Oracle Cloud Infrastructure - Dokumentation

Benutzerzugangsdaten

Es gibt verschiedene Typen von Zugangsdaten, die Sie mit Oracle Cloud Infrastructure Identity and Access Management (IAM) verwalten:

  • Konsolenkennwort: Zur Anmeldung in der Konsole, der Benutzeroberfläche zur Interaktion mit Oracle Cloud Infrastructure. Beachten Sie, dass föderierte Benutzer keine Konsolenkennwörter haben können, weil sie sich über ihren Identitätsprovider anmelden. Siehe Mit Identitätsprovidern föderieren.
  • API-Signaturschlüssel (im PEM-Format): Zum Senden von API-Anforderungen, für die eine Authentifizierung erforderlich ist.
  • Authentifizierungstoken: Ein von Oracle generiertes Token, das Sie zur Authentifizierung mit Drittanbieter-APIs verwenden können. Sie können beispielsweise ein Authentifizierungstoken zur Authentifizierung mit einem Swift-Client verwenden, wenn Sie mit Recovery Manager (RMAN) eine DB-Systemdatenbank (Oracle Database-System) Object Storage sichern.
  • Kunden-Secret-Keys: Zur Verwendung der Amazon S3-Kompatibilitäts-API mit Object Storage. Siehe Amazon S3-Kompatibilitäts-API.
  • OAuth 2.0-Clientzugangsdaten: Für die Interaktion mit den APIs von Services, die die OAuth 2.0-Autorisierung verwenden. Siehe OAuth 2.0-Clientzugangsdaten.
  • SMTP-Zugangsdaten: Informationen zur Verwendung des Überblick über den Email Delivery-Service.
  • IAM-Datenbankkennwort: Benutzer können ihr Datenbankkennwort im IAM-Benutzerprofil erstellen und verwalten und dieses Kennwort zur Authentifizierung bei Datenbanken in ihrem Mandanten verwenden. Siehe IAM-Datenbankkennwörter.
Wichtig

API-Signaturschlüssel unterscheiden sich von den SSH-Schlüsseln, mit denen Sie auf eine Compute-Instanz zugreifen (siehe Sicherheitszugangsdaten). Weitere Informationen zu API-Signaturschlüsseln finden Sie unter Erforderliche Schlüssel und OCIDs. Weitere Informationen zu SSH-Instanzschlüsseln finden Sie unter Schlüsselpaare verwalten.

Benutzerkennwort

Der Administrator, der einen neuen Benutzer in IAM erstellt, muss auch ein Einmalkennwort zur Anmeldung in der Konsole für den Benutzer generieren (siehe So können Sie das Konsolenkennwortes eines anderen Benutzers erstellen oder zurücksetzen). Der Administrator muss das Kennwort sicher an den Benutzer übermitteln, indem er es verbal bereitstellt, ausdruckt oder über einen sicheren E-Mail-Service sendet.

Wenn sich der Benutzer zum ersten Mal in der Konsole anmeldet, wird er sofort aufgefordert, das Kennwort zu ändern. Wenn der Benutzer länger als 7 Tage wartet, bis er sich zum ersten Mal anmeldet und das Kennwort ändert, läuft es ab, und ein Administrator muss ein neues Einmalkennwort für den Benutzer erstellen.

Nachdem sich der Benutzer erfolgreich bei der Konsole angemeldet hat, kann er Oracle Cloud Infrastructure-Ressourcen entsprechend den Berechtigungen verwenden, die ihm über Policys erteilt wurden.

Hinweis

Ein Benutzer verfügt automatisch über die Berechtigung, sein Kennwort in der Konsole zu ändern. Ein Administrator muss keine Policy erstellen, um einem Benutzer diese Zugriffsberechtigung zu erteilen.

Kennwörter ändern

Wenn ein Benutzer sein eigenes Kennwort ändern möchte, nachdem er sein anfängliches Einmalkennwort geändert hat, kann er diesen Vorgang in der Konsole ausführen. Beachten Sie, dass ein Benutzer sein eigenes Kennwort automatisch ändern kann. Ein Administrator muss keine Policy erstellen, um dem Benutzer diese Zugriffsberechtigung zu erteilen.

Weitere Informationen finden Sie unter So ändern Sie Ihr Konsolenkennwort.

Wenn ein Benutzer sein Konsolenkennwort zurücksetzen muss

Wenn ein Benutzer sein Konsolenkennwort vergisst und keinen Zugriff auf die API hat, kann er in der Konsole über den Link Kennwort vergessen ein temporäres Kennwort anfordern. Diese Option ist verfügbar, wenn der Benutzer eine E-Mail-Adresse in seinem Benutzerprofil angegeben hat.

Wenn der Benutzer keine E-Mail-Adresse in seinem Benutzerprofil angegeben hat, muss er einen Administrator bitten, sein Kennwort zurückzusetzen. Alle Administratoren (und alle anderen Benutzer, die eine Berechtigung für den Mandanten besitzen) können Konsolenkennwörter zurücksetzen. Beim Zurücksetzen des Kennworts wird ein neues Einmalkennwort generiert, das der Administrator dem Benutzer bereitstellen muss. Der Benutzer muss bei der nächsten Anmeldung in der Konsole das Kennwort ändern.

Wenn Sie ein Administrator sind, der das Konsolenkennwort eines Benutzers zurücksetzen muss, finden Sie weitere Informationen hierzu unter So können Sie das Konsolenkennwortes eines anderen Benutzers erstellen oder zurücksetzen.

Wenn Benutzer für die Anmeldung in der Konsole gesperrt werden

Wenn Benutzer 10 Mal nacheinander ohne Erfolg versuchen, sich in der Konsole anzumelden, werden sie automatisch für weitere Versuche gesperrt. Sie müssen sich an einen Administrator wenden, damit die Benutzersperre aufgehoben wird (siehe So heben Sie eine Benutzersperre auf).

API-Signaturschlüssel

Ein Benutzer, der API-Anforderungen ausführen muss, benötigt einen RSA-Public Key im PEM-Format (mindestens 2048 Bit) in seinemIAM-Benutzerprofil und muss die API-Anforderungen mit dem entsprechenden Private Key signieren (siehe Erforderliche Schlüssel und OCIDs).

Wichtig

Ein Benutzer verfügt automatisch über die Berechtigung, seine eigenen API-Schlüssel in der Konsole oder API zu generieren und zu verwalten. Ein Administrator muss keine Policy schreiben, um dem Benutzer diese Zugriffsberechtigung zu erteilen. Beachten Sie, dass ein Benutzer seine eigenen Zugangsdaten erst dann mit der API ändern oder löschen kann, wenn er selbst einen Schlüssel in der Konsole gespeichert hat oder wenn ein Administrator einen Schlüssel für diesen Benutzer in der Konsole oder der API hinzugefügt hat.

Wenn Sie ein nicht menschliches System verwenden, das API-Anforderungen ausführen muss, muss ein Administrator einen Benutzer für dieses System erstellen und dann einen Public Key im IAM-Service für das System hinzufügen. Für den Benutzer muss kein Konsolenkennwort generiert werden.

Anweisungen zum Generieren eines API-Schlüssels finden Sie unter So fügen Sie einen API-Signaturschlüssel hinzu.

OAuth 2.0-Clientzugangsdaten

Hinweis

OAuth 2.0-Clientzugangsdaten sind in United Kingdom Government Cloud (OC4) nicht verfügbar.

OAuth 2.0-Clientzugangsdaten sind erforderlich, um programmgesteuert mit den Services zu interagieren, die das Autorisierungsprotokoll OAuth 2.0 verwenden. Mit den Zugangsdaten können Sie ein sicheres Token für den Zugriff auf die REST-API-Endpunkte dieser Services abrufen. Die vom Token gewährten zulässigen Aktionen und Endpunkte sind von den Geltungsbereichen (Berechtigungen) abhängig, die Sie beim Generieren der Zugangsdaten auswählen. Weitere Informationen finden Sie unter Mit OAuth 2.0-Clientzugangsdaten arbeiten.

Authentifizierungstoken

Authentifizierungstoken werden von Oracle generiert. Sie verwenden Authentifizierungstoken zur Authentifizierung mit Drittanbieter-APIs, die eine signaturbasierte Authentifizierung in Oracle Cloud Infrastructure nicht unterstützen, beispielsweise die Swift-API. Wenn Ihr Service ein Authentifizierungstoken erfordert, finden Sie in der servicespezifischen Dokumentation Anweisungen dazu, wie Sie ein Token generieren und verwenden können.

IAM-Datenbankkennwörter

Überblick

Ein IAM-Datenbankkennwort unterscheidet sich von einem Konsole-Kennwort. Wenn Sie ein IAM-Datenbankkennwort festlegen, können autorisierte IAM-Benutzer sich bei autonomen Datenbank in ihrem Mandanten anmelden.

Durch die Zentralisierung der Benutzeraccountverwaltung in IAM wird die Sicherheit verbessert. Außerdem wird der Aufwand für Datenbankadministratoren bei der Verwaltung von Benutzern minimiert, die einer Organisation beitreten, dort versetzt werden oder diese verlassen (auch als Benutzerlebenszyklusmanagement bezeichnet). Benutzer können ein Datenbankkennwort in IAM festlegen und dieses Kennwort zur Authentifizierung verwenden, wenn sie sich bei entsprechend konfigurierten Oracle-Datenbanken in ihrem Mandanten anmelden.

Benutzerfreundlich

Datenbankendbenutzer können weiterhin vorhandene unterstützte Datenbankclients und Tools für den Zugriff auf die Datenbank verwenden. Anstatt jedoch den lokalen Datenbankbenutzernamen und das lokale Kennwort zu verwenden, nutzen sie den IAM-Benutzernamen und das IAM-Datenbankkennwort. Sie können erst auf Datenbankkennwörter zugreifen, die Sie über Ihr OCI-Profil verwalten, nachdem Sie sich erfolgreich bei OCI authentifiziert haben. Das bedeutet, dass Administratoren eine zusätzliche Schutzebene erstellen können, bevor Benutzer auf ihr Datenbankkennwort zugreifen oder dieses verwalten können. Sie können die Multifaktor-Authentifizierung für ihr Konsole-Kennwort erzwingen, indem sie beispielsweise einen FIDO- oder Push-Benachrichtigungen über Authentikator-Apps verwenden.

Unterstützte Funktionen

IAM-Datenbankkennwörter unterstützen das direkte Verknüpfen eines Datenbankkennworts mit einem IAM-Benutzer. Nachdem Sie ein Datenbankkennwort in IAM festgelegt haben, können Sie sich damit bei Ihrer IAM-Datenbank im Mandanten anmelden, wenn Sie zum Zugriff auf die IAM-Datenbank autorisiert wurden. Sie müssen einem globalen Datenbankschema zugeordnet sein, damit Sie für den Zugriff auf die Datenbank autorisiert werden können. Weitere Informationen zum Zuordnen von globalen Datenbankbenutzern zu IAM-Benutzern und -Gruppen finden Sie unter IAM-Benutzer für Oracle DBaaS-Datenbanken authentifizieren und autorisieren im Oracle Database-Sicherheitshandbuch.

Kennwortsicherheit

IAM-Administratoren können zusätzliche Sicherheitszugriffslayer durch Aktivierung der Multifaktor-Authentifizierung einrichten, bevor ein Benutzer auf ein Datenbankkennwort in IAM zugreifen kann. Weitere Informationen zur Authentifizierung und Autorisierung von IAM-Benutzern bei OCI-Datenbanken finden Sie unter IAM-Benutzer für Oracle DBaaS-Datenbanken authentifizieren und autorisieren im Oracle Database-Sicherheitshandbuch.

IAM-Datenbankkennwort erstellen

Sie können Ihr eigenes IAM-Datenbankkennwort mit der Konsole verwalten und dieses erstellen, ändern und löschen.

Das Erstellen eines IAM-Datenbankkennworts unterliegt den gleichen Regeln wie das Erstellen eines Konsole-Kennworts, mit der Ausnahme, dass das doppelte Anführungszeichen (") im IAM-Datenbankkennwort nicht zulässig ist. Die Regeln zum Erstellen von Konsolenkennwörtern finden Sie unter Kennwort-Policy-Regeln.

Informationen zum Erstellen eines eigenen IAM-Datenbankkennworts finden Sie unter So erstellen Sie ein IAM-Datenbankkennwort.

IAM-Datenbankkennwort ändern

Sie können Ihr eigenes IAM-Datenbankkennwort mit der Konsole verwalten und dieses erstellen, ändern und löschen. Um ein vorhandenes Kennwort zu ändern, löschen Sie das vorhandene Kennwort, und fügen Sie das neue Kennwort hinzu. Siehe So ändern Sie ein IAM-Datenbankkennwort.

IAM-Datenbankkennwort löschen

Sie können Ihr eigenes IAM-Datenbankkennwort mit der Konsole verwalten und dieses erstellen, ändern und löschen. Informationen zum Löschen Ihres IAM-Datenbankkennworts finden Sie unter So löschen Sie ein IAM-Datenbankkennwort.

IAM-Datenbankkennwortsperren

Nicht erfolgreiche Anmeldeversuche

IAM-Datenbank- und Konsolenbenutzer werden nach 10 aufeinander folgenden nicht erfolgreichen Anmeldeversuchen (insgesamt für beide Kennwörter) gesperrt. Wenn Sie 10-mal hintereinander falsche Datenbank- oder IAM-Kennwörter eingeben, wird Ihr Benutzeraccount gesperrt. Nur ein IAM-Administrator kann Ihren Benutzeraccount entsperren.

  • Wenn Sie sich nach 10 aufeinander folgenden Versuchen (insgesamt) nicht bei IAM oder der Datenbank anmelden können, wird Ihr Account gesperrt, und Sie können sich weder bei der Datenbank noch bei der Konsole anmelden.
  • Wenn Sie gesperrt sind, muss ein IAM-Administrator Ihren Account explizit entsperren.
  • IAM unterstützt kein automatisches Entsperren.
  • Die Anzahl nicht erfolgreicher Anmeldeversuche wird zentral über alle Regionen einer Realm hinweg verfolgt. Nicht erfolgreiche Anmeldeversuche werden in Ihrer Hauptregion aufgezeichnet und in den abonnierten Regionen repliziert.

Mit IAM-Datenbankbenutzernamen arbeiten

Sie können Ihren eigenen IAM-Datenbanknamen mit der Konsole verwalten und diesen erstellen, ändern und löschen.

Möglicherweise müssen Sie den Datenbankbenutzernamen ändern:

  • Wenn Ihr Benutzername zu lang oder schwer einzugeben ist
  • Um die Anmeldung mit einem Benutzernamen zu vereinfachen, der keine Sonderzeichen enthält und eventuell kürzer ist

In den folgenden Themen wird beschrieben, wie Sie einen IAM-Datenbankbenutzernamen verwalten.