Oracle Cloud Infrastructure - Dokumentation

Benutzer verwalten

In diesem Thema werden die Grundlagen der Arbeit mit Benutzern beschrieben.

Wichtig

Wenn Ihr Mandant mit Oracle Identity Cloud Service föderiert ist, finden Sie Informationen zum Verwalten von Benutzern unter Oracle Identity Cloud Service-Benutzer und -Gruppen in der Oracle Cloud Infrastructure-Konsole verwalten.

Erforderliche IAM-Policy

Wenn Sie Mitglied der Administratorengruppe sind, haben Sie den erforderlichen Zugriff zum Verwalten von Benutzern.

  • Sie können eine Policy erstellen, die einem Benutzer die Berechtigung zum Erstellen neuer Benutzer und Zugangsdaten erteilt, jedoch keine Kontrolle darüber ermöglicht, welchen Gruppen diese Benutzer angehören. Siehe Verwalten von Benutzern durch Helpdesk zulassen.

Wenn Sie mit Policys nicht vertraut sind, finden Sie weitere Informationen unter Erste Schritte mit Policys und Allgemeine Policys. Weitere Informationen zum Schreiben von Policys für Benutzer oder andere IAM-Komponenten finden Sie unter Details zu IAM ohne Identitätsdomains.

Ressourcen taggen

Wenden Sie Tags auf Ihre Ressourcen an, um diese entsprechend Ihren Geschäftsanforderungen zu organisieren. Wenden Sie Tags beim Erstellen einer Ressource an, oder aktualisieren Sie die Ressource später mit den gewünschten Tags. Allgemeine Informationen zum Anwenden von Tags finden Sie unter Ressourcentags.

Mit Benutzern arbeiten

Wenn Sie einen Benutzer erstellen, müssen Sie einen eindeutigen, nicht änderbaren Namen für den Benutzer angeben. Der Name muss für alle Benutzer in Ihrem Mandanten eindeutig sein. Dieser Name wird zur Anmeldung des Benutzers bei der Konsole verwendet. Sie können einen Namen verwenden, der bereits vom eigenen Identitätssystem Ihres Unternehmens verwendet wird (z.B. Active Directory, LDAP usw.). Sie müssen für den Benutzer auch eine Beschreibung angeben (obwohl es sich um eine leere Zeichenfolge handeln kann). Dies ist eine eindeutige, änderbare Beschreibung für den Benutzer. Bei diesem Wert kann es sich um den vollständigen Namen des Benutzers, einen Kurznamen oder um andere beschreibende Informationen handeln. Oracle weist dem Benutzer außerdem eine eindeutige ID zu, die als Oracle Cloud-ID (OCID) bezeichnet wird. Weitere Informationen finden Sie unter Ressourcen-IDs.

Hinweis

Wenn Sie einen Benutzer löschen und dann einen neuen Benutzer mit demselben Namen erstellen, werden die beiden Benutzer als unterschiedliche Benutzer betrachtet, da sie unterschiedliche OCIDs haben.

Oracle empfiehlt, dass Sie eine E-Mail-Adresse zur Kennwortwiederherstellung für den Benutzer angeben. Wenn der Benutzer sein Kennwort vergisst, kann er das Senden eines temporären Kennworts mit dem Link Kennwort vergessen auf der Anmeldeseite anfordern. Wenn für den Benutzer keine E-Mail-Adresse angegeben ist, muss ein Administrator das Kennwort zurücksetzen.

Ein neuer Benutzer hat erst dann Berechtigungen, wenn Sie den Benutzer mindestens einer Gruppe hinzufügen und mindestens eine Policy  vorhanden ist, die dieser Gruppe Berechtigungen für den Mandanten oder ein Compartment erteilt. Ausnahme: Jeder Benutzer kann seine eigenen Zugangsdaten verwalten, die für ihn aktiviert wurden. Ein Administrator muss keine Policy erstellen, um einem Benutzer diese Zugriffsberechtigung zu erteilen. Weitere Informationen finden Sie unter Benutzerzugangsdaten.

Wichtig

Nachdem Sie einen Benutzer erstellt und einer Gruppe hinzugefügt haben, teilen Sie ihm mit, auf welche Compartments er Zugriff hat.

Sie müssen dem neuen Benutzer auch Zugangsdaten erteilen, damit er auf Oracle Cloud Infrastructure zugreifen kann. Ein Benutzer kann je nach erforderlichem Zugriffstyp verschiedene Zugangsdaten besitzen: ein Kennwort zur Verwendung der Konsole und einen API-Signaturschlüssel zur Verwendung der API.

Benutzerfunktionen

Um auf Oracle Cloud Infrastructure zuzugreifen, muss ein Benutzer über die erforderlichen Zugangsdaten verfügen. Benutzer, die die Konsole verwenden müssen, benötigen ein Kennwort. Benutzer, die die API verwenden müssen, benötigen API-Schlüssel. Einige Servicefeatures erfordern zusätzliche Zugangsdaten, wie Authentifizierungstoken, SMTP-Zugangsdaten und Amazon S3-Kompatibilitäts-API-Schlüssel. Damit ein Benutzer diese Zugangsdaten abrufen kann, muss ihm die Funktion für den jeweiligen Zugangsdatentyp erteilt werden.

Administratoren verwalten Benutzerfunktionen in den Benutzerdetails. Jeder Benutzer kann seine Funktionen anzeigen, aber nur ein Administrator kann diese aktivieren oder deaktivieren. Die Benutzerfunktionen sind:

  • Kann das Konsolenkennwort verwenden (nur native Benutzer)
  • Kann API-Schlüssel verwenden
  • Kann Authentifizierungstoken verwenden
  • Kann SMTP-Zugangsdaten verwenden
  • Kann Kunden-Secret-Keys verwenden

Standardmäßig sind alle diese Funktionen aktiviert, wenn Sie Benutzer erstellen. Dadurch können Benutzer diese Zugangsdaten für sich selbst erstellen. Informationen zum Arbeiten mit Benutzerzugangsdaten finden Sie unter Benutzerzugangsdaten verwalten.

in der Konsole anmelden

Mit diesem Verfahren erstellte Benutzer werden in IAM erstellt und manchmal auch als "lokale Benutzer" bezeichnet. Wenn Ihr Mandant mit einem anderen Identitätsprovider (wie Oracle Identity Cloud Service, Azure AD oder Okta) föderiert ist, werden auf der Anmeldeseite der Konsole zwei Optionen für die Anmeldung angezeigt. Die lokalen Benutzer, die Sie in IAM erstellen, verwenden die Option Oracle Cloud Infrastructure zur Anmeldung, wie in der folgenden Abbildung dargestellt:

Anmeldeoption für lokale Benutzer

Wenn Ihr Mandant nicht föderiert ist, wird nur eine Option angezeigt.

Letzte Anmeldeaktivitäten verfolgen

Auf der Listenseite "Benutzer" werden Informationen angezeigt, die Administratoren bei der Bestimmung der aktiven Benutzeraccounts helfen. Im Feld Letzte aufgezeichnete Anmeldung werden Datum und Uhrzeit der letzten Anmeldung des Benutzers bei Oracle Cloud Infrastructure mit der Konsole oder mit einer in IAM integrierten Oracle DB-Instanz. Bei Konsolenanmeldungen gibt der Zeitstempel die letzte Anmeldung bei der Konsole an. Bei Anmeldungen mit einer in IAM integrierten Oracle DB-Instanz können Zeitstempel einen Puffer von bis zu 15 Minuten ab der letzten aufgezeichneten Anmeldung aufweisen. Dieses Feld wird nur in der Listenansicht aller Benutzer angezeigt. Es wird nicht auf den einzelnen Benutzerdetailseiten angezeigt.

Dieses Feld verfolgt nur Anmeldungen aus der Konsole oder aus einer in IAM integrierten Oracle DB-Instanz. Wenn ein Benutzer über andere Zugriffsmethoden (z.B. über das SDK) auf Oracle Cloud Infrastructure zugreift, werden diese Anmeldungen nicht verfolgt.

Benutzer mit einem My Oracle Support-Account verknüpfen

Damit ein Benutzer Supportanfragen direkt über die Konsole erstellen kann, muss dessen IAM-Benutzeraccount mit seinem My Oracle Support-(MOS-)Account verknüpft werden. Sie müssen diesen Schritt nur einmal ausführen. Anweisungen hierzu finden Sie unter So verknüpfen Sie einen Benutzer mit seinem My Oracle Support-Account.

Voraussetzungen

Benutzersperren nach nicht erfolgreichen Anmeldeversuchen aufheben

Wenn ein Benutzer 10 Mal nacheinander ohne Erfolg versucht, sich bei der der Konsole anzumelden, wird er für weitere Anmeldeversuche gesperrt. Ein Administrator kann die Sperre des Benutzers in der Konsole (siehe So heben Sie eine Benutzersperre auf) oder mit dem API-Vorgang UpdateUserState aufheben.

Benutzer löschen

Sie können einen Benutzer löschen, jedoch nur, wenn der Benutzer nicht Mitglied einer Gruppe ist.

Limits für Benutzer

Informationen zur Anzahl der Benutzer, die Sie haben können, finden Sie unter Servicelimits.

Konsole verwenden

So erstellen Sie einen Benutzer
  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Benutzer. Eine Liste der Benutzer in Ihrem Mandanten wird angezeigt.
  2. Klicken Sie auf Benutzer erstellen.
  3. Geben Sie Folgendes ein:
    • Name: Ein eindeutiger Name oder eine E-Mail-Adresse für den Benutzer. Tipps zu dem zu verwendenden Wert finden Sie unter Mit Benutzern arbeiten. Der Name muss für alle Benutzer in Ihrem Mandanten eindeutig sein. Sie können diesen Wert später nicht ändern. Der Name muss folgende Anforderungen erfüllen: Keine Leerzeichen. Nur basis-lateinische Buchstaben (ASCII), Zahlen, Bindestriche, Punkte, Unterstriche, + und @.
    • Beschreibung: Bei diesem Wert kann es sich um den vollständigen Namen des Benutzers, einen Kurznamen oder um andere beschreibende Informationen handeln. Sie können diesen Wert später ändern.

    • E-Mail: Geben Sie eine E-Mail-Adresse für den Benutzer ein. Diese E-Mail-Adresse wird zur Kennwortwiederherstellung verwendet. Die E-Mail-Adresse muss im Mandanten eindeutig sein.

      Wenn der Benutzer sein Kennwort vergisst, kann er auf der Anmeldeseite auf Kennwort vergessen klicken, und ein temporäres Kennwort wird generiert und an die hier angegebene E-Mail-Adresse gesendet. Der Benutzer oder ein Administrator kann die E-Mail-Adresse auch später aktualisieren.

    • Tags: Wenn Sie über Berechtigungen zum Erstellen einer Ressource verfügen, sind Sie auch berechtigt, Freiformtags auf diese Ressource anzuwenden. Um ein definiertes Tag anzuwenden, benötigen Sie die Berechtigungen zum Verwenden des Tag-Namespace. Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Sie Tags anwenden sollen, überspringen Sie diese Option, oder fragen Sie einen Administrator. Sie können Tags später anwenden.
  4. Klicken Sie auf Erstellen.

Als Nächstes müssen Sie dem Benutzer Berechtigungen erteilen, indem Sie ihn mindestens einer Gruppe hinzufügen. Sie müssen dem Benutzer außerdem die erforderlichen Zugangsdaten erteilen (siehe Benutzerzugangsdaten verwalten).

So fügen Sie einer Gruppe einen Benutzer hinzu
  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Benutzer. Eine Liste der Benutzer in Ihrem Mandanten wird angezeigt.
  2. Suchen Sie den Benutzer in der Liste.
  3. Klicken Sie auf den Benutzer. Die Details des Benutzers werden angezeigt.
  4. Klicken Sie auf Gruppen.
  5. Klicken Sie auf Benutzer zu Gruppe hinzufügen.
  6. Wählen Sie die Gruppe in der Dropdown-Liste aus, und klicken Sie auf Hinzufügen.

Informieren Sie den Benutzer über die Compartments, auf die er Zugriff hat.

So entfernen Sie einen Benutzer aus einer Gruppe
  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Benutzer. Eine Liste der Benutzer in Ihrem Mandanten wird angezeigt.
  2. Suchen Sie den Benutzer in der Liste.
  3. Klicken Sie auf den Benutzer. Die Details des Benutzers werden angezeigt.
  4. Klicken Sie auf Gruppen.
  5. Klicken Sie auf das Menü Aktionen (Menü "Aktionen") und dann auf Entfernen.
  6. Bestätigen Sie den Vorgang, wenn Sie dazu aufgefordert werden.
So löschen Sie einen Benutzer

Voraussetzung: Um einen Benutzer zu löschen, darf der Benutzer keiner Gruppe angehören.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Benutzer. Eine Liste der Benutzer in Ihrem Mandanten wird angezeigt.
  2. Klicken Sie für den zu löschenden Benutzer auf Löschen.
  3. Bestätigen Sie den Vorgang, wenn Sie dazu aufgefordert werden.
So heben Sie eine Benutzersperre auf

Als Administrator können Sie wie folgt die Sperre eines Benutzers aufheben, der 10 Mal nacheinander ohne Erfolg versucht hat, sich bei der Konsole anzumelden.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Benutzer. Eine Liste der Benutzer in Ihrem Mandanten wird angezeigt.
  2. Klicken Sie auf den Benutzer. Die Details des Benutzers werden angezeigt, einschließlich des aktuellen Status.
  3. Klicken Sie auf Entsperren.
  4. Bestätigen Sie den Vorgang, wenn Sie dazu aufgefordert werden.
So ändern Sie die Beschreibung eines Benutzers
  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Benutzer. Eine Liste der Benutzer in Ihrem Mandanten wird angezeigt.
  2. Klicken Sie auf den Benutzer, den Sie aktualisieren möchten. Die Details des Benutzers werden angezeigt. Die Beschreibung wird unter der Benutzeranmeldung angezeigt.
  3. Klicken Sie auf den Stift neben der Beschreibung.
  4. Bearbeiten und speichern Sie die Beschreibung.
So bearbeiten Sie die E-Mail-Adresse eines Benutzers
  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Benutzer. Eine Liste der Benutzer in Ihrem Mandanten wird angezeigt.
  2. Klicken Sie auf den Benutzer, den Sie aktualisieren möchten. Die Details des Benutzers werden angezeigt.
  3. Klicken Sie unter Benutzerinformationen auf den Stift neben E-Mail.
  4. Geben Sie die E-Mail-Adresse ein, und klicken Sie auf das Symbol "Speichern". Die E-Mail-Adresse muss im Mandanten eindeutig sein.
So bearbeiten Sie Benutzerfunktionen

Als Administrator können Sie Benutzerfunktionen bearbeiten.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Benutzer. Eine Liste der Benutzer in Ihrem Mandanten wird angezeigt.
  2. Klicken Sie auf den Benutzer, um seine Details anzuzeigen.
  3. Klicken Sie auf Benutzerfunktionen bearbeiten.
  4. Aktivieren oder deaktivieren Sie das Kontrollkästchen, um eine Funktion hinzuzufügen oder zu entfernen.
  5. Klicken Sie auf Save.
So verknüpfen Sie einen Benutzer mit seinem My Oracle Support-Account

Wichtig: Stellen Sie sicher, dass die Voraussetzungen erfüllt sind, bevor Sie Ihren Account verknüpfen. Siehe Benutzer mit einem My Oracle Support-Account verknüpfen.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Benutzer. Eine Liste der Benutzer in Ihrem Mandanten wird angezeigt.
  2. Klicken Sie auf den Benutzer, den Sie aktualisieren möchten. Die Details des Benutzers werden angezeigt.
  3. Klicken Sie auf Support-Account verknüpfen. Die Anmeldeseite für den Oracle-Account wird angezeigt, und Sie werden aufgefordert, Ihre Oracle-Zugangsdaten einzugeben.
  4. Geben Sie Benutzername und Kennwort des Oracle Support-Accounts ein, den Sie mit diesem Benutzer verknüpfen möchten, und klicken Sie auf Anmelden. Der IAM-Benutzeraccount wird mit dem Oracle Support-Account verknüpft. Die mit dem Support-Account verknüpfte E-Mail-Adresse wird in den Benutzerdetails im Feld My Oracle Support-Account angezeigt.

API verwenden

Informationen zur Verwendung der API und zu Signieranforderungen finden Sie unter REST-API-Dokumentation und Sicherheitszugangsdaten. Informationen zu SDKs finden Sie unter SDKs und die CLI.

Hinweis

Aktualisierungen werden nicht über alle Regionen hinweg sofort wirksam

Ihre IAM-Ressourcen befinden sich in Ihrer Hauptregion. Um eine Policy für alle Regionen durchzusetzen, repliziert der IAM-Service Ihre Ressourcen in jeder Region. Wenn Sie eine Policy, einen Benutzer oder eine Gruppe erstellen oder ändern, werden die Änderungen zuerst in der Hauptregion wirksam und werden dann an die anderen Regionen propagiert. Es kann mehrere Minuten dauern, bis die Änderungen in allen Regionen wirksam werden. Beispiel: Angenommen, Sie haben eine Gruppe mit Berechtigungen zum Starten von Instanzen im Mandanten. Wenn Sie "UserA" dieser Gruppe hinzufügen, kann "UserA" innerhalb einer Minute Instanzen in Ihrer Hauptregion starten. "UserA" kann jedoch erst Instanzen in anderen Regionen starten, wenn der Replikationsprozess abgeschlossen ist. Dieser Prozess kann mehrere Minuten dauern. Wenn "UserA" vor Abschluss des Replikationsvorgangs versucht, eine Instanz zu starten, wird ein Fehler ("Nicht autorisiert") angezeigt.

Mit diesen API-Vorgängen können Sie Benutzer verwalten:

Informationen zu den API-Vorgängen zum Verwalten von Benutzerzugangsdaten finden Sie unter Benutzerzugangsdaten verwalten.