Note:

Este tutorial requiere acceso a Oracle Cloud. Para registrarse para obtener una cuenta gratuita, consulte Introducción a la cuenta gratuita de Oracle Cloud Infrastructure.
Utiliza valores de ejemplo para credenciales, arrendamiento y compartimentos de Oracle Cloud Infrastructure. Al finalizar la práctica, sustituya estos valores por otros específicos de su entorno en la nube.

Automatice la gestión de capacidades de los usuarios del dominio de identidad de OCI IAM mediante etiquetas y funciones de OCI

Introducción

Como mejor práctica de seguridad, los clientes buscan desactivar las capacidades no utilizadas de los usuarios de Oracle Cloud Infrastructure Identity and Access Management (OCI IAM). Esto les ayudará a evitar cualquier ataque con credenciales no estándar como claves de API, token de autenticación, etc.

Las capacidades de usuario las gestiona un administrador en los detalles del usuario. Cada usuario puede ver sus capacidades, pero solo un administrador puede activarlas o desactivarlas. Las capacidades de usuario disponibles para los usuarios federados son las siguientes:

Contraseña de la consola
clave de firma de API
Tokens de autenticación
Credenciales del protocolo simple de transferencia de correo (SMTP)
Claves secretas de cliente
Credenciales de cliente OAuth 2.0

Nota: La capacidad contraseña de consola no está disponible para los usuarios federados. Los usuarios federados se autentican en la consola a través de su proveedor de identidad (IdP), donde se gestionan sus contraseñas de conexión.

Por defecto, estas capacidades están activadas al aprovisionar nuevos usuarios, lo que permite a los usuarios crear dichas credenciales para ellos mismos. Para obtener más información sobre estas credenciales de usuario, consulte Trabajar con credenciales de usuario.

Esta solución ayuda a automatizar la gestión de capacidades de usuarios nuevos o existentes con la ayuda de etiquetas. Esta automatización tiene dos modos:

Modo masivo: procese todos los usuarios de un dominio, sin ninguna carga útil de entrada. Se puede ejecutar o llamar con el programador de recursos de OCI o manualmente.
Modo único: ejecute la función automáticamente en un único usuario según los eventos de creación (evento creado por el usuario) generados con la regla de evento configurada.

La integración con OCI Events Service garantiza que las capacidades se gestionen correctamente para los nuevos usuarios en función de las etiquetas proporcionadas durante la creación.

Objetivos

Implante una solución nativa para gestionar las capacidades de los usuarios del dominio de identidad de OCI IAM en función de las etiquetas y la función.

Requisitos

Acceso a un arrendamiento de OCI.
Privilegios para gestionar reglas de OCI Events Service, Oracle Applications, OCI Functions y OCI Tagging.

Tarea 1: Configuración de las políticas necesarias y los permisos de OCI IAM

Cada componente de esta solución debe tener acceso a los recursos de OCI con los que interactúa. Para seguir este tutorial, se necesitan los siguientes permisos.

Políticas de usuario: gestione las reglas de OCI Event Service y OCI Functions.
Política de servicio: otorgue a la función permiso para gestionar las capacidades de usuario. Se necesita un grupo dinámico.

Para obtener más información sobre las políticas detalladas, consulte Detalles del servicio Events y Detalles de Functions.

Tarea 2: Definición del espacio de nombres de etiqueta, las claves de etiqueta y los valores de etiqueta

Las etiquetas son la base de esta solución, por lo que el espacio de nombres y la clave de etiqueta necesarios deben estar en su lugar.

Tarea 2.1: Crear espacio de nombres de etiqueta

Vaya a la consola de OCI, vaya a Gobernanza y administración, Gestión de arrendamiento y haga clic en Espacios de nombres de etiqueta.
Se muestra una lista de los espacios de nombres de etiquetas en el compartimento actual. Haga clic en Crear espacios de nombres de etiquetas.
En la página Crear espacio de nombres de etiqueta, introduzca la siguiente información.
- Crear en compartimento: seleccione el compartimento en el que desea crear la definición del espacio de nombres.
- Nombre de definición de espacio de nombres: introduzca un nombre único para este conjunto de etiquetas. El nombre debe ser único dentro del arrendamiento. El espacio de nombres de etiqueta no es sensible a mayúsculas/minúsculas. Este valor no se puede cambiar posteriormente. Evite introducir información confidencial.
- Descripción: introduzca una descripción sencilla. Puede cambiar este valor más adelante si lo desea.
Haga clic en Crear espacio de nombres de etiqueta.

creación de espacio de nombres de etiqueta

Tarea 2.2: Crear definición de clave de etiqueta

En la página Espacios de nombres de etiqueta, haga clic en el espacio de nombres de etiqueta al que desea agregar la definición de clave de etiqueta.
En la página Detalles de espacio de nombres de etiqueta, haga clic en Crear definición de clave de etiqueta.
En la página Crear definición de clave de etiqueta, introduzca la siguiente información.
- Clave de etiqueta: introduzca la clave. El valor debe ser uno de api_keys, console_password, auth_tokens, customer_secret_keys, db_credentials, o_auth2_client_credentials y smtp_credentials.
- Descripción: introduzca una descripción sencilla.
- Seguimiento de costos: seleccione esta opción para activar esta etiqueta para el seguimiento de costos. Puede utilizar hasta 10 etiquetas de seguimiento de costos en su arrendamiento.
En Tipo de valor de etiqueta, seleccione Una lista de valores e introduzca Sí en Valores, donde se necesitan estas capacidades; de lo contrario, se desactivarán para un usuario.
Haga clic en Crear definición de clave de etiqueta.

creación-clave-etiqueta

Tarea 2.3: Agregar etiquetas al usuario

Agregue etiquetas al usuario existente.
1. Vaya a la consola de OCI, vaya a Identidad y seguridad, Identidad y haga clic en Dominios.
2. Se muestra una lista de dominios en el compartimento actual. Seleccione el dominio y haga clic en Usuarios. Busque y haga clic en el usuario al que desea agregar la etiqueta.
3. En el menú desplegable Más acciones, haga clic en Agregar etiquetas.
4. En la página Agregar etiquetas, introduzca la siguiente información.
  - Seleccione Espacio de nombres de etiqueta.
  - Seleccione Clave de etiqueta.
  - En Valor, seleccione uno de la lista.
  - Para aplicar otra etiqueta, haga clic en Agregar etiqueta.
5. Cuando haya terminado de agregar etiquetas, haga clic en Agregar etiquetas.
Agregar al nuevo usuario. Agregue etiquetas de Mostrar opciones avanzadas al crear un nuevo usuario.

etiquetas en usuario

Nota: Agregue etiquetas para todas las capacidades que desee activar.

Tarea 3: Desarrollo y despliegue de OCI Functions

La función leerá las etiquetas de los usuarios y realizará acciones en la capacidad. Para lograrlo, realiza las siguientes operaciones:

Lea el espacio de nombres de etiqueta (tag_namespace) desde la configuración de la función.
Lea las capacidades para gestionar (manage_capability) desde la configuración de la función.
Lea la entrada de la función de función (function_feature) de la configuración de la función.
Lea los dominios de destino (domain_ocids) desde la configuración de la función (en caso de modo masivo).
Compruebe las etiquetas de los usuarios.
Desactive o active la capacidad para el usuario según las etiquetas que faltan.

Descargue el código de función de GitHub, personalice el código y despliéguelo.

Descargue el repositorio GitHub desde aquí: iam-user-capability-management.
Siga las instrucciones mencionadas en Creación y despliegue de la función OCI.

Para obtener más información, consulte Creación de funciones.

Tarea 4: Crear programa en el programador de recursos de OCI

Vaya a la consola de OCI, vaya a Gobernanza y administración, Programador de recursos y haga clic en Programas.
Haga clic en Create a Schedule.
En Información básica, introduzca nombre de programa, descripción de programa y la acción que se ejecutará como inicio y haga clic en Siguiente.
En Recursos, seleccione el compartimento de función y la función y haga clic en Siguiente.
En Programar, seleccione Diario y configure otros parámetros según sus necesidades.
- Repetir cada: introduzca la frecuencia con la que desea que se ejecute el programa o utilice el menú para seleccionar un intervalo. El valor mínimo es 1. El valor máximo es 99.
- Hora de inicio: introduzca la hora en horas y minutos en formato de 24 horas.
Haga clic en Siguiente y revise la información. Haga clic en Create Schedule.

Esto ejecutará la función en un intervalo programado. Para obtener más información, consulte Creación de Programas.

Tarea 5: Configuración de la regla de eventos en OCI Events Service

Vaya a la consola de OCI, vaya a Observación y gestión, Servicio de eventos y haga clic en Reglas.
Seleccione el compartimento raíz y haga clic en Crear regla.
Introduzca Nombre mostrado y Descripción.
En la sección Condiciones de regla, introduzca la siguiente información.
- Condición: seleccione Tipo de evento.
- Nombre del servicio: seleccione Identidad.
- Tipo de evento: seleccione Crear usuario.
En la sección Acciones, introduzca la siguiente información.
- Tipo de acción: seleccione Funciones.
- Seleccione Aplicación de función y Función.
Haga clic en Crear regla.

Esto llamará a la función cuando se cree un nuevo usuario. Para obtener más información, consulte Creating an Events Rule.

creación de reglas de eventos

Nota: La activación de logs para reglas de eventos y aplicaciones de funciones proporcionará capacidades de supervisión adicionales.

Agradecimientos

Autor: Bhanu Prakash Lohumi

Más recursos de aprendizaje

Explore otros laboratorios en docs.oracle.com/learn o acceda a más contenido de formación gratuita en el canal YouTube de Oracle Learning. Además, visita education.oracle.com/learning-explorer para convertirte en un Oracle Learning Explorer.

Para obtener documentación sobre el producto, visite Oracle Help Center.

Título e Información de Copyright

Automate OCI IAM Identity Domain Users Capability Management using Tags and OCI Functions

G24399-01

January 2025

Oracle y/o sus filiales.