Gestión de usuarios
En este tema, se describen los aspectos básicos del trabajo con usuarios.
Si su arrendamiento está federado con Oracle Identity Cloud Service, consulte Gestión de usuarios y grupos de Oracle Identity Cloud Service en la consola de Oracle Cloud Infrastructure para gestionar usuarios.
Política de IAM necesaria
Si está en el grupo Administradores, tiene el acceso necesario para gestionar usuarios.
- Puede crear una política que otorgue a alguien la capacidad de crear nuevos usuarios y credenciales, pero no controlar en qué grupos están dichos usuarios. Consulte Permitir al servicio de ayuda gestionar los usuarios.
Si no está familiarizado con las políticas, consulte Introducción a las políticas y Políticas comunes. Si desea obtener más información sobre la escritura de políticas para usuarios u otros componentes de IAM, consulte Detalles de IAM sin dominios de identidad.
Etiquetado de recursos
Puede aplicar etiquetas a los recursos para facilitar su organización según las necesidades de su negocio. Aplique las etiquetas al crear un recurso o actualice el recurso más tarde con las etiquetas que desee. Para obtener información general sobre la aplicación de etiquetas, consulte Etiquetas de recursos.
Trabajar con usuarios
Al crear un usuario, debe proporcionar un nombre único no modificable para el usuario. El nombre debe ser único entre todos los usuarios de su arrendamiento. Este nombre es la conexión del usuario a la consola. Puede que desee utilizar un nombre que ya tenga en uso el sistema de identidad propio de la compañía (por ejemplo, Active Directory, LDAP, etc.). También debe proporcionar al usuario una descripción (aunque puede ser una cadena vacía), que es una descripción no única y modificable. Este valor puede ser el nombre completo del usuario, un apodo u otra información descriptiva. Oracle también asigna al usuario un identificador único denominado Oracle Cloud ID (OCID). Para obtener más información, consulte Identificadores de recursos.
Si suprime un usuario y, a continuación, crea un nuevo usuario con el mismo nombre, los dos usuarios se consideran usuarios diferentes, porque tienen diferentes OCID.
Oracle recomienda proporcionar una dirección de correo electrónico de recuperación de contraseñas para el usuario. Si el usuario olvida su contraseña, puede solicitar que se le envíe una contraseña temporal al utilizar el enlace ¿Ha olvidado la contraseña? en la página de conexión. Si no hay ninguna dirección de correo electrónico presente para el usuario, el administrador debe intervenir para restablecer la contraseña.
Un nuevo usuario no tendrá permisos mientras no se coloque al usuario en uno o más grupos y al menos una política otorgue a ese grupo permiso para el arrendamiento o para un compartimento. Excepción: cada usuario puede gestionar las propias credenciales que se les haya autorizado tener. No es necesario que el administrador cree una política para dotar a un usuario de esa capacidad. Para obtener más información, consulte Credenciales de usuario.
Después de crear un usuario y de colocarlo en un grupo, debe informarle de los compartimentos a los que tiene acceso.
También debe proporcionar al nuevo usuario algunas credenciales para que pueda acceder a Oracle Cloud Infrastructure. Un usuario puede tener una o las dos credenciales siguientes, en función del tipo de acceso que necesite: una contraseña para utilizar la consola y una clave de firma de API para utilizar la API.
Acerca de las capacidades de usuario
Para acceder a Oracle Cloud Infrastructure, un usuario debe tener las credenciales necesarias. Los usuarios que necesitan utilizar la consola deben tener una contraseña. Los usuarios que necesitan acceder a través de la API necesitan claves de API. Algunas funciones de servicio necesitan credenciales adicionales, como tokens de autenticación, credenciales SMTP y claves de API de compatibilidad de Amazon S3. Para que un usuario pueda obtener estas credenciales, se le debe otorgar la capacidad para tener el tipo de credencial.
Los administradores gestionan las capacidades de usuario en los Detalles del usuario. Cada usuario puede ver sus capacidades, pero solo un administrador puede activar o desactivar esas capacidades. Las capacidades de usuario son:
- Puede utilizar la contraseña de la consola (solo usuarios nativos)
- Puede utilizar claves de API
- Puede utilizar tokens de autenticación
- Puede utilizar credenciales SMTP
- Puede utilizar claves secretas de cliente
Por defecto, todas estas capacidades están activadas cuando crea usuarios, lo que permite a los usuarios crear dichas credenciales para ellos mismos. Para obtener más información sobre el trabajo con credenciales de usuario, consulte Gestión de credenciales de usuario.
Activación de autenticación multifactor para un usuario
Consulte Managing Multifactor Authentication para obtener más información.
Conexión a la consola
Los usuarios creados mediante este procedimiento se crean en IAM y, a veces, se denominan "usuarios locales". Si su arrendamiento está federado con otro proveedor de identidad (como Oracle Identity Cloud Service, Azure AD u Okta), la página de conexión a la consola muestra dos opciones para conectarse. Los usuarios locales que cree en IAM utilizan la opción Oracle Cloud Infrastructure para conectarse, como se muestra en la siguiente imagen:
Si su arrendamiento no está federado, solo tendrá opción de conexión.
Seguimiento de la actividad de conexión reciente
La página de lista Usuarios muestra información para ayudar a los administradores a determinar si las cuentas de usuario están activas. El campo Última conexión registrada muestra la fecha y hora de la última conexión del usuario a Oracle Cloud Infrastructure mediante la consola o mediante Oracle DB integrado con IAM. En el caso de las conexiones desde la consola, el registro de hora es la última conexión de la consola. En el caso de las conexiones que utilizan Oracle DB integrado con IAM, los registros de hora pueden tener un buffer de hasta 15 minutos desde la Última conexión registrada. Este campo solo se muestra en la vista de lista de todos los usuarios, no se muestra en la página de detalles de usuario individual.
Este campo solo realiza el seguimiento de las conexiones desde la consola o desde Oracle DB integrado con IAM. Si un usuario accede a Oracle Cloud Infrastructure a través de otros métodos de acceso (por ejemplo, a través del SDK), no se realiza un seguimiento de esas conexiones.
Enlace de un usuario a una cuenta de My Oracle Support
Para presentar solicitudes de soporte directamente desde la Consola, cada usuario debe enlazar su cuenta de usuario de IAM con su cuenta de My Oracle Support (MOS). Solo es necesario completar este paso una vez. Para obtener instrucciones, consulte Para enlazar un usuario con su cuenta de My Oracle Support.
Requisitos
- Para que un usuario pueda crear este enlace, antes debe configurar una cuenta en My Oracle Support. Para obtener información sobre la configuración de una cuenta de My Oracle Support, consulte Creación de una cuenta de Oracle Single SignOn (SSO).
- Para que un usuario pueda enviar solicitudes de servicio para un arrendamiento, su cuenta de My Oracle Support debe estar asociada a su número CSI de arrendamiento. Consulte Registro de CSI para Oracle Cloud Infrastructure.
Desbloqueo de un usuario después de intentos de conexión incorrectos
Si un usuario intenta conectarse 10 veces a la consola de forma incorrecta, se le bloqueará de nuevos intentos de conexión. Un administrador puede desbloquear al usuario en la consola (consulte Para desbloquear a un usuario) o con la operación de API UpdateUserState.
Suprimir a un usuario
Puede suprimir a un usuario, pero solo si este no es miembro de ningún grupo.
Límites de usuarios
Para obtener información sobre el número de usuarios que puede tener, consulte Límites de servicio.
Uso de la consola
- Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Usuarios. Se mostrará una lista de los usuarios de su arrendamiento.
- Haga clic en Crear usuario.
- Introduzca lo siguiente:
- Nombre: nombre único o dirección de correo electrónico para el usuario. Para obtener consejos sobre qué valor utilizar, consulte Trabajar con usuarios. El nombre debe ser único entre todos los usuarios de su arrendamiento. No puede cambiar este valor más adelante. El nombre debe cumplir los siguientes requisitos: sin espacios. Solo letras latinas básicas (ASCII), números, guiones, puntos, guiones bajos, signos + y símbolos @.
- Descripción: puede ser el nombre completo del usuario, un apodo u otra información descriptiva. Puede cambiar este valor más tarde.
Correo electrónico: introduzca una dirección de correo electrónico para el usuario. Esta dirección de correo electrónico se utiliza para la recuperación de la contraseña. La dirección de correo electrónico debe ser única en el arrendamiento.
Si el usuario olvida su contraseña, puede hacer clic en ¿Ha olvidado la contraseña? en la página de conexión y se genera una contraseña temporal, que se envía a la dirección de correo electrónico proporcionada aquí. El usuario o un administrador también pueden actualizar la dirección de correo electrónico más tarde.
- Etiquetas: si tiene permisos para crear un recurso, también los tiene para aplicar etiquetas de formato libre a ese recurso. Para aplicar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si aplicar etiquetas, omita esta opción o pregunte a un administrador. Puede aplicar etiquetas más tarde.
- Haga clic en Crear.
A continuación, debe otorgar los permisos de usuario agregándolos al menos a un grupo. También debe proporcionar al usuario las credenciales que necesita (consulte Gestión de credenciales de usuario).
- Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Usuarios. Se mostrará una lista de los usuarios de su arrendamiento.
- Localice al usuario en la lista.
- Haga clic en el usuario. Se mostrarán los detalles del usuario.
- Haga clic en Grupos.
- Haga clic en Agregar usuario a grupo.
- Seleccione el grupo de la lista desplegable y, a continuación, haga clic en Agregar.
Informe al usuario de los compartimentos a los que tiene acceso.
- Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Usuarios. Se mostrará una lista de los usuarios de su arrendamiento.
- Localice al usuario en la lista.
- Haga clic en el usuario. Se mostrarán los detalles del usuario.
- Haga clic en Grupos.
- Haga clic en el menú Acciones (
) y, a continuación, en Eliminar. - Confirme cuando se le solicite.
Requisito: para suprimir a un usuario, este no debe estar en ningún grupo.
- Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Usuarios. Se mostrará una lista de los usuarios de su arrendamiento.
- Para el usuario que desea suprimir, haga clic en Suprimir.
- Confirme cuando se le solicite.
Si es administrador, puede utilizar el siguiente procedimiento para desbloquear a un usuario que haya intentado conectarse 10 veces seguida a la consola de forma incorrecta.
- Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Usuarios. Se mostrará una lista de los usuarios de su arrendamiento.
- Haga clic en el usuario. Se mostrarán los detalles del usuario, incluido el estado actual.
- Haga clic en Desbloquear.
- Confirme cuando se le solicite.
- Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Usuarios. Se mostrará una lista de los usuarios de su arrendamiento.
- Haga clic en el usuario que desea actualizar. Se mostrarán los detalles del usuario. La descripción se muestra debajo de la conexión del usuario.
- Haga clic en el lápiz situado junto a la descripción.
- Edite la descripción y guárdela.
- Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Usuarios. Se mostrará una lista de los usuarios de su arrendamiento.
- Haga clic en el usuario que desea actualizar. Se mostrarán los detalles del usuario.
- En Información de usuario, haga clic en el lápiz situado junto a Correo electrónico.
- Introduzca la dirección de correo electrónico y haga clic en el icono de guardar. La dirección de correo electrónico debe ser única en el arrendamiento.
Si es administrador, puede editar las capacidades del usuario.
- Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Usuarios. Se mostrará una lista de los usuarios de su arrendamiento.
- Haga clic en el usuario para ver sus detalles.
- Haga clic en Editar funciones de usuario.
- Active o desactive la casilla de control para agregar o eliminar una capacidad.
- Haga clic en Guardar.
Importante: Asegúrese de cumplir los requisitos antes de enlazar su cuenta. Consulte Enlace de un usuario a una cuenta de My Oracle Support.
- Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Usuarios. Se mostrará una lista de los usuarios de su arrendamiento.
- Haga clic en el usuario que desea actualizar. Se mostrarán los detalles del usuario.
- Haga clic en Enlazar cuenta de soporte. La página de conexión de la cuenta de Oracle le solicitará que introduzca las credenciales de Oracle.
- Introduzca el Nombre de usuario y la Contraseña de la cuenta de soporte de Oracle que desea enlazar a este usuario y haga clic en Conectar. La cuenta de usuario de IAM está enlazada a la cuenta de soporte de Oracle. La dirección de correo electrónico asociada a la cuenta de soporte se muestra en los detalles del usuario en el campo Cuenta de My Oracle Support.
- Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Usuarios. Se mostrará una lista de los usuarios de su arrendamiento.
- Haga clic en el usuario que desea actualizar. Se mostrarán los detalles del usuario.
- Haga clic en Desenlazar cuenta de soporte.
- En la petición de datos de confirmación, haga clic en Desenlazar.
Para obtener información sobre la gestión de credenciales de usuario en la consola, consulte Gestión de credenciales de usuario.
Uso de la API
Para obtener más información sobre el uso de la API y la firma de solicitudes, consulte la documentación de la API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Los SDK y la CLI.
Las actualizaciones no son inmediatas en todas las regiones
Sus recursos de IAM residen en su región principal. Para aplicar la política en todas las regiones, el servicio IAM replica sus recursos en cada región. Cuando se crea o se cambia una política, un usuario o un grupo, los cambios se aplican en primer lugar en la región principal y después se propagan a las demás regiones. Pueden pasar varios minutos antes de que los cambios surtan efecto en todas las regiones. Por ejemplo, suponga que tiene un grupo con permisos para iniciar instancias en el arrendamiento. Si agrega a UserA a este grupo, UserA puede iniciar instancias en su región principal en menos de un minuto. Sin embargo, UserA no puede iniciar instancias en otras regiones hasta que el proceso de replicación haya terminado. Este proceso puede tardar varios minutos. Si UserA intenta iniciar una instancia antes de que se complete la replicación, recibirá un error de falta de autorización.
Utilice estas operaciones de API para gestionar usuarios::
- CreateUser
- ListUsers
- GetUser
- UpdateUserState: anula el bloqueo de un usuario que ha intentado conectarse incorrectamente 10 veces seguidas.
- UpdateUser: puede actualizar la descripción, el correo electrónico y las etiquetas del usuario.
- UpdateUserCapabilities
- DeleteUser
- ListUserGroupMemberships: utilice esta operación para obtener una lista de los usuarios de un grupo o los grupos en los que está un usuario.
- AddUserToGroup: esta operación da como resultado un objeto
UserGroupMembershipcon su propio OCID. - GetUserGroupMembership
- RemoveUserFromGroup: esta operación suprime un objeto
UserGroupMembership.
Para obtener más información sobre las operaciones de API para gestionar credenciales de usuario, consulte Gestión de credenciales de usuario.