Documentation sur Oracle Cloud Infrastructure

Aperçu du service de gestion des identités et des accès (GIA)

Le service de gestion des identités et des accès pour Oracle Cloud Infrastructure fournit des fonctions de gestion des identités et des accès telles que l'authentification, l'authentification unique (SSO) et la gestion du cycle de vie des identités pour Oracle Cloud, ainsi que pour les applications Oracle et non Oracle (SaaS, hébergées dans le nuage ou sur place). Les employés, les partenaires d'affaires et les clients peuvent accéder aux applications à tout moment, depuis n’importe où et sur n’importe quel appareil de manière sécurisée.

GIA s'intègre aux magasins d'identités existants, aux fournisseurs d'identités externes et aux applications en nuage et sur place afin de faciliter l'accès des utilisateurs finaux. Il fournit la plate-forme de sécurité pour Oracle Cloud, qui permet aux utilisateurs d'accéder, de développer et de déployer facilement et en toute sécurité des applications d'affaires telles qu'Oracle Human Capital Management (HCM) et Oracle Sales Cloud, ainsi que des services de plate-forme tels qu'Oracle Java Cloud Service, Oracle Business Intelligence (BI) Cloud Service, etc.

Les administrateurs et les utilisateurs peuvent utiliser le service GIA pour créer, gérer et utiliser efficacement et en toute sécurité un environnement de gestion des identités en nuage sans se soucier de la configuration des détails d'infrastructure ou de plate-forme.

Conseil

Regardez une vidéo de présentation du service.

Responsabilité du client

Il vous incombe de :

  • Présentation des politiques, des configurations et des artefacts d'Oracle Cloud Infrastructure Identity and Access Management (GIA).
  • Mettre en oeuvre vos propres politiques, configurations et artefacts pour toutes les fonctions du service GIA.
  • Créer et administrer des utilisateurs, des politiques, des configurations et des artefacts à l'aide du service GIA.
  • Respecter toutes les exigences et directives pour NIST 800-63, y compris IAL3, AAL3 et FAL3.

Pour toutes les fonctions du service GIA, vous devez utiliser vos propres valeurs de configuration et configurer vos propres artefacts.

Composants GIA

Le service GIA utilise les composants décrits dans cette section. Pour mieux comprendre la correspondance entre les composants, voir Exemple de scénario.

COMPARTIMENT
Collection de ressources connexes. Les compartiments sont des composants essentiels d'Oracle Cloud Infrastructure qui permettent d'organiser et d'isoler les ressources en nuage. Vous les utilisez pour séparer clairement les ressources en vue de la mesure de l'utilisation et de la facturation, de la gestion des accès (à l'aide de politiques) et de l'isolement (en séparant les ressources pour un projet ou une unité d'affaires). Une approche courante consiste à créer un compartiment pour chaque entité principale de l'organisation. Pour plus d'informations, voir Découvrir les meilleures pratiques pour la configuration de votre location.
GROUPES DYNAMIQUES
Type spécial de groupe contenant des ressources (telles que des instances de calcul) qui correspondent à des règles que vous avez définies (et qui peuvent donc changer de manière dynamique lorsque des ressources correspondantes sont créées ou supprimées). Ces instances agissent en tant qu'acteurs principaux et peuvent faire des appels d'API aux services selon les politiques que vous écrivez pour le groupe dynamique.
FÉDÉRATION
Relation qu'un administrateur configure entre un fournisseur d'identités et un fournisseur de services. Lorsque vous procédez à une fédération entre Oracle Cloud Infrastructure et un fournisseur d'identités, vous gérez les utilisateurs et les groupes dans le fournisseur d'identités. Vous gérez l'autorisation dans le service IAM d'Oracle Cloud Infrastructure.
GROUPE
Ensemble d'utilisateurs qui partagent un jeu similaire de privilèges d'accès. Les administrateurs peuvent affecter des politiques d'accès qui autorisent un groupe à consommer ou à gérer des ressources dans une location. Tous les utilisateurs d'un groupe héritent du même jeu de privilèges.
RÉGION PRINCIPALE
Région où sont hébergées vos ressources GIA. Toutes les ressources GIA sont globales et disponibles dans toutes les régions, mais le jeu principal de définitions se trouve dans une seule région, la région principale. Vous devez modifier vos ressources GIA dans votre région principale. Les modifications sont propagées automatiquement dans toutes les régions. Pour plus d'informations, voir Gestion des régions.
DOMAINE D'IDENTITÉ

Un domaine d'identité est un conteneur pour la gestion des utilisateurs et des rôles, la fédération et le provisionnement des utilisateurs, l'intégration sécurisée des applications au moyen de la configuration d'authentification unique Oracle et de l'administration OAuth. Il représente une population d'utilisateurs dans Oracle Cloud Infrastructure, ainsi que les configurations et paramètres de sécurité associés (tels que l'authentification multifacteur).

FOURNISSEUR D'IDENTITÉS
Relation sécurisée avec un fournisseur d'identités fédéré. Les utilisateurs fédérés qui tentent de s'authentifier à la console Oracle Cloud Infrastructure sont redirigés vers le fournisseur d'identités configuré. Après l'authentification, les utilisateurs fédérés peuvent gérer les ressources Oracle Cloud Infrastructure dans la console, comme un utilisateur GIA natif.
AUTHENTIFICATION MULTIFACTEUR
L'authentification multifacteur est une méthode d'authentification qui requiert l'utilisation de plusieurs facteurs pour vérifier l'identité d'un utilisateur.
SOURCE DE RÉSEAU
Groupe d'adresses IP autorisées à accéder aux ressources de votre location. Les adresses IP peuvent être des adresses IP publiques ou des adresses IP d'un réseau en nuage virtuel dans votre location. Après avoir créé la source du réseau, vous utilisez une politique pour limiter l'accès aux demandes provenant des adresses IP de la source du réseau.
RESSOURCE
Objet en nuage que vous créez et utilisez lors de l'interaction avec les services Oracle Cloud Infrastructure. Par exemple, des instances de calcul, des volumes de stockage par blocs, des réseaux en nuage virtuels , des sous-réseaux, des bases de données, des applications de tierce partie, des applications de logiciel-service (SaaS), des logiciels sur place et des applications Web de détail.
RÔLE
Jeu de privilèges d'administration pouvant être affectés à un utilisateur dans un domaine d'identité.
POLITIQUE DE SÉCURITÉ
Document spécifiant qui peut accéder à quelles ressources et comment. Vous pouvez écrire des politiques pour contrôler l'accès à tous les services dans Oracle Cloud Infrastructure. L'accès est accordé au niveau du groupe et du compartiment, ce qui signifie que vous pouvez écrire une politique qui donne à un groupe un type d'accès spécifique dans un compartiment spécifique ou à la location elle-même. Si vous accordez à un groupe l'accès à la location, celui-ci obtient automatiquement le même type d'accès à tous les compartiments de la location. Le terme "politique" est utilisé de différentes façons : pour définir un énoncé individuel écrit dans le langage de politique, pour définir un ensemble d'énoncés dans un seul document, nommé "politique" (auquel un ID Oracle Cloud (OCID) est affecté) ou pour définir le corps global des politiques que votre organisation utilise pour contrôler l'accès aux ressources.
Lorsque vous appliquez une politique, il peut y avoir un léger délai avant l'entrée en vigueur de la politique.
POLITIQUE D'AUTHENTIFICATION
Une politique d'authentification permet aux administrateurs de domaine d'identité, aux administrateurs de la sécurité et aux administrateurs d'application de définir des critères qui déterminent si un utilisateur est autorisé à se connecter à un domaine d'identité.
MARQUEURS
Permettent d'organiser les ressources de différents compartiments à des fins de production de rapports ou pour effectuer des actions en masse.
LOCATION
Compartiment racine qui contient toutes les ressources Oracle Cloud Infrastructure de votre organisation. Oracle crée automatiquement la location de votre société pour vous. Directement dans la location se trouvent vos entités GIA (utilisateurs, groupes, compartiments et politiques). Vous pouvez également insérer des politiques dans des compartiments au sein de la location. Vous placez les autres types de ressource en nuage (instances, réseaux virtuels, volumes de stockage par blocs, etc.) dans les compartiments que vous créez.
Les administrateurs de la location peuvent créer des utilisateurs et des groupes et leur affecter les privilèges d'accès minimum aux ressources qui sont partitionnées en compartiments.
UTILISATEUR
Employé ou système individuel devant gérer ou utiliser les ressources Oracle Cloud Infrastructure de votre société. Les utilisateurs peuvent avoir besoin de lancer des instances, de gérer des disques distants, de travailler avec votre réseau en nuage virtuel, etc. En général, les utilisateurs finaux de votre application ne sont pas des utilisateurs du service GIA. Les utilisateurs ont une ou plusieurs données d'identification GIA (voir Données d'identification d'utilisateur).

Activation et désactivation des composants

Un certain nombre de composants doivent être activés pour pouvoir être utilisés. Vous pouvez également les désactiver au besoin.

Obtenez plus d'informations sur le composant que vous utilisez :

Groupe Administrateurs, politique et rôles d'administrateur

Lorsque votre société s'inscrit à un compte Oracle et à un domaine d'identité, Oracle configure un administrateur par défaut pour le compte. Cette personne est le premier utilisateur du service GIA pour votre société. Il est responsable de la configuration initiale des autres administrateurs. Votre location est fournie avec un groupe appelé Administrateurs et l'administrateur par défaut appartient automatiquement à ce groupe. Vous ne pouvez pas supprimer ce groupe; il doit toujours comprendre au moins un utilisateur.

Votre location comporte également une politique qui donne au groupe Administrateurs un accès à toutes les opérations d'API pour Oracle Cloud Infrastructure et à toutes les ressources en nuage de votre location. Vous ne pouvez ni modifier ni supprimer cette politique. Tous les autres utilisateurs que vous affectez au groupe Administrateurs ont un accès complet à tous les services. Cela signifie qu'ils peuvent créer et gérer des ressources GIA, telles que des groupes, des politiques et des compartiments. Ils peuvent aussi créer et gérer des ressources en nuage, telles que des réseaux en nuage virtuels, des instances, des volumes de stockage par blocs, ainsi que d'autres types de ressource Oracle Cloud Infrastructure qui seront disponibles à l'avenir.

En plus de l'administrateur par défaut et de la politique par défaut, vous pouvez affecter des comptes d'utilisateur à des rôles d'administrateur prédéfinis afin de déléguer des responsabilités d'administration. Les rôles d'administrateur existent dans les domaines d'identité. Vous pouvez affecter n'importe quel compte d'utilisateur d'un domaine d'identité à un ou plusieurs rôles d'administrateur de ce domaine d'identité. Bien que les politiques donnent accès aux compartiments et aux ressources de ces compartiments, si vous utilisez des rôles d'administrateur, vous pouvez accorder l'accès aux ressources sans avoir à apprendre le langage de la politique, ni à écrire et à tenir à jour des politiques.

Note

L'octroi du rôle d'administrateur de domaine d'identité aux utilisateurs ou aux groupes pour des domaines autres que le domaine par défaut leur accorde des autorisations complètes d'administrateur uniquement pour ce domaine (pas pour la location). Au moins un administrateur du domaine d'identité doit disposer du rôle d'administrateur de domaine d'identité directement. Il s'agit d'un ajout aux rôles d'administrateur de domaine d'identité octroyés par l'appartenance à un groupe. Pour plus d'informations, voir Présentation des rôles d'administrateur.

GIA évalue les politiques et les rôles d'administrateur ensemble pour déterminer si un utilisateur a accès aux ressources et ce que cet utilisateur peut faire avec ces ressources. Si la location repose déjà sur des politiques, vous pouvez continuer à les utiliser. Vous pouvez même écrire des politiques pour accorder l'accès à des domaines d'identité spécifiques. Toutefois, Oracle recommande de commencer à utiliser les rôles d'administrateur pour accorder aux utilisateurs l'accès aux ressources des domaines d'identité pour aller de l'avant.

Méthodes d'accès à Oracle Cloud Infrastructure

Vous pouvez accéder à Oracle Cloud Infrastructure à l'aide de la console (interface basée sur un navigateur) ou de l'API REST. Les instructions pour la console sont incluses dans les rubriques de ce guide. Pour une liste des trousses SDK disponibles, voir Trousses SDK et interface de ligne de commande.

Pour accéder à la console, vous devez utiliser un navigateur pris en charge. Pour accéder à la page de connexion de la console, ouvrez le menu de navigation en haut de cette page et cliquez sur Console Oracle Cloud Infrastructure. Vous êtes invité à entrer votre nom de locataire Cloud, votre nom d'utilisateur et votre mot de passe.

Pour obtenir des informations de référence sur l'API REST pour l'API GIA, voir API du service de gestion des identités et des accès. Pour obtenir des informations de référence sur l'API REST pour l'API GIA, voir API des domaines d'identité GIA. Pour des informations générales sur l'utilisation de l'API, voir API REST.

Documentation à utiliser pour la gestion des identités

Pour vous aider à administrer votre identité dans Oracle Cloud Infrastructure (OCI), vous avez besoin de la documentation appropriée.

La documentation que vous choisissez dépend des facteurs suivants :

  • Si votre location OCI a été mise à jour pour utiliser les domaines d'identité du service de gestion des identités et des accès (GIA) pour Oracle Cloud Infrastructure
  • Si vos segments Oracle Identity Cloud Service (IDCS) ont été migrés vers des domaines d'identité GIA

Lisez les sections suivantes pour trouver la documentation qui vous convient.

Avez-vous accès aux domaines d'identité?

  1. Connectez-vous à la console Oracle Cloud. Besoin d'aide pour vous connecter? Voir Connexion à la console.
  2. Dans le menu de navigation, cliquez sur Identité et sécurité. Sous Identité, vérifiez les domaines. Si vous voyez Domaines, votre compte Oracle Cloud a été mis à jour.
Si vous vous connectez et voyez la console d'administration IDCS au lieu de la console Oracle Cloud, comme illustré dans l'image suivante, vos segments n'ont pas été migrés vers GIA. Vous n'avez pas accès aux domaines d'identité.

De quelle documentation avez-vous besoin?

Après avoir déterminé si votre location a été mise à jour ou si les segments IDCS ont été migrés, choisissez la bonne documentation pour vous.

Votre location a-t-elle été mise à jour? Utilisez cette documentation.
Je vois des domaines dans la console. Ma location a été mise à jour.
Lors de l'utilisation de la console :
Lors de l'utilisation de l'API :
  • Pour gérer des domaines d'identité (par exemple, créer ou supprimer un domaine), voir API GIA.
  • Pour gérer des ressources (par exemple, les utilisateurs et les groupes) dans les domaines d'identité, voir API des domaines d'identité GIA.
Si votre location a été mise à jour récemment, pour obtenir des informations sur les éléments à prévoir après la mise à jour, voir :
Je ne vois pas de Domaines dans la console. Ma location n'a pas été mise à jour.

Pour utiliser la console pour administrer le service IAM dans des locations sans domaine d'identité, voir Aperçu du service de gestion des identités et des accès.

Pour utiliser l'API pour administrer le service GIA dans des locations sans domaine d'identité, voir API GIA.

Pour plus d'informations sur les conditions à respecter lors de la mise à jour, voir Domaines d'identité GIA OCI : ce que les clients GIA OCI doivent savoir.

Je vois la console d'administration IDCS. Mes segments n'ont pas été migrés vers les domaines d'identité.
Lors de l'utilisation de la console :

Pour utiliser l'API pour administrer les segments dans IDCS, voir API REST pour Oracle Identity Cloud Service.

Pour plus d'informations sur les conditions à respecter lors de la migration, voir Domaines d'identité GIA OCI : ce que les clients Oracle IDCS doivent savoir.