Gestion des utilisateurs
Cette rubrique décrit les fonctions de base de l'utilisation des utilisateurs.
Si votre location est fédérée avec Oracle Identity Cloud Service, voir Gestion des utilisateurs et groupes Oracle Identity Cloud Service dans la console Oracle Cloud Infrastructure pour gérer les utilisateurs.
Politique GIA requise
Si vous êtes membre du groupe Administrateurs, vous disposez des droits d'accès requis pour gérer les utilisateurs.
- Vous pouvez créer une politique qui permet à un utilisateur de créer de nouveaux utilisateurs et données d'identification, mais pas de contrôler les groupes dont font partie ces utilisateurs. Voir Permettre au service d'assistance de gérer les utilisateurs.
Pour en connaître davantage sur les politiques, voir Introduction aux politiques et Politiques communes. Pour plus de précisions sur l'écriture de politiques pour des utilisateurs ou d'autres composants GIA, voir Informations détaillées sur le service GIA sans domaines d'identité.
Marquage de ressources
Appliquez des marqueurs à vos ressources afin de les organiser en fonction des besoins de l'entreprise. Appliquez des marqueurs au moment de la création d'une ressource, ou mettez à jour la ressource plus tard avec les marqueurs souhaités. Pour des informations générales sur l'application de marqueurs, voir Marqueurs de ressource.
Utilisation des utilisateurs
Lors de la création d'un utilisateur, vous devez fournir un nom unique non modifiable pour cet utilisateur. Le nom doit être unique pour tous les utilisateurs de votre location. Il s'agit du nom d'utilisateur pour la connexion à la console. Vous pouvez utiliser un nom qui est déjà utilisé par le système de gestion des identités de votre société (par exemple, Active Directory, LDAP, etc.). Vous devez également donner une description (même s'il peut s'agir d'une chaîne vide) pour l'utilisateur, description qui n'est pas unique et est modifiable. Il peut s'agir du nom complet de l'utilisateur, d'un alias ou d'autres informations descriptives. Oracle affecte également un ID unique appelé identificateur Oracle Cloud (OCID) à l'utilisateur. Pour plus d'informations, voir Identificateurs de ressource.
Si vous supprimez un utilisateur, et que vous créez ensuite un nouvel utilisateur avec le même nom, les deux utilisateurs sont considérés comme étant différents, car ils ont des OCID différents.
Oracle recommande de fournir une adresse de courriel à utiliser pour la récupération du mot de passe de l'utilisateur. Si l'utilisateur oublie son mot de passe, il peut demander qu'un mot de passe temporaire lui soit envoyé à l'aide du lien Mot de passe oublié dans la page d'authentification. Si aucune adresse de courriel n'est présente pour l'utilisateur, un administrateur doit intervenir pour réinitialiser son mot de passe.
Un nouvel utilisateur n'a aucune autorisation tant que vous n'avez pas ajouté l'utilisateur à un ou plusieurs groupes et qu'il existe au moins une politique qui donne à ce groupe une autorisation pour la location ou un compartiment. Exception : chaque utilisateur peut gérer ses propres données d'identification. Il n'est pas nécessaire qu'un administrateur crée une politique pour le lui permettre. Pour plus d'informations, voir Données d'identification d'utilisateur.
Après la création d'un nouvel utilisateur et l'ajout à un groupe, veillez à lui indiquer les compartiments auxquels il a accès.
Vous devez également donner à l'utilisateur certaines données d'identification pour qu'il puisse accéder à Oracle Cloud Infrastructure. Un utilisateur peut avoir une des données d'identification suivantes, ou les deux, selon le type d'accès dont il a besoin : Un mot de passe pour l'utilisation de la console et une clé de signature d'API pour l'utilisation de l'API.
À propos des capacités d'utilisateur
Pour accéder à Oracle Cloud Infrastructure, un utilisateur doit avoir les données d'identification requises. Les utilisateurs qui ont besoin d'utiliser la console doivent disposer d'un mot de passe. Les utilisateurs qui nécessitent un accès au moyen de l'API doivent avoir des clés d'API. Certaines fonctions du service requièrent des données d'identification supplémentaires, telles que des jetons d'authentification, des données d'identification SMTP et des clés d'API de compatibilité Amazon S3. Pour obtenir ces données d'identification, l'utilisateur doit être autorisé à avoir le type de données d'identification en question.
Les administrateurs gèrent les capacités d'utilisateur dans les détails de l'utilisateur. Chaque utilisateur peut voir ses capacités, mais seul un administrateur peut les activer ou les désactiver. Les capacités de l'utilisateur sont les suivantes :
- Peut utiliser le mot de passe de la console (utilisateurs natifs uniquement)
- Peut utiliser des clés d'API
- Peut utiliser des jetons d'authentification
- Peut utiliser des données d'identification SMTP
- Peut utiliser des clés secrètes du client
Par défaut, toutes ces capacités sont activées lors de la création des utilisateurs, ce qui permet aux utilisateurs de créer ces données d'identification pour eux-mêmes. Pour plus d'informations sur l'utilisation des données d'identification d'utilisateur, voir Gestion des données d'identification d'utilisateur.
Activation de l'authentification multifacteur pour un utilisateur
Voir Gestion de l'authentification multifacteur pour plus de détails.
Connexion à la console
Les utilisateurs créés au moyen de cette procédure sont créés dans le service GIA et sont parfois appelés "utilisateurs locaux." Si votre location est fédérée avec un autre fournisseur d'identités (Oracle Identity Cloud Service, Azure AD ou Okta, par exemple), votre page de connexion à la console affiche deux options pour la connexion. Les utilisateurs locaux que vous créez dans GIA utilisent l'option Oracle Cloud Infrastructure pour se connecter, comme illustré dans l'image suivante :
Si votre location n'est pas fédérée, vous ne disposez que d'une option.
Suivi de l'activité de connexion récente
La page de liste Utilisateurs affiche des informations permettant aux administrateurs de déterminer si les comptes d'utilisateur sont actifs. Le champ Dernière connexion enregistrée affiche la date et l'heure de la dernière connexion de l'utilisateur à Oracle Cloud Infrastructure à l'aide de la console ou au moyen d'Oracle DB intégré à GIA. Pour les connexions à l'aide de la console, l'horodatage correspond à la dernière connexion à la console. Pour les connexions au moyen d'Oracle DB intégré à GIA, les horodatages peuvent avoir jusqu'à 15 minutes de marge par rapport à la valeur Dernière connexion enregistrée. Ce champ est affiché uniquement dans la vue de liste de tous les utilisateurs. Il n'apparaît pas dans la page des détails de chaque utilisateur.
Ce champ n'assure le suivi que des connexions établies au moyen de la console ou d'Oracle DB intégré à GIA. Si un utilisateur accède à Oracle Cloud Infrastructure au moyen d'autres méthodes d'accès (par exemple, à l'aide de la trousse SDK), ces connexions ne font pas l'objet d'un suivi.
Lier un utilisateur à un compte My Oracle Support
Pour remplir des demandes de soutien directement à partir de la console, chaque utilisateur doit lier son compte d'utilisateur GIA à son compte My Oracle Support (MOS). Vous ne devez effectuer cette étape qu'une seule fois. Pour obtenir des instructions, voir Pour lier un utilisateur à son compte My Oracle Support.
Préalables
- Avant qu'un utilisateur puisse créer ce lien, il doit configurer un compte dans My Oracle Support. Pour plus d'informations sur la configuration d'un compte My Oracle Support, voir Création d'un compte Oracle SSO.
- Pour qu'un utilisateur puisse soumettre des demandes de service pour une location, son compte My Oracle Support doit être associé à son numéro CSI de location. Voir Enregistrement de votre numéro CSI pour Oracle Cloud Infrastructure.
Déblocage d'un utilisateur en cas d'échec de connexion
Si un utilisateur tente 10 fois de suite de se connecter à la console sans y parvenir, il sera automatiquement bloqué. Un administrateur peut débloquer l'utilisateur dans la console (voir Pour débloquer un utilisateur) ou avec l'opération d'API UpdateUserState.
Suppression d'un utilisateur
Vous pouvez supprimer un utilisateur, mais uniquement si celui-ci n'est membre d'aucun groupe.
Limites sur les utilisateurs
Pour plus d'informations sur le nombre d'utilisateurs que vous pouvez avoir, voir Limites de service.
Utilisation de la console
- Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Utilisateurs. Une liste des utilisateurs de votre location s'affiche.
- Cliquez sur Créer un utilisateur.
- Entrez les informations suivantes :
- Nom : Nom ou adresse de courriel unique pour l'utilisateur. Pour obtenir des conseils sur la valeur à utiliser, voir Utilisation des utilisateurs. Le nom doit être unique pour tous les utilisateurs de votre location. Vous ne pouvez pas modifier cette valeur plus tard. Le nom doit respecter les exigences suivantes : Aucun espace. Uniquement les lettres latines de base (ASCII), les chiffres, les traits d'union, les points, les traits de soulignement, + et @.
- Description : Il peut s'agir du nom complet de l'utilisateur, d'un alias ou d'autres informations descriptives. Vous pouvez modifier cette valeur plus tard.
Courriel : Entrez une adresse de courriel pour l'utilisateur. Cette adresse de courriel est utilisée pour la récupération du mot de passe. L'adresse de courriel doit être unique dans la location.
Si l'utilisateur oublie son mot de passe, il peut cliquer sur Mot de passe oublié dans la page de connexion. Un mot de passe temporaire sera automatiquement généré et envoyé à l'adresse de courriel indiquée ici. L'utilisateur ou un administrateur peut également mettre à jour l'adresse de courriel plus tard.
- Marqueurs : Si vous êtes autorisé à créer une ressource, vous disposez également des autorisations nécessaires pour appliquer des marqueurs à structure libre à cette ressource. Pour appliquer un marqueur défini, vous devez être autorisé à utiliser l'espace de noms de marqueur. Pour plus d'informations sur le marquage, voir Marqueurs de ressource. Si vous n'êtes pas sûr d'appliquer des marqueurs, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des marqueurs plus tard.
- Cliquez sur Créer.
Ensuite, vous devez donner des autorisations à l'utilisateur en l'ajoutant à au moins un groupe. Vous devez également donner à l'utilisateur les données d'identification dont il a besoin, voir Gestion des données d'identification d'utilisateur.
- Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Utilisateurs. Une liste des utilisateurs de votre location s'affiche.
- Repérez l'utilisateur dans la liste.
- Cliquez sur l'utilisateur. Les détails de l'utilisateur sont affichés.
- Cliquez sur Groupes.
- Cliquez sur Ajouter un utilisateur au groupe.
- Sélectionnez le groupe dans la liste déroulante, puis cliquez sur Ajouter.
Veiller à indiquer à l'utilisateur les compartiments auxquels il a accès.
- Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Utilisateurs. Une liste des utilisateurs de votre location s'affiche.
- Repérez l'utilisateur dans la liste.
- Cliquez sur l'utilisateur. Les détails de l'utilisateur sont affichés.
- Cliquez sur Groupes.
- Cliquez sur le , puis sur Retirer.
- Confirmez l'opération à l'invite.
Préalable : Pour pouvoir supprimer un utilisateur, celui-ci ne doit faire partie d'aucun groupe.
- Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Utilisateurs. Une liste des utilisateurs de votre location s'affiche.
- Pour l'utilisateur à supprimer, cliquez sur Supprimer.
- Confirmez l'opération à l'invite.
Si vous êtes administrateur, vous pouvez utiliser la procédure suivante pour débloquer un utilisateur qui a tenté 10 fois de suite de se connecter à la console, sans y parvenir.
- Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Utilisateurs. Une liste des utilisateurs de votre location s'affiche.
- Cliquez sur l'utilisateur. Les détails de l'utilisateur s'affichent, y compris le statut courant.
- Cliquez sur Débloquer.
- Confirmez l'opération à l'invite.
- Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Utilisateurs. Une liste des utilisateurs de votre location s'affiche.
- Cliquez sur l'utilisateur à mettre à jour. Les détails de l'utilisateur sont affichés. La description est affichée sous le nom de connexion de l'utilisateur.
- Cliquez sur le crayon à côté de la description.
- Modifiez la description et enregistrez-la.
- Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Utilisateurs. Une liste des utilisateurs de votre location s'affiche.
- Cliquez sur l'utilisateur à mettre à jour. Les détails de l'utilisateur sont affichés.
- Sous Informations sur l'utilisateur, cliquez sur le crayon à côté de Courriel.
- Entrez l'adresse de courriel et cliquez sur l'icône Enregistrer. L'adresse de courriel doit être unique dans la location.
Si vous êtes administrateur, vous pouvez modifier les capacités d'utilisateur.
- Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Utilisateurs. Une liste des utilisateurs de votre location s'affiche.
- Cliquez sur l'utilisateur pour voir ses détails.
- Cliquez sur Modifier les capacités d'utilisateur.
- Cochez ou désélectionnez la case pour ajouter ou supprimer une capacité.
- Cliquez sur Enregistrer.
Important : Assurez-vous que vous remplissez les conditions préalables avant de lier votre compte. Voir Lier un utilisateur à un compte My Oracle Support.
- Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Utilisateurs. Une liste des utilisateurs de votre location s'affiche.
- Cliquez sur l'utilisateur à mettre à jour. Les détails de l'utilisateur sont affichés.
- Cliquez sur Lier le compte de soutien. Dans la page de connexion au compte Oracle, vous êtes invité à entrer vos données d'identification Oracle.
- Entrez le nom d'utilisateur et le mot de passe du compte de soutien Oracle que vous voulez lier à cet utilisateur et cliquez sur Connexion. Le compte d'utilisateur GIA est lié au compte de soutien Oracle. L'adresse de courriel associée au compte de soutien est affichée dans les détails de l'utilisateur dans le champ Mon compte Oracle Support.
- Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Utilisateurs. Une liste des utilisateurs de votre location s'affiche.
- Cliquez sur l'utilisateur à mettre à jour. Les détails de l'utilisateur sont affichés.
- Cliquez sur Dissocier le compte de soutien.
- Dans l'invite de confirmation, cliquez sur Dissocier.
Pour plus d'informations sur la gestion des données d'identification d'utilisateur dans la Console, voir Gestion des données d'identification d'utilisateur.
Utilisation de l'API
Pour plus d'informations sur l'utilisation de l'API et sur les demandes de signature, voir la documentation de l'API REST et Données d'identification de sécurité. Pour plus d'informations sur les trousses SDK, voir Trousses SDK et interface de ligne de commande.
Les mises à jour ne sont pas immédiates dans toutes les régions
Vos ressources GIA se trouvent dans votre région principale. Pour appliquer une politique à toutes les régions, le service GIA réplique vos ressources dans chacune des régions. Chaque fois que vous créez ou modifiez une politique, un utilisateur ou un groupe, les modifications entrent d'abord en vigueur dans la région principale, puis sont propagées à vos autres régions. L'application des modifications peut prendre quelques minutes. Par exemple, supposons que vous disposiez d'un groupe ayant des autorisations pour lancer des instances dans la location. Si vous ajoutez UserA à ce groupe, UserA peut lancer des instances dans votre région principale en moins d'une minute. Toutefois, UserA ne peut pas lancer d'instances dans d'autres régions tant que le processus de réplication n'est pas terminé. Ce processus peut prendre quelques minutes. Si UserA tente de lancer une instance avant que la réplication soit terminée, il verra s'afficher un message d'erreur indiquant qu'il n'est pas autorisé à le faire.
Utilisez ces opérations d'API pour gérer les utilisateurs :
- CreateUser
- ListUsers
- GetUser
- UpdateUserState : Débloque un utilisateur qui a tenté de se connecter 10 fois de suite, sans y parvenir.
- UpdateUser : Vous pouvez mettre à jour la description, l'adresse de courriel et les marqueurs de l'utilisateur.
- UpdateUserCapabilities
- DeleteUser
- ListUserGroupMemberships : Utilisez cette opération pour obtenir la liste des utilisateurs d'un groupe ou des groupes dont un utilisateur est membre.
- AddUserToGroup : Cette opération génère un objet
UserGroupMembership
ayant son propre OCID. - GetUserGroupMembership
- RemoveUserFromGroup : Cette opération supprime un objet
UserGroupMembership
.
Pour plus d'informations sur les opérations d'API pour la gestion des données d'identification d'utilisateur, voir Gestion des données d'identification d'utilisateur.