Bekannte Probleme bei Identity Cloud Service-Instanzen in IAM

Nachdem Identity Cloud Service-Instanzen in Identitätsdomains in OCI IAM konvertiert wurden, können Sie feststellen, dass einige Attribute für einige Objekte in der Standardidentitätsdomain ein unerwartetes Ergebnis haben. In der Konsole wird nichts anderes angezeigt. Wenn Sie jedoch Skripte und APIs verwenden, können sich diese Änderungen auf die Ergebnisse auswirken.

Folgende Attribute sind betroffen:

• meta.lastModified
• meta.version (etag)
• idcsLastModifiedBy

Die Änderungen gelten für die folgenden Objekte, wenn sie innerhalb von etwa 3 Wochen vor der Konvertierung der Instanzen aktualisiert wurden:

• Benutzer
• Gruppen
• Anwendungen
• Einige Zugangsdaten (MFA TOTP)
• Benutzerkennwort createdOn

Im Folgenden finden Sie Details zu den Attributänderungen.

Beim ersten Erstellen einer Ressource im Rahmen der Migration:

• meta.lastModified, meta.created wird auf das ursprüngliche Datum und die ursprüngliche Uhrzeit der Ressourcenerstellung in IAM gesetzt.
• meta.version (etag) ist das ursprüngliche Etag, das beim Erstellen der Ressource in IAM festgelegt wurde.
• idcsLastModifiedBy, idcsCreatedBy ist auf den ursprünglichen Principal festgelegt, der die Ressource in IAM erstellt hat.

Wenn die Ressource vor Abschluss der Migration aktualisiert wird:

• meta.lastModified wird auf das Datum und die Uhrzeit der Aktualisierung der Ressource in Identity Cloud Service gesetzt.
• meta.version (etag) wird basierend auf dem Datum und der Uhrzeit der Aktualisierung der Ressource in Identity Cloud Service festgelegt.
• idcsLastModifiedBy ist auf den Identity Service-Principal festgelegt, der die Ressource in Identity Cloud Service aktualisiert hat.

Sie müssen nichts tun. Diese Attribute werden bei der nächsten Änderung des Objekts korrekt festgelegt.

In Identity Cloud Service-Instanzen kann ein Benutzer in einem Stripe, der zur Anzeige von AuditEvents autorisiert ist, diese nur aus diesem Stripe anzeigen. Bei der Migration zu OCI IAM wird eine Domainressource für jeden Stripe im Standard-Compartment des entsprechenden OCI-Mandanten erstellt. Da die Autorisierung zur Anzeige von AuditEvents auf Compartments basiert, kann der Benutzer AuditEvents aus jedem Stripe in demselben Compartment anzeigen.

Sie können das Verhalten beibehalten, das ein Benutzer in einem Stripe nur AuditEvents in diesem Stripe sehen kann, indem Sie ein Compartment für jeden Stripe erstellen und dann die Domainressource, die den Stripe darstellt, in sein eigenes Compartment verschieben.

Der OCI-Mandantenadministrator verfügt über die erforderlichen Visibilität und Rechte, um alle Identitätsdomainressourcen anzuzeigen.

• Wenn Sie eine Domainressource in ein Compartment verschieben, werden alle Benutzer in dieser Domain in dieses neue Compartment verschoben, und sie erhalten implizit Zugriff auf Ressourcen in diesem Compartment.
• Wenn Sie eine Domainressource in ein Compartment verschieben, werden auch alle auditierbaren Ereignisse, die von der Domain in OCI Audit V2 ausgegeben werden, für dieses Compartment spezifisch.
• Nur ein Benutzer mit Zugriff auf dieses Compartment kann die auditierbaren Ereignisse sehen, die von einer Domain in diesem Compartment ausgegeben werden.