Gestion des utilisateurs

Si vous êtes membre du groupe Administrateurs, vous disposez des droits d'accès requis pour gérer les utilisateurs.

• Vous pouvez créer une politique qui permet à un utilisateur de créer de nouveaux utilisateurs et données d'identification, mais pas de contrôler les groupes dont font partie ces utilisateurs. Voir Permettre au service d'assistance de gérer les utilisateurs.

Pour en connaître davantage sur les politiques, voir Introduction aux politiques et Politiques communes. Pour plus de précisions sur l'écriture de politiques pour des utilisateurs ou d'autres composants GIA, voir Informations détaillées sur le service GIA sans domaines d'identité.

Appliquez des marqueurs à vos ressources afin de les organiser en fonction des besoins de l'entreprise. Appliquez des marqueurs au moment de la création d'une ressource, ou mettez à jour la ressource plus tard avec les marqueurs souhaités. Pour des informations générales sur l'application de marqueurs, voir Marqueurs de ressource.

Lors de la création d'un utilisateur, vous devez fournir un nom unique non modifiable pour cet utilisateur. Le nom doit être unique pour tous les utilisateurs de votre location. Il s'agit du nom d'utilisateur pour la connexion à la console. Vous pouvez utiliser un nom qui est déjà utilisé par le système de gestion des identités de votre société (par exemple, Active Directory, LDAP, etc.). Vous devez également donner une description (même s'il peut s'agir d'une chaîne vide) pour l'utilisateur, description qui n'est pas unique et est modifiable. Il peut s'agir du nom complet de l'utilisateur, d'un alias ou d'autres informations descriptives. Oracle affecte également un ID unique appelé identificateur Oracle Cloud (OCID) à l'utilisateur. Pour plus d'informations, voir Identificateurs de ressource.

Oracle recommande de fournir une adresse de courriel à utiliser pour la récupération du mot de passe de l'utilisateur. Si l'utilisateur oublie son mot de passe, il peut demander qu'un mot de passe temporaire lui soit envoyé à l'aide du lien Mot de passe oublié dans la page d'authentification. Si aucune adresse de courriel n'est présente pour l'utilisateur, un administrateur doit intervenir pour réinitialiser son mot de passe.

Un nouvel utilisateur n'a aucune autorisation tant que vous n'avez pas ajouté l'utilisateur à un ou plusieurs groupes et qu'il existe au moins une politique qui donne à ce groupe une autorisation pour la location ou un compartiment. Exception : chaque utilisateur peut gérer ses propres données d'identification. Il n'est pas nécessaire qu'un administrateur crée une politique pour le lui permettre. Pour plus d'informations, voir Données d'identification d'utilisateur.

Vous devez également donner à l'utilisateur certaines données d'identification pour qu'il puisse accéder à Oracle Cloud Infrastructure. Un utilisateur peut avoir une des données d'identification suivantes, ou les deux, selon le type d'accès dont il a besoin : Un mot de passe pour l'utilisation de la console et une clé de signature d'API pour l'utilisation de l'API.

Pour accéder à Oracle Cloud Infrastructure, un utilisateur doit avoir les données d'identification requises. Les utilisateurs qui ont besoin d'utiliser la console doivent disposer d'un mot de passe. Les utilisateurs qui nécessitent un accès au moyen de l'API doivent avoir des clés d'API. Certaines fonctions du service requièrent des données d'identification supplémentaires, telles que des jetons d'authentification, des données d'identification SMTP et des clés d'API de compatibilité Amazon S3. Pour obtenir ces données d'identification, l'utilisateur doit être autorisé à avoir le type de données d'identification en question.

Les administrateurs gèrent les capacités d'utilisateur dans les détails de l'utilisateur. Chaque utilisateur peut voir ses capacités, mais seul un administrateur peut les activer ou les désactiver. Les capacités de l'utilisateur sont les suivantes :

• Peut utiliser le mot de passe de la console (utilisateurs natifs uniquement)
• Peut utiliser des clés d'API
• Peut utiliser des jetons d'authentification
• Peut utiliser des données d'identification SMTP
• Peut utiliser des clés secrètes du client

Par défaut, toutes ces capacités sont activées lors de la création des utilisateurs, ce qui permet aux utilisateurs de créer ces données d'identification pour eux-mêmes. Pour plus d'informations sur l'utilisation des données d'identification d'utilisateur, voir Gestion des données d'identification d'utilisateur.

Voir Gestion de l'authentification multifacteur pour plus de détails.

Les utilisateurs créés au moyen de cette procédure sont créés dans le service GIA et sont parfois appelés "utilisateurs locaux." Si votre location est fédérée avec un autre fournisseur d'identités (Oracle Identity Cloud Service, Azure AD ou Okta, par exemple), votre page de connexion à la console affiche deux options pour la connexion. Les utilisateurs locaux que vous créez dans GIA utilisent l'option Oracle Cloud Infrastructure pour se connecter, comme illustré dans l'image suivante :

Si votre location n'est pas fédérée, vous ne disposez que d'une option.

La page de liste Utilisateurs affiche des informations permettant aux administrateurs de déterminer si les comptes d'utilisateur sont actifs. Le champ Dernière connexion enregistrée affiche la date et l'heure de la dernière connexion de l'utilisateur à Oracle Cloud Infrastructure à l'aide de la console ou au moyen d'Oracle DB intégré à GIA. Pour les connexions à l'aide de la console, l'horodatage correspond à la dernière connexion à la console. Pour les connexions au moyen d'Oracle DB intégré à GIA, les horodatages peuvent avoir jusqu'à 15 minutes de marge par rapport à la valeur Dernière connexion enregistrée. Ce champ est affiché uniquement dans la vue de liste de tous les utilisateurs. Il n'apparaît pas dans la page des détails de chaque utilisateur.

Ce champ n'assure le suivi que des connexions établies au moyen de la console ou d'Oracle DB intégré à GIA. Si un utilisateur accède à Oracle Cloud Infrastructure au moyen d'autres méthodes d'accès (par exemple, à l'aide de la trousse SDK), ces connexions ne font pas l'objet d'un suivi.

Pour remplir des demandes de soutien directement à partir de la console, chaque utilisateur doit lier son compte d'utilisateur GIA à son compte My Oracle Support (MOS). Vous ne devez effectuer cette étape qu'une seule fois. Pour obtenir des instructions, voir Pour lier un utilisateur à son compte My Oracle Support.

Si un utilisateur tente 10 fois de suite de se connecter à la console sans y parvenir, il sera automatiquement bloqué. Un administrateur peut débloquer l'utilisateur dans la console (voir Pour débloquer un utilisateur) ou avec l'opération d'API UpdateUserState.

Vous pouvez supprimer un utilisateur, mais uniquement si celui-ci n'est membre d'aucun groupe.

Pour plus d'informations sur le nombre d'utilisateurs que vous pouvez avoir, voir Limites de service.

Pour plus d'informations sur l'utilisation de l'API et sur les demandes de signature, voir la documentation de l'API REST et Données d'identification de sécurité. Pour plus d'informations sur les trousses SDK, voir Trousses SDK et interface de ligne de commande.

Utilisez ces opérations d'API pour gérer les utilisateurs :

• CreateUser
• ListUsers
• GetUser
• UpdateUserState : Débloque un utilisateur qui a tenté de se connecter 10 fois de suite, sans y parvenir.
• UpdateUser : Vous pouvez mettre à jour la description, l'adresse de courriel et les marqueurs de l'utilisateur.
• UpdateUserCapabilities
• DeleteUser
• ListUserGroupMemberships : Utilisez cette opération pour obtenir la liste des utilisateurs d'un groupe ou des groupes dont un utilisateur est membre.
• AddUserToGroup : Cette opération génère un objet UserGroupMembership ayant son propre OCID.
• GetUserGroupMembership
• RemoveUserFromGroup : Cette opération supprime un objet UserGroupMembership.

Pour plus d'informations sur les opérations d'API pour la gestion des données d'identification d'utilisateur, voir Gestion des données d'identification d'utilisateur.