Documentación de Oracle Cloud Infrastructure

Visión general de IAM

Oracle Cloud Infrastructure Identity and Access Management (IAM) proporciona funciones de gestión de identidad y acceso como autenticación, conexión única (SSO) y gestión del ciclo de vida del identidad para Oracle Cloud, así como aplicaciones deOracle y que no sean de Oracle, ya sean SaaS, alojadas en la nube o locales. Los empleados, los partners y los clientes pueden acceder a las aplicaciones en cualquier momento, desde cualquier lugar y en cualquier dispositivo de forma segura.

IAM se integra con los almacenes y las aplicaciones existentes de identidades y en la nube y en las ubicaciones locales para facilitar la accesibilidad de los usuarios finales. Proporciona la plataforma de seguridad para Oracle Cloud, que permite a los usuarios acceder, desarrollar y desplegar de forma segura y sencilla aplicaciones empresariales como Oracle Human Capital Management (HCM) y Oracle Sales Cloud, así como servicios de plataforma como Oracle Java Cloud Service, Oracle Business Intelligence (BI) y Cloud Service, entre otros.

Los administradores y los usuarios pueden utilizar IAM para ayudarles a crear, gestionar y utilizar, de forma eficaz y segura, un entorno a la administración de identidad basado en la nube sin preocuparse de configurar ningún detalle de las infraestructuras o las plataformas.

Consejo

Vea una introducción en vídeo al servicio.

Responsabilidad del cliente

Es su responsabilidad:

  • Comprender las políticas, configuraciones y artefactos de Oracle Cloud Infrastructure Identity and Access Management (IAM).
  • Implantar sus propias políticas, configuraciones y artefactos para todas las características de IAM.
  • Crear y administrar usuarios, políticas, configuraciones y artefactos mediante IAM.
  • Cumplir todos los requisitos y directrices de NIST 800-63, incluidos IAL3, AAL3 y FAL3.

Para todas las funciones de IAM, debe utilizar sus propios valores de configuración y configurar sus propios artefactos.

Componentes de IAM

IAM utiliza los componentes descritos en esta sección. Para comprender mejor cómo encajan los componentes entre sí, consulte Escenario de ejemplo.

COMPARTIMENTO
Recopilación de recursos relacionados. Los compartimentos son un componente fundamental de Oracle Cloud Infrastructure para la organización y el aislamiento de sus recursos en la nube. Se utilizan para separar recursos claramente con la finalidad de medir el uso y la facturación, el acceso (mediante políticas) y el aislamiento (separando los recursos dedicados a un proyecto o unidad de negocio de otros). Un enfoque común es crear un compartimento para cada parte principal de su organización. Para obtener más información, consulte Aprender las mejores prácticas para configurar su arrendamiento.
GRUPOS DINÁMICOS
Tipo especial de grupo que contiene recursos (como instancias informáticas) que coinciden con las reglas que defina (por lo tanto, la afiliación puede cambiar de forma dinámica a medida que se crean o suprimen recursos coincidentes). Estas instancias actúan como actores "principales" y pueden realizar llamadas de API a servicios según las políticas que escriba para el grupo dinámico.
FEDERACIÓN
Relación que un administrador configura entre un proveedor de identidad y un proveedor de servicios. Al federar Oracle Cloud Infrastructure con un proveedor de identidad, se gestionan usuarios y grupos en el proveedor de identidad. La autorización se gestiona en el servicio IAM de Oracle Cloud Infrastructure.
GRUPO
Una recopilación de usuarios que comparten un conjunto similar de privilegios de acceso. Los administradores pueden otorgar políticas de acceso que autorizan a un grupo a usar o gestionar recursos en un arrendamiento. Todos los usuarios de un grupo heredan el mismo conjunto de privilegios.
REGIÓN PRINCIPAL
Región en que residen sus recursos IAM. Todos los recursos IAM son globales y está disponible en todas las regiones, pero el juego maestro de definiciones reside en una sola región, la región inicial. Debe realizar cambios a sus recursos de la región principal de IAM. Los cambios se propagarán automáticamente a todas las regiones. Para obtener más información, consulte "Gestión de regiones".
IDENTITY DOMAIN

Un dominio de identidad es un contenedor para gestionar usuarios y roles, federar y aprovisionar usuarios, y proteger la integración de aplicaciones mediante la configuración de Oracle Single Sign-On (SSO) y la administración de OAuth. Representa a un grupo de usuarios de Oracle Cloud Infrastructure y sus configuraciones y valores de seguridad asociados (como MFA).

PROVEEDOR DE IDENTIDAD
Relación de confianza con un proveedor de identidad federado. Los usuarios federados que intentan autenticarse en la consola de Oracle Cloud Infrastructure se redirigen al proveedor que configura. After successfully authenticating, federated users can manage Oracle Cloud Infrastructure resources in the console just like a native IAM user.
MFA
La autenticación multifactora (MFA) es un método de autenticación que requiere el uso de más de uno de los factores para verificar el carácter de usuario.
ORIGEN DE RED
Grupo de direcciones IP que pueden acceder a los recursos del arrendamiento. Las direcciones IP pueden ser públicas o de una VCN de su arrendamiento. Después de crear el origen de red, utilice la política para restringir el acceso solo a solicitudes que procedan de las IP del origen de red.
RECURSO
Objeto en la nube que se crea y utiliza al interactuar con los servicios de Oracle Cloud Infrastructure. Por ejemplo, instancias informáticas, volúmenes de almacenamiento de bloques, redes virtuales en la nube (VCNs), subredes, bases de datos, aplicaciones de terceros, aplicaciones de software como servicio (SaaS), software local y aplicaciones web minoristas.
ROLE
Juego de privilegios administrativos que se pueden asignar a un usuario en un dominio de identidad.
POLÍTICA DE SEGURIDAD
Documento que especifica quién puede acceder a recursos determinados y cómo. Puede escribir políticas para controlar los accesos a todos los servicios de Oracle Cloud Infrastructure. El acceso se concede en el nivel de grupo y compartimento, lo que significa que puede escribir una política que proporcione a un grupo un tipo específico de acceso dentro de un compartimento específico, o acceso al arrendamiento en sí. Si otorga a un grupo acceso al arrendamiento, el grupo obtiene automáticamente el mismo tipo de acceso a todos los compartimentos del arrendamiento. La palabra "política" se utiliza de distintas formas: para indicar una sentencia individual escrita en el lenguaje de la política; para indicar una recopilación de sentencias en un documento de "política" con nombre (que tiene un Oracle Cloud ID [OCID] asignado), y para hacer referencia al cuerpo general de políticas que utiliza la organización para controlar el acceso a los recursos.
Cuando se aplica una política, puede haber un ligero retraso antes de que la política sea efectiva.
POLÍTICA DE CONEXIÓN
Una política de conexión permite a los administradores de dominios de identidad, a los administradores de seguridad y a los administradores de aplicaciones definir criterios que determinen si un usuario puede conectarse a un dominio de identidad.
ETIQUETAS
Las etiquetas permiten organizar recursos en varios compartimentos para la generación de informes o para realizar acciones masivas.
ARRENDAMIENTO
Compartimento raíz que contiene todos los recursos de Oracle Cloud Infrastructure de su empresa. Oracle crea automáticamente el arrendamiento de su compañía. Directamente en el arrendamiento están las entidades IAM (usuarios, grupos, compartimentos y algunas políticas). También puede colocar políticas en compartimentos dentro del arrendamiento. Usted coloca los otros tipos de recursos de nube (por ej., instancias, redes virtuales, volúmenes de almacenamiento de bloques, etc.) dentro de los compartimentos que haya creado.
Los administradores del arrendamiento pueden crear usuarios y grupos, y asignarles acceso con menos privilegios a recursos particionados en compartimentos.
USUARIO
Un empleado o sistema individual que necesita gestionar o utilizar los recursos de Oracle Cloud Infrastructure de la compañía. Es posible que los clientes necesiten iniciar instancias, gestionar discos remotos, trabajar con su red virtual en la nube, etc. Los usuarios finales de la aplicación, por lo general, no son usuarios de la aplicación IAM. Los usuarios tienen una o más credenciales de IAM (consulte Trabajo con credenciales de usuario).

Activación y desactivación de componentes

Hay una serie de componentes que deben activarse para utilizarlos. También puede desactivarlos cuando sea necesario.

Obtenga más información sobre el componente con el que está trabajando:

Grupo de administradores, política y roles de administrador

Cuando su compañía se registra para una cuenta de la empresa de Oracle y el dominio de identidad, Oracle configura un administrador por Defecto para la cuenta. Esta persona será el primer usuario de la compañía de IAM y será responsable de la configuración inicial de administradores adicionales. Su arrendamiento incluye un grupo denominado Administradores y el administrador por defecto pertenece automáticamente a este grupo. No puede suprimir este grupo y siempre debe haber al menos un usuario en él.

Su arrendamiento también tiene automáticamente una política que proporciona al grupo Administradores acceso a todas las operaciones de la API de la Oracle Cloud Infrastructure y todos los recursos en la nube de dicho arrendamiento. No puede cambiar ni suprimir esta política. Cualquier otro usuario que coloque en el grupo Administradores tendrá acceso completo a todos los servicios. Esto significa que pueden crear y gestionar recursos de la IAM, como grupos, políticas y compartimentos. Además, pueden crear y gestionar recursos en la nube, como redes virtuales en la nube (VCN), instancias, volúmenes de almacenamiento de bloques y cualquier otro tipo nuevo de recursos de Oracle Cloud Infrastructure que esté disponible en el futuro.

Además del administrador por defecto y de la política por defecto, puede asignar cuentas de usuario a roles de administrador predefinidos para delegar responsabilidades administrativas. Los roles de administrador existen en los dominios de identidad. Puede asignar cualquier cuenta de usuario de un dominio de identidad a uno o más roles de administrador en ese dominio de identidad. Mientras que las políticas proporcionan acceso a los compartimentos y a los recursos de esos compartimentos, si utiliza roles de administrador, puede otorgar acceso a los recursos sin tener que aprender el lenguaje de la política ni escribir y mantener políticas.

Nota

Al conceder a usuarios o grupos el rol del administrador de dominios de identidad para dominios que no sean el dominio por defecto, solo se les otorgan permisos de administrador completos para ese dominio (no para el arrendamiento). Se debe otorgar al menos a un administrador del dominio de identidades el rol del administrador del dominio de identidades directamente. Este se añade a los roles de administrador de dominio de identidad otorgados por la pertenencia a grupo. Para obtener más información, consulte Understanding Administrator Roles.

IAM evalúa las políticas y los roles del administrador juntos al determinar si un usuario tiene acceso a recursos y qué puede hacer ese usuario con esos recursos. Si el arrendamiento ya está basado en políticas, puede seguir usándolas. Puede incluso escribir políticas para otorgar acceso a dominios de identidad específicos. Sin embargo, Oracle le recomienda que empiece a utilizar roles de administrador para otorgar a los usuarios acceso a los recursos de los dominios de identidad en el futuro.

Formas de acceder a Oracle Cloud Infrastructure

Puede acceder a Oracle Cloud Infrastructure mediante la consola (interfaz basada en explorador) o la API de REST. Las instrucciones de la consola se incluyen en los temas de esta guía. Para obtener una lista de los SDK disponibles, consulte Software development kits e interfaz de línea de comandos.

Para acceder a la consola, debe utilizar un explorador soportado. Para ir a la página del inicio de sesión de la consola, abra el Menú de navegación en la parte superior de esta página y seleccione Consola de Infraestructura. Se le solicitará que introduzca el inquilino en la nube, el nombre de usuario y la contraseña.

Para conocer la referencia de API de los REST para la API de los IAM, consulte API de Identity and Access Management Service. For the REST API Reference for the IAM Identity Domains API, see IAM Identity Domains API. Para obtener información general sobre el uso de la API, consulte API REST.

Documentación necesaria para la identidad en la nube

Para ayudarle a administrar la identidad en Oracle Cloud Infrastructure (OCI), necesita la documentación correcta.

La documentación que elija dependerá de los siguientes factores:

  • Si su arrendamiento de OCI se ha actualizado para que utilice los dominios del identidad de Oracle Cloud Infrastructure Identity and Access Management (IAM)
  • Si se han migrado los segmentos de Oracle Identity Cloud Service (IDCS) a los dominios de identidad de IAM

Lea las siguientes secciones para encontrar la documentación adecuada para usted.

¿Tiene acceso a dominios de identidad?

  1. Conéctese a la consola de Oracle Cloud. ¿Necesita ayuda para conectarse? Consulte Sign In to the Console.
  2. En el menú de navegaciónmenú de navegación, seleccione Identidad y seguridad. En Identidad, compruebe si hay Dominios. Si aparece Dominios, su cuenta en la nube se ha actualizado.
Si se conecta y aparece la consola de administración de IDCS en lugar de la consola de Oracle Cloud, como se muestra en la siguiente imagen, quiere decir que los segmentos no se han migrado a IAM. No tiene acceso a los dominios de identidad.

¿Qué documentación se necesita?

Después de determinar si el arrendamiento se ha actualizado o si los segmentos de IDCS se han migrado, seleccione la documentación correcta.

¿Se ha actualizado su arrendamiento? Utilice esta documentación.
Se muestran Dominios en la consola. Se actualizó mi arrendamiento.
Al utilizar la consola:
Al utilizar la API:
  • Para gestionar dominios del dominio de identidad (por ejemplo, crear o suprimir un dominio), consulte API IAM.
  • Para gestionar recursos (por ejemplo, usuarios y grupos) en el dominio de identidad, consulte la sección acerca de la API del dominio de identidades de IAM.
Si su arrendamiento se ha actualizado recientemente, para más información sobre lo que debe esperar después de esta actualización, consulte:
No se muestran Dominios en la consola. Mi arrendamiento no se actualizó.

Para utilizar la consola para administrar IAM en arrendamientos sin dominios de identidad, consulte Visión general de Identity and Access Management.

Para utilizar la API para administrar IAM en arrendamientos sin dominios a nivel de identidad, consulte API IAM.

Para obtener información sobre qué se debe esperar cuando se produce la actualización, consulte Dominios de identidad de OCI IAM: qué deben saber los clientes de OCI IAM.

Se muestra la consola de administración de IDCS. Mis segmentos no se han migrado a los dominios de identidad.
Al utilizar la consola:

Para utilizar la API para administrar segmentos en IDCS, consulte API de REST de Oracle Identity Cloud Service.

Para obtener información sobre qué se puede esperar cuando se produce la migración, consulte Dominios de identidad de IAM de OCI: qué deben saber los clientes de de Oracle IDCS.