phần và nhà cung cấp danh tính sau:
-
IDCS
-
Microsoft® Active Directory®
-
Microsoft Azure® Active Directory
-
Okta®
-
Nhà cung cấp danh tính hỗ trợ giao thức Ngôn ngữ đánh dấu xác nhận bảo mật (SAML) 2.0
Trong các ví dụ trong bài đăng blog này, tôi sử dụng IDCS làm nhà cung cấp danh tính.
Các bước để liên kết với IDCS
Thực hiện các bước sau để liên kết với IDCS:
Bước 1:Nhận thông tin bắt buộc từ IDCS
-
Đăng nhập vào bảng điều khiển OCI IDCS với các đặc quyền của quản trị viên.
-
Trong bảng điều khiển IDCS, nhấp vào Ứng dụng .
-
Nhấp vào BIỂU DIỄN CẠNH TRANH .
-
Nhấp vào Cấu hình .
-
Mở rộng Thông tin chung để hiển thị ID khách hàng.
-
Nhấp vào Hiển thị bí mật để xem Bí mật của khách hàng.
-
Lưu ID khách hàng và bí mật khách hàng.
Bước 2:Thêm nhà cung cấp danh tính trong OCI
-
Đăng nhập vào bảng điều khiển bằng thông tin đăng nhập OCI của bạn.
-
Mở Quản trị và quản trị trình đơn điều hướng và nhấp vào Danh tính -> Liên kết .
-
Nhấp vào Thêm nhà cung cấp danh tính .
- Nhập các chi tiết sau:
- Tên :Tên phải là duy nhất trên tất cả các nhà cung cấp danh tính. Oracle thêm tên vào hợp đồng thuê nhà và bạn không thể sửa đổi nó.
- Mô tả :Mô tả rõ ràng.
- URL cơ sở IDCS :URL tài nguyên.
- ID khách hàng :Mã nhận dạng khách hàng mà bạn đã thu thập trước đây.
- Bí mật khách hàng :Bí mật của khách hàng mà bạn đã thu thập trước đây.
- Nhấp vào Hiển thị Tuỳ chọn Nâng cao và nhập các chi tiết sau:
- Mã hóa xác nhận :Chọn hộp kiểm để bật mã hóa từ IDP. Nếu không chọn hộp kiểm này, bạn phải thiết lập mã hóa xác nhận trong IDCS.
- Thẻ :Bạn cũng có thể áp dụng các thẻ nếu bạn có quyền tạo tài nguyên. Để áp dụng một thẻ đã xác định, bạn phải có quyền sử dụng không gian tên thẻ.
- Nhấp vào Tiếp tục .
- Xác định ánh xạ giữa nhóm IDCS và nhóm IAM trong OCI. Bạn có thể ánh xạ các nhóm IDCS thành 0, một hoặc nhiều nhóm IAM và ngược lại.
Liên kết trang bây giờ hiển thị nhà cung cấp danh tính trong danh sách thuê nhà. Oracle gán OCID cho mỗi ánh xạ nhóm.
Bước 3:Thiết lập chính sách IAM cho các nhóm
Thực hiện theo quy trình chuẩn của bạn để thiết lập chính sách IAM cho các nhóm.
Bước 4:Cung cấp URL và URL cho người dùng được liên kết
Cung cấp cho người dùng được liên kết tên của người thuê và URL đăng nhập. URL phải giống với ví dụ sau:
https://console.us-cshburn-1.oraclecloud.com
Quản lý nhà cung cấp danh tính trong bảng điều khiển
Phần này cung cấp các bước để xóa nhà cung cấp nhận dạng và thêm, cập nhật hoặc xóa ánh xạ nhóm cho IDCS.
Xóa nhà cung cấp danh tính
Để xóa nhà cung cấp danh tính, hãy thực hiện các bước sau:
- Xóa Nhà cung cấp Danh tính khỏi hợp đồng thuê nhà.
- Mở Quản trị và Quản trị trình đơn điều hướng và nhấp vào Danh tính -> Liên kết để xem danh sách Nhà cung cấp danh tính trong hợp đồng thuê nhà.
- Nhấp vào Nhà cung cấp danh tính mà bạn muốn xóa để xem chi tiết.
- Nhấp vào Xóa và xác nhận.
- Xóa hợp đồng thuê nhà khỏi tài khoản IDCS.
- Mở bảng điều khiển IDCS và đăng nhập vào tài khoản liên kết.
- Nhấp vào Ứng dụng để hiển thị danh sách các ứng dụng.
- Tìm thuê nhà và nhấp vào tên của nó để xem trang chi tiết.
- Nhấp vào Hủy kích hoạt và xác nhận.
- Nhấp vào Xóa và xác nhận.
Thêm ánh xạ nhóm cho IDCS
Để thêm ánh xạ nhóm cho IDCS, hãy thực hiện các bước sau:
-
Mở Quản trị và quản trị trình đơn điều hướng và nhấp vào Danh tính để hiển thị danh sách các nhà cung cấp danh tính trong hợp đồng thuê nhà.
-
Nhấp vào Liên kết và nhấp vào tên liên kết IDCS để xem chi tiết.
-
Nhấp vào Chỉnh sửa chi tiết nhà cung cấp .
- Thêm ít nhất một ánh xạ.
- Nhấp vào + Thêm ánh xạ .
- Chọn nhóm IDCS từ Nhóm nhà cung cấp danh tính danh sách.
- Chọn nhóm IAM để lấy danh sách các Nhóm OCI.
- Chọn Nhóm OCI mới để tạo một nhóm OCI mới trong IAM, thay vì một nhóm IAM mới và ánh xạ nhóm OCI mới với nhóm IDP.
- Lặp lại bước 4 cho mỗi ánh xạ và nhấp vào Gửi sau khi bạn đã thêm tất cả các ánh xạ.
Cập nhật hoặc xóa một ánh xạ nhóm
Để cập nhật hoặc xóa ánh xạ nhóm, hãy thực hiện các bước sau:
-
Mở Quản trị và quản trị trình đơn điều hướng và nhấp vào Danh tính -> Liên kết để hiển thị danh sách Nhà cung cấp danh tính trong quá trình thuê nhà.
-
Nhấp vào Nhà cung cấp danh tính để xem chi tiết.
-
Nhấp vào Chỉnh sửa ánh xạ .
-
Cập nhật ánh xạ hoặc nhấp vào X để xóa ánh xạ.
-
Nhấp vào Gửi .
Kết luận
Bài đăng trên blog này mô tả cách các thành phần IAM khác nhau hoạt động cùng nhau và cách bạn có thể liên kết nhiều tài khoản IDCS trong OCI.
Sử dụng tab Phản hồi để đưa ra bất kỳ nhận xét hoặc đặt câu hỏi nào. Bạn cũng có thể trò chuyện ngay bây giờ để bắt đầu cuộc trò chuyện.
Tìm hiểu thêm về các dịch vụ Cơ sở dữ liệu của chúng tôi