Federación de IAM

Oracle recomienda utilizar la federación para gestionar conexiones a la consola.

• La federación de identidades admite proveedores de identidad compatibles con SAML 2.0 y se puede utilizar para federar usuarios y grupos locales en usuarios y grupos de IAM. El administrador de la empresa debe establecer una confianza de federación entre el proveedor de identidad local (IdP) e IAM, además de crear una asignación entre los grupos locales y los grupos de IAM. A continuación, los usuarios locales pueden utilizar la conexión única (SSO) a la consola y acceder a los recursos según la autorización de los grupos de IAM a los que pertenecen. Para obtener más información sobre la federación en la consola, consulte Federación con proveedores de identidad. La federación es especialmente importante para las empresas que utilizan políticas personalizadas para la autenticación de usuarios (por ejemplo, autenticación multifactor). Para obtener más información sobre la gestión de usuarios y grupos en federación, consulte Federación con proveedores de identidad.
• Al utilizar la federación, Oracle recomienda crear un grupo de administradores de federación que se asigne al grupo de administradores de IdP federado. El grupo de administradores de federación tiene privilegios administrativos para gestionar el arrendamiento del cliente y se rige por las mismas políticas de seguridad que el grupo de administradores de IdP federado. En este caso, se recomienda tener acceso al usuario administrador de arrendamiento local (es decir, miembro del grupo de IAM de administrador de arrendamiento por defecto) para gestionar cualquier situación de acceso de emergencia (por ejemplo, incapacidad para acceder a recursos a través de la federación). Sin embargo, debe evitar cualquier uso no autorizado de este usuario administrador de arrendamiento local con muchos privilegios. Oracle recomienda el siguiente enfoque para gestionar de forma segura el usuario administrador de arrendamiento:
  1. Cree un usuario local que pertenezca al grupo de administradores de arrendamiento por defecto.
  2. Cree una contraseña o frase de contraseña de la consola muy compleja (18 caracteres o más, con al menos una letra en minúsculas, una letra en mayúscula, un número y un carácter especial) para el usuario administrador de arrendamiento local.
  3. Deposite de forma segura la contraseña del usuario administrador de arrendamiento local en una ubicación local (por ejemplo, guarde la contraseña en un sobre sellado en una caja de seguridad).
  4. Cree políticas de seguridad para acceder a la contraseña depositada solo en casos de acceso de emergencia.
  5. Configure la política de seguridad de IAM para evitar que el grupo de IAM de administradores federados agregue o modifique la afiliación del grupo de administradores de arrendamiento por defecto para evitar omisiones de seguridad.
  6. Supervise los logs de auditoría para los accesos del administrador de arrendamiento por defecto y los cambios en el grupo de administradores con el fin de avisar sobre cualquier acción no autorizada. Para mayor seguridad, la contraseña del usuario administrador de arrendamiento local se puede rotar después de cada conexión o periódicamente según una política de contraseñas.

Para ver un ejemplo que muestra la forma en que varios componentes de IAM encajan, consulte Detalles de Comprobaciones del sistema. Supervise periódicamente los logs de Audit para revisar los cambios de usuarios, grupos, políticas, compartimentos y etiquetas de IAM.