Oracle Cloud Infrastructure - Dokumentation

Benutzerzugangsdaten

Es gibt verschiedene Typen von Zugangsdaten, die Sie mit Oracle Cloud Infrastructure Identity and Access Management (IAM) verwalten:

  • Konsolenkennwort: Zur Anmeldung in der Konsole, der Benutzeroberfläche zur Interaktion mit Oracle Cloud Infrastructure. Beachten Sie, dass föderierte Benutzer keine Konsolenkennwörter haben können, weil sie sich über ihren Identitätsprovider anmelden. Siehe Mit Identitätsprovidern föderieren.
  • API-Signaturschlüssel (im PEM-Format): Zum Senden von API-Anforderungen, für die eine Authentifizierung erforderlich ist.
  • Authentifizierungstoken: Ein von Oracle generiertes Token, das Sie zur Authentifizierung mit Drittanbieter-APIs verwenden können. Beispiel: Mit einem Authentifizierungstoken können Sie sich bei einem Swift-Client authentifizieren, wenn Sie eine Oracle Database System-(DB System-)Datenbank mit Recovery Manager (RMAN) in Object Storage sichern.
  • Kunden-Secret-Keys: Zur Verwendung der Amazon S3-Kompatibilitäts-API mit Object Storage. Siehe Amazon S3-Kompatibilitäts-API.
  • OAuth 2.0-Clientzugangsdaten: Für Die Interaktion mit den APIs von Services, die die OAuth 2.0-Autorisierung verwenden. Siehe OAuth 2.0-Clientzugangsdaten.
  • SMTP-Zugangsdaten: Zur Verwendung von Überblick über den Email Delivery-Service.
  • IAM-Datenbankkennwort: Benutzer können ihr Datenbankkennwort im IAM-Benutzerprofil erstellen und verwalten und dieses Kennwort zur Authentifizierung bei Datenbanken in ihrem Mandanten verwenden. Siehe IAM-Datenbankkennwörter.
Wichtig

API-Signaturschlüssel unterscheiden sich von den SSH-Schlüsseln, die Sie auf eine Compute-Instanz zugreifen (siehe Compute-Instanzen). Weitere Informationen zu API-Signaturschlüsseln finden Sie unter Erforderliche Schlüssel und OCIDs. Weitere Informationen zu SSH-Instanzschlüsseln finden Sie unter Schlüsselpaare verwalten.

Benutzerkennwort

Der Administrator, der einen neuen Benutzer in IAM erstellt, muss auch ein Einmalkennwort für die Konsole für den Benutzer generieren (siehe So erstellen Sie das Konsolenkennwort eines anderen Benutzers oder zurücksetzen). Der Administrator muss das Kennwort sicher an den Benutzer übermitteln, indem er es verbal bereitstellt, ausdruckt oder über einen sicheren E-Mail-Service sendet.

Wenn sich der Benutzer zum ersten Mal in der Konsole anmelded, wird es sofort aufgefordert, das Kennwort zu ändern. Wenn der Benutzer länger als 7 Tage wartet, bis er sich zum ersten Mal anmeldet und das Kennwort ändert, läuft es ab, und ein Administrator muss ein neues Einmalkennwort für den Benutzer erstellen.

Nachdem sich der Benutzer erfolgreich bei der Konsole angemeldet hatte, kann er die Oracle Cloud Infrastructure-Ressourcen entsprechend den Berechtigungen verwenden, die ihm über Policys erteilt wurden.

Hinweis

Ein Benutzer verfügt automatisch über die Berechtigung, sein Kennwort in der Konsole zu ändern. Ein Administrator muss keine Policy erstellen, um einem Benutzer diese Zugriffsberechtigung zu erteilen.

Kennwörter ändern

Wenn ein Benutzer irgendwann nach dem Ändern seines anfänglichen Einmalkennworts sein eigenes Kennwort ändern möchte, kann er dies in der Konsole ausführen. Beachten Sie, dass ein Benutzer sein eigenes Kennwort automatisch ändern kann. Ein Administrator muss keine Policy erstellen, um dem Benutzer diese Zugriffsberechtigung zu erteilen.

Weitere Informationen finden Sie unter So ändern Sie Ihr Konsolenkennwort.

Wenn ein Benutzer sein Konsolenkennwort zurücksetzen muss

Wenn ein Benutzer sein Konsolenkennwort vergisst und keinen Zugriff auf die API hat, kann ein Benutzer über den Link Kennwort vergessen der Konsole ein temporäres Kennwort an ihn senden. Diese Option ist verfügbar, wenn der Benutzer eine E-Mail-Adresse in seinem Benutzerprofil angegeben hat.

Wenn der Benutzer keine E-Mail-Adresse in seinem Benutzerprofil angegeben hat, muss er einen Administrator bitten, sein Kennwort zurückzusetzen. Alle Administratoren (und alle anderen Benutzer, die eine Berechtigung für den Mandanten haben) können Konsolenkennwörter zurücksetzen. Beim Zurücksetzen des Kennworts wird ein neues Einmalkennwort generiert, das der Administrator dem Benutzer bereitstellen muss. Der Benutzer muss bei der nächsten Anmeldung bei der Konsole das Kennwort ändern.

Wenn Sie ein Administrator sind, der das Konsolenkennwort eines Benutzers zurücksetzen muss, finden Sie weitere Informationen unter So können Sie die Konsolenkennwortes eines anderen Benutzers erstellen oder zurücksetzen.

Wenn Benutzer für die Anmeldung in der Konsole gesperrt werden

Wenn ein Benutzer 10 Mal nacheinander ohne Erfolg versucht, sich in der Konsole anzumelden, wird er automatisch für weitere Versuche gesperrt. Sie müssen sich an einen Administrator wenden, damit die Benutzersperre aufgehoben wird (siehe So heben Sie eine Benutzersperre auf).

API-Signaturschlüssel

Ein Benutzer, der API-Anforderungen durchführen muss, muss seinem IAM-Benutzerprofil einen RSA-Publikumschlüssel im PEM-Format (mindestens 2048 Bit) hinzugefügt haben und die API-Anforderungen mit dem entsprechenden Private Key signieren (siehe Erforderliche Schlüssel und OCIDs).

Wichtig

Ein Benutzer verfügt automatisch über die Berechtigung seine eigenen API-Schlüssel in der Konsole oder API zu generieren und zu verwalten. Ein Administrator muss keine Policy schreiben, um dem Benutzer diese Zugriffsberechtigung zu erteilen. Beachten Sie, dass Benutzer ihre eigenen Zugangsdaten erst dann mit der API ändern oder löschen können, wenn sie selbst einen Schlüssel in der Konsole gespeichert haben oder ein Administrator einen Schlüssel für den Benutzer in der Konsole oder der API hinzugefügt haben.

Wenn Sie ein nicht menschliches System verwenden und API-Anforderungen erstellen müssen, muss ein Administrator einen Benutzer für dieses System erstellen und dann einen Public Key im IAM-Service für das System hinzufügen. Ein Konsolenkennwort für den Benutzer muss nicht generiert werden.

Anweisungen zum Generieren eines API-Schlüssels finden Sie unter So fügen Sie einen API-Signaturschlüssel hinzu.

OAuth 2.0-Clientzugangsdaten

Hinweis

OAuth 2.0-Clientzugangsdaten sind in United Kingdom Government Cloud (OC4) nicht verfügbar.

OAuth 2.0-Clientzugangsdaten sind erforderlich, um programmgesteuert mit den Services zu interagieren, die das Autorisierungsprotokoll OAuth 2.0 verwenden. Mit den Zugangsdaten können Sie ein sicheres Token für den Zugriff auf die REST-API-Endpunkte dieser Services abrufen. Die vom Token gewährten zulässigen Aktionen und Endpunkte sind von den Geltungsbereichen (Berechtigungen) abhängig, die Sie beim Generieren der Zugangsdaten auswählen. Weitere Informationen finden Sie unter Mit OAuth 2.0-Clientzugangsdaten arbeiten.

Authentifizierungstoken

Authentifizierungstoken werden von Oracle generiert. Sie verwenden Authentifizierungstokens zur Authentifizierung mit Drittanbieter-APIs, die keine signaturbasierte Authentifizierung in Oracle Cloud Infrastructure unterstützen, beispielsweise die Swift-API. Wenn Ihr Service ein Authentifizierungstoken erfordert, finden Sie in der servicespezifischen Dokumentation Anweisungen dazu, wie Sie ein Token generieren und verwenden können.

IAM-Datenbankkennwörter

Überblick über IAM-Datenbankkennwörter verwalten.

Überblick

Ein IAM-Datenbankkennwort unterscheidet sich von einem Konsolenkennwort. Durch das Festlegen eines IAM-Datenbankkennworts kann sich ein autorisierter IAM-Benutzer bei einer oder mehreren autonomen KI-Datenbanken in ihrem Mandanten anmelden.

Durch die Zentralisierung der Benutzeraccountverwaltung in IAM wird die Sicherheit verbessert. Außerdem wird der Aufwand für Datenbankadministratoren bei der Verwaltung von Benutzern minimiert, die einer Organisation beitreten, dort versetzt werden oder diese verlassen (auch als Benutzerlebenszyklusmanagement bezeichnet). Benutzer können ein Datenbankkennwort in IAM festlegen und dieses Kennwort zur Authentifizierung verwenden, wenn sie sich bei entsprechend konfigurierten Oracle-Datenbanken in ihrem Mandanten anmelden.

Benutzerfreundlich

Datenbankendbenutzer können weiterhin vorhandene unterstützte Datenbankclients und Tools für den Zugriff auf die Datenbank verwenden. Anstatt jedoch den lokalen Datenbankbenutzernamen und das lokale Kennwort zu verwenden, nutzen sie den IAM-Benutzernamen und das IAM-Datenbankkennwort. Sie können erst auf Datenbankkennwörter zugreifen, die Sie über Ihr OCI-Profil verwalten, nachdem Sie sich erfolgreich bei OCI authentifiziert haben. Das bedeutet, dass Administratoren eine zusätzliche Schutzebene erstellen können, bevor Benutzer auf ihr Datenbankkennwort zugreifen oder dieses verwalten können. Sie können die Multifaktor-Authentifizierung für ihr Konsolenkennwort erzwingen, indem Sie beispielsweise FIDO-Authentikatoren oder Push-Benachrichtigungen über Authentikator-Apps ausführen.

Unterstützte Funktionen

IAM-Datenbankkennwörter unterstützen das direkte Verknüpfen eines Datenbankkennworts mit einem IAM-Benutzer. Nachdem Sie ein Datenbankkennwort in IAM festgelegt haben, können Sie sich damit bei Ihrer IAM-Datenbank im Mandanten anmelden, wenn Sie zum Zugriff auf die IAM-Datenbank autorisiert wurden. Sie müssen einem globalen Datenbankschema zugeordnet sein, damit Sie für den Zugriff auf die Datenbank autorisiert werden können. Weitere Informationen zum Zuordnen globaler Datenbankbenutzer zu IAM-Benutzern und -Gruppen finden Sie unter IAM-Benutzer für Oracle DBaaS-Datenbanken authentifizieren und autorisieren im Oracle Database Security Guide.

Kennwortsicherheit

IAM-Administratoren können zusätzliche Sicherheitszugriffslayer durch Aktivierung der Multifaktorautorisierung einrichten, bevor ein Benutzer auf ein Datenbankkennwort in IAM zugreifen kann. See Authenticating and Authorizing IAM Users for Oracle DBaaS Databases in the Oracle Database Security Guide for more information about how IAM users authenticate and authorize to OCI databases.

IAM-Datenbankkennwort erstellen

Sie können Ihr eigenes IAM-Datenbankkennwort mit der Konsole verwalten, einschließlich Erstellen, Ändern und Löschen.

Das Erstellen eines IAM-Datenbankkennworts entspricht den gleichen Regeln wie die Erstellung eines Konsolenkennworts, mit der Ausnahme, dass die doppelten Anführungszeichen (") im IAM-Datenbankkennwort nicht zulässig ist. Unter Kennwort-Policy-Regeln werden die Regeln zum Erstellen von Konsolenkennwörtern beschrieben.

Informationen zum Erstellen eines eigenen IAM-Datenbankkennworts finden Sie unter So erstellen Sie ein IAM-Datenbankkennwort.

IAM-Datenbankkennwort ändern

Ihr eigenes IAM-Datenbankkennwort verwaltet.

Sie können Ihr eigenes IAM-Datenbankkennwort mit der Konsole verwalten, einschließlich Erstellen, Ändern und Löschen. Um ein vorhandenes Kennwort zu ändern, löschen Sie das vorhandene Kennwort, und fügen Sie das neue Kennwort hinzu. Siehe So ändern Sie ein IAM-Datenbankkennwort.

IAM-Datenbankkennwort löschen

Ihr IAM-Datenbankkennwort verwalten.

Sie können Ihr eigenes IAM-Datenbankkennwort mit der Konsole verwalten, einschließlich Erstellen, Ändern und Löschen. Informationen zum Löschen Ihres IAM-Datenbankkennworts finden Sie unter So löschen Sie ein IAM-Datenbankkennwort.

IAM-Datenbankkennwortsperren

Das Konto eines Benutzers wird gesperrt, wenn der Benutzer 10 aufeinanderfolgende fehlgeschlagene Anmeldeversuche findet.

Benutzer der IAM-Datenbank und der Konsole werden nach 10 aufeinander folgenden fehlgeschlagenen Anmeldeversuchen (insgesamt für beide Kennwörter) gesperrt. Nur ein IAM-Administrator kann Ihren Benutzeraccount entsperren.

  • Wenn Sie sich nach 10 aufeinanderfolgenden Versuchen (insgesamt) nicht bei IAM oder der Datenbank anmelden können, wird Ihr Account gesperrt, und Sie können sich weder bei der Datenbank noch bei der Konsole anmelden.
  • Wenn Sie gesperrt sind, muss ein IAM-Administrator Ihren Account explizit entsperren.
  • IAM unterstützt kein automatisches Entsperren.
  • Die Anzahl nicht erfolgreicher Anmeldeversuche wird zentral über alle Regionen einer Realm hinweg verfolgt. Nicht erfolgreiche Anmeldeversuche werden in Ihrer Hauptregion aufgezeichnet und in den abonnierten Regionen repliziert.

Nicht erfolgreiche Anmeldeversuche

Mit IAM-Datenbankbenutzernamen arbeiten

Sie können Ihren eigenen IAM-Datenbankbenutzernamen mit der Konsole verwalten. Dazu gehören das Erstellen, Ändern und Löschen.

Möglicherweise müssen Sie den Datenbankbenutzernamen ändern:

  • Wenn Ihr Benutzername zu lang oder schwer einzugeben ist
  • Um die Anmeldung mit einem Benutzernamen zu vereinfachen, der keine Sonderzeichen enthält und eventuell kürzer ist

In den folgenden Themen wird beschrieben, wie Sie einen IAM-Datenbankbenutzernamen verwalten.