Tipos de dominio de identidad de IAM
Obtenga información sobre los tipos de dominio de identidad y las funciones y los límites asociados a cada uno.
Un dominio de identidad de IAM se despliega con uno de los cinco tipos. Cada tipo de dominio de identidad está asociado a un juego diferente de funciones y límites de objetos. Utilice esta información para decidir qué tipo de dominio es adecuado para lo que desea hacer.
En esta sección se resume lo siguiente:
- Los diferentes tipos de dominio de identidad. Consulte Descripción de los Tipos de Dominio de Identidad.
- Las funciones asociadas a cada tipo, consulte Disponibilidad de funciones para tipos de dominio de identidad.
- Número de diferentes tipos de objetos para cada tipo de dominio de identidad. Consulte Límites de objetos de dominio de identidad de IAM.
- Los tipos de datos soportados para atributos personalizados y sus límites, consulte Tipos de datos para atributos personalizados.
- Limitación de frecuencia para las API de diferentes tipos de dominio de identidad. Consulte Límites de frecuencia de API.
- Los medidores utilizados para diferentes tipos del dominio de identidad, consulte Medidores para diferentes tipos del dominio de identidad.
- Cómo cambiar a otro tipo de dominio, consulte Changing your Identity Domain Type.
Esta sección contiene información sobre los dominios de identidad y las distintas funciones y límites asociados a cada tipo de dominio de identidad. Para obtener información sobre los límites de nivel de arrendamiento de IAM, consulte Límites de IAM con dominios de identidad.
Descripción de los tipos de dominio de identidad
IAM tiene cinco tipos de dominio de identidad diferentes para cubrir diferentes necesidades organizativas. Comience aquí para comprender qué se adapta mejor a sus requisitos y qué tipo elegir al crear un dominio de identidad.
A continuación se muestra un resumen de los tipos de dominio de identidad. Decida cuál es la que mejor se ajusta a sus requisitos y compruebe las funciones y los límites que aparecen a continuación con ese tipo de dominio de identidad para seleccionar el tipo de dominio de identidad que mejor se adapte a sus necesidades.
Gratis
Al crear un arrendamiento de OCI, se le aprovisiona automáticamente con un dominio gratuito de identidad. Este tipo de dominio permite utilizar el servicio IAM para gestionar el acceso a los recursos de infraestructura y plataforma de OCI. Utilice este tipo de dominio para obtener más información sobre el servicio IAM y para gestionar el acceso a los recursos IaaS y PaaS de OCI. Este tipo de dominio debe incluir todo lo que necesita para gestionar OCI. Sin embargo, si necesita límites más altos o funciones adicionales, puede cambiar a un tipo diferente de dominio.
Ejemplo de caso de uso: la organización utiliza Oracle Cloud y los administradores de la nube necesitan acceso seguro para gestionar los servicios de OCI suscritos.
Oracle Apps
Algunos servicios PaaS de Oracle y aplicaciones SaaS ofrecen a sus clientes un dominio de identidad de aplicaciones de Oracle que permite utilizar el servicio IAM para gestionar el acceso al servicio suscrito. En la mayoría de los casos, el dominio de identidad lo proporciona el servicio en el momento del aprovisionamiento o un dominio existente se convertirá automáticamente en un dominio de Oracle Apps cuando un servicio registrado esté asociado a él. Este tipo de dominio debe incluir todo lo necesario para gestionar el acceso al servicio de Oracle suscrito. Sin embargo, si necesita límites más altos o funciones adicionales, puede cambiar a un tipo diferente de dominio.
Ejemplo de caso de uso: la organización se suscribe a un servicio PaaS o SaaS de Oracle que proporciona un dominio de identidad de Oracle Apps con su servicio. Puede utilizar este tipo de dominio para gestionar el acceso a los servicios PaaS y SaaS de Oracle. También puede que tenga una o dos aplicaciones de terceros para las que desee que los usuarios se conecten sin problemas sin que tengan que volver a autenticarse.
Oracle Apps Premium
Los dominios Oracle Apps Premium agregan soporte para escenarios de IAM híbridos, que amplían el servicio IAM para gestionar el acceso a aplicaciones Oracle alojadas on-premises u OCI, como Oracle E-Business Suite, PeopleSoft y Oracle Database. Aunque este tipo de dominio de identidad está pensado principalmente para su uso con aplicaciones de Oracle, también permite gestionar el acceso para un número limitado de aplicaciones de terceros o personalizadas.
Ejemplo de caso de uso: su organización desea activar la autenticación y la conexión única para que los usuarios del personal accedan a las aplicaciones de Oracle SaaS, así como a las aplicaciones de Oracle locales o alojadas en la nube, como E-Business Suite, JD Edwards, PeopleSoft, Siebel y/u Oracle Database. También es posible que desee la sincronización bidireccional con Microsoft Active Directory u otros sistemas locales y que tenga algunas aplicaciones de terceros o personalizadas para las que desee que los usuarios inicien sesión sin problemas sin tener que volver a autenticarse.
Premium
Los dominios Premium de identidad proporcionan el conjunto completo de funciones de IAM, lo que le proporciona una gestión de acceso preparado para la empresa en entornos híbridos de TI, así como los límites más altos para los casos de uso para empleados y personal. Incluye todos los tipos de integración admitidos y aplicaciones de terceros ilimitadas. Este es el tipo de dominio ideal si se está estandarizando en OCI IAM como proveedor de gestión de identidad y acceso empresarial.
Ejemplo de caso de uso: desea que una solución "Identity-as-a-Service" (IDaaS) gestione la autenticación del personal y el acceso a todas sus aplicaciones Oracle y de terceros, independientemente de que sean aplicaciones SaaS, aplicaciones empresariales locales o aplicaciones alojadas en la nube. Desea utilizar las funciones modernas de autenticación y autorización, como las de autenticación sin contraseña, los tokens del hardware FIDO2 y la seguridad adaptativa. También es posible que desee disponer de aprovisionamiento y anulación de aprovisionamiento automatizado de cuentas en estos sistemas.
Usuario externo
Los dominios externos de identidad proporcionan un sólido juego de funciones de IAM para los casos de uso que no son empleados, las aplicaciones orientadas al consumidor y el desarrollo de las aplicaciones personalizadas. Este tipo de dominio proporciona funciones relevantes para estos escenarios, como autoservicio de usuario, inicio de sesión social y gestión de consentimiento.
Los dominios de identidad externos solo tienen licencia para las cuentas del usuario que no son de empleados. Si su empresa necesita que tenga cuentas de usuario de empleado almacenadas en un dominio de identidad externo (por ejemplo, si una aplicación solo soporta un proveedor de identidad), esto solo se permite si esas cuentas de usuario también existen en otro dominio de identidad de tipo gratuito, aplicaciones de Oracle, aplicaciones de Oracle Premium o Premium.
Caso de uso de ejemplo: desea una solución de identidad Como servicio (IDaaS) con todas las características que le ayude a gestionar el acceso a aplicaciones personalizadas u orientadas al consumidor y la autenticación. La solución debe soportar el inicio de sesión social, la gestión de contraseñas y contraseñas de autoservicio del usuario y la conformidad de las condiciones de uso. Y puede que necesite que la solución se amplíe para que soporte millones de usuarios.
Disponibilidad de funciones para tipos de dominio de identidad
Comprenda las funciones disponibles para los diferentes tipos de dominio de identidad.
En esta tabla se muestran las funciones disponibles para cada tipo de dominio.
| Función | Gratis | Oracle Apps | Oracle Apps Premium | Premium | Usuario externo |
|---|---|---|---|---|---|
| Funciones principales de IAM | |||||
| Gestión de usuarios y grupos |
|
|
|
|
|
| Autorregistro de usuario final | - |
|
|
|
|
| Gestión de perfiles de autoservicio |
|
|
|
|
|
| Recuperación de cuentas (restablecimiento de contraseña de autoservicio mediante correo electrónico, SMS, preguntas de seguridad) |
El SMS no forma parte del tipo de dominio gratuito |
|
|
|
|
| Política de contraseñas por defecto |
|
|
|
|
|
| Política de contraseñas basada en grupos |
|
|
|
|
|
| Soporte para aplicaciones externas 1 | |||||
| SSO de salida a aplicaciones de terceros |
|
|
|
|
|
| Aprovisionamiento para aplicaciones de terceros mediante el catálogo de aplicaciones |
|
|
|
|
- |
| Gestión de OAuth/token para aplicaciones de terceros |
|
|
|
|
|
| Plantilla de aplicación de SCIM genérica |
|
|
|
|
|
| Gestión del acceso a Oracle Cloud Infrastructure | |||||
| Todas las funciones actuales de IAM de Infrastructure as a Service |
|
|
|
|
- |
| Gestión de acceso a recursos de OCI |
|
|
|
|
- |
| Grupos dinámicos (para OCI) |
|
|
|
|
- |
| Tipos de credenciales específicos de OCI |
|
|
|
|
- |
| Opciones de seguridad | |||||
| IdPs externo y conexión social (SSO de federación/entrada) |
|
|
|
|
|
| Políticas de enrutamiento de IdP flexibles |
|
|
|
|
|
| Condiciones de uso |
|
|
|
|
|
| Aprovisionamiento just in time |
|
|
|
|
|
| Soporte para tarjetas PIV/CAC |
|
|
|
|
|
| Extensión de esquema |
|
|
|
|
|
| Administración delegada |
|
|
|
|
|
| Sincronización unidireccionales de Active Directory que soporta la sincronización de entrada de AD al dominio IAM |
|
|
|
|
- |
| Opciones de autenticación: Oracle Mobile Authenticator (MFA) y seguridad adaptativa (MFA - TOTP y push, llamada telefónica, preguntas de seguridad, FIDO2, DUO, correo electrónico). |
El SMS no forma parte del tipo de dominio gratuito |
|
|
|
|
| Autenticación sin contraseña |
|
|
|
|
|
| Políticas de conexión (condiciones: autenticado mediante, grupos, administradores, exclusiones, perímetro de red, motor de riesgos incorporado) |
|
|
|
|
|
| SDK de aplicación |
|
|
|
|
|
| Integración de Oracle SaaS | |||||
| SSO para servicios de Oracle Cloud |
|
|
|
|
|
| Aprovisionamiento de usuarios para servicios de Oracle Cloud (con formulario de cuenta, atributos personalizados, filtros, etc.) |
|
|
|
|
- |
| Gestión de OAuth/token para Oracle App y extensiones de SaaS 2 |
|
|
|
|
- |
| Informes | |||||
| Auditoría e informes |
|
|
|
|
|
| Imagen de marca | |||||
| Aspecto personalizado |
|
|
|
|
|
| Conexión alojada | - | - |
|
|
|
| Funciones avanzadas e híbridas a la gestión de identidad y acceso | |||||
| IAM avanzado | |||||
| Sincronización bidireccional con LDAP mediante el puente de aprovisionamiento | - | - |
|
|
- |
| Sincronización bidireccional con el puente de AD | - | - |
|
|
- |
| Autenticación delegada mediante el puente de AD | - | - |
|
|
- |
| SSO para cualquier aplicación |
|
|
|
|
|
| IAM híbrida | |||||
| Gateway de aplicación (para cualquier aplicación empresarial) | - | - |
Solo aplicaciones empresariales de Oracle |
Cualquier aplicación empresarial |
Cualquier aplicación empresarial |
| EBS Asserter 3 | - | - |
|
|
|
| Proxy RADIUS (todo: Oracle DB, VPN, dispositivos de red, etc.) | - | - |
Solo Oracle DB |
Todo: Oracle DB, VPN, dispositivos de red, etc. |
- |
| PAM DE Linux | - | - |
|
|
- |
1 Las aplicaciones externas o de terceros se definen como aplicaciones comerciales ofrecidas por un proveedor distinto de Oracle o como aplicaciones personalizadas (por ejemplo, aplicaciones basadas en OCI con APEX). Tenga en cuenta que las aplicaciones personalizadas creadas con Visual Builder Cloud Service no se tienen en cuenta en el límite establecido para las aplicaciones externas.
2 Las extensiones de SaaS son aplicaciones de desarrollo personalizado que solo se utilizan como extensiones para aplicaciones suscritas de Oracle SaaS, como HCM, ERP, SCM, etc. El único objetivo de estas aplicaciones es aumentar las aplicaciones de Oracle SaaS. Estos no cuentan con el límite de aplicaciones externas.
3 El derecho a utilizar Oracle E-Business Suite Asserter también incluye el derecho a utilizar WebLogic Server Enterprise Edition únicamente para ejecutar la aplicación afirmadora de acuerdo con todos los términos y condiciones descritos en el Manual de Usuario de Información de Licencias de Oracle Fusion Middleware.
Límites de los objetos del dominio de identidad de IAM
Conozca el número de diferentes tipos de objetos permitidos en cada tipo de dominio de identidad.
Puede crear diferentes tipos de dominio de identidad sujetos al límite permitido por el tipo de suscripción. Para conocer los límites del dominio de identidad de cada tipo de suscripción, consulte IAM con límites de dominios de identidad.
| Recurso | Gratis | Oracle Apps | Oracle Apps Premium | Premium | Usuario externo |
|---|---|---|---|---|---|
| Usuarios | 2000 | 1.000.000 | 1.000.000 | 1.000.000 | 100.000.000 |
| Grupos | 250 | 10.000 | 100.000 | 100.000 | 100.000 |
| Usuarios en un grupo | 2000 | 10.000 | 100.000 | 100.000 | 100.000 |
| Grupos por usuario | 250 | 500 | 5000 | 5000 | 5000 |
| Contraseña por defecto y políticas de contraseñas basadas en grupos | 10 | 10 | 10 | 10 | 10 |
| Aplicaciones que no son Oracle 1 | 2 | 22 | 102 | 5000 | 5000 |
| Aplicaciones de Oracle Cloud | 2000 | 2000 | 2000 | 2000 | - |
| Aplicaciones empresariales | - | - | 500 (Solo aplicaciones empresariales de Oracle) |
500 | 500 |
| Proxy RADIUS | - | - | 50 | 50 | - |
| Dominios de Active Directory (AD) | 2 | 10 | 20 | 20 | - |
| Bridges de dominio activos por dominio de AD | 4 | 10 | 10 | 10 | - |
| Puentes de aprovisionamiento | 4 | 10 | 10 | 10 | - |
| Gateway de aplicación | - | - | 20 | 20 | 20 |
| Proveedores de identidad externos y conexión social (IdPs) (SSO de federación/entrada) | 5 | 5 | 30 | 30 | 30 |
| Políticas de IdP | 5 | 50 | 100 | 100 | 100 |
| Condiciones de uso | 500 | 500 | 500 | 500 | 500 |
| Políticas de conexión | 5 | 50 | 200 | 200 | 200 |
| Perfiles de autorregistro | - | 50 | 50 | 50 | 50 |
| Grupos dinámicos | 50 | 50 | 50 | 50 | - |
| Clave de API por usuario | 3 | 3 | 3 | 3 | - |
| Token de autorización por usuario | 2 | 2 | 2 | 2 | - |
| Credenciales de cliente de OAuth2 por usuario | 10 | 10 | 10 | 10 | - |
| Credenciales de SMTP | 2 | 2 | 2 | 2 | - |
| Clave secreta de cliente por usuario | 2 | 2 | 2 | 2 | - |
| Credenciales de base de datos por usuario | 2 | 2 | 2 | 2 | - |
| OAuth Certificado de cliente | 20 | 200 | 200 | 20.000 | 20.000 |
| OAuth Certificados de socio | 20 | 20 | 100 | 100 | 100 |
| Certificados de partner de confianza | 20 | 20 | 100 | 100 | 100 |
| Confianza de propagación de identidad | 30 | 30 | 30 | 30 | 30 |
1 Las aplicaciones externas o de terceros que no son de Oracle se definen como aplicaciones comerciales ofrecidas por un proveedor distinto de Oracle o de desarrollo personalizado (por ejemplo, aplicaciones basadas en OCI con APEX). Tenga en cuenta que las aplicaciones personalizadas creadas con Visual Builder Cloud Service no se tienen en cuenta en el límite establecido para las aplicaciones externas.
2 Los límites para el número de aplicaciones de terceros o que no sean de Oracle para los tipos de dominio Oracle Apps y Oracle Apps Premium no se aplican temporalmente. Se aplicarán en el futuro.
Tipos de datos para atributos personalizados
Consulte los tipos de datos soportados para los atributos personalizados y sus límites. Se aplican a todos los tipos de dominio de identidad.
| Tipos de datos | Límite |
|---|---|
| Cadena de 4000 caracteres indexada (apta para búsqueda) | 84 |
| Cadena de 40 caracteres indexada (apta para búsqueda) | 5 |
| Cadena de 4000 caracteres no indexada | 36 |
| Cadena de 40 caracteres no indexada | 15 |
| Entero | 20 |
Límites de frecuencia de API
Conozca la limitación de frecuencia de las API para diferentes tipos de dominio de identidad.
Las APIs de Oracle están sujetas a límites de frecuencia Para proteger el uso de los servicios de API para todos los clientes de Oracle. Si alcanza el límite de API para el tipo, IAM devuelve el código de error 429.
Límites de frecuencia para todos los tipos de dominios de identidad
| Grupo de API | Por | Gratis | Oracle Apps | Oracle Apps Premium | Premium | Usuario externo |
|---|---|---|---|---|---|---|
| Autenticación | segundo | 10 | 50 | 80 | 95 | 90 |
| Autenticación | minuto | 150 | 1000 | 2100 | 4500 | 3100 |
| BasicAuthN | segundo | 10 | 100 | 160 | 95 | 90 |
| BasicAuthN | minuto | 150 | 3.000 | 4000 | 4500 | 3100 |
| Gestión de tokens | segundo | 10 | 40 | 50 | 65 | 60 |
| Gestión de tokens | minuto | 150 | 1000 | 1700 | 3400 | 2300 |
| Otros | segundo | 20 | 50 | 55 | 90 | 80 |
| Otros | minuto | 150 | 1500 | 1750 | 5000 | 4000 |
| Bloque | segundo | 5 | 5 | 5 | 5 | 5 |
| Bloque | minuto | 200 | 200 | 200 | 200 | 200 |
| Importar y Exportar | día | 4 | 8 | 10 | 10 | 10 |
El número máximo de objetos de confianza de propagación de identidad que se pueden crear está restringido a 30. Póngase en contacto con el servicio de soporte si es necesario aumentar el límite. Para obtener más información sobre los límites de objetos, consulte Límites de objetos de dominio de identidad de IAM.
API en grupos de API
Los límites de API se aplican al total de todas las API de un grupo.
login/sso/v1/user//sso/v1/user/secure/login/sso/v1/user/logout/sso/v1/user/callback/login/sso/v1/sdk/authenticate/sso/v1/sdk/session/sso/v1/sdk/idp/sso/v1/sdk/secure/session/mfa/v1/requests/mfa/v1/users/{userguid}/factors/oauth2/v1/authorize/oauth2/v1/userlogout/oauth2/v1/consent/fed/v1/user/request/login/fed/v1/sp/sso/fed/v1/idp/sso/fed/v1/idp/usernametoken/fed/v1/metadata/fed/v1/mex/fed/v1/sp/slo/fed/v1/sp/initiatesso/fed/v1/sp/ssomtls/fed/v1/idp/slo/fed/v1/idp/initiatesso/fed/v1/idp/wsfed/fed/v1/idp/wsfedsignoutreturn/fed/v1/user/response/login/fed/v1/user/request/logout/fed/v1/user/response/logout/fed/v1/user/testspstart/fed/v1/user/testspresult/admin/v1/SigningCert/jwk/admin/v1/Asserter/admin/v1/MyAuthenticationFactorInitiator/admin/v1/MyAuthenticationFactorEnroller/admin/v1/MyAuthenticationFactorValidator/admin/v1/MyAuthenticationFactorsRemover/admin/v1/TermsOfUseConsent/admin/v1/MyTermsOfUseConsent/admin/v1/TrustedUserAgents/admin/v1/AuthenticationFactorInitiator/admin/v1/AuthenticationFactorEnroller/admin/v1/AuthenticationFactorValidator/admin/v1/MePasswordResetter/admin/v1/UserPasswordChanger/admin/v1/UserLockedStateChanger/admin/v1/AuthenticationFactorsRemover/admin/v1/BypassCodes/admin/v1/MyBypassCodes/admin/v1/MyTrustedUserAgents/admin/v1/Devices/admin/v1/MyDevices/admin/v1/TermsOfUses/admin/v1/TermsOfUseStatements/admin/v1/AuthenticationFactorSettings/admin/v1/SsoSettings/admin/v1/AdaptiveAccessSettings/admin/v1/RiskProviderProfiles/admin/v1/Threats/admin/v1/UserDevices/session/v1/SessionsLogoutValidator/ui/v1/signin
/admin/v1/HTTPAuthenticator/admin/v1/PasswordAuthenticator
/oauth2/v1/token/oauth2/v1/introspect/oauth2/v1/revoke/oauth2/v1/device
/job/v1/JobSchedules?jobType=UserImport/job/v1/JobSchedules?jobType=UserExport/job/v1/JobSchedules?jobType=GroupImport/job/v1/JobSchedules?jobType=GroupExport/job/v1/JobSchedules?jobType=AppRoleImport/job/v1/JobSchedules?jobType=AppRoleExport
/admin/v1/Bulk/admin/v1/BulkUserPasswordChanger/admin/v1/BulkUserPasswordResetter/admin/v1/BulkSourceEvents
Cualquier API que no esté en ninguno de los otros grupos de API se incluye en el otro grupo de API
Otras restricciones
Las siguientes restricciones son para las operaciones masivas, de importación y de exportación para todos los niveles:
- Tamaño de carga útil: 1 MB
- API masiva: límite de 50 operaciones por llamada
- Sólo se puede ejecutar una de estas acciones a la vez:
- Importar: para usuarios, grupos y afiliaciones a roles de aplicación
- Sincronización completa desde las aplicaciones
- API masivas
- Exportar: para usuarios, grupos y afiliaciones a roles de aplicación
- Importación de CSV: límite de 100 000 filas por CSV; tamaño máximo de archivo: 10 MB
- Exportación de CSV: límite de 100 000 filas
Medidores para tipos de dominio de identidad
Conozca los medidores utilizados para diferentes tipos de dominio de identidad.
Los tipos de dominio de identidad Gratuito y Oracle Apps no utilizan medidores.
Los tipos de dominio de identidad Oracle Apps Premium, Premium y Usuario externo utilizan los siguientes medidores:
-
Usuarios por mes: número de usuarios activos e inactivos del sistema notificados por hora. Estos medidores se agregan al final del ciclo de facturación.
-
SMS: número de mensajes SMS enviados desde el sistema que se notifican cada hora. Estos medidores se agregan al final del ciclo de facturación.
-
Tokens: número de tokens emitidos por el sistema notificados cada hora.
-
Usuarios replicados por mes: si configura una replicación en más regiones, este medidor se aplica al número de usuarios activos e inactivos en cada región replicada, notificados por hora. Estos medidores se agregan al final del ciclo de facturación.
Una vez que ha aprovisionado el servicio, Oracle Cloud Infrastructure tiene herramientas que le ayudarán a analizar y comprender los costos asociados a su cuenta. Consulte Comprobación de los gastos y el uso.
Cambio del tipo de dominio de identidad
- No puede cambiar el dominio por defecto al tipo de dominio de identidad Usuario externo.
- Su tipo de suscripción controla el número de dominios de identidad de cada tipo. Si el cambio excede el número de dominios de identidad de ese tipo para su tipo de suscripción, no podrá cambiar al nuevo tipo de dominio de identidad. Consulte IAM con límites de dominios de identidad.
- Si el número de objetos de cualquier tipo del dominio de identidad es mayor que el permitido en el tipo de dominio de identidad de destino, no podrá cambiar al nuevo tipo de dominio de identidad. Consulte Límites de objetos de dominio de identidad de IAM.
- Se comprueban las funciones disponibles en el tipo de dominio de identidad actual. Consulte Disponibilidad de funciones para tipos de dominio de identidad. Aparecerá un mensaje de advertencia que le recuerda que tenga precaución al cambiar de un tipo de dominio de identidad a otro. Puede continuar después del mensaje de advertencia, pero es posible que algunas de las funciones existentes ya no funcionen.
- No puede cambiar un dominio de identidad de usuario gratuito, premium o externo a un dominio de identidad de Oracle Apps.
Para obtener información sobre cómo cambiar el tipo de dominio, consulte Cambio del tipo de un dominio de identidad.