Documentation sur Oracle Cloud Infrastructure

Données d'identification d'utilisateur

Vous gérez plusieurs types de données d'identification avec le service de gestion des identités et des accès (GIA) pour Oracle Cloud Infrastructure :

  • Mot de passe de la console : Pour la connexion à la console, l'interface utilisateur sert à interagir avec Oracle Cloud Infrastructure. Notez que les utilisateurs fédérés ne peuvent pas avoir de mot de passe de console, car ils se connectent par l'intermédiaire de leur fournisseur d'identités. Voir Fédération avec les fournisseurs d'identités.
  • Clé de signature d'API (dans le format PEM) : Pour l'envoi de demandes d'API qui requièrent une authentification.
  • Jeton d'authentification : Jeton généré par Oracle que vous pouvez utiliser pour l'authentification auprès des API de tierce partie. Par exemple, utilisez un jeton d'authentification pour l'authentification auprès d'un client Swift lors de l'utilisation de Recovery Manager (RMAN) pour sauvegarder un système de base de données Oracle dans le stockage d'objets.
  • Clés secrètes du client : Pour l'utilisation de l'API de compatibilité Amazon S3 avec le service Stockage d'objets. Voir API de compatibilité Amazon S3.
  • Données d'identification de client OAuth 2.0 : Pour interagir avec les API des services qui utilisent l'autorisation OAuth 2.0. Voir Données d'identification de client OAuth 2.0.
  • Données d'identification SMTP : Pour l'utilisation de l'aperçu du service de transmission de messages.
  • Mot de passe de base de données GIA : Les utilisateurs peuvent créer et gérer leur mot de passe de base de données dans leur profil d'utilisateur GIA et utiliser ce mot de passe pour s'authentifier auprès des bases de données de leur location. Voir Mots de passe de base de données GIA.
Important

Les clés de signature d'API sont différentes des clés SSH que vous utilisez pour accéder à une instance de calcul (voir Données d'identification de sécurité). Pour plus d'informations sur les clés de signature d'API, voir Clés et OCID requis. Pour plus d'informations sur les clés SSH d'instance, voir Gestion des paires de clés.

Mot de passe de l'utilisateur

L'administrateur qui crée un nouvel utilisateur dans le service GIA doit également générer un mot de passe à usage unique de console pour l'utilisateur (voir Pour créer ou réinitialiser le mot de passe de console d'un autre utilisateur). L'administrateur doit fournir le mot de passe à l'utilisateur, de manière sécurisée, en l'indiquant verbalement, en l'imprimant ou en l'envoyant au moyen d'un service de courriel sécurisé.

Lorsque l'utilisateur se connecte à la console pour la première fois, il est immédiatement invité à modifier le mot de passe. Si l'utilisateur laisse passer plus de 7 jours avant de se connecter pour la première fois et de modifier le mot de passe, ce dernier expirera et un administrateur devra créer un nouveau mot de passe à usage unique pour l'utilisateur.

Une fois l'utilisateur connecté à la console, il peut utiliser les ressources Oracle Cloud Infrastructure en fonction des autorisations qui lui ont été accordées au moyen de politiques.

Note

Un utilisateur peut modifier automatiquement son mot de passe dans la console. Il n'est pas nécessaire qu'un administrateur crée une politique pour le lui permettre.

Modification d'un mot de passe

Si un utilisateur veut modifier son mot de passe après avoir modifié son mot de passe à usage unique initial, il peut le faire dans la console. Gardez à l'esprit qu'un utilisateur peut modifier automatiquement son propre mot de passe. Il n'est pas nécessaire qu'un administrateur crée une politique pour le lui permettre.

Pour plus d'informations, voir Pour modifier le mot de passe de console.

Si un utilisateur a besoin de la réinitialisation de son mot de passe de console

Si un utilisateur oublie son mot de passe de console et n'a pas accès à l'API, il peut se servir du lien Mot de passe oublié de la console pour demander qu'un mot de passe temporaire lui soit envoyé. Cette option est disponible si l'utilisateur a indiqué une adresse de courriel dans son profil d'utilisateur.

Si l'utilisateur n'a pas indiqué d'adresse de courriel dans son profil d'utilisateur, il doit demander à un administrateur de réinitialiser son mot de passe. Tous les administrateurs (et tous ceux qui disposent de l'autorisation pour la location) peuvent réinitialiser les mots de passe de la console. Le processus de réinitialisation du mot de passe génère un nouveau mot de passe à usage unique que l'administrateur doit transmettre à l'utilisateur. L'utilisateur devra modifier son mot de passe lors de sa prochaine connexion à la console.

Si vous êtes administrateur et que vous avez besoin de réinitialiser le mot de passe de console d'un utilisateur, voir Pour créer ou réinitialiser le mot de passe de console d'un autre utilisateur.

Si la connexion d'un utilisateur à la console est bloquée

Si un utilisateur tente 10 fois de suite de se connecter à la console sans y parvenir, il sera automatiquement bloqué. Il devra communiquer avec un administrateur pour lui demander de le débloquer (voir Pour débloquer un utilisateur).

Clés de signature d'API

Un utilisateur qui doit effectuer des demandes d'API doit disposer d'une clé publique RSA au format PEM (minimum de 2 048 bits) ajoutée à son profil d'utilisateur GIA et signer les demandes d'API avec la clé privée correspondante (voir Clés et OCID requis).

Important

Un utilisateur peut automatiquement générer et gérer ses propres clés d'API dans la console ou l'API. Il n'est pas nécessaire qu'un administrateur crée une politique pour le lui permettre. Gardez à l'esprit qu'un utilisateur ne peut pas utiliser l'API pour modifier ou supprimer ses propres données d'identification tant qu'il n'a pas enregistré une clé dans la console, ou qu'un administrateur n'a pas ajouté une clé pour cet utilisateur dans la console ou dans l'API.

Si vous disposez d'un système non humain qui doit effectuer des demandes d'API, un administrateur doit créer un utilisateur pour ce système, puis ajouter une clé publique dans le service GIA pour ce système. Il n'est pas nécessaire de générer un mot de passe de console pour l'utilisateur.

Pour obtenir des instructions sur la génération d'une clé d'API, voir Pour ajouter une clé de signature d'API.

Données d'identification de client OAuth 2.0

Note

Les données d'identification de client OAuth 2.0 ne sont pas disponibles dans le nuage gouvernemental du Royaume-Uni (OC4).

Les données d'identification de client OAuth 2.0 sont requises pour interagir par programmation avec les services qui utilisent le protocole d'autorisation OAuth 2.0. Les données d'identification vous permettent d'obtenir un jeton sécurisé pour accéder à des points d'extrémité d'API REST de service. Les actions et les points d'extrémité autorisés dépendent des autorisations sélectionnées lors de la génération du jeton. Pour plus d'informations, voir Utilisation des données d'identification de client OAuth 2.0.

Jetons d'authentification

Les jetons d'authentification sont générés par Oracle. Vous utilisez des jetons d'authentification pour vous authentifier auprès d'API de tierce partie qui ne prennent pas en charge l'authentification basée sur la signature Oracle Cloud Infrastructure, par exemple l'API Swift. Si votre service requiert un jeton d'authentification, reportez-vous à la documentation propre à ce service pour savoir comment générer un jeton et l'utiliser.

Mots de passe de base de données GIA

Aperçu

Un mot de passe de base de données IAM est différent d'un mot de passe de console. La définition d'un mot de passe de base de données GIA permet à un utilisateur GIA autorisé de se connecter à une ou plusieurs bases de données autonomes dans sa location.

La centralisation de la gestion des comptes d'utilisateur dans GIA améliore la sécurité et réduit considérablement la nécessité pour les administrateurs de base de données de gérer les utilisateurs qui rejoignent une organisation, se déplacent au sein de celle-ci ou la quittent (également appelé gestion du cycle de vie des utilisateurs). Les utilisateurs peuvent définir un mot de passe de base de données dans GIA et utiliser ce mot de passe pour s'authentifier lors de la connexion aux bases de données Oracle configurées de manière appropriée dans leur location.

Facile à utiliser

Les utilisateurs finaux de la base de données peuvent continuer à utiliser les clients et outils de base de données pris en charge existants pour accéder à la base de données. Toutefois, au lieu d'utiliser leur nom utilisateur et leur mot de passe de base de données locaux, ils utilisent leur nom d'utilisateur GIA et leur mot de passe de base de données GIA. Vous ne pouvez accéder aux mots de passe de base de données que vous gérez au moyen de votre profil OCI qu'après vous être authentifié auprès d'OCI. Cela signifie que les administrateurs peuvent créer une couche de protection supplémentaire avant que les utilisateurs ne puissent accéder à leur mot de passe de base de données ou le gérer. Ils peuvent appliquer l'authentification multifacteur sur leur mot de passe de console à l'aide, par exemple, d'un authentificateur FIDO ou d'avis poussés au moyen d'applications d'authentification.

Fonctions prises en charge

Les mots de passe de base de données GIA prennent en charge l'association directe d'un mot de passe de base de données à un utilisateur GIA. Après avoir défini un mot de passe de base de données dans GIA, vous pouvez l'utiliser pour vous connecter à la base de données GIA de votre location, si vous avez été autorisé à accéder à la base de données GIA. Vous devez être mappé à un schéma de base de données global pour être autorisé à accéder à la base de données. Voir Authentification et autorisation des utilisateurs IAM pour les bases de données Oracle DBaaS dans le guide de sécurité d'Oracle Database pour plus d'informations sur le mappage des utilisateurs de base de données globaux aux utilisateurs et groupes IAM.

Sécurité par mot de passe

Les administrateurs du service IAM peuvent imposer des couches d'accès de sécurité supplémentaires en activant l'autorisation multifacteur avant qu'un utilisateur puisse accéder à un mot de passe de base de données dans le service IAM. Voir Authentification et autorisation des utilisateurs IAM pour les bases de données Oracle DBaaS dans le guide de sécurité d'Oracle Database pour plus d'informations sur la façon dont les utilisateurs IAM s'authentifient et autorisent les bases de données OCI.

Création d'un mot de passe de base de données GIA

Vous pouvez gérer votre propre mot de passe de base de données IAM à l'aide de la console, notamment en le créant, en le modifiant et en le supprimant.

La création d'un mot de passe de base de données IAM suit les mêmes règles que la création d'un mot de passe de console, sauf que le caractère entre guillemets (") n'est pas autorisé dans le mot de passe de base de données IAM. Voir À propos des règles de politique de mot de passe pour les règles de création des mots de passe de la console.

Pour créer votre propre mot de passe de base de données GIA, voir Pour créer un mot de passe de base de données GIA.

Modification d'un mot de passe de base de données GIA

Vous pouvez gérer votre propre mot de passe de base de données IAM à l'aide de la console, notamment en le créant, en le modifiant et en le supprimant. Pour modifier un mot de passe existant, supprimez le mot de passe existant et ajoutez le nouveau. Voir Pour modifier un mot de passe de base de données GIA.

Suppression d'un mot de passe de base de données GIA

Vous pouvez gérer votre propre mot de passe de base de données IAM à l'aide de la console, notamment en le créant, en le modifiant et en le supprimant. Pour supprimer votre mot de passe de base de données GIA, voir Pour supprimer un mot de passe de base de données GIA.

Verrouillages de mot de passe de base de données GIA

Échec des tentatives de connexion

Les utilisateurs de la base de données IAM et de la console sont verrouillés après 10 tentatives de connexion infructueuses consécutives (total pour les deux mots de passe). Si vous effectuez 10 tentatives de connexion incorrectes consécutives à l'aide des mots de passe de base de données ou des mots de passe GIA, votre compte d'utilisateur est verrouillé. Seul un administrateur GIA peut déverrouiller votre compte d'utilisateur.

  • Si vous ne parvenez pas à vous connecter à GIA ou à la base de données après 10 tentatives consécutives (total pour les deux), votre compte est verrouillé et vous ne pouvez pas vous connecter à votre base de données ou à la console.
  • Lorsque votre compte est verrouillé, un administrateur GIA doit le déverrouiller explicitement.
  • Le service GIA ne prend pas en charge le déverrouillage automatique.
  • Le nombre de tentatives de connexion en échec fait l'objet d'un suivi centralisé dans toutes les régions d'un domaine. Les tentatives de connexion en échec sont enregistrées dans votre région principale et répliquées dans leurs régions abonnées.

Utilisation des noms d'utilisateur de base de données GIA

Vous pouvez gérer votre propre nom d'utilisateur de base de données IAM avec la console, notamment en le créant, en le modifiant et en le supprimant.

Vous devrez peut-être modifier le nom d'utilisateur de la base de données :

  • Si votre nom d'utilisateur est trop long ou difficile à saisir
  • Pour simplifier la connexion à l'aide d'un nom d'utilisateur qui n'inclut pas de caractères spéciaux et qui peut être plus court

Les rubriques suivantes expliquent comment gérer un nom d'utilisateur de base de données GIA.