Lors de mes deux derniers articles, j’ai eu le plaisir de vous parler d’Oracle Enterprise Manager 12c Cloud Control.
Après 2 mois d’utilisation en environnement de production, je peux vous affirmer que ce produit, qui s’inscrit dans la lignée des précédentes version, est fabuleux.
Je ne vais pas faire ici de publicité directe pour ce produit mais je dois reconnaître avoir gagné énormément de temps en terme de gestion et de confort de délégation grâce à cet opus.

Pourquoi est-ce le cas ? Tout simplement grâce à une interface qui reprend le look & feel de l’administration Weblogic mais aussi grâce à ses nouvelles fonctionnalités.
Aujourd’hui, je vais vous parler de la délégation des droits et de la création d’utilisateurs par le biais de l’interface Web mais aussi de l’interface de ligne de commande (EMCLI). Cette méthode n’est bien sûr pas innovante mais reste pratique.
Premièrement, voici l’architecture utilisateur mise en place chez mon client :

Les règles sont relativement simples :

• Les membres de chaque regroupement fonctionnel ne doivent avoir qu’accès qu’à leurs bases,
• Les architectes et les membres de l’encadrement doivent avoir accès en lecture à toutes les bases (consultation uniquement, pas d’opérations administratives),
• Les DBA doivent avoir accès à toutes les bases avec un accès total.

Pour ce faire, nous allons voir comment créer différents rôles dans EM 12c et comment attacher nos utilisateurs dans ces rôles.
Pour créer un nouveau rôle, il vous suffit, depuis EM 12c R2, d’aller dans le menu Setup puis Security et Roles.
Ici, je vais créer le groupe regroupant architectes et les managers :

1. Cliquez sur Create,
2. Inscrivez le nom de votre groupe et cliquez sur Next,
3. Ajoutez maintenant le rôle EM_USER et cliquez sur Next,
4. Dans la liste des Privilèges applicables à toutes les cibles, sélectionnez Connect to any viewable target et View any Target et cliquez par deux fois sur Next,
5. Si vous le souhaitez, vous pouvez directement ajouter des utilisateurs à ce nouveau rôle et cliquer sur Next.
6. Après vérification, vous pouvez cliquer sur Finish.

Après avoir créé notre groupe en lecture global, nous allons pouvons créer nos groupes fonctionnels.
Ici, j’ai choisi d’utiliser une fonction de contournement pour l’administrer simplement. Il s’agit des groupes dynamiques. Ainsi, si une cible correspond à un critère défini, elle sera automatiquement ajoutée à notre groupe.
Voici la démarche pour créer ce type de groupe :

1. Dans le menu Setup, déroulez le sous-menu Add Target et cliquez sur Dynamic Group,
2. Inscrivez le nom de votre groupe (Groupe Fonctionnel 1 par exemple) et cliquez sur Define Membership Criteria. Pour effectuer simplement les regroupements dynamiques, j’ai décidé de me baser sur le champ Contact. Pour chaque nouvelle cible, il sera donc nécessaire d’ajouter le bon contenu dans cette propriété.
3. Dans la fenêtre Define Membership Criteria, cliquez sur la loupe située en face du champ Contact,
4. Dans la partie Additional Values, indiquez Groupe Fonctionnel 1 puis cliquez sur Add et enfin Select et OK,
5. Vous pouvez maintenant valider la création du groupe en cliquant sur OK.

Notre groupe de cibles créé, nous pouvons maintenant créer le rôle qui aura accès en lecture à ce dernier :

1. Dans le menu Setup puis Security et Roles, cliquez sur Create,
2. Inscrivez le nom de votre groupe (Groupe Fonctionnel 1 par exemple) et cliquez sur Next,
3. Ajoutez maintenant le rôle EM_USER et cliquer sur Next,
4. Dans la partie Target Privileges, cliquez sur Add,
5. Dans le menu déroulant Target Type, sélectionnez Group,
6. Cochez la case correspondante au groupe Groupe Fonctionnel 1 et cliquez sur Select,
7. Cliquez sur le crayon à droite du tableau, en face de la ligne de votre groupe et sélectionnez la Connect Target Read-only,
8. Vous pouvez directement cliquez sur le bouton Review puis, après vérification, vous pouvez cliquer sur Finish.

Voilà, nous disposons maintenant de notre groupe et du rôle associé, nous pouvons maintenant y ajouter nos cibles.
Pour chaque cible déjà enregistrée, vous devez éditer ses propriétés. Ainsi, vous devez vous rendre sur la page d’accueil de chaque base puis, dans le menu déroulant correspondant au type de la cible (Cluster database, Database instance…), déroulez le menu Target Setup et cliquez sur Properties. Après avoir cliqué sur Edit, indiquez dans le champs Contact l’information réglée précédemment (Groupe Fonctionnel 1 dans mon exemple). Vous pouvez maintenant cliquer sur Ok.
Si vous souhaitez vérifier le résultat, vous pouvez dérouler le menu Targets puis cliquer sur Groups. En cliquant sur le nom du groupe, vous pouvez voir les différentes informations d’administration.
Il ne nous reste plus, maintenant, qu’à ajouter des utilisateurs dans OEM 12c et de les intégrer dans les groupes.J’ai choisi pour cette partie de passez par la ligne de commande afin de faciliter l’automatisation des utilisateurs.
EMCLI est un exécutable stand-alone qui va nous permettre d’interagir avec l’OMS. Pour l’utiliser, il est nécessaire de s’y identifier.
Placez-vous dans l’environnement OMS puis identifiez-vous auprès de l’OMS :

emcli login -username=<votre login>

Afin d’avoir le contenu de l’aide, il vous suffit de taper

emcli help

Voici maintenant la ligne de commande à utiliser pour créer un utilisateur et pour l’intégrer dans un rôle :

emcli create_user -name="USER_NAME" -password="PASSWORD" -type=EM_USER -expired=true -email="USERNAME@DOMAIN.COM" -desc="First and LASTNAME" -role="IPROD_FRONT_OFFICE;EM_USER"

Si vous souhaitez créer un utilisateur DBA, voici la commande à utiliser :

emcli create_user -name="USER_NAME" -password="PASSWORD" -type=EM_USER -expired=true -email="USERNAME@DOMAIN.COM" -desc="First and LASTNAME" -privilege=SUPER_USER

Comme d’habitude, en cas de besoin, n’hésitez pas à utiliser les commentaires.