当我为 IdentityClient 调用 list_users 方法时,它会列出用户(包括 IDP 用户)。我在 OCI 控制台中创建了 IDP 组映射。现在我想要一些东西,我可以在不使用身份控制台或 IDCS API 的情况下识别每个特定 IDP 用户、IDP 组或他们拥有的权限。
我们是否有任何规定,我可以在其中招募 IDP 组用户,或者以任何方式识别该 IDP 用户属于该 IDP 组,以便基于 IDP 组映射我可以说该 IDP 用户具有这些权限。
问问题
277 次
1 回答
1
您可以获取 IdP 用户的 OCI 组成员身份,然后将 OCI 组名称映射到 IdP 组名称。这仅在您的 OCI 组与您的 IdP 组 1:1 映射时才有效。然后可以通过策略将权限应用于 OCI 组。这对你有用吗?
ListUserGroupMemberships API 将告诉您用户所属的所有 OCI 组。
如果您需要 IdP 组名称并且可以确保创建 1:1 组映射,您还可以使用 ListIdPGroupMappings API 将 OCI 组名称转换为 IdP 组名称。
ListUserGroupMemberships API:https ://oracle-cloud-infrastructure-python-sdk.readthedocs.io/en/latest/api/identity/client/oci.identity.IdentityClient.html#oci.identity.IdentityClient.list_user_group_memberships
ListIdpGroupMappings API: https ://oracle-cloud-infrastructure-python-sdk.readthedocs.io/en/latest/api/identity/client/oci.identity.IdentityClient.html#oci.identity.IdentityClient.list_idp_group_mappings
于 2020-07-24T16:02:33.343 回答