Tipos de dominio de identidad de IAM
Obtenga información sobre los tipos de dominio de identidad y las funciones y los límites asociados a cada uno.
Un dominio de identidad de IAM se despliega con uno de los cinco tipos de dominio de identidad. Cada tipo de dominio de identidad está asociado a un juego diferente de funciones y límites de objetos. Utilice esta información para decidir qué tipo de dominio es adecuado para lo que desea hacer.
En esta sección se resume lo siguiente:
- Los diferentes tipos de dominio de identidad, consulte Descripción de los tipos de dominio de identidad.
- Las funciones asociadas a cada tipo, consulte Disponibilidad de funciones para tipos de dominio de identidad.
- Número de diferentes tipos de objetos para cada tipo de dominio de identidad. Consulte Límites de objetos de dominio de identidad de IAM.
- Los tipos de datos soportados para atributos personalizados y sus límites, consulte Tipos de datos para atributos personalizados.
- Límite de frecuencia para API de diferentes tipos de dominios de identidad, consulte Límites de frecuencia de API.
- Medidores utilizados para diferentes tipos de dominio de identidad. Consulte Medidores para tipos de dominio de identidad.
- Cómo cambiar a otro tipo de dominio de identidad, consulte Cambio del tipo de dominio de identidad.
Esta sección contiene información sobre los dominios de identidad y las distintas funciones y límites asociados a cada tipo de dominio de identidad. Para obtener información sobre los límites de nivel de arrendamiento de IAM, consulte IAM con límites de dominios de identidad.
Descripción de los tipos de dominio de identidad
IAM tiene cinco tipos de dominio de identidad diferentes para abordar diferentes necesidades organizativas. Comience aquí para comprender qué se adapta mejor a sus requisitos y qué tipo elegir al crear un dominio de identidad.
A continuación se muestra un resumen de los tipos de dominio de identidad. Decida cuál se ajusta mejor a sus requisitos y compruebe las funciones y los límites que aparecen a continuación con ese tipo de dominio de identidad para seleccionar el tipo de dominio de identidad adecuado para usted.
Gratis
Al crear un arrendamiento de OCI, se le asigna automáticamente un dominio de identidad gratuito. Este tipo de dominio permite utilizar el servicio IAM para gestionar el acceso a los recursos de infraestructura y plataforma de OCI. Utilice este tipo de dominio para obtener más información sobre el servicio IAM y para gestionar el acceso a los recursos IaaS y PaaS de OCI. Este tipo de dominio debe incluir todo lo necesario para gestionar OCI. Sin embargo, si necesita límites más altos o funciones adicionales, puede cambiar a un tipo de dominio de identidad diferente.
Ejemplo de caso de uso: su organización utiliza Oracle Cloud y sus administradores en la nube necesitan acceso seguro para gestionar los servicios de OCI suscritos.
Oracle Apps
Algunos servicios PaaS de Oracle y aplicaciones SaaS ofrecen a sus clientes un dominio de identidad de Oracle Apps que permite utilizar el servicio IAM para gestionar el acceso al servicio suscrito. En la mayoría de los casos, el servicio proporciona el dominio de identidad en el momento del aprovisionamiento, o bien un dominio anterior se convertirá automáticamente en un dominio de Oracle Apps cuando se asocie un servicio registrado a él. Este tipo de dominio debe incluir todo lo necesario para gestionar el acceso al servicio de Oracle suscrito. Sin embargo, si necesita límites más altos o funciones adicionales, puede cambiar a un tipo de dominio de identidad diferente.
Ejemplo de caso de uso: su organización se suscribe a un servicio PaaS o SaaS de Oracle que proporciona un dominio de identidad de Oracle Apps con su servicio. Puede utilizar este tipo de dominio para gestionar el acceso a los servicios PaaS y SaaS de Oracle. También puede que tenga una o dos aplicaciones de terceros para las que desee que los usuarios puedan iniciar sesión sin problemas sin tener que volver a autenticarse.
Oracle Apps Premium
Los dominios de identidad de Oracle Apps Premium agregan soporte para escenarios de IAM híbridos que amplían el servicio IAM para gestionar el acceso para aplicaciones de Oracle alojadas en OCI o locales, como Oracle E-Business Suite, PeopleSoft y Oracle Database. Aunque este tipo de dominio de identidad está pensado principalmente para su uso con aplicaciones de Oracle, también permite gestionar el acceso para un número limitado de aplicaciones personalizadas o de terceros.
Ejemplo de caso de uso: su organización desea activar la autenticación y el inicio de sesión único para que los usuarios de su personal accedan a las aplicaciones de Oracle SaaS, así como a las aplicaciones de Oracle locales o alojadas en la nube, como E-Business Suite, JD Edwards, PeopleSoft, Siebel y/o Oracle Database. Puede que también desee realizar una sincronización bidireccional con Microsoft Active Directory u otros sistemas locales y que tenga algunas aplicaciones de terceros o personalizadas para las que desee que los usuarios se conecten sin problemas sin tener que volver a autenticarse.
Premium
Los dominios de identidad de Premium proporcionan el juego de funciones completo de IAM y los límites más altos para casos de uso de empleados y personal, lo que le proporciona una gestión de acceso para empresas entre entornos de TI híbridos. Incluye todos los tipos de integración soportados y aplicaciones de terceros ilimitadas. Este es el tipo de dominio ideal si está estandarizando en OCI IAM como proveedor de gestión de acceso e identidad empresarial.
Ejemplo de caso de uso: desea una solución de identidad como servicio (IDaaS) para gestionar la autenticación del personal y el acceso a todas sus aplicaciones de Oracle y de terceros, ya sean aplicaciones SaaS, aplicaciones empresariales locales o aplicaciones alojadas en la nube. Desea utilizar las funciones de autenticación y autorización modernas, como la autenticación sin contraseña, los tokens de hardware FIDO2 y la seguridad adaptativa. También es posible que desee disponer de aprovisionamiento y anulación de aprovisionamiento automatizado de cuentas en estos sistemas.
Usuario externo
Los dominios de identidad externos proporcionan un sólido juego de funciones de IAM para casos de uso de no empleados, aplicaciones orientadas al consumidor y desarrollo de aplicaciones personalizadas. Este tipo de dominio proporciona funciones relevantes para estos escenarios, como autoservicio de usuario, conexión social y gestión de consentimiento.
Los dominios de identidad externos solo tienen licencia para las cuentas de usuario que no son de empleado. Si su negocio requiere que tenga cuentas de usuario de empleado almacenadas en un dominio de identidad externo (por ejemplo, si una aplicación solo admite un proveedor de identidad), eso solo se permite si esas cuentas de usuario también existen en otro dominio de identidad de tipo Gratis, Oracle Apps, Oracle Apps Premium o Premium.
Ejemplo de caso de uso: desea una solución de identidad como servicio (IDaaS) completa que le ayude a gestionar la autenticación y el acceso a aplicaciones personalizadas u orientadas al consumidor. La solución debe soportar la conexión social, la gestión de perfiles y contraseñas de autoservicio de usuario y el consentimiento de condiciones de uso. Y puede que necesite que la solución se amplíe para que soporte millones de usuarios.
Disponibilidad de funciones para tipos de dominio de identidad
Comprenda las funciones disponibles para los diferentes tipos de dominio de identidad.
En esta tabla se muestran las funciones disponibles para cada tipo de dominio.
| Función | Gratis | Oracle Apps | Oracle Apps Premium | Premium | Usuario externo |
|---|---|---|---|---|---|
| Funciones principales de IAM | |||||
| Gestión de usuarios y grupos |  |
|
|
|
|
| Autorregistro de usuario final | - | |
|
|
|
| Gestión de perfiles de autoservicio | |
|
|
|
|
| Recuperación de cuentas (restablecimiento de contraseña de autoservicio mediante correo electrónico, SMS, preguntas de seguridad) | El SMS no forma parte del tipo de dominio gratuito |
|
|
|
|
| Política de contraseñas por defecto | |
|
|
|
|
| Política de contraseñas basada en grupos | |
|
|
|
|
| Soporte para aplicaciones externas1 | |||||
| SSO de salida a aplicaciones de terceros | Límite de 2 aplicaciones externas |
Límite de 2 aplicaciones externas |
Límite de 10 aplicaciones externas |
Ilimitado |
Ilimitado |
| Aprovisionamiento para aplicaciones de terceros mediante el catálogo de aplicaciones | Límite de 2 aplicaciones externas |
Límite de 2 aplicaciones externas |
Límite de 10 aplicaciones externas |
Ilimitado |
- |
| Gestión de OAuth/token para aplicaciones de terceros | Límite de 2 aplicaciones externas |
Límite de 2 aplicaciones externas |
Límite de 10 aplicaciones externas |
Ilimitado |
Ilimitado |
| Plantilla de aplicación de SCIM genérica | Límite de 2 aplicaciones externas |
Límite de 2 aplicaciones externas |
Límite de 10 aplicaciones externas |
Ilimitado |
Ilimitado |
| Gestión del acceso a Oracle Cloud Infrastructure | |||||
| Todas las funciones actuales de IAM de Infraestructura como servicio | |
|
|
|
- |
| Gestión de acceso a recursos de OCI | |
|
|
|
- |
| Grupos dinámicos (para OCI) | |
|
|
|
- |
| Tipos de credenciales específicos de OCI | |
|
|
|
- |
| Opciones de seguridad | |||||
| IdP externos y conexión social (SSO de federación/entrada) | 5 IdPs externo |
5 IdPs externo |
30 IdPs externo |
30 IdPs externo |
30 IdPs externo |
| Políticas de enrutamiento de IdP flexibles | |
|
|
|
|
| Condiciones de uso | |
|
|
|
|
| Aprovisionamiento just in time | |
|
|
|
|
| Soporte para tarjetas PIV/CAC | |
|
|
|
|
| Extensión de esquema | |
|
|
|
|
| Administración delegada | |
|
|
|
|
| Sincronización unidireccional de Active Directory que soporta la sincronización de entrada de AD al dominio de identidad de IAM | |
|
|
|
- |
| Opciones de autenticación: Oracle Mobile Authenticator (MFA) y seguridad adaptativa (MFA - TOTP y push, llamada telefónica, preguntas de seguridad, FIDO2, DUO, correo electrónico). | El SMS no forma parte del tipo de dominio gratuito |
|
|
|
|
| Autenticación sin contraseña | |
|
|
|
|
| Políticas de conexión (condiciones: autenticado mediante, grupos, administradores, exclusiones, perímetro de red, motor de riesgos incorporado) | |
|
|
|
|
| SDK de aplicación | |
|
|
|
|
| Integración de Oracle SaaS | |||||
| SSO para servicios de Oracle Cloud | |
|
|
|
|
| Aprovisionamiento de usuarios para servicios de Oracle Cloud (con formulario de cuenta, atributos personalizados, filtros, etc.) | |
|
|
|
- |
| Gestión de OAuth/token para Oracle App y extensiones de SaaS2 | |
|
|
|
- |
| Informes | |||||
| Auditoría e informes | |
|
|
|
|
| Marca | |||||
| Aspecto personalizado | |
|
|
|
|
| Conexión alojada | - | - | |
|
|
| Funciones avanzadas e híbridas de gestión de identidad y acceso | |||||
| IAM avanzado | |||||
| Sincronización bidireccional con LDAP mediante el puente de aprovisionamiento | - | - | |
|
- |
| Sincronización bidireccional con el puente de AD | - | - | |
|
- |
| Autenticación delegada mediante el puente de AD | - | - | |
|
- |
| SSO para cualquier aplicación | |
|
|
|
|
| IAM híbrida | |||||
| Gateway de aplicación (para cualquier aplicación empresarial) | - | - | Solo aplicaciones empresariales de Oracle |
Cualquier aplicación empresarial |
Cualquier aplicación empresarial |
| EBS Asserter3 | - | - | |
|
|
| Proxy RADIUS (todo: Oracle DB, VPN, dispositivos de red, etc.) | - | - | Solo Oracle DB |
Todo: Oracle DB, VPN, dispositivos de red, etc. |
- |
| PAM DE Linux | - | - | |
|
- |
1 Las aplicaciones externas o de terceros se definen como aplicaciones comerciales que ofrece un proveedor distinto de Oracle o como aplicaciones de desarrollo personalizado (por ejemplo, aplicaciones basadas en OCI con APEX). Tenga en cuenta que las aplicaciones personalizadas creadas con Visual Builder Cloud Service no cuentan para el límite de aplicaciones externas.
2 Las extensiones de SaaS son aplicaciones de desarrollo personalizado que solo se utilizan como extensiones para aplicaciones suscritas de Oracle SaaS, como HCM, ERP, SCM, etc. El único objetivo de estas aplicaciones es aumentar las aplicaciones de Oracle SaaS. Estos no cuentan en el límite de aplicaciones externas.
3 El derecho a utilizar Oracle E-Business Suite Asserter también incluye el derecho a utilizar WebLogic Server Enterprise Edition únicamente para ejecutar la aplicación afirmadora de acuerdo con todos los términos y condiciones descritos en el Licensing Information User Manual de Oracle Fusion Middleware.
Límites de objetos de dominio de identidad de IAM
Conozca el número de diferentes tipos de objetos permitidos en cada tipo de dominio de identidad.
Puede crear diferentes tipos de dominio de identidad sujetos al límite permitido por el tipo de suscripción. Para conocer los límites del dominio de identidad de cada tipo de suscripción, consulte IAM con límites de dominios de identidad.
| Recurso | Gratis | Oracle Apps | Oracle Apps Premium | Premium | Usuario externo |
|---|---|---|---|---|---|
| Usuarios | 2000 | 1.000.000 | 1.000.000 | 1.000.000 | 100.000.000 |
| Grupos | 250 | 10.000 | 100.000 | 100.000 | 100.000 |
| Usuarios en un grupo | 2000 | 10.000 | 100.000 | 100.000 | 100.000 |
| Grupos por usuario | 250 | 500 | 5000 | 5000 | 5000 |
| Contraseña por defecto y políticas de contraseñas basadas en grupos | 10 | 10 | 10 | 10 | 10 |
| Aplicaciones que no son de Oracle 1 | 2 | 2 2 | 10 2 | 5000 | 5000 |
| Aplicaciones de Oracle Cloud | 2000 | 2000 | 2000 | 2000 | - |
| Aplicaciones empresariales | - | - | 500 (Solo aplicaciones empresariales de Oracle) |
500 | 500 |
| Proxy RADIUS | - | - | 50 | 50 | - |
| Dominios de Active Directory (AD) | 2 | 10 | 20 | 20 | - |
| Puentes de dominio activos por dominio de AD | 4 | 10 | 10 | 10 | - |
| Puentes de aprovisionamiento | 4 | 10 | 10 | 10 | - |
| Gateway de aplicación | - | - | 20 | 20 | 20 |
| Proveedores de identidad externos y conexión social (IdPs)(SSO de federación/entrada) | 5 | 5 | 30 | 30 | 30 |
| Políticas de IdP | 5 | 5 | 100 | 100 | 100 |
| Términos de uso | 500 | 500 | 500 | 500 | 500 |
| Políticas de conexión | 5 | 5 | 200 | 200 | 200 |
| Perfiles de autorregistro | - | 50 | 50 | 50 | 50 |
| Grupos dinámicos | 50 | 50 | 50 | 50 | - |
| Clave de API por usuario | 3 | 3 | 3 | 3 | - |
| Token de autorización por usuario | 2 | 2 | 2 | 2 | - |
| Credenciales de cliente de OAuth2 por usuario | 10 | 10 | 10 | 10 | - |
| Credenciales SMTP | 2 | 2 | 2 | 2 | - |
| Clave secreta de cliente por usuario | 2 | 2 | 2 | 2 | - |
| Credenciales de base de datos por usuario | 2 | 2 | 2 | 2 | - |
| Certificado de cliente OAuth | 20 | 200 | 200 | 20.000 | 20.000 |
| OAuth Certificados de partner | 20 | 20 | 100 | 100 | 100 |
| Certificados de partner de confianza | 20 | 20 | 100 | 100 | 100 |
1 Las aplicaciones no de Oracle o de terceros se definen como aplicaciones comerciales que ofrece un proveedor distinto de Oracle o como aplicaciones de desarrollo personalizado (por ejemplo, aplicaciones basadas en OCI que utilizan APEX). Tenga en cuenta que las aplicaciones personalizadas creadas con Visual Builder Cloud Service no cuentan para el límite de aplicaciones externas.
2 Los límites para el número de aplicaciones de terceros o que no sean de Oracle para los tipos de dominio Oracle Apps y Oracle Apps Premium no se aplican temporalmente. Se harán cumplir en el futuro.
Tipos de datos para atributos personalizados
Consulte los tipos de datos soportados para los atributos personalizados y sus límites. Se aplican a todos los tipos de dominio de identidad.
| Tipos de datos | Límite |
|---|---|
| Cadena de 4000 caracteres indexada (apta para búsqueda) | 84 |
| Cadena de 40 caracteres indexada (apta para búsqueda) | 5 |
| Cadena de 4000 caracteres no indexada | 36 |
| Cadena de 40 caracteres no indexada | 15 |
| Entero | 20 |
Límites de frecuencia de API
Conozca el limitación de frecuencia de las API para diferentes tipos de dominio de identidad.
Las API de Oracle están sujetas a límites de frecuencia para proteger el uso del servicio de API para todos los clientes de Oracle. Si alcanza el límite de ratio de API para el tipo de dominio de identidad, IAM devolverá el código de error 429.
Límites de frecuencia para todos los tipos de dominio de identidad
| Grupo de API | Por | Gratis | Oracle Apps | Oracle Apps Premium | Premium | Usuario externo |
|---|---|---|---|---|---|---|
| AuthN | segundo | 10 | 50 | 80 | 95 | 90 |
| AuthN | minuto | 150 | 1000 | 2100 | 4500 | 3100 |
| Gestión de tokens | segundo | 10 | 40 | 50 | 65 | 60 |
| Gestión de tokens | minuto | 150 | 1000 | 1700 | 3400 | 2300 |
| Otros | segundo | 20 | 50 | 55 | 90 | 80 |
| Otros | minuto | 150 | 1500 | 1750 | 5000 | 4000 |
| Masivo | segundo | 5 | 5 | 5 | 5 | 5 |
| Masivo | minuto | 200 | 200 | 200 | 200 | 200 |
| Importar y exportar | día | 4 | 8 | 10 | 10 | 10 |
API en grupos de API
Los límites de API se aplican al total de todas las API de un grupo.
/sso/v1/user/login/sso/v1/user/secure/login/sso/v1/user/logout/sso/v1/sdk/authenticate/sso/v1/sdk/session/sso/v1/sdk/idp/sso/v1/sdk/secure/session/mfa/v1/requests/mfa/v1/users/{userguid}/factors/oauth2/v1/authorize/oauth2/v1/userlogout/oauth2/v1/consent/fed/v1/user/request/login/fed/v1/sp/sso/fed/v1/idp/sso/fed/v1/idp/usernametoken/fed/v1/metadata/fed/v1/mex/fed/v1/sp/slo/fed/v1/sp/initiatesso/fed/v1/sp/ssomtls/fed/v1/idp/slo/fed/v1/idp/initiatesso/fed/v1/idp/wsfed/fed/v1/idp/wsfedsignoutreturn/fed/v1/user/response/login/fed/v1/user/request/logout/fed/v1/user/response/logout/fed/v1/user/testspstart/fed/v1/user/testspresult/admin/v1/SigningCert/jwk/admin/v1/HTTPAuthenticator/admin/v1/PasswordAuthenticator/admin/v1/Asserter/admin/v1/MyAuthenticationFactorInitiator/admin/v1/MyAuthenticationFactorEnroller/admin/v1/MyAuthenticationFactorValidator/admin/v1/MyAuthenticationFactorsRemover/admin/v1/TermsOfUseConsent/admin/v1/MyTermsOfUseConsent/admin/v1/TrustedUserAgents/admin/v1/AuthenticationFactorInitiator/admin/v1/AuthenticationFactorEnroller/admin/v1/AuthenticationFactorValidator/admin/v1/MePasswordResetter/admin/v1/UserPasswordChanger/admin/v1/UserLockedStateChanger/admin/v1/AuthenticationFactorsRemover/admin/v1/BypassCodes/admin/v1/MyBypassCodes/admin/v1/MyTrustedUserAgents/admin/v1/Devices/admin/v1/MyDevices/admin/v1/TermsOfUses/admin/v1/TermsOfUseStatements/admin/v1/AuthenticationFactorSettings/admin/v1/SsoSettings/admin/v1/AdaptiveAccessSettings/admin/v1/RiskProviderProfiles/admin/v1/Threats/admin/v1/UserDevices/session/v1/SessionsLogoutValidator/ui/v1/signin
/oauth2/v1/token/oauth2/v1/introspect/oauth2/v1/revoke/oauth2/v1/device
/job/v1/JobSchedules?jobType=UserImport/job/v1/JobSchedules?jobType=UserExport/job/v1/JobSchedules?jobType=GroupImport/job/v1/JobSchedules?jobType=GroupExport/job/v1/JobSchedules?jobType=AppRoleImport/job/v1/JobSchedules?jobType=AppRoleExport
/admin/v1/Bulk/admin/v1/BulkUserPasswordChanger/admin/v1/BulkUserPasswordResetter/admin/v1/BulkSourceEvents
Cualquier API que no esté en uno de los otros grupos de API se incluye en el otro grupo de API
Otras restricciones
Las siguientes restricciones son para las operaciones masivas, de importación y de exportación para todos los niveles:
- Tamaño de carga útil: 1 MB
- API masiva: límite de 50 operaciones por llamada
- Sólo se puede ejecutar una de estas acciones a la vez:
- Importar: para usuarios, grupos y afiliaciones a roles de aplicación
- Sincronización completa desde las aplicaciones
- API masivas
- Exportar: para usuarios, grupos y afiliaciones a roles de aplicación
- Importación de CSV: límite de 100 000 filas por CSV; tamaño máximo de archivo: 10 MB
- Exportación de CSV: límite de 100 000 filas
Medidores para tipos de dominio de identidad
Conozca los medidores utilizados para diferentes tipos de dominio de identidad.
Los tipos de dominio de identidad Gratuito y Oracle Apps no utilizan medidores.
Los tipos de dominio de identidad Oracle Apps Premium, Premium y Usuario externo utilizan los siguientes medidores:
-
Usuarios por mes: número de usuarios activos e inactivos del sistema notificados por hora. Estos medidores se agregan al final del ciclo de facturación.
-
SMS: número de mensajes SMS enviados desde el sistema notificados cada hora. Estos medidores se agregan al final del ciclo de facturación.
-
Tokens: número de tokens emitidos por el sistema notificados cada hora.
-
Usuarios replicados por mes: si configura la replicación en más regiones, este medidor se aplica al número de usuarios activos e inactivos de cada región replicada notificados por hora. Estos medidores se agregan al final del ciclo de facturación.
Una vez que ha aprovisionado el servicio, Oracle Cloud Infrastructure tiene herramientas que le ayudarán a analizar y comprender los costos asociados a su cuenta. Consulte Comprobación de los gastos y el uso.
Cambio del tipo de dominio de identidad
- No puede cambiar el dominio por defecto al tipo de dominio de identidad Usuario externo.
- Su tipo de suscripción controla el número de dominios de identidad de cada tipo. Si el cambio excede el número de dominios de identidad de ese tipo para su tipo de suscripción, no podrá cambiar al nuevo tipo de dominio de identidad. Consulte IAM con límites de dominios de identidad.
- Si el número de objetos de cualquier tipo del dominio de identidad es mayor que el permitido en el tipo de dominio de identidad de destino, no podrá cambiar al nuevo tipo de dominio de identidad. Consulte Límites de objetos de dominio de identidad de IAM.
- Se comprueban las funciones disponibles en el tipo de dominio de identidad actual. Consulte Disponibilidad de funciones para tipos de dominio de identidad. Aparecerá un mensaje de advertencia que le recuerda que tenga precaución al cambiar de un tipo de dominio de identidad a otro. Puede continuar después del mensaje de advertencia, pero es posible que algunas de las funciones existentes ya no funcionen.
- No puede cambiar un dominio de identidad de usuario gratuito, premium o externo a un dominio de identidad de Oracle Apps.