Gestión de usuarios
En este tema, se describen los aspectos básicos del trabajo con usuarios.
Si su arrendamiento está federado con Oracle Identity Cloud Service, consulte Gestión de usuarios y grupos de Oracle Identity Cloud Service en la consola de Oracle Cloud Infrastructure para gestionar usuarios.
Política de IAM necesaria
Si está en el grupo Administradores, tiene el acceso necesario para gestionar usuarios.
- Puede crear una política que otorgue a alguien la capacidad de crear nuevos usuarios y credenciales, pero no controlar en qué grupos están dichos usuarios. Consulte Permitir al servicio de ayuda gestionar los usuarios.
Si no está familiarizado con las políticas, consulte Introducción a las políticas y Políticas comunes. Si desea profundizar en la escritura de políticas para usuarios u otros componentes deIAM, consulte Detalles de IAM sin dominios de identidad.
Etiquetado de recursos
Puede aplicar etiquetas a los recursos para facilitar su organización según las necesidades de su negocio. Puede aplicar etiquetas cuando cree un recurso y puede actualizar un recurso más tarde con la etiqueta que desee agregar, revisar o eliminar. Para obtener información general sobre la aplicación de etiquetas, consulte Etiquetas de recursos.
Trabajar con usuarios
Al crear un usuario, debe proporcionar un nombre único no modificable para el usuario. El nombre debe ser único entre todos los usuarios de su arrendamiento. Este nombre es la conexión del usuario a la consola. Puede que desee utilizar un nombre que ya tenga en uso el sistema de identidad propio de la compañía (por ejemplo, Active Directory, LDAP, etc.). También debe proporcionar al usuario una descripción (aunque puede ser una cadena vacía), que es una descripción no única y modificable. Este valor puede ser el nombre completo del usuario, un apodo u otra información descriptiva. Oracle también asigna al usuario un identificador único denominado Oracle Cloud ID (OCID). Para obtener más información, consulte Identificadores de recursos.
Si suprime un usuario y, a continuación, crea un nuevo usuario con el mismo nombre, los dos usuarios se consideran usuarios diferentes, porque tienen diferentes OCID.
Oracle recomienda proporcionar una dirección de correo electrónico de recuperación de contraseñas para el usuario. Si el usuario olvida su contraseña, puede solicitar que se le envíe una contraseña temporal al utilizar el enlace ¿Ha olvidado la contraseña? en la página de conexión. Si no hay ninguna dirección de correo electrónico presente para el usuario, el administrador debe intervenir para restablecer la contraseña.
Un nuevo usuario no tendrá permisos mientras no se coloque al usuario en uno o más grupos y al menos una política otorgue a ese grupo permiso para el arrendamiento o para un compartimento. Excepción: cada usuario puede gestionar las propias credenciales que se les haya autorizado tener. No es necesario que el administrador cree una política para dotar a un usuario de esa capacidad. Para obtener más información, consulte Credenciales de usuario.
Después de crear un usuario y de colocarlo en un grupo, debe informarle de los compartimentos a los que tiene acceso.
También debe proporcionar al nuevo usuario algunas credenciales que le permitan acceder a Oracle Cloud Infrastructure. Un usuario puede tener una o dos de las credenciales siguientes, en función del tipo de acceso que necesite: una contraseña para utilizar la consola y una clave que firme de API para utilizar la API.
Acerca de las capacidades de usuario
Para acceder a Oracle Cloud Infrastructure, un usuario debe tener las credenciales necesarias. Los usuarios que necesitan utilizar la consola deben tener una contraseña. Los usuarios que necesitan acceder a través de la API necesitan claves de API. Algunas funciones de servicio necesitan credenciales adicionales, como tokens de autenticación, credenciales SMTP y claves del API de compatibilidad de Amazon S3. Para que un usuario pueda obtener estas credenciales, se le debe otorgar la capacidad para tener el tipo de credencial.
Los administradores gestionan las capacidades de usuario en los Detalles del usuario. Cada usuario puede ver sus capacidades, pero solo un administrador puede activar o desactivar esas capacidades. Las capacidades de usuario son:
- Puede utilizar la contraseña de la consola (solo usuarios nativos)
- Puede utilizar claves de API
- Puede utilizar tokens de autenticación
- Puede utilizar credenciales SMTP
- Puede utilizar claves secretas de cliente
Por defecto, todas estas capacidades están activadas cuando crea usuarios, lo que permite a los usuarios crear dichas credenciales para ellos mismos. Para obtener más información sobre el trabajo con credenciales de usuario, consulte Gestión de credenciales de usuario.
Activación del Autenticación Multifactor para un Usuario
Consulte Managing Multifactor Authentication para obtener detalles.
Conexión a la consola
Los usuarios creados mediante este procedimiento se crean en IAM y a veces se denominan "usuarios locales". Si su arrendamiento está federado con otro proveedor de identidad (como Oracle Identity Cloud Service, Azure AD u Okta), la página de conexión a la consola muestra dos opciones para conectarse. Los usuarios locales que cree en IAM utilizan la opción Oracle Cloud Infrastructure para conectarse, como se muestra en la siguiente imagen:
Si su arrendamiento no está federado, solo tendrá opción de conexión.
Seguimiento de la actividad de conexión reciente
La página de lista Usuarios muestra información para ayudar a los administradores a determinar si las cuentas de usuario están activas. El campo Última conexión registrada muestra la fecha y hora de la última sesión del usuario a Oracle Cloud Infrastructure mediante la consola o mediante Oracle DB integrado con IAM. En caso de las conexiones desde la consola, la fecha/hora es la última conexión de esta. En el ejemplo de las conexiones con Oracle DB integrado con IAM, las marcas de hora pueden tener un buffer de hasta 15 minutos desde la Última conexión registrada. Este campo solo se muestra en la vista de lista de todos los usuarios, no se muestra en la página de detalles de usuario individual.
Este campo solo realiza el seguimiento de las conexiones desde la consola o desde Oracle DB integrado con IAM. Si un usuario accede a Oracle Cloud Infrastructure a través de otros medios de acceso (por ejemplo, a través del SDK), no se realiza un seguimiento de esas conexiones.
Enlace de un usuario a una cuenta de My Oracle Support
Para presentar solicitudes del soporte directamente desde la consola, cada usuario debe enlazar su cuenta IAM con su cuenta del My Oracle Support (MOS). Solo es necesario completar este paso una vez. Para obtener instrucciones, consulte Para enlazar un usuario con su cuenta de My Oracle Support.
Requisitos
- Para que un usuario pueda crear este enlace, antes debe configurar una cuenta en My Oracle Cloud Support. Para obtener información sobre la configuración de una dirección de My Oracle Cloud Support, consulte Creación de una dirección de conexión única (SSO) de Oracle.
Desbloqueo de un usuario después de intentos de conexión incorrectos
Si un usuario intenta conectarse 10 veces a la consola de forma incorrecta, se les bloqueará de nuevos intentos de conexión. Un administrador puede desbloquear al usuario en la consola (consulte Para desbloquear a un usuario) o con la operación UpdateUserState de API.
Suprimir a un usuario
Puede suprimir a un usuario, pero solo si este no es miembro de ningún grupo.
Límites de usuarios
Para obtener información sobre el número de usuarios que puede tener, consulte Límites por servicio.
Uso de la consola
- Abra el menú de navegación y seleccione Identidad y seguridad. En Identidad, seleccione Usuarios. Se mostrará una lista de los usuarios de su arrendamiento.
- Seleccione Crear usuario.
- Introduzca lo siguiente:
- Nombre: nombre único o dirección de correo electrónico del usuario. Para obtener consejos sobre qué valor utilizar, consulte Trabajar con usuarios. El nombre debe ser único entre todos los usuarios de su arrendamiento. No puede cambiar este valor más adelante. El nombre debe cumplir los siguientes requisitos: sin espacios. Solo letras latinas básicas (ASCII), números, guiones, puntos, guiones bajos, signos + y símbolos @.
- Descripción: este valor puede ser el nombre completo del usuario, un alias u otra información descriptiva. Puede cambiar este valor más tarde.
Correo electrónico: introduzca una dirección de correo electrónico para el usuario. Esta dirección de correo electrónico se utiliza para la recuperación de la contraseña. La dirección de correo electrónico debe ser única en el arrendamiento.
Si el usuario olvida su contraseña, puede seleccionar ¿Ha olvidado su contraseña en la página del inicio de sesión y generar una contraseña temporal que se envía a la dirección de correo electrónico proporcionada aquí. El usuario o un administrador también pueden actualizar la dirección de correo electrónico más tarde.
- Etiquetas: si tiene permisos para crear un recurso, también tiene permisos para aplicar etiquetas de formato libre a ese recurso. Para aplicar una etiqueta defined, debe tener permisos para utilizar el espacio de nombres de la etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si desea aplicar etiquetas, omita esta opción o pregunte a un administrador. Puede aplicar etiquetas más tarde.
- Seleccione Crear.
A continuación, debe otorgar los permisos de usuario agregándolos al menos a un grupo. También debe proporcionar al usuario las credenciales que necesita (consulte Gestión de credenciales de usuario).
- Abra el menú de navegación y seleccione Identidad y seguridad. En Identidad, seleccione Usuarios. Se mostrará una lista de los usuarios de su arrendamiento.
- Localice al usuario en la lista.
- Haga clic en el usuario. Se mostrarán los detalles del usuario.
- Haga clic en Grupos.
- Haga clic en Agregar usuario a grupo.
- Seleccione el grupo de la lista desplegable y, a continuación, haga clic en Agregar.
Informe al usuario de los compartimentos a los que tiene acceso.
- Abra el menú de navegación y seleccione Identidad y seguridad. En Identidad, seleccione Usuarios. Se mostrará una lista de los usuarios de su arrendamiento.
- Localice al usuario en la lista.
- Seleccione el usuario. Se mostrarán los detalles del usuario.
- Seleccione Grupos.
- Seleccione el menú y, a continuación, seleccione Eliminar.
- Confirme cuando se le solicite.
Requisito: para suprimir a un usuario, este no debe estar en ningún grupo.
- Abra el menú de navegación y seleccione Identidad y seguridad. En Identidad, seleccione Usuarios. Se mostrará una lista de los usuarios de su arrendamiento.
- Para el usuario que desea suprimir, seleccione Suprimir.
- Confirme cuando se le solicite.
Si es administrador, puede utilizar el siguiente procedimiento para desbloquear a un usuario que haya intentado conectarse 10 veces seguidas sin éxito a la consola.
- Abra el menú de navegación y seleccione Identidad y seguridad. En Identidad, seleccione Usuarios. Se mostrará una lista de los usuarios de su arrendamiento.
- Seleccione el usuario. Se mostrarán los detalles del usuario, incluido el estado actual.
- Seleccione Desbloquear.
- Confirme cuando se le solicite.
- Abra el menú de navegación y seleccione Identidad y seguridad. En Identidad, seleccione Usuarios. Se mostrará una lista de los usuarios de su arrendamiento.
- Seleccione el usuario que desea actualizar. Se mostrarán los detalles del usuario. La descripción se muestra debajo de la conexión del usuario.
- Seleccione el lápiz situado junto a la descripción.
- Edite la descripción y guárdela.
- Abra el menú de navegación y seleccione Identidad y seguridad. En Identidad, seleccione Usuarios. Se mostrará una lista de los usuarios de su arrendamiento.
- Seleccione el usuario que desea actualizar. Se mostrarán los detalles del usuario.
- En Información de usuario, seleccione el lápiz situado junto a Correo electrónico.
- Introduzca la dirección de correo electrónico y seleccione el icono de guardar. La dirección de correo electrónico debe ser única en el arrendamiento.
Si es administrador, puede editar las capacidades del usuario.
- Abra el menú de navegación y seleccione Identidad y seguridad. En Identidad, seleccione Usuarios. Se mostrará una lista de los usuarios de su arrendamiento.
- Haga clic en el usuario para ver sus detalles.
- Haga clic en Editar funciones de usuario.
- Active o desactive la casilla de control para agregar o eliminar una capacidad.
- Haga clic en Guardar.
Importante: Asegúrese de cumplir los requisitos antes de enlazar su cuenta. Consulte Enlace de un usuario a una cuenta de My Oracle Support.
- Abra el menú de navegación y seleccione Identidad y seguridad. En Identidad, seleccione Usuarios. Se mostrará una lista de los usuarios de su arrendamiento.
- Seleccione el usuario que desea actualizar. Se mostrarán los detalles del usuario.
- Seleccione Enlazar cuenta de soporte. La página de conexión de la cuenta de Oracle le solicitará que introduzca las credenciales de Oracle.
- Introduzca el Usuario y laContraseña de la cuenta Oracle de soporte que desea vincular a este usuario y seleccione Conectar. La cuenta del usuario de IAM quedará enlazada a la cuenta del soporte de Oracle. La dirección de correo electronico asociada a la cuenta de soporte se muestra en los detalles del usuario en el campo Cuenta deMy Oracle Support.
- Abra el menú de navegación y seleccione Identidad y seguridad. En Identidad, seleccione Usuarios. Se mostrará una lista de los usuarios de su arrendamiento.
- Seleccione el usuario que desea actualizar. Se mostrarán los detalles del usuario.
- Seleccione Desenlazar cuenta de soporte.
- En la petición de confirmación, seleccione Unlink (Desenlazar).
Para obtener información sobre la gestión del usuario de credenciales en la consola, consulte Gestión de credenciales del usuario.
Uso de la API
Para obtener información sobre el uso de la API y las solicitudes de firma, consulte la documentación de la API de REST y las Credenciales de seguridad. Para obtener información sobre los SDK, consulte Los SDK y la CLI.
Las actualizaciones no son inmediatas en todas las regiones
Sus recursos de IAM residen en su región principal. Para aplicar la política en todas las regiones, el servicio IAM replica sus recursos en cada región. Cuando se crea o se cambia una política, un usuario o un grupo, los cambios se aplican en primer lugar en la región principal y después se propagan a las demás regiones. Pueden pasar varios minutos antes de que los cambios surtan efecto en todas las regiones. Por ejemplo, suponga que tiene un grupo con permisos para iniciar instancias en el arrendamiento. Si agrega a UserA a este grupo, UserA puede iniciar instancias en su región principal en menos de un minuto. Sin embargo, UserA no puede iniciar instancias en otras regiones hasta que el proceso de replicación haya terminado. Este proceso puede tardar varios minutos. Si UserA intenta iniciar una instancia antes de que se complete la replicación, recibirá un error de falta de autorización.
Utilice estas operaciones de API para gestionar usuarios::
- CreateUser
- ListUsers
- GetUser
- UpdateUserState: anula el bloqueo de un usuario que ha intentado conectarse incorrectamente 10 veces seguidas.
- UpdateUser: puede actualizar la descripción, el correo electrónico y las etiquetas del usuario.
- UpdateUserCapabilities
- DeleteUser
- ListUserGroupMemberships: utilice esta operación para obtener una lista de los usuarios de un grupo o los grupos en los que está un usuario.
- AddUserToGroup: esta operación da como resultado un objeto
UserGroupMembershipcon su propio OCID. - GetUserGroupMembership
- RemoveUserFromGroup: esta operación suprime un objeto
UserGroupMembership.
Para obtener más información sobre las operaciones de API para gestionar credenciales de usuario, consulte Gestión de credenciales de usuario.