Mandanten vorbereiten

Bevor Compute Cloud@Customer installiert wird, muss Ihr Mandant so eingerichtet sein, dass er zur Verwaltung der Authentifizierung einen föderierten Identitätsprovider verwendet.

Wenn Oracle Compute Cloud@Customer installiert, konfiguriert Oracle die Compute Cloud@Customer-Infrastruktur so, dass sie denselben föderierten Identitätsprovider verwendet. Auf diese Weise können Sie dieselben Zugangsdaten für den Zugriff auf Oracle Cloud Infrastructure und Compute Cloud@Customer verwenden.

Wenn Ihr Mandant bereits für die Verwendung eines föderierten Identitätsproviders konfiguriert ist, einschließlich Identity Cloud Service von Oracle, sind Sie alle festgelegt. Teilen Sie Ihre föderierten Identitätsinformationen mit Ihrem Oracle-Vertreter. Wenden Sie sich andernfalls an Ihren Oracle-Mitarbeiter, um einen föderierten Identitätsprovider einzurichten.

Sie können einen externen Identitätsprovider oder Oracle Identity Cloud Service verwenden. Der Typ des Identitätsproviders, den Sie verwenden können, hängt vom Typ des Mandanten ab, den Sie haben (einen Mandanten mit IAM-Identitätsdomains oder ohne IAM-Identitätsdomains).

Weitere Informationen finden Sie in folgenden Ressourcen:

• Mandantenart bestimmen
• Mandanten mit Identitätsdomains - Mit Identitätsanbietern föderieren
• Mandanten ohne Identitätsdomains - Mit Identitätsprovider föderieren

Informationen zum Sichern der IAM-Föderation finden Sie unter IAM-Föderation.

Um Ihren Oracle Cloud Infrastructure-Mandanten vorzubereiten, identifizieren Sie Benutzer und erstellen Gruppen für die Personen in Ihrer Organisation, die die Compute Cloud@Customer-Infrastruktur verwalten.

Führen Sie diese Aufgabe aus, bevor Compute Cloud@Customer mit Oracle Cloud Infrastructure verbunden ist.

Informationen zum Hinzufügen von Benutzern und Gruppen finden Sie unter Oracle Identity Cloud Service-Benutzer und -Gruppen in der Oracle Cloud Infrastructure-Konsole verwalten.

1. Identifizieren Sie den Mandantenadministrator.

2. Erstellen Sie mindestens eine Gruppe mit Benutzern, die diese administrativen Aufgaben ausführen können:

   • Erstellen, aktualisieren und löschen Sie Compute Cloud@Customer-Infrastrukturen.
   • Erstellen, aktualisieren und löschen Sie Compute Cloud@Customer-Upgradepläne.
   • Führen Sie den zertifikatbasierten Registrierungsprozess aus, mit dem die sichere Verbindung der Infrastruktur zu Ihrem Mandanten hergestellt wird. Es wird empfohlen, eine bestimmte Gruppe für diese administrative Aufgabe zu erstellen und nur Berechtigungen zu erteilen, die auf die Ausführung dieser Aufgabe beschränkt sind.

Die Gruppen sind in Policys enthalten, die Sie später definieren. Siehe Erforderliche Policys hinzufügen.

Wenn Compute Cloud@Customer mit Oracle Cloud Infrastructure verbunden ist, sind mindestens ein Compartment erforderlich.

Ein Compartment ist eine Sammlung aus zugehörigen Ressourcen. Compartments sind eine wichtige Komponente von Oracle Cloud Infrastructure für die Organisation und Isolation der Cloud-Ressourcen. Mit ihnen können Sie Ressourcen zur Kontrolle des Zugriffs (mit Policys) und zur Isolierung (Trennung der Ressourcen für ein Projekt oder eine Geschäftseinheit) trennen.

Für Compute Cloud@Customer ist mindestens ein Compartment für die folgenden Elemente erforderlich:

• Compute Cloud@Customer-Infrastrukturverbindung zu Oracle Cloud Infrastructure.
• Das VCN, das Sie schließlich für die Verbindung zu Oracle Cloud Infrastructure erstellt haben.

Compute Cloud@Customer kann mit Ihrem Mandanten (Root Compartment), einem vorhandenen Compartment oder einem neuen Compartment verbunden werden. Sie können mehrere Compartments verwenden. Beispiel: Sie können ein Compartment für die Infrastrukturverbindung und ein anderes für das VCN verwenden.

1. Erstellen Sie ein Compartment, oder wählen Sie es aus, je nachdem, wie Sie den Zugriff auf Ressourcen mit Compartments kontrollieren.

   Wenn Sie ein neues Compartment erstellen möchten, melden Sie sich bei OCI an, und verwenden Sie die Oracle Cloud-Konsole, oder erstellen Sie das Compartment in Ihrem Mandanten mit der OCI-CLI oder OCI-API.

   Hinweis
   
   

   Compartments, die für Compute Cloud@Customer verwendet werden, einschließlich Compartments für die Installation, werden in OCI erstellt und verwaltet. Compartments werden in der Compute Cloud@Customer-Infrastruktur nicht verwaltet. Alle Compartments im Mandanten werden automatisch alle zehn Minuten mit der Compute Cloud@Customer-Infrastruktur synchronisiert.

   Eine Einführung in Compartments und Anweisungen zum Verwalten von Compartments finden Sie unter Compartments verwalten.

Bestimmte IAM-Policys müssen konfiguriert werden, bevor Compute Cloud@Customer mit Ihrem Mandanten verbunden ist.

1. Konfigurieren Sie die folgenden Policys in Ihrem Mandanten.

   Informationen zum Arbeiten mit Policys finden Sie unter Policys verwalten.

   Wenn Ihr Mandant Identitätsdomains unterstützt, können Sie Policys erstellen, mit denen die dynamische Gruppe angegeben wird. Informationen dazu, ob Ihr Mandant Identitätsdomains hat oder nicht, finden Sie unter Mandantenart bestimmen.

   Hinweis
   
   

   Sie können verschiedene Policy-Anweisungen erstellen, um denselben Zugriff auf Ressourcen zu erreichen. Die folgende Liste von Policys enthält Beispiele. Sie können das Beispiel verwenden oder Policy-Variationen erstellen, solange die Policys den Zugriff auf den richtigen Benutzer oder die richtige Gruppe für die jeweilige Ressource zulassen.

   Policy 1 – Ermöglicht Benutzern das Erstellen, Lesen, Aktualisieren und Löschen von Compute Cloud@Customer-Infrastrukturen und Upgradeplänen.

   Wichtig
   
   Geben Sie eine IAM-Gruppe an, die nur die Benutzer enthält, die Berechtigungen zum Verwalten von Infrastrukturen und Upgradeplänen benötigen. Die Administration dieser Ressourcen ist für die Funktionalität von Compute Cloud@Customer von entscheidender Bedeutung und darf nicht für nicht autorisierte Benutzer zulässig sein.

   Policy-Beispiel für IAM mit oder ohne Identitätsdomains:

   allow group <group_name> to manage ccc-family in tenancy

   Policy 2 - Ermöglicht Compute Cloud@Customer die Verwendung Ihrer IAM-Daten für die Identitäts- und Zugriffsverwaltung auf Compute Cloud@Customer-Ressourcen.

   Policy-Beispiel für IAM mit oder ohne Identitätsdomains:

   allow any-user to {COMPARTMENT_INSPECT, USER_INSPECT, GROUP_INSPECT, DYNAMIC_GROUP_INSPECT, POLICY_READ, TAG_NAMESPACE_INSPECT, USER_READ, TAG_DEFAULT_INSPECT, TAG_NAMESPACE_READ, DOMAIN_READ, DOMAIN_INSPECT } in tenancy where all { request.principal.id='<ccc-infrastructure_OCID>', request.principal.type='cccinfrastructure' }

   Policy-Beispiel für IAM mit Identitätsdomains:

   allow dynamic-group <dynamic-group> to {COMPARTMENT_INSPECT, USER_INSPECT, GROUP_INSPECT, DYNAMIC_GROUP_INSPECT, POLICY_READ, TAG_NAMESPACE_INSPECT, USER_READ, TAG_DEFAULT_INSPECT, TAG_NAMESPACE_READ, DOMAIN_READ, DOMAIN_INSPECT} in tenancy

   Policy 3: Ermöglicht dem Compute Cloud@Customer-Infrastrukturservice, Ihnen Benachrichtigungen zu Upgrades zu senden.

   Weitere Informationen zu Upgradebenachrichtigungen und zum Abonnieren dieser Benachrichtigungen finden Sie unter Upgradebenachrichtigungen abonnieren.

   Die folgenden Beispiele zeigen Policys für IAM mit oder ohne Identitätsdomains:

   allow any-user to manage ons-topics in tenancy where request.principal.type ='cccinfrastructurenotifier'

   Die Policy kann geändert werden, um den Zugriff auf das Root Compartment einzuschränken, wie im folgenden Beispiel dargestellt:

   allow any-user to manage ons-topics in tenancy where all {request.principal.type='cccinfrastructurenotifier', target.compartment.name = 'root_compartment' }

   Wenn Sie den Zugriff auf ein Compartment einschränken, muss es sich um das Root Compartment (Mandant) handeln.

   Policy 4 - Ermöglicht einem Benutzer in der angegebenen Gruppe, den Registrierungsprozess zu initiieren, mit dem die Infrastruktur mit Ihrem OCI-Mandanten kommunizieren kann.

   Hinweis
   
   

   Geben Sie keine reguläre Admin-Gruppe an. Erstellen Sie stattdessen eine Gruppe mit einem Benutzer, dessen einziger Zweck es ist, den Registrierungsprozess auszuführen.

   Weitere Informationen finden Sie unter Compute Cloud@Customer-Infrastruktur mit OCI verbinden.

   Die folgenden Policy-Beispiele gelten für IAM mit oder ohne Identitätsdomains.

   In diesem Beispiel wird die Policy auf Mandantenebene festgelegt:

   allow group <group_name> to { CCC_CERTIFICATE_REGISTER } in tenancy

   In diesem Beispiel wird die Policy auf Compartment-Ebene festgelegt. Das Compartment muss das Compartment sein, das mit der Infrastruktur verknüpft ist:

   allow group <group_name> to { CCC_CERTIFICATE_REGISTER } in compartment '<compartment_name>'

Informationen zu Compute Cloud@Customer-Policys, mit denen Sie den Zugriff auf die Compute Cloud@Customer-Infrastruktur kontrollieren und Zeitplanvorgänge für Upgrades ausführen können, finden Sie unter Compute Cloud@Customer-Policy-Referenz.

Bevor Compute Cloud@Customer mit Ihrem Mandanten verbunden ist, erstellen Sie ein VCN mit einem Subnetz im Mandanten.