Documentación de Oracle Cloud Infrastructure

Credenciales de usuario

Puede gestionar varios tipos de credenciales con Oracle Cloud Infrastructure Identity and Access Management (IAM):

  • Contraseña de la consola: para conectarse a la consola, la interfaz de usuario para interactuar con Oracle Cloud Infrastructure. Tenga en cuenta que los usuarios federados no pueden tener contraseñas de consola porque se conectan a través de su proveedor de identidad. Consulte Federación con proveedores de identidad.
  • Clave de firma de API (en formato PEM): para enviar solicitudes de API, que necesitan autenticación.
  • Token de autenticación: token generado por Oracle que puede utilizar para autenticarse con API de terceros. Por ejemplo, utilice un token de autenticación para autenticarse con un cliente Swift al utilizar Recovery Manager (RMAN) para realizar una copia de seguridad de una base de datos de sistema Oracle Database en Object Storage.
  • Claves secretas de cliente: para usar la API de compatibilidad de Amazon S3 con Object Storage. Consulte API de compatibilidad de Amazon S3 .
  • Credenciales de cliente OAuth 2.0: para interactuar con las API de los servicios que utilizan la autorización OAuth 2.0. Consulte Credenciales de cliente OAuth 2.0.
  • Credenciales SMTP: para utilizar el servicio Email Delivery.
  • Contraseñas de base de datos de IAM: los usuarios pueden crear y gestionar su contraseña de base de datos en su perfil de usuario de IAM y utilizarla para autenticarse en bases de datos de su arrendamiento. Consulte Trabajar con nombres de usuario y contraseñas de base de datos IAM.
  • Nombres de usuario de base de datos IAM: para que los usuarios puedan crear y gestionar sus propios nombres de usuario para las bases de datos, así como crear nombres de usuario alternativos según sea necesario. Consulte Trabajar con nombres de usuario y contraseñas de base de datos IAM.
Importante

Las claves de firma de la API son diferentes de las claves SSH que utiliza para acceder a una instancia informática (consulte Credenciales de seguridad). Para obtener más información sobre las claves de firma de API, consulte Claves y OCID necesarios. Para obtener más información sobre las claves SSH de instancia, consulte Gestión de pares de claves.

Contraseña de usuario

Cuando el usuario se conecte a la consola por primera vez, se le pedirá inmediatamente que cambie la contraseña. Si el usuario tarda más de 7 días en conectarse inicialmente y cambiar la contraseña, esta caducará y un administrador deberá restablecer la contraseña para el usuario.

Una vez que el usuario se haya conectado correctamente a la consola, podrá utilizar los recursos de Oracle Cloud Infrastructure en función de los permisos que se le hayan otorgado mediante políticas.

Nota

Un usuario tiene automáticamente la capacidad de cambiar su contraseña en la consola. No es necesario que el administrador cree una política para dotar a un usuario de esa capacidad.

Cambio de contraseña

Si un usuario desea modificar su propia contraseña en algún momento después de cambiar su contraseña inicial de un solo uso, puede hacerlo en la consola. Recuerde que un usuario puede cambiar automáticamente su propia contraseña. No es necesario que el administrador cree una política para concederle esa capacidad.

Para obtener más información, consulte Cambio de la contraseña de la consola.

Si un usuario necesita restablecer su contraseña de consola

Si un usuario olvida su contraseña de consola y no tiene acceso a la API, puede utilizar el enlace ¿Ha olvidado la contraseña? de la consola para que se envíe un enlace de restablecimiento de contraseña a la dirección de correo electrónico configurada para la cuenta de usuario. (Todos los perfiles de usuario necesitan una dirección de correo electrónico).

Los usuarios también pueden pedir a un administrador que restablezca su contraseña. Todos los administradores (y cualquier otra persona que tenga permiso para acceder al arrendamiento) pueden restablecer las contraseñas de consola. El proceso de restablecimiento de la contraseña genera y envía un correo electrónico de restablecimiento de contraseña. El usuario deberá cambiar su contraseña antes de que caduque el enlace para poder conectarse de nuevo a la consola.

Si es un administrador que necesita restablecer la contraseña de consola de un usuario, consulte Restablecimiento de la contraseña de consola de otro usuario.

Si un usuario ha sido bloqueado y no puede conectarse a la consola

Si un usuario intenta conectarse a la consola de forma incorrecta más veces seguidas que las permitidas por la política de contraseñas del dominio de identidad, se le bloqueará automáticamente de posteriores intentos. Si la política de contraseñas no activa el desbloqueo automático de la cuenta para el dominio de identidad, el usuario debe ponerse en contacto con un administrador para que lo desbloquee (consulte Desbloqueo de un usuario).

Claves de firma de API

Un usuario que necesite realizar solicitudes de API deberá tener una clave pública RSA en formato PEM (2048 bits como mínimo) agregada a su perfil de usuario de IAM y firmar las solicitudes de API con la clave privada correspondiente (consulte Claves y OCID necesarios).

Importante

Un usuario puede generar y gestionar automáticamente sus propias claves de API en la consola o la API. No es necesario que el administrador escriba una política para proporcionarle al usuario esta capacidad. Recuerde que el usuario no podrá utilizar la API para cambiar o suprimir sus propias credenciales hasta que guarde una clave en la consola, o bien hasta que un administrador agregue una clave para ese usuario en la consola o la API.

Si tiene un sistema que necesita realizar solicitudes de API, un administrador debe crear un usuario para ese sistema y, a continuación, agregar una clave pública al servicio de IAM para el sistema. No es necesario generar una contraseña de consola para el usuario.

Para obtener instrucciones sobre la generación de una clave de API, consulte Adición de una clave de firma de API.

Le recomendamos que agregue una etiqueta al final de una clave privada. Por ejemplo: 
-----END PRIVATE KEY-----
 OCI_PRIVATE_KEY

Credenciales de cliente OAuth 2.0

Nota

Las credenciales de cliente OAuth 2.0 no están disponibles en la nube del Gobierno de Reino Unido (OC4).

Se necesitan credenciales de cliente OAuth 2.0 para interactuar programáticamente con los servicios que utilizan el protocolo de autorización OAuth 2.0. Las credenciales permiten obtener un token seguro para acceder a esos puntos finales de la API de REST de servicio. Las acciones y los puntos finales que otorga el token dependen de los ámbitos (permisos) que seleccione al generar las credenciales. Para obtener más información, consulte Trabajar con credenciales de cliente OAuth 2.0.

Tokens de autenticación

Los tokens de autenticación son elementos de autenticación generados por Oracle. Los tokens de autenticación se utilizan para autenticarse con API de terceros que no soportan la autenticación basada en firma de Oracle Cloud Infrastructure como, por ejemplo, la API de Swift. Si su servicio requiere un token de autenticación, la documentación específica del servicio le indica que genere uno y cómo utilizarlo.

Contraseñas de base de datos de IAM

Visión general

Una contraseña de base de datos de IAM es distinta de una contraseña de consola. La definición de una contraseña de base de datos de IAM permite a un usuario de IAM autorizado conectarse a una o más instancias de Autonomous Databases de su arrendamiento.

La centralización de la gestión de cuentas de usuario en IAM mejora la seguridad y minimiza considerablemente el número de administradores de base de datos que tienen que gestionar los usuarios que se unen a una organización, se mueven y salen de esta (lo que se conoce como gestión del ciclo de vida del usuario). Los usuarios pueden definir una contraseña de base de datos en IAM y utilizar esta contraseña para autenticarse al conectarse a las bases de datos de Oracle configuradas correctamente en su arrendamiento.

Fácil de utilizar

Los usuarios finales de base de datos pueden seguir utilizando los clientes y las herramientas de base de datos soportados existentes para acceder a la base de datos. Sin embargo, en lugar de utilizar su nombre de usuario y contraseña de base de datos local, utilizan su nombre de usuario de IAM y su contraseña de base de datos de IAM. Puede acceder a las contraseñas de base de datos que gestiona a través del perfil de OCI solo después de autenticarse correctamente en OCI. Esto significa que los administradores pueden crear una capa adicional de protección para que los usuarios puedan acceder o gestionar su contraseña de base de datos. Pueden aplicar la autenticación multifactor en su contraseña de la consola mediante, por ejemplo, el autenticador FIDO o las notificaciones push a través de aplicaciones de autenticador.

Funciones soportadas

Las contraseñas de la base de datos de IAM soportan la asociación de una contraseña de base de datos directamente con un usuario de IAM. Después de definir una contraseña de base de datos en IAM, puede utilizarla para conectarse a su base de datos de IAM en su arrendamiento, si está autorizado para acceder a la base de datos de IAM. Debe estar asignado a un esquema de base de datos global para poder acceder a la base de datos. Consulte Autenticación y autorización de usuarios de IAM para bases de datos Oracle DBaaS en la guía de seguridad de Oracle Database para obtener más información sobre la asignación de usuarios de base de datos global a usuarios y grupos de IAM.

Seguridad de la contraseña

Los administradores de IAM pueden imponer capas de acceso de seguridad adicionales activando la autorización de varios factores para que un usuario pueda acceder a una contraseña de base de datos en IAM. Consulte Autenticación y autorización de usuarios de IAM para bases de datos Oracle DBaaS en la guía de seguridad de Oracle Database para obtener más información sobre cómo se autentican y autorizan los usuarios de IAM en las bases de datos de OCI.

Creación de una contraseña de base de datos de IAM

Puede gestionar su propia contraseña de base de datos de IAM con la consola, lo que incluye su creación, cambio y supresión.

La creación de una contraseña de base de datos de IAM sigue las mismas reglas que la creación de una contraseña de consola, excepto que el carácter de doble comilla (") no está permitido en la contraseña de base de datos de IAM. Consulte Acerca de las reglas de política de contraseñas para conocer las reglas para crear contraseñas de consola.

Para crear su propia contraseña de base de datos de IAM, consulte Para crear una contraseña de base de datos de IAM.

Cambio de una contraseña de base de datos de IAM

Puede gestionar su propia contraseña de base de datos de IAM con la consola, lo que incluye su creación, cambio y supresión. Para cambiar una contraseña existente, suprima la contraseña existente y agregue la nueva. Consulte Para cambiar una contraseña de base de datos de IAM.

Supresión de una contraseña de base de datos de IAM

Puede gestionar su propia contraseña de base de datos de IAM con la consola, lo que incluye su creación, cambio y supresión. Para suprimir la contraseña de base de datos de IAM, consulte Para suprimir una contraseña de base de datos de IAM.

Bloqueos de contraseña de base de datos de IAM

Intentos de conexión fallidos

La base de datos de IAM y los usuarios de la consola se bloquearán después de 10 intentos de conexión fallados consecutivos (total para ambas contraseñas). Si introduce 10 conexiones incorrectas consecutivos utilizando las contraseñas de la base de datos o de IAM, se bloqueará la cuenta de usuario. Solo un administrador de IAM puede desbloquear su cuenta de usuario.

  • Si no puede conectarse a IAM o a la base de datos tras 10 intentos consecutivos (total para ambos), su cuenta se bloqueará y no podrá conectarse a la base de datos ni a la consola.
  • Cuando esté bloqueado, un administrador de IAM deberá desbloquear explícitamente su cuenta.
  • IAM no soporta el desbloqueo automático.
  • Se realiza un seguimiento centralizado del recuento de conexiones fallidas en todas las regiones de un dominio. Las conexiones fallidas se registran en la región principal y se replican en sus regiones suscritas.

Trabajar con nombres de usuario de base de datos de IAM

Puede gestionar su propio nombre de usuario de base de datos de IAM con la consola, lo que puede incluir su creación, cambio y supresión.

Puede que necesite cambiar el nombre de usuario de base de datos:

  • Si el nombre de usuario es demasiado largo o difícil de escribir
  • Para facilitar el inicio de sesión con un nombre de usuario que no incluya caracteres especiales y que sea más corto

En los siguientes temas se explica cómo gestionar un nombre de usuario de base de datos de IAM.