Documentación de Oracle Cloud Infrastructure

Incidencias conocidas de las instancias de Identity Cloud Service en IAM

Problemas conocidos de la migración de instancias de Identity Cloud Service a OCI IAM.

Valores de atributo inesperados después de la conversión

Una vez que las instancias de Identity Cloud Service se han convertido en dominios de identidad en OCI IAM, puede que encuentre que algunos atributos de algunos objetos del dominio de identidad por defecto tienen un resultado inesperado. No verá nada diferente en la consola, pero si utiliza scripts y API, estos cambios pueden afectar a los resultados.

Los atributos afectados son:

  • meta.lastModified
  • meta.version (etiqueta)
  • idcsLastModifiedBy

Los cambios se aplican a los siguientes objetos cuando se han actualizado aproximadamente 3 semanas antes de convertir las instancias:

  • Usuarios
  • Grupos
  • Aplicaciones
  • Algunas credenciales (MFA TOTP)
  • Contraseña de usuario createdOn

A continuación, se muestran los detalles de los cambios de atributo.

Cuando el recurso se crea por primera vez como parte de la migración:

  • meta.lastModified, meta.created se define en la fecha y hora original en la que se crea el recurso en IAM.
  • meta.version (etag) es el juego de etag original cuando se creó el recurso en IAM.
  • idcsLastModifiedBy, idcsCreatedBy se define en el principal original que ha creado el recurso en IAM.

Si el recurso se actualiza antes de que finalice la migración:

  • meta.lastModified se define en la fecha y hora en que se actualiza el recurso en Identity Cloud Service.
  • meta.version (etag) se define en función de la fecha y hora en que se actualiza el recurso en Identity Cloud Service.
  • idcsLastModifiedBy se define en la entidad de servicio de identidad que ha actualizado el recurso en Identity Cloud Service.

No debe hacer nada. Estos atributos se definen correctamente la próxima vez que se modifica el objeto.

El usuario de un segmento puede ver los datos de auditoría de otros segmentos

En las instancias de Identity Cloud Service, un usuario de un segmento autorizado para ver AuditEvents solo puede verlas desde ese segmento. La migración a OCI IAM crea un recurso de dominio para cada segmento en el compartimento por defecto del arrendamiento de OCI correspondiente y, dado que la autorización para ver AuditEvents se basa en compartimentos, el usuario puede ver AuditEvents desde cada segmento del mismo compartimento.

Puede conservar el comportamiento que un usuario de un segmento solo puede ver AuditEvents en ese segmento creando un compartimento para cada segmento y, a continuación, moviendo el recurso de dominio que representa el segmento a su propio compartimento.

El administrador de arrendamiento de OCI tiene la visibilidad y los derechos adecuados para ver todos los recursos del dominio de identidad para hacerlo.

  • Al mover un recurso de dominio a un compartimento, se mueven todos los usuarios de ese dominio a ese nuevo compartimento y se les da acceso de forma implícita a los recursos de ese compartimento.
  • Al mover un recurso de dominio a un compartimento, también todos los eventos auditables que emite el dominio a OCI Audit V2 son específicos de ese compartimento.
  • Solo un usuario con acceso a ese compartimento puede ver los eventos auditables emitidos por un dominio en ese compartimento.