Documentation sur Oracle Cloud Infrastructure

Gestion des données d'identification des utilisateurs

Découvrez comment les utilisateurs peuvent gérer leurs propres données d'identification et ce que les administrateurs peuvent faire avec différents types de données d'identification d'utilisateur pour d'autres utilisateurs.

Cette rubrique décrit les fonctions de base de l'utilisation des données d'identification d'utilisateur avec le service de gestion des identités et des accès (GIA) pour Oracle Cloud Infrastructure. Si vous ne savez pas quelles données d'identification sont disponibles, voir Données d'identification d'utilisateur.

Utilisation des mots de passe de console et des clés d'API

Chaque utilisateur peut modifier ou réinitialiser automatiquement son propre mot de passe de domaine d'identité et gérer ses propres clés d'API. Un administrateur n'a pas besoin de créer une politique pour accorder ces capacités à un utilisateur.

Note

Les utilisateurs fédérés peuvent avoir besoin de créer une politique pour modifier les clés d'API. Par exemple, les utilisateurs qui ont été provisionnés au moyen de SCIM.

Pour gérer les données d'identification pour des utilisateurs autres que vous-même, vous devez faire partie du groupe Administrateurs ou d'un autre groupe ayant l'autorisation d'utiliser la location. Il ne suffit pas d'avoir des autorisations pour utiliser un compartiment de la location. Pour plus d'informations, voir Groupe Administrateurs, Politique et Rôles d'administrateur.

Les administrateurs GIA (ou toute personne ayant les autorisations d'accès à la location) peuvent utiliser la console ou l'API pour gérer tous les aspects des deux types de données d'identification, pour eux-mêmes et pour tous les autres utilisateurs. Cela inclut la création d'un mot de passe à usage unique initial pour un nouvel utilisateur, la réinitialisation d'un mot de passe, le chargement des clés d'API et la suppression des clés d'API.

Les utilisateurs qui ne sont pas administrateurs peuvent gérer leurs propres données d'identification. Ils peuvent :

  • Modifier ou réinitialiser leur propre mot de passe.
  • Charger une clé d'API dans la console pour leur propre utilisation (et supprimer également leurs propres clés d'API).

Avec l'API, les utilisateurs peuvent :

  • Réinitialiser leur propre mot de passe avec CreateOrResetUIPassword.
  • Charger une clé d'API supplémentaire dans le service GIA à utiliser avec UploadApiKey (et supprimer également leurs propres clés d'API avec DeleteApiKey). Gardez à l'esprit qu'un utilisateur ne peut pas utiliser l'API pour modifier ou supprimer ses propres données d'identification tant qu'il n'a pas chargé une clé dans le domaine d'identité, ou qu'un administrateur n'a pas chargé une clé pour lui à l'aide de la console ou de l'API.

Un utilisateur peut avoir un maximum de trois clés d'API à la fois.

Utilisation des jetons d'authentification

Note

Les "jetons d'authentification" étaient préalablement appelés "Mots de passe Swift". Tous les mots de passe Swift que vous avez créés sont maintenant répertoriés dans la console en tant que jetons d'authentification. Vous pouvez continuer d'utiliser les mots de passe existants.

Les jetons d'authentification sont des chaînes de jeton générées par Oracle que vous pouvez utiliser pour vous authentifier auprès d'API de tierce partie qui ne prennent pas en charge l'authentification basée sur la signature Oracle Cloud Infrastructure. Chaque utilisateur créé dans le service GIA peut automatiquement créer, mettre à jour et supprimer ses propres jetons d'authentification dans la console ou l'API. Un administrateur n'a pas besoin de créer une politique pour accorder ces capacités à un utilisateur. Les administrateurs (ou toute personne ayant les autorisations d'accès à la location) peuvent également gérer les jetons d'authentification pour d'autres utilisateurs.

Notez que vous ne pouvez pas remplacer votre jeton d'authentification par une chaîne de votre choix. Le jeton est toujours une chaîne générée par Oracle.

Les jetons d'authentification n'expirent pas. Chaque utilisateur peut avoir jusqu'à deux jetons d'authentification à la fois. Pour obtenir un jeton d'authentification dans la console, voir Création d'un jeton d'authentification.

Utilisation des clés secrètes du client

Note

Les "clés secrètes du client" étaient précédemment nommées "Clés d'API de compatibilité Amazon S3". Toutes les clés que vous avez créées apparaissent maintenant dans la console en tant que clés secrètes du client. Vous pouvez continuer à utiliser les clés existantes.

Le service Stockage d'objets fournit une API qui permet l'interopérabilité avec Amazon S3. Pour utiliser cette API de compatibilité Amazon S3, vous devez générer la clé de signature requise pour l'authentification Amazon S3. Cette clé de signature spéciale est une paire de clé d'accès/clé secrète. Oracle fournit la clé d'accès associée à votre nom de connexion d'utilisateur de la console. Vous ou votre administrateur génère la clé secrète client à associer à la clé d'accès.

Chaque utilisateur créé dans le service GIA peut automatiquement créer, mettre à jour et supprimer ses propres clés secrètes client dans la console ou l'API. Un administrateur n'a pas besoin de créer une politique pour accorder ces capacités à un utilisateur. Les administrateurs (ou tout utilisateur disposant d'autorisations sur la location) peuvent également gérer les clés secrètes du client pour d'autres utilisateurs.

Tout utilisateur de l'API de compatibilité Amazon S3 avec le service Stockage d'objets doit disposer de l'autorisation nécessaire pour utiliser le service. Si vous n'êtes pas sûr de disposer de l'autorisation nécessaire, communiquez avec l'administrateur. Pour plus d'informations sur les politiques, voir Fonctionnement des politiques. Pour les politiques de base qui permettent l'utilisation du service Stockage d'objets, voir Politiques communes.

Les clés secrètes du client n'expirent pas. Chaque utilisateur peut avoir jusqu'à deux clés secrètes de client à la fois. Pour créer des clés à l'aide de la console, voir Création d'une clé secrète client.

Utilisation des données d'identification de client OAuth 2.0

Note

Les données d'identification de client OAuth 2.0 ne sont pas disponibles dans le nuage gouvernemental du Royaume-Uni (OC4).
Les données d'identification de client OAuth 2.0 sont requises pour interagir par programmation avec les services qui utilisent le protocole d'autorisation OAuth 2.0. Les données d'identification vous permettent d'obtenir un jeton sécurisé pour accéder à des points d'extrémité d'API REST de service. Les actions et les points d'extrémité autorisés dépendent des autorisations sélectionnées lors de la génération du jeton. Les services utilisant le protocole OAuth 2.0 sont les suivants :
  • Oracle Analytics Cloud
  • Oracle Integration génération 2

Un jeton d'accès OAuth 2.0 est valide pendant 3 600 secondes (1 heure).

Pour créer les données d'identification, vous devez connaître la ressource et la portée du service. En général, vous pouvez les sélectionner dans une liste déroulante. Toutefois, si les informations ne sont pas disponibles dans la liste, vous pouvez entrer manuellement la ressource et la portée. Comme la portée définit les autorisations pour le jeton, veillez à la définir au niveau d'accès minimum requis.

Un utilisateur peut créer les données d'identification pour lui-même ou un administrateur peut créer les données d'identification pour un autre utilisateur. Les listes des ressources et des portées disponibles n'affichent que les ressources et les niveaux d'autorisation auxquels l'utilisateur peut accéder.

Limites des données d'identification de client OAuth 2.0

Voir Limites d'objet de domaine d'identité IAM pour voir le nombre de données d'identification de client OAuth 2.0 que chaque utilisateur de votre type de domaine d'identité peut avoir.

Chaque donnée d'identification de client OAuth 2.0 peut avoir jusqu'à 10 portées.

Utilisation des données d'identification SMTP

Les données d'identification SMTP sont nécessaires pour envoyer des courriels au moyen du service Transmission de messages. Chaque utilisateur est limité à deux données d'identification SMTP au maximum. Si plus de deux sont nécessaires, elles doivent être générées pour d'autres utilisateurs existants ou des utilisateurs supplémentaires doivent être créés.

Note

Vous ne pouvez pas remplacer votre nom d'utilisateur ou votre mot de passe SMTP par une chaîne de votre choix. Les données d'identification sont toujours des chaînes générées par Oracle.

Chaque utilisateur créé dans le service GIA a automatiquement la possibilité de créer et de supprimer ses propres données d'identification SMTP dans la console ou l'API. Un administrateur n'a pas besoin de créer une politique pour accorder ces capacités à un utilisateur. Les administrateurs (ou tout utilisateur disposant d'autorisations sur la location) peuvent également gérer les données d'identification SMTP d'autres utilisateurs.

Conseil

Bien que chaque utilisateur puisse créer et supprimer ses propres données d'identification, une meilleure pratique de sécurité recommande de créer un utilisateur et de générer des données d'identification SMTP pour cet utilisateur plutôt que de générer des données d'identification SMTP pour l'utilisateur de la console auquel des autorisations ont déjà été affectées.

Les données d'identification SMTP n'expirent pas. Chaque utilisateur peut avoir jusqu'à deux données d'identification à la fois. Pour obtenir des données d'identification SMTP dans la console, voir Génération des données d'identification SMTP.

Pour plus d'informations sur l'utilisation du service de transmission de messages, voir Aperçu du service de transmission de messages.

Utilisation des noms d'utilisateur et des mots de passe de base de données GIA

Plus facile à utiliser

Les utilisateurs finaux de la base de données peuvent facilement utiliser les mots de passe de base de données GIA, car ils peuvent continuer à utiliser une méthode d'authentification bien connue pour accéder à la base de données. Vous pouvez accéder aux mots de passe de base de données que vous gérez au moyen de votre profil OCI après vous être authentifié auprès d'OCI.

Avant que les utilisateurs puissent accéder à leur mot de passe de base de données ou le gérer, les administrateurs IAM peuvent créer une couche de protection supplémentaire en appliquant l'authentification multifacteur à l'aide de la fonction Gestion de l'authentification multifacteur. Cela peut se faire par exemple au moyen d'un authentificateur FIDO ou en poussant des avis à l'aide d'applications d'authentification.

Sécurité par mot de passe de base de données GIA

L'utilisation de noms d'utilisateur GIA et de mots de passe de base de données GIA pour accéder aux bases de données améliore la sécurité, car cela permet aux administrateurs GIA de gérer de manière centralisée les utilisateurs et l'accès des utilisateurs aux mots de passe de base de données dans le service GIA au lieu de le faire localement dans chaque base de données. Lorsqu'un utilisateur quitte une organisation, leur compte GIA est suspendu et son accès à toutes les bases de données est automatiquement suspendu. Avec cette méthode, il ne peut subsister aucun compte non autorisé sur les serveurs de base de données après le départ d'un utilisateur. Pour plus d'informations, voir Mots de passe de base de données GIA. Voir Authentification et autorisation des utilisateurs IAM pour les bases de données Oracle DBaaS dans le guide de sécurité d'Oracle Database pour plus d'informations sur la façon dont les utilisateurs IAM s'authentifient et autorisent les bases de données OCI.

Noms d'utilisateur de base de données GIA

Si votre nom d'utilisateur de base de données GIA pour OCI dépasse 128 octets, vous devez définir un autre nom d'utilisateur de base de données et un mot de passe de base de données inférieur à 128 octets. Le service GIA applique l'unicité des noms d'utilisateur de base de données au sein d'une location. Le nom d'utilisateur de base de données n'est pas sensible à la casse et comporte les mêmes caractères autorisés qu'un nom d'utilisateur GIA (lettres ASCII, chiffres, traits d'union, points, traits de soulignement, signes + et @)). Ces contraintes sont plus restrictives que celles des noms d'utilisateur de base de données locaux, qui dépendent du jeu de caractères de la base de données. Pour plus d'informations, voir Noms et qualificatifs d'objet de base de données.

Pour créer, modifier et supprimer des noms d'utilisateur de base de données GIA, voir Utilisation des noms d'utilisateur de base de données GIA.

Autres noms d'utilisateur de base de données GIA

Vous pouvez créer un autre nom d'utilisateur de base de données GIA qui contient uniquement des lettres et des chiffres, qui n'inclut pas de caractères spéciaux et qui peut être plus court que les noms d'utilisateur de base de données GIA standard.

Vous pouvez créer un autre nom d'utilisateur de base de données GIA :

  • Si votre nom d'utilisateur est trop long ou difficile à saisir
  • Pour faciliter la connexion avec un nom d'utilisateur qui n'inclut pas de caractères spéciaux

Spécifications de mot de passe de base de données GIA

La complexité du mot de passe de base de données IAM utilise presque les mêmes règles prises en charge dans le service IAM pour les mots de passe de la console (pas de guillemets doubles ["] dans les mots de passe IAM). Pour plus de détails, voir Création d'un mot de passe de base de données GIA.

Échec du verrouillage de la connexion

Pour plus d'informations sur les échecs de connexion, voir Verrouillages de mot de passe de base de données GIA.

Transferts de mot de passe

Les applications ont un mot de passe dans un portefeuille ou un autre mécanisme sécurisé et dans la base de données. Lors de la modification d'un mot de passe de base de données, vous devez également modifier le mot de passe dans le portefeuille de l'application. Cette opération est normalement effectuée pendant les temps d'arrêt de l'application. Toutefois, le fait d'avoir un deuxième mot de passe vous permet de modifier les mots de passe sans avoir à arrêter l'application. Les deux mots de passe pouvant être utilisés, l'administrateur de l'application peut les échanger comme il le souhaite dans les fichiers de portefeuille de l'application, et supprimer l'ancien mot de passe du service GIA ultérieurement. Cette opération est indépendante du statut de substitution progressive du mot de passe de base de données dans la base de données. La base de données est toujours marquée comme étant ouverte, et non comme étant fermée et en cours de substitution de mot de passe.

Utilisation de la console

Modification de votre mot de passe de console

Vous êtes invité à modifier votre mot de passe à usage unique initial lors de votre première connexion à la console. La procédure suivante vous permet de modifier de nouveau votre mot de passe plus tard.

Note

Pour les utilisateurs fédérés

Si votre société utilise un fournisseur d'identités (autre que Oracle Identity Cloud Service) pour gérer les connexions et les mots de passe des utilisateurs, vous ne pouvez pas utiliser la console pour mettre à jour votre mot de passe. Pour ce faire, vous devez utiliser votre fournisseur d'identités.

  1. Connectez-vous à la console à l'aide du nom d'utilisateur et du mot de passe Oracle Cloud Infrastructure.

  2. Après vous être connecté, sélectionnez le menu Profil (icône de menu de profil), situé dans le coin supérieur droit de la barre de navigation en haut de la page, puis cliquez sur Modifier le mot de passe.

  3. Entrez le mot de passe courant.
  4. Entrez votre nouveau mot de passe dans les champs Nouveau mot de passe et Confirmer le nouveau mot de passe, puis cliquez sur Enregistrer le nouveau mot de passe.
  1. Connectez-vous à la console à l'aide de votre nom d'utilisateur et de votre mot de passe Oracle Cloud Infrastructure.

  2. Sélectionnez le menu Profil (icône de menu de profil), situé dans le coin supérieur droit de la barre de navigation en haut de la page, puis cliquez sur Mon profil, puis sur Modifier le mot de passe.

  3. Cliquez sur Mot de passe courant, puis entrez le mot de passe courant.
  4. Cliquez sur Nouveau mot de passe, puis entrez un nouveau mot de passe.
  5. Cliquez sur Confirmation du nouveau mot de passe, puis entrez de nouveau le nouveau mot de passe.
  6. Lorsque vous avez terminé et que le mot de passe respecte tous les critères de mot de passe, cliquez sur Enregistrer.
Réinitialisation du mot de passe de console d'un autre utilisateur

Si vous êtes administrateur, vous pouvez utiliser la procédure suivante pour réinitialiser le mot de passe d'un utilisateur. La procédure génère et envoie un courriel de réinitialisation de mot de passe à l'utilisateur. Ce courriel comprend un lien vers la page où l'utilisateur doit modifier son mot de passe avant de pouvoir se reconnecter à la console.

  1. Ouvrez le menu de navigation et cliquez sur Sécurité de l'identité. Sous Identité, cliquez sur Domaines.
  2. Cliquez sur le nom du domaine d'identité dans lequel vous voulez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité. Cliquez ensuite sur Utilisateurs.
  3. Cliquez sur l'utilisateur dont vous voulez réinitialiser le mot de passe.

  4. Cliquez sur Réinitialiser le mot de passe.

  5. Pour confirmer, cliquez sur Réinitialiser le mot de passe.

    L'utilisateur recevra un courriel l'invitant à réinitialiser son mot de passe. S'il ne le modifie pas dans le délai indiqué dans le courriel, le lien expirera et vous devrez de nouveau réinitialiser le mot de passe de l'utilisateur.

Réinitialisation de votre mot de passe si vous l'avez oublié

Si vous avez indiqué une adresse de courriel dans votre profil d'utilisateur, vous pouvez utiliser le lien Mot de passe oublié dans la page de connexion pour qu'un mot de passe temporaire vous soit envoyé. Si vous n'avez pas indiqué d'adresse de courriel dans votre profil d'utilisateur, vous devez demander à un administrateur de réinitialiser votre mot de passe pour vous.

Déblocage d'un utilisateur

Si vous êtes administrateur, vous pouvez débloquer un utilisateur qui a tenté 10 fois de suite de se connecter à la console, sans y parvenir. Voir Déverrouillage d'un utilisateur.

Ajout d'une clé de signature d'API

Vous pouvez utiliser la console pour générer la paire de clés privée/publique. Si vous disposez déjà d'une paire de clés, vous pouvez choisir de charger la clé publique. Lorsque vous utilisez la console pour ajouter la paire de clés, la console génère également un extrait de prévisualisation du fichier de configuration.

Les procédures suivantes fonctionnent pour un utilisateur standard ou un administrateur. Les administrateurs peuvent gérer les clés d'API pour un autre utilisateur ou pour eux-mêmes.

À propos de l'extrait de fichier de configuration

Lorsque vous utilisez la console pour ajouter la paire de clés de signature d'API, un extrait de prévisualisation du fichier de configuration est généré avec les informations suivantes :

  • user - OCID de l'utilisateur pour lequel la paire de clés est ajoutée.
  • fingerprint - Empreinte numérique de la clé qui vient d'être ajoutée.
  • tenancy - OCID de votre location.
  • region - Région actuellement sélectionnée dans la console.
  • key_file - Chemin d'accès au fichier de clé privée téléchargé. Vous devez mettre à jour cette valeur dans le chemin d'accès à votre système de fichiers où vous avez enregistré le fichier de clé privée.

Si votre fichier de configuration a déjà un profil DEFAULT, vous devrez effectuer l'une des opérations suivantes :

  • Remplacer le profil existant et son contenu.
  • Renommer le profil existant.
  • Renommer ce profil avec un nom différent après l'avoir collé dans le fichier de configuration.

Vous pouvez copier cet extrait dans votre fichier de configuration, pour vous aider à démarrer. Si vous n'avez pas encore de fichier de configuration, voir Fichier de configuration des trousses SDK et de l'interface de ligne de commande pour plus de détails sur la manière de créer un fichier.

Génération d'une paire de clés de signature d'API

Préalables : Avant de générer une paire de clés, créez le répertoire .oci dans votre répertoire de base pour stocker les données d'identification. Pour plus de détails, voir Fichier de configuration des trousses SDK et de l'interface de ligne de commande.

  1. Consultez les détails de l'utilisateur :
    • Si vous ajoutez une clé d'API pour vous-même :

      Ouvrez le menu Profil, puis cliquez sur Mon profil.

    • Si vous êtes administrateur et que vous ajoutez une clé d'API pour un autre utilisateur : Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines. Cliquez sur le nom du domaine d'identité dans lequel vous voulez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité. Cliquez ensuite sur Utilisateurs. Repérez l'utilisateur dans la liste, puis cliquez sur son nom pour voir les détails.
  2. Sous Ressources, cliquez sur Clés d'API.
  3. Cliquez sur Ajouter une clé d'API.
  4. Dans la boîte de dialogue, sélectionnez Générer une paire de clés d'API.

  5. Cliquez sur Télécharger la clé privée et enregistrez la clé dans votre répertoire .oci. Dans la plupart des cas, vous n'avez pas besoin de télécharger la clé publique.

    Note : Si votre navigateur télécharge la clé privée dans un autre répertoire, veillez à la déplacer vers votre répertoire .oci.

  6. Cliquez sur Ajouter.

    La clé est ajoutée et la prévisualisation du fichier de configuration s'affiche. L'extrait de fichier comprend les paramètres et les valeurs nécessaires pour créer votre fichier de configuration. Copiez et collez l'extrait de fichier de configuration de la zone de texte dans votre fichier ~/.oci/config. (Si vous n'avez pas encore créé ce fichier, voir Fichier de configuration des trousses SDK et de l'interface de ligne de commande pour plus de détails sur le mode de création.)

    Après avoir collé le contenu du fichier, vous devrez mettre à jour le paramètre key_file dans l'emplacement où vous avez enregistré votre fichier de clé privée.

    Si votre fichier de configuration a déjà un profil DEFAULT, vous devrez effectuer l'une des opérations suivantes :
    • Remplacer le profil existant et son contenu.
    • Renommer le profil existant.
    • Renommer ce profil avec un nom différent après l'avoir collé dans le fichier de configuration.
  7. Mettez à jour les autorisations sur votre fichier de clé privée téléchargé afin que vous seul puissiez le consulter :
    1. Accédez au répertoire .oci dans lequel vous avez placé le fichier de clé privée.
    2. Utilisez la commande chmod go-rwx ~/.oci/<oci_api_keyfile>.pem pour définir les autorisations sur le fichier.
Chargement ou collage d'une clé d'API

Préalables : Vous avez généré une clé RSA publique dans le format PEM (2048 bits minimum). Le format PEM ressemble à ceci :

-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAoTFqF...
...
-----END PUBLIC KEY——
  1. Consultez les détails de l'utilisateur :
    • Si vous ajoutez une clé d'API pour vous-même :

      Ouvrez le menu Profil, puis cliquez sur Mon profil.

    • Si vous êtes administrateur et que vous ajoutez une clé d'API pour un autre utilisateur : Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines. Cliquez sur le nom du domaine d'identité dans lequel vous voulez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité. Cliquez ensuite sur Utilisateurs. Repérez l'utilisateur dans la liste, puis cliquez sur son nom pour voir les détails.
  2. Sous Ressources, cliquez sur Clés d'API.
  3. Cliquez sur Ajouter une clé d'API.
  4. Dans la boîte de dialogue, cliquez sur Sélectionner un fichier de clé publique pour charger votre fichier ou sélectionnez Coller la clé publique si vous préférez la coller dans une zone de texte.
  5. Après avoir chargé le fichier ou collé la clé dans la zone de texte, cliquez sur Ajouter.

    La clé est ajoutée et la prévisualisation du fichier de configuration s'affiche. L'extrait de fichier comprend les paramètres et les valeurs nécessaires pour créer votre fichier de configuration. Copiez et collez l'extrait de fichier de configuration de la zone de texte dans votre fichier ~/.oci/config. (Si vous n'avez pas encore créé ce fichier, voir Fichier de configuration des trousses SDK et de l'interface de ligne de commande pour plus de détails sur le mode de création.)

    Après avoir collé le contenu du fichier, vous devrez mettre à jour le paramètre key_file dans l'emplacement où vous avez enregistré votre fichier de clé privée.

    Si votre fichier de configuration a déjà un profil DEFAULT, vous devrez effectuer l'une des opérations suivantes :

    • Remplacer le profil existant et son contenu.
    • Renommer le profil existant.
    • Renommer ce profil avec un nom différent après l'avoir collé dans le fichier de configuration.
Obtention de l'extrait de fichier de configuration pour une clé de signature d'API
La procédure suivante fonctionne pour un utilisateur standard ou un administrateur.
  1. Consultez les détails de l'utilisateur :
    • Si vous obtenez un extrait de fichier de configuration de clé d'API pour vous-même :

      Ouvrez le menu Profil, puis cliquez sur Mon profil.

    • Si vous êtes administrateur et que vous obtenez un extrait de fichier de configuration de clé d'API pour un autre utilisateur : Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines. Cliquez sur le nom du domaine d'identité dans lequel vous voulez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité. Cliquez ensuite sur Utilisateurs. Repérez l'utilisateur dans la liste, puis cliquez sur son nom pour voir les détails.
  2. Sous Ressources, cliquez sur Clés d'API. La liste des empreintes numériques de clé d'API s'affiche.
  3. Cliquez sur le menu Actions (Menu Actions) de l'empreinte numérique, puis sélectionnez Voir le fichier de configuration.

    La prévisualisation du fichier de configuration s'affiche. L'extrait de fichier comprend les paramètres et les valeurs nécessaires pour créer votre fichier de configuration. Copiez et collez l'extrait de fichier de configuration de la zone de texte vers ~/.oci/config file. (Si vous n'avez pas encore créé ce fichier, voir Fichier de configuration des trousses SDK et de l'interface de ligne de commande pour plus de détails sur le mode de création.) Après avoir collé le contenu du fichier, vous devrez mettre à jour le paramètre key_file dans l'emplacement où vous avez enregistré votre fichier de clé privée.

    Si votre fichier de configuration a déjà un profil DEFAULT, vous devrez effectuer l'une des opérations suivantes :
    • Remplacer le profil existant et son contenu.
    • Renommer le profil existant.
    • Renommer ce profil avec un nom différent après l'avoir collé dans le fichier de configuration.
Suppression d'une clé de signature d'API
La procédure suivante fonctionne pour un utilisateur standard ou un administrateur. Les administrateurs peuvent supprimer une clé d'API pour un autre utilisateur ou pour eux-mêmes.
  1. Consultez les détails de l'utilisateur :
    • Si vous supprimez une clé d'API pour vous-même :

      Ouvrez le menu Profil, puis cliquez sur Mon profil.

    • Si vous êtes administrateur et que vous supprimez une clé d'API pour un autre utilisateur : Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines. Cliquez sur le nom du domaine d'identité dans lequel vous voulez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité. Cliquez ensuite sur Utilisateurs. Repérez l'utilisateur dans la liste, puis cliquez sur son nom pour voir les détails.
  2. Sous Ressources, cliquez sur Clés d'API. La liste des empreintes numériques de clé d'API s'affiche.
  3. Cochez la case correspondant à la clé d'API que vous voulez supprimer, puis cliquez sur Supprimer.
  4. Confirmez l'opération à l'invite.
La clé d'API n'est plus valide pour l'envoi de demandes d'API.
Création d'un jeton d'authentification
  1. Consultez les détails de l'utilisateur :
    • Si vous créez un jeton d'authentification pour vous-même :

      Ouvrez le menu Profil, puis cliquez sur Mon profil.

    • Si vous êtes administrateur et que vous créez un jeton d'authentification pour un autre utilisateur : ouvrez le menu de navigation et cliquez sur Sécurité des identités. Sous Identité, cliquez sur Domaines. Cliquez sur le nom du domaine d'identité dans lequel vous voulez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité. Cliquez ensuite sur Utilisateurs. Repérez l'utilisateur dans la liste, puis cliquez sur son nom pour voir les détails.
  2. Sous Ressources, cliquez sur Jetons d'authentification.
  3. Cliquez sur Créer un jeton.
  4. Entrez une description indiquant l'objet de ce jeton, par exemple "jeton de mot de passe Swift".

  5. Cliquez sur Créer un jeton.

    La nouvelle chaîne de jeton s'affiche.

  6. Cliquez sur Copier pour copier la chaîne de jeton immédiatement, car vous ne pourrez pas l'extraire de nouveau après avoir fermé la boîte de dialogue.
  7. Lorsque vous avez terminé, cliquez sur Fermer.

Si vous créez un jeton d'authentification pour un autre utilisateur, vous devez le fournir à l'utilisateur, de manière sécurisée, en l'indiquant verbalement, en l'imprimant ou en l'envoyant au moyen d'un service de courriel sécurisé.

Suppression d'un jeton d'authentification

La procédure suivante fonctionne pour un utilisateur standard ou un administrateur. Les administrateurs peuvent supprimer un jeton d'authentification pour un autre utilisateur ou pour eux-mêmes.

  1. Consultez les détails de l'utilisateur :
    • Si vous supprimez un jeton d'authentification pour vous-même :

      Ouvrez le menu Profil, puis cliquez sur Mon profil.

    • Si vous êtes administrateur et que vous supprimez un jeton d'authentification pour un autre utilisateur : Ouvrez le menu de navigation et cliquez sur Sécurité des identités. Sous Identité, cliquez sur Domaines. Cliquez sur le nom du domaine d'identité dans lequel vous voulez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité. Cliquez ensuite sur Utilisateurs. Repérez l'utilisateur dans la liste, puis cliquez sur son nom pour voir les détails.
  2. Sous Ressources, cliquez sur Jetons d'authentification.
  3. Cochez la case du jeton d'authentification à supprimer, puis cliquez sur Supprimer.
  4. Confirmez l'opération à l'invite.

Le jeton d'authentification n'est plus valide pour l'accès aux API de tierce partie.

Création d'une clé secrète de client
  1. Consultez les détails de l'utilisateur :
    • Si vous créez une clé secrète de client pour vous-même :

      Ouvrez le menu Profil, puis cliquez sur Mon profil.

    • Si vous êtes administrateur et que vous créez une clé secrète de client pour un autre utilisateur : Open the navigation menu et cliquez sur Identity Security. Sous Identité, cliquez sur Domaines. Cliquez sur le nom du domaine d'identité dans lequel vous voulez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité. Cliquez ensuite sur Utilisateurs. Repérez l'utilisateur dans la liste, puis cliquez sur son nom pour voir les détails.

  2. Sous Ressources, cliquez sur Clés secrètes du client.

    Une clé secrète de client est associée à une paire clé d'accès/clé secrète. Oracle génère automatiquement la clé d'accès lorsque la clé secrète est générée par vous ou votre administrateur pour créer la clé secrète de client.

  3. Cliquez sur Générer une clé secrète.

  4. Cliquez sur Nom pour entrer un nom convivial pour la clé, puis cliquez sur Créer une clé secrète.

    La clé secrète générée est affichée dans la boîte de dialogue Générer une clé secrète. En même temps, Oracle génère la clé d'accès qui est associée à la clé secrète. La clé secrète de client nouvellement générée est ajoutée à la liste des clés secrètes de client.

  5. Cliquez sur Copier pour copier la clé secrète immédiatement, car vous ne pouvez pas extraire de nouveau la clé secrète après avoir fermé la boîte de dialogue (pour des motifs de sécurité).

    Si vous créez une clé secrète pour un autre utilisateur, vous devez la fournir à l'utilisateur, de manière sécurisée, en l'indiquant verbalement, en l'imprimant ou en l'envoyant au moyen d'un service de courriel sécurisé.

  6. Lorsque vous avez terminé, cliquez sur Fermer.
  7. Pour afficher la clé d'accès, localisez la clé secrète dans la liste des clés secrètes du client, puis cliquez sur la clé d'accès dans la colonne Clé d'accès. Pour copier la clé d'accès, alors que la clé d'accès est affichée, cliquez sur Copier.
Suppression d'une clé secrète de client

La procédure suivante fonctionne pour un utilisateur standard ou un administrateur. Les administrateurs peuvent supprimer une clé secrète de client pour un autre utilisateur ou pour eux-mêmes.

  1. Consultez les détails de l'utilisateur :
    • Si vous supprimez une clé secrète de client pour vous-même :

      Ouvrez le menu Profil, puis cliquez sur Mon profil.

    • Si vous êtes administrateur et que vous supprimez une clé secrète de client pour un autre utilisateur : Ouvrez le menu de navigation et cliquez sur Sécurité de l'identité. Sous Identité, cliquez sur Domaines. Cliquez sur le nom du domaine d'identité dans lequel vous voulez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité. Cliquez ensuite sur Utilisateurs. Repérez l'utilisateur dans la liste, puis cliquez sur son nom pour voir les détails.
  2. Sous Ressources, cliquez sur Clés secrètes du client.
  3. Cochez la case correspondant à la clé secrète de client à supprimer, puis cliquez sur Supprimer.
  4. Confirmez l'opération à l'invite.

La clé secrète de client n'est plus disponible pour être utilisée avec l'API de compatibilité Amazon S3.

Création de données d'identification de client OAuth 2.0
Note

Les données d'identification de client OAuth 2.0 ne sont pas disponibles dans les domaines  suivants :
  • le domaine commercial (OC1)
  • le nuage gouvernemental du Royaume-Uni (OC4)
  1. Consultez les détails de l'utilisateur :
    • Si vous créez des données d'identification de client OAuth 2.0 pour vous-même :

      Ouvrez le menu Profil, puis cliquez sur Mon profil.

    • Si vous êtes administrateur et que vous créez des données d'identification de client OAuth 2.0 pour un autre utilisateur :

      Ouvrez le menu de navigation et cliquez sur Sécurité de l'identité. Sous Identité, cliquez sur Domaines. Cliquez sur le nom du domaine d'identité dans lequel vous voulez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité. Cliquez ensuite sur Utilisateurs. Repérez l'utilisateur dans la liste, puis cliquez sur son nom pour voir les détails.

  2. Sous Ressources, cliquez sur Données d'identification de client OAuth 2.0.

  3. Cliquez sur Générer les données d'identification de client OAuth 2.0.

  4. Cliquez sur Nom, puis entrez un nom pour ces données d'identification.

  5. Cliquez sur Titre, puis entrez une description pour ces données d'identification.

  6. Ajoutez l'URI pour les services OAuth 2.0 auxquels ces données d'identification donneront accès.

    Pour sélectionner une paire public-portée :
    1. Dans Public, entrez l'URI des services OAuth 2.0.
    2. Ensuite, sélectionnez la portée de ces données d'identification. Sélectionnez toujours les privilèges minimaux requis.
  7. Pour ajouter d'autres autorisations à ces données d'identification, cliquez sur + Autre portée et suivez les instructions de l'étape précédente.
  8. Cliquez sur Generate. La nouvelle chaîne de clé secrète est générée.

    Cliquez sur Copier pour copier la chaîne de jeton immédiatement, car vous ne pourrez pas l'extraire de nouveau après avoir fermé la boîte de dialogue.

    Si vous êtes un administrateur et que vous créez des données d'identification de client OAuth 2.0 pour un autre utilisateur, vous devez transmettre cette clé secrète à l'utilisateur de manière sécurisée en la communiquant verbalement, en l'imprimant ou en l'envoyant au moyen d'un service de transmission de messages sécurisé.

  9. Cliquez sur Fermer.

Vous aurez besoin des informations suivantes provenant des données d'identification pour la demande de jeton :

  • La clé secrète générée
  • L'OCID des données d'identification de client OAuth 2.0
  • La portée (complète) et le public
Ajout de portées à des données d'identification de client OAuth 2.0 existantes
  1. Consultez les détails de l'utilisateur :
    • Si vous créez des données d'identification de client OAuth 2.0 pour vous-même :

      Ouvrez le menu Profil, puis cliquez sur Mon profil.

    • Si vous êtes administrateur et que vous créez des données d'identification de client OAuth 2.0 pour un autre utilisateur : Ouvrez le menu de navigation et cliquez sur Sécurité des identités. Sous Identité, cliquez sur Domaines. Cliquez sur le nom du domaine d'identité dans lequel vous voulez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité. Cliquez ensuite sur Utilisateurs. Repérez l'utilisateur dans la liste, puis cliquez sur son nom pour voir les détails.

  2. Sous Ressources, cliquez sur Données d'identification de client OAuth 2.0.

  3. Cliquez sur le nom des données d'identification auxquelles vous voulez ajouter des portées.
  4. Cliquez sur Ajouter des portées.

  5. Ajoutez l'URI des services OAuth 2.0 auxquels vous souhaitez ajouter l'accès.

    Pour sélectionner une paire ressource-portée :
    1. Sélectionnez l'option Sélectionner une paire ressource-portée.
    2. La liste des ressources affiche les ressources que vous êtes autorisé à consulter. Sélectionnez la ressource pour laquelle vous souhaitez ajouter des données d'identification. Une fois la ressource sélectionnée, le champ Public est alimenté automatiquement.
    3. Ensuite, sélectionnez la portée de ces données d'identification. Sélectionnez toujours les privilèges minimaux requis.
    Pour entrer la portée complète :
    1. Sélectionnez l'option Entrer la portée complète.
    2. Entrez le public et la portée de ces données d'identification.
  6. Pour ajouter d'autres autorisations à ces données d'identification, cliquez sur + Autre portée et suivez les instructions de l'étape précédente.
  7. Cliquez sur enregistrer.
Régénération de la clé secrète des données d'identification de client OAuth 2.0

IMPORTANT : Lorsque vous régénérez la clé secrète pour des données d'identification, les demandes effectuées avec l'ancienne clé secrète se voient refuser l'accès aux portées cibles.

  1. Consultez les détails de l'utilisateur :
    • Si vous créez des données d'identification de client OAuth 2.0 pour vous-même :

      Ouvrez le menu Profil, puis cliquez sur Mon profil.

    • Si vous êtes administrateur et que vous créez des données d'identification de client OAuth 2.0 pour un autre utilisateur : Ouvrez le menu de navigation et cliquez sur Sécurité des identités. Sous Identité, cliquez sur Domaines. Cliquez sur le nom du domaine d'identité dans lequel vous voulez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité. Cliquez ensuite sur Utilisateurs. Repérez l'utilisateur dans la liste, puis cliquez sur son nom pour voir les détails.

  2. Dans le côté gauche de la page, cliquez sur Données d'identification de client OAuth 2.0.

  3. Cliquez sur le nom des données d'identification pour lesquelles vous voulez régénérer la clé secrète.
  4. Cliquez sur Regénérer la clé secrète.
  5. Confirmez que vous avez lu l'avertissement et cliquez sur Régénérer la clé secrète.

  6. Copiez la chaîne de jeton immédiatement, car vous ne pourrez pas l'extraire de nouveau après avoir fermé la boîte de dialogue.

    Si vous êtes un administrateur et que vous créez des données d'identification de client OAuth 2.0 pour un autre utilisateur, vous devez transmettre cette clé secrète à l'utilisateur de manière sécurisée en la communiquant verbalement, en l'imprimant ou en l'envoyant au moyen d'un service de transmission de messages sécurisé.

  7. Cliquez sur Fermer.

Assurez-vous de mettre à jour les demandes de jeton existantes avec la nouvelle chaîne de clé secrète.

Suppression des données d'identification de client OAuth 2.0

La procédure suivante fonctionne pour un utilisateur standard ou un administrateur. Les administrateurs peuvent supprimer un jeton d'authentification pour un autre utilisateur ou pour eux-mêmes.

  1. Consultez les détails de l'utilisateur :
    • Si vous supprimez des données d'identification de client OAuth 2.0 pour vous-même : Sélectionnez le menu Profil (icône de menu de profil), qui se trouve dans le coin supérieur droit de la barre de navigation en haut de la page, puis cliquez sur Paramètres de l'utilisateur ou sur le nom de votre compte.
    • Si vous êtes administrateur et que vous supprimez un jeton d'authentification pour un autre utilisateur : Ouvrez le menu de navigation et cliquez sur Sécurité des identités. Sous Identité, cliquez sur Domaines. Cliquez sur le nom du domaine d'identité dans lequel vous voulez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité. Cliquez ensuite sur Utilisateurs. Repérez l'utilisateur dans la liste, puis cliquez sur son nom pour voir les détails.
  2. Dans le côté gauche de la page, cliquez sur Données d'identification de client OAuth 2.0.
  3. Pour les données d'identification de client OAuth 2.0 que vous voulez supprimer, cliquez sur Supprimer.
  4. Confirmez l'opération à l'invite.

Les données d'identification de client OAuth 2.0 ne peuvent plus être utilisées.

Génération des données d'identification SMTP
  1. Consultez les détails de l'utilisateur :
    • Si vous générez des données d'identification SMTP pour vous-même : Sélectionnez le menu Profil (icône de menu de profil), qui se trouve dans le coin supérieur droit de la barre de navigation en haut de la page, puis cliquez sur Paramètres de l'utilisateur ou sur le nom de votre compte.
    • Si vous êtes administrateur et que vous générez des données d'identification SMTP pour un autre utilisateur : Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines. Cliquez sur le nom du domaine d'identité dans lequel vous voulez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité. Cliquez ensuite sur Utilisateurs. Repérez l'utilisateur dans la liste, puis cliquez sur son nom pour voir les détails.
  2. Sous Ressources, cliquez sur Données d'identification SMTP.

  3. Cliquez sur Créer les données d'identification.

  4. Entrez une Description des données d'identification SMTP dans la boîte de dialogue.
  5. Cliquez sur Créer les données d'identification. Un nom d'utilisateur et un mot de passe sont affichés.

    Cliquez sur Copier pour copier le mot de passe immédiatement, car vous ne pouvez pas l'extraire de nouveau après avoir fermé la boîte de dialogue (pour des motifs de sécurité).

    Si vous êtes un administrateur et que vous générez des données d'identification SMTP pour un autre utilisateur, vous devez les transmettre à l'utilisateur de manière sécurisée en les communiquant verbalement, en les imprimant ou en les envoyant au moyen d'un service de transmission de messages sécurisé.

  6. Lorsque vous avez terminé, cliquez sur Fermer.
Suppression des données d'identification SMTP

La procédure suivante fonctionne pour un utilisateur standard ou un administrateur. Les administrateurs peuvent supprimer les données d'identification SMTP pour un autre utilisateur ou pour eux-mêmes.

  1. Consultez les détails de l'utilisateur :
    • Si vous supprimez des données d'identification SMTP pour vous-même :

      Ouvrez le menu Profil, puis cliquez sur Mon profil.

    • Si vous êtes administrateur et que vous supprimez des données d'identification SMTP pour un autre utilisateur : Ouvrez le menu de navigation et cliquez sur Sécurité des identités. Sous Identité, cliquez sur Domaines. Cliquez sur le nom du domaine d'identité dans lequel vous voulez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité. Cliquez ensuite sur Utilisateurs. Repérez l'utilisateur dans la liste, puis cliquez sur son nom pour voir les détails.
  2. Sous Ressources, cliquez sur Données d'identification SMTP.
  3. Cochez la case pour les données d'identification SMTP à supprimer, puis cliquez sur Supprimer.
  4. Confirmez l'opération à l'invite.

Les données d'identification SMTP ne peuvent plus être utilisées avec le service Transmission de messages.

Pour créer un mot de passe de base de données GIA

Vous pouvez créer un mot de passe de base de données GIA conformément aux directives de création de mot de passe d'Oracle Database. Voir Création d'un mot de passe de base de données GIA pour connaître les spécifications de mot de passe de base de données GIA.

  1. Connectez-vous à la console GIA pour OCI.
  2. Dans le coin supérieur droit de la fenêtre, cliquez sur l'icône de profil pour afficher la page de votre profil d'utilisateur.
  3. Dans la page de votre profil d'utilisateur, cliquez sur votre nom d'utilisateur.
  4. Sous Ressources, cliquez sur Mots de passe de base de données.
  5. Dans la section Mots de passe de base de données, cliquez sur Créer un mot de passe de base de données.

    La boîte de dialogue Créer un mot de passe de base de données s'affiche.

  6. Entrez une description du mot de passe.
  7. Notez les directives et restrictions de mot de passe affichées. Voir Création d'un mot de passe de base de données GIA pour plus d'informations sur les règles de mot de passe.
  8. Cliquez sur Créer un mot de passe de base de données.

    La boîte de dialogue se ferme et la description pour laquelle vous avez créé un mot de passe s'affiche dans la section Mots de passe de base de données.

Pour modifier un mot de passe de base de données GIA

Pour modifier votre mot de passe de base de données GIA, supprimez votre mot de passe courant, puis créez-en un nouveau. Voir Pour supprimer un mot de passe de base de données GIA et Pour créer un mot de passe de base de données GIA.

Pour supprimer un mot de passe de base de données GIA

Vous pouvez supprimer votre propre mot de passe de base de données GIA.

  1. Connectez-vous à la console GIA pour OCI.
  2. Dans le coin supérieur droit de la fenêtre, cliquez sur l'icône de profil. Vous accédez alors directement à la page de votre profil d'utilisateur.
  3. Dans la page de votre profil d'utilisateur, cliquez sur votre nom d'utilisateur.
  4. Sous Ressources, cliquez sur Mots de passe de base de données.
  5. Votre nom d'utilisateur s'affiche dans la section Mots de passe de base de données.
  6. À l'extrémité droite de la rangée contenant votre nom d'utilisateur, cliquez sur le menu d'actions (trois points), puis sur Supprimer.
Pour créer un nom d'utilisateur de base de données GIA

Pour modifier votre nom d'utilisateur de base de données GIA :

  1. Connectez-vous à la console GIA pour OCI.
  2. Cliquez sur Identité et sécurité.
  3. Sous Identité, cliquez sur Utilisateurs.
  4. Dans le tableau des utilisateurs de base de données, cliquez sur Créer un utilisateur.
  5. Dans le champ Nom, entrez votre nom d'utilisateur de base de données. Entrez uniquement des lettres, des chiffres, des traits d'union, des points, des traits de soulignement, les signes + et @. Vous ne pouvez pas utiliser d'espaces dans le nom.
  6. Dans le champ Description, entrez éventuellement le nom de la base de données à laquelle ce nom d'utilisateur correspond ou toute autre information pertinente.
  7. Cliquez éventuellement sur Options avancées pour afficher la boîte de dialogue Marqueurs.
  8. Dans les champs Espace de noms de marqueur, Clé de marqueur et Valeur, entrez un nom de marqueur.
  9. Cliquez sur enregistrer les modifications.
Pour modifier un nom d'utilisateur de base de données GIA

Pour modifier votre nom d'utilisateur de base de données GIA :

  1. Connectez-vous à la console GIA pour OCI.
  2. Cliquez sur Identité et sécurité.
  3. Sous Identité, cliquez sur Utilisateurs.
  4. Dans le tableau des utilisateurs de base de données, localisez votre nom d'utilisateur de base de données et cliquez dessus avec le bouton gauche de la souris.

    La page de votre nom d'utilisateur s'affiche.

  5. Cliquez sur Modifier l'utilisateur.
  6. Dans le champ Description, modifiez votre nom d'utilisateur de base de données et cliquez sur Enregistrer les modifications.
Pour supprimer un nom d'utilisateur de base de données GIA

Pour modifier votre nom d'utilisateur de base de données GIA :

  1. Connectez-vous à la console GIA pour OCI.
  2. Cliquez sur Identité et sécurité.
  3. Sous Identité, cliquez sur Utilisateurs.
  4. Dans le tableau des utilisateurs de base de données, localisez votre nom d'utilisateur de base de données et cliquez dessus avec le bouton gauche de la souris.

    La page de votre nom d'utilisateur s'affiche.

  5. À l'extrémité droite de la rangée contenant votre nom d'utilisateur, cliquez sur le menu d'actions (trois points), puis sur Supprimer.