Présentation
Découvrez le domaine d'identité par défaut, comment utiliser plusieurs domaines, récupération après sinistre et domaines, etc.
L'introduction contient les rubriques suivantes :
Domaine d'identité par défaut
Chaque location comprend un domaine d'identité par défaut dans le compartiment racine.
Un domaine d'identité Par défaut :
- Ne peut pas être désactivé ou supprimé. (Vit avec le cycle de vie de la location.)
- Ne peut pas être masqué dans la page de connexion.
Le domaine d'identité Par défaut contient l'administrateur initial du locataire et le groupe Administrateurs, ainsi qu'une politique par défaut qui permet aux administrateurs de gérer n'importe quelle ressource de la location. La politique d'administration et le groupe d'administrateurs ne peuvent pas être supprimés et il doit y avoir au moins un utilisateur dans le groupe d'administrateurs. Vous pouvez également affecter des comptes d'utilisateur à des rôles d'administrateur prédéfinis pour déléguer des responsabilités d'administration au domaine par défaut.
L'octroi du rôle d'administrateur de domaine d'identité aux utilisateurs ou aux groupes pour des domaines autres que le domaine par défaut leur accorde des autorisations complètes d'administrateur uniquement pour ce domaine (et non pour la location). Au moins un administrateur du domaine d'identité doit disposer du rôle d'administrateur de domaine d'identité directement. Il s'agit d'un ajout aux rôles d'administrateur de domaine d'identité octroyés par l'appartenance à un groupe. Pour plus d'informations, voir Présentation des rôles d'administrateur.
Vous pouvez mettre à niveau un domaine en modifiant le type de domaine. Chaque type de domaine d'identité est associé à un jeu distinct de fonctions et de limites d'objet. Pour plus d'informations sur la manière de déterminer le type de domaine approprié à ce que vous voulez faire, voir Types de domaine d'identité GIA.
Utilisation de plusieurs domaines d'identité
Créez et gérez plusieurs domaines d'identité (par exemple, un domaine pour le développement et un domaine pour la production), chacun ayant des exigences d'identité et de sécurité différentes pour protéger vos applications et les services Oracle Cloud.
L'utilisation de plusieurs domaines d'identité peut vous aider à maintenir l'isolement du contrôle administratif pour chaque domaine d'identité. Cela est nécessaire si, par exemple, les normes de sécurité empêchent l'existence d'ID utilisateur de développement dans l'environnement de production, ou si elles exigent que différents environnements soient contrôlés par différents administrateurs.
Chaque location contient un domaine d'identité Par défaut, qui est le domaine d'identité fourni avec votre location. Les administrateurs peuvent créer autant de domaines d'identité que leur licence le permet. Les administrateurs peuvent :
- Créer des domaines d'identité supplémentaires et être l'administrateur du domaine d'identité ou l'affecter à un autre utilisateur pour qu'il en soit l'administrateur.
- Créer des domaines d'identité supplémentaires et, dans le cadre du processus de création du domaine d'identité, affecter des utilisateurs afin qu'ils soient administrateurs de domaine d'identité des domaines d'identité.
- Déléguer la création de domaines d'identité supplémentaires à d'autres administrateurs.
Un administrateur de domaine d'identité est affecté à un domaine d'identité lors de la création du domaine d'identité. Bien que l'identité de l'administrateur du domaine d'identité puisse avoir le même nom d'utilisateur qu'un utilisateur du domaine d'identité par défaut, ce sont des utilisateurs différents qui peuvent avoir des privilèges différents dans chaque domaine d'identité et qui auront des mots de passe distincts.
L'administrateur du domaine d'identité peut utiliser tout le jeu de fonctions du domaine d'identité. Dans un domaine d'identité, l'administrateur de domaine d'identité peut :
- Gérer les utilisateurs, les groupes, les applications, la configuration du système et les paramètres de sécurité.
- Assurer une administration déléguée en affectant différents rôles d'administration à des utilisateurs;
- Activer et désactiver l'authentification multifacteur, configurer les paramètres d'FAM et configurer les facteurs d'authentification.
- Créer des profils d'auto-inscription pour gérer différents jeux d'utilisateurs, de politiques d'approbation et d'applications
Limites sur les domaines d'identité
Chaque type de domaine d'identité est associé à un jeu distinct de fonctions et de limites d'objet..
Voir Types de domaine d'identité GIA pour en savoir plus sur les limites d'objet, les limites de débit et les compteurs de chaque type de domaine d'identité.
Pour la liste des limites applicables et les instructions pour demander l'augmentation d'une limite, voir Limites de service. Pour définir des limites propres à un compartiment pour une ressource ou une famille de ressources, les administrateurs peuvent utiliser des quotas de compartiment.
Restauration de domaines
Les administrateurs ne peuvent pas récupérer un domaine d'identité supprimé. Voir Obtention d'aide et communication avec le soutien technique pour communiquer avec le soutien technique d'Oracle pour récupérer un domaine d'identité supprimé.
Récupération après sinistre et domaines d'identité
Une catastrophe peut être un événement qui met les applications en danger, par exemple des pannes causées par des catastrophes naturelles. Dans les régions où la récupération après sinistre inter-régions est activée, les domaines d'identité disposent d'une fonction de récupération après sinistre inter-régions intégrée pour réduire la perte de données. Les données d'une région sont répliquées dans une région voisine en cas de sinistre. Si l'ensemble d'une région OCI devient indisponible, le trafic est acheminé vers la région de récupération après sinistre pour accélérer la récupération du service et conserver autant de données que possible. Oracle associe des régions à des régions de récupération après sinistre pour vous.
Voir Cliquez sur le lien pour en savoir plus sur la protection de la topologie en nuage contre les catastrophes pour en savoir plus sur la récupération après sinistre dans Oracle Cloud Infrastructure.
Si une panne de région se produit, le domaine d'identité subira une brève interruption, puis une récupération. Après récupération dans la région RS :
- Les utilisateurs du domaine d'identité sont authentifiés et autorisés comme d'habitude.
- Les URL du domaine d'identité ne changent pas. Aucune modification n'est nécessaire pour les applications.
- Les domaines d'identité qui ont échoué ne sont pas répliqués vers les régions répliquées.
- Les domaines d'identité répliqués dans d'autres régions peuvent ne pas être synchronisés avec la région de récupération après sinistre. Par exemple, les modifications apportées aux utilisateurs, aux groupes et aux paramètres de domaine peuvent ne pas être répercutées dans la région de récupération après sinistre. Les incohérences sont résolues lorsque le domaine d'identité est restauré.
Utilisation de la console lors du basculement
Vous n'avez peut-être pas accès à la console lors du basculement. Pendant ce temps, vous pourrez peut-être utiliser l'interface de ligne de commande et la trousse SDK pour le service IAM et les domaines d'identité pour gérer les configurations d'identité.
La console est disponible si la région principale du domaine d'identité est disponible ou si la région non disponible n'est pas la région principale de la location.
La console n'est pas disponible si la région principale du domaine d'identité n'est pas disponible ou si la région principale de la location n'est pas disponible.
Accès à la région DR
Suivez ces étapes pour confirmer que le réseau peut atteindre la région RS.
- Recherchez l'identificateur de région de récupération après sinistre dans le tableau Appariements de régions de récupération après sinistre. Voir Appariements de régions de récupération après sinistre.
- Utilisez l'identificateur de région de récupération après sinistre pour rechercher les adresses IP publiques affectées à la région. Voir Adresses IP publiques pour les réseaux en nuage virtuels et Oracle Services Network .
- Ajoutez ces adresses IP publiques à vos pare-feu pour autoriser le trafic depuis cette région de récupération après sinistre.
Basculement en lecture seule et domaines d'identité
En cas d'interruption de région, OCI peut lancer un basculement des domaines d'identité de cette région (et des segments IDCS) vers une région de basculement qui restaure l'accès à ces domaines d'identité (et des segments IDCS) en mode d'accès en lecture seule. Vérifiez les informations sur l'interruption lorsque l'état région-interruption est activé et désactivé.
Si une région principale n'est pas disponible, les utilisateurs ne pourront pas accéder à la console OCI dans aucune région, même si les domaines d'identité ont échoué. L'interface de ligne de commande et l'accès à la trousse SDK pour des régions autres que la région principale sont disponibles.
En mode d'accès en lecture seule :
- Les ressources ne peuvent pas être mises à jour. Aucune mise à jour des ressources de domaine d'identité (ou de segment IDCS) n'est autorisée. Par exemple, les utilisateurs ne peuvent pas mettre à jour ou supprimer des utilisateurs, des applications, des groupes ou des paramètres de domaine. Les utilisateurs disposent d'autorisations de lecture pour toutes les ressources.
- Les utilisateurs ne peuvent pas modifier leur mot de passe. Si un utilisateur est à l'état Forcer la réinitialisation du mot de passe, il ne peut pas réinitialiser son mot de passe et n'aura pas accès tant que l'interruption de la région n'a pas été atténuée.
- Les utilisateurs dotés d'une authentification multifacteur peuvent se connecter lorsque le domaine d'identité est en mode lecture seule.
- Les applications qui utilisent le domaine d'identité pourront s'authentifier et autoriser. Par exemple, une application personnalisée pourra authentifier et autoriser les appels à l'aide du domaine d'identité en mode lecture seule.
Appariements de régions de récupération après sinistre
Utilisez le tableau suivant pour rechercher les paires de régions DR dans le domaine commercial d'Oracle Cloud Infrastructure :
Voir Régions Oracle Cloud - Centres de données pour plus d'informations sur les régions disponibles.
| Nom de la région | Identificateur de région | Emplacement de la région | Nom de la région de récupération après sinistre | Identificateur de la région de récupération après sinistre |
|---|---|---|---|---|
| Est de l'Australie | ap-sydney-1 | Sydney, Australie | Australie - Sud-Est (Melbourne) | ap-melbourne-1 |
| Australie - Sud-Est (Melbourne) | ap-melbourne-1 | Melbourne, Australie | Est de l'Australie | ap-sydney-1 |
| Brésil - Est (Sao Paulo) | sa-saopaulo-1 | Sao Paulo (Brésil) | Brésil - Sud-Est (Vinhedo) | sa-vinhedo-1 |
| Brésil - Sud-Est (Vinhedo) | sa-vinhedo-1 | Vinhedo, Brésil | Brésil - Est (Sao Paulo) | sa-saopaulo-1 |
| Canada - Sud-Est (Montréal) | ca-montreal-1 | Montréal, Canada | Canada - Sud-Est (Toronto) | ca-toronto-1 |
| Canada - Sud-Est (Toronto) | ca-toronto-1 | Toronto, Canada | Canada - Sud-Est (Montréal) | ca-montreal-1 |
| Allemagne - Centre (Francfort) | eu-frankfurt-1 | Francfort, Allemagne | Nord-Ouest des Pays-Bas (Amsterdam) | eu-amsterdam-1 |
| Nord-Ouest des Pays-Bas (Amsterdam) | eu-amsterdam-1 | Amsterdam, Pays-Bas | Allemagne - Centre (Francfort) | eu-frankfurt-1 |
| Inde - Sud (Hyderabad) | ap-hyderabad-1 | Hyderabad, Inde | Inde - Ouest (Bombay) | ap-mumbai-1 |
| Inde - Ouest (Bombay) | ap-mumbai-1 | Bombay, Inde | Inde - Sud (Hyderabad) | ap-hyderabad-1 |
| Italie - Nord-Ouest (Milan) | eu-milan-1 | Milan, Italie | France Sud (Marseille) | eu-marseille-1 |
| Centre du Japon (Osaka) | ap-osaka-1 | Osaka, Japon | Japon - Est | ap-tokyo-1 |
| Japon - Est | ap-tokyo-1 | Tokyo, Japon | Centre du Japon (Osaka) | ap-osaka-1 |
| Corée du Sud - Centre (Séoul) | ap-seoul-1 | Séoul, Corée du Sud | Corée du Sud - Nord (Chuncheon) | ap-chuncheon-1 |
| Corée du Sud - Nord (Chuncheon) | ap-chuncheon-1 | Chuncheon, Corée du Sud | Corée du Sud - Centre (Séoul) | ap-seoul-1 |
| Nord de la Suisse (Zurich) | eu-zurich-1 | Zurich, Suisse | Allemagne - Centre (Francfort) | eu-frankfurt-1 |
| Émirats arabes unis - Centre (Abu Dhabi) | me-abudhabi-1 | Abu Dhabi, UAE | EAU - Est (Dubaï) | me-dubai-1 |
| EAU - Est (Dubaï) | me-dubai-1 | Dubaï, EAU | Émirats arabes unis - Centre (Abu Dhabi) | me-abudhabi-1 |
| Sud du Royaume-Uni (Londres) | uk-london-1 | Londres, Royaume-Uni | Royaume-Uni - Ouest (Newport) | uk-cardiff-1 |
| Royaume-Uni - Ouest (Newport) | uk-cardiff-1 | Newport, Royaume-Uni | Sud du Royaume-Uni (Londres) | uk-london-1 |
| Est des États-Unis (Ashburn) | us-ashburn-1 | Ashburn, VA | Ouest des États-Unis (Phoenix) | us-phoenix-1 |
| Ouest des États-Unis (Phoenix) | us-phoenix-1 | Phoenix, AZ | États-Unis - Est (Ashburn) | us-ashburn-1 |
| États-Unis - Ouest (San Jose) | us-sanjose-1 | San Jose, CA | États-Unis - Ouest (Phoenix) | us-phoenix-1 |