Documentation Oracle Cloud Infrastructure

Informations d'identification utilisateur

Il existe plusieurs types d'informations d'identification que vous gérez à l'aide d'Oracle Cloud Infrastructure Identity and Access Management (IAM) :

  • Mot de passe de console : permet de vous connecter à la console, c'est-à-dire l'interface utilisateur vous permettant d'interagir avec Oracle Cloud Infrastructure. Les utilisateurs fédérés ne peuvent pas posséder de mot de passe de console car ils se connectent via leur fournisseur d'identités. Reportez-vous à Fédération avec les fournisseurs d'identités.
  • Clé de signature d'API (au format PEM) : permet d'envoyer des demandes d'API, qui nécessitent une authentification.
  • Jeton d'authentification : jeton généré par Oracle que vous pouvez utiliser pour l'authentification auprès d'API tierces. Par exemple, utilisez un jeton d'authentification pour l'authentification auprès d'un client Swift lorsque vous utilisez Recovery Manager (RMAN) afin de sauvegarder une base de données de système Oracle Database vers Object Storage.
  • Clés secrètes client : permettent d'utiliser l'API de compatibilité Amazon S3 avec Object Storage. Reportez-vous à API de compatibilité Amazon S3.
  • Informations d'identification de client OAuth 2.0 : permettent d'interagir avec les API des services qui utilisent l'autorisation OAuth 2.0. Reportez-vous à Informations d'identification de client OAuth 2.0.
  • Informations d'identification SMTP : permet d'utiliser la présentation du service Email Delivery.
  • Mot de passe de base de données IAM : les utilisateurs peuvent créer et gérer leur mot de passe de base de données dans leur profil utilisateur IAM, et employer ce mot de passe pour s'authentifier auprès des bases de données de leur location. Reportez-vous à Mots de passe de base de données IAM.
Important

Les clés de signature d'API sont différentes des clés SSH que vous utilisez pour accéder à une instance de calcul (reportez-vous à Informations d'identification de sécurité). Pour plus d'informations sur les clés de signature d'API, reportez-vous à Clés et OCID requis. Pour plus d'informations sur les clés SSH d'instance, reportez-vous à Gestion des paires de clés.

Mot de passe utilisateur

L'administrateur qui crée un utilisateur dans IAM doit également générer un mot de passe de console à usage unique pour celui-ci (reportez-vous à Procédure de création ou de réinitialisation du mot de passe de console d'un autre utilisateur). L'administrateur doit fournir le mot de passe de manière sécurisée à l'utilisateur en le communiquant de vive voix, en l'imprimant ou en l'envoyant via un service de messagerie sécurisé.

Lorsque l'utilisateur se connecte à la console pour la première fois, il est immédiatement invité à modifier son mot de passe. Si l'utilisateur attend plus de 7 jours pour se connecter pour la première fois et modifier son mot de passe, ce dernier expire et un administrateur doit de nouveau créer un mot de passe à usage unique pour l'utilisateur.

Une fois que l'utilisateur s'est connecté à la console, il peut utiliser les ressources Oracle Cloud Infrastructure selon les droits d'accès qui lui ont été octroyés via les stratégies.

Remarque

Un utilisateur dispose automatiquement du droit lui permettant de modifier son mot de passe dans la console. Il n'est pas nécessaire qu'un administrateur crée une stratégie pour autoriser un utilisateur à effectuer cette opération.

Modification d'un mot de passe

Si un utilisateur veut modifier son propre mot de passe après avoir modifié son mot de passe à usage unique initial, il peut le faire dans la console. Gardez à l'esprit qu'un utilisateur dispose automatiquement du droit lui permettant de modifier son propre mot de passe ; il n'est pas nécessaire qu'un administrateur crée une stratégie l'autorisant à effectuer cette action.

Pour plus d'informations, reportez-vous à Procédure de modification du mot de passe de la console.

Si un utilisateur a besoin d'une réinitialisation de son mot de passe de console

Si un utilisateur oublie son mot de passe de console et qu'il n'a pas accès à l'API, il peut utiliser le lien Mot de passe oublié de la console pour qu'un mot de passe temporaire lui soit envoyé. Cette option est disponible si l'utilisateur dispose d'une adresse électronique dans son profil.

Si aucune adresse électronique ne figure dans le profil de l'utilisateur, celui-ci doit demander à un administrateur de réinitialiser son mot de passe. Tous les administrateurs (et tous les autres utilisateurs disposant de droits d'accès à la location) peuvent réinitialiser les mots de passe de console. Le processus de réinitialisation du mot de passe génère un nouveau mot de passe à usage unique que l'administrateur doit fournir à l'utilisateur. L'utilisateur devra modifier son mot de passe lors de sa prochaine connexion à la console.

Si vous êtes administrateur et que vous devez réinitialiser le mot de passe de console d'un utilisateur, reportez-vous à Procédure de création ou de réinitialisation du mot de passe de console d'un autre utilisateur.

Si un utilisateur ne peut plus se connecter à la console

Si un utilisateur ne parvient pas à se connecter à la console après 10 tentatives successives, ses nouvelles tentatives sont automatiquement bloquées. Il doit contacter un administrateur pour débloquer son accès (reportez-vous à Procédure de déblocage d'un utilisateur).

Clés de signature d'API

Un utilisateur devant effectuer des demandes d'API doit avoir ajouté une clé publique RSA au format PEM (2 048 bits au minimum) à son profil utilisateur IAM et signer les demandes d'API avec la clé privée correspondante (reportez-vous à Clés et OCID requis).

Important

Un utilisateur dispose automatiquement du droit lui permettant de générer et de gérer ses propres clés d'API dans la console ou l'API. Il n'est pas nécessaire qu'un administrateur écrive une stratégie lui donnant cette possibilité. N'oubliez pas qu'un utilisateur ne peut pas utiliser l'API pour modifier ou supprimer ses propres informations d'identification tant qu'il n'a pas enregistré une clé dans la console, ou qu'un administrateur n'a pas ajouté de clé pour cet utilisateur dans la console ou l'API.

Si vous disposez d'un système non humain qui doit effectuer des demandes d'API, un administrateur doit créer un utilisateur pour ce système, puis ajouter une clé publique au service IAM pour le système. Il n'est pas nécessaire de générer un mot de passe de console pour l'utilisateur.

Pour obtenir des instructions sur la génération d'une clé d'API, reportez-vous à Procédure d'ajout d'une clé de signature d'API.

Informations d'identification de client OAuth 2.0

Remarque

Les informations d'identification de client OAuth 2.0 ne sont pas disponibles dans United Kingdom Government Cloud (OC4).

Les informations d'identification de client OAuth 2.0 sont requises pour interagir par programmation avec les services qui utilisent le protocole d'autorisation OAuth 2.0. Les informations d'identification vous permettent d'obtenir un jeton sécurisé pour accéder à ces adresses d'API REST de service. Les actions et adresses autorisées par le jeton dépendent des portées (droits d'accès) que vous sélectionnez lors de la génération des informations d'identification. Pour plus d'informations, reportez-vous à Utilisation des informations d'identification de client OAuth 2.0.

Jetons d'authentification

Les jetons d'authentification sont générés par Oracle. Vous utilisez les jetons d'authentification pour vous authentifier auprès d'API tierces qui ne prennent pas en charge l'authentification basée sur une signature Oracle Cloud Infrastructure, comme l'API Swift. Si le service requiert un jeton d'authentification, la documentation propre au service vous indique comment en générer un et comment l'utiliser.

Mots de passe de base de données IAM

Présentation

Un mot de passe de base de données IAM est différent d'un mot de passe de console. La définition d'un mot de passe de base de données IAM permet à un utilisateur IAM autorisé de se connecter à des bases de données autonomes dans sa location.

La centralisation de la gestion des comptes utilisateur dans IAM améliore la sécurité et réduit considérablement la gestion que demandent aux administrateurs de base de données les utilisateurs qui rejoignent et quittent une organisation, ou qui évoluent dans l'organisation (gestion du cycle de vie utilisateur). Les utilisateurs peuvent définir un mot de passe de base de données dans IAM et s'en servir pour s'authentifier lors de la connexion aux bases de données Oracle configurées de façon appropriée dans leur location.

Facilité d'utilisation

Les utilisateurs finals de base de données peuvent continuer à passer par les outils et les clients de base de données pris en charge existants pour accéder à la base de données. Cependant, au lieu de leurs nom utilisateur et mot de passe de base de données locale, ils emploient leur nom utilisateur IAM et leur mot de passe de base de données IAM. Vous pouvez accéder aux mots de passe de base de données que vous gérez via votre profil OCI uniquement après authentification auprès d'OCI. Cela signifie que les administrateurs peuvent créer une couche de protection supplémentaire avant que les utilisateurs puissent accéder à leur mot de passe de base de données ou le gérer. Ils peuvent appliquer l'authentification à plusieurs facteurs sur leur mot de passe de console à l'aide, par exemple, d'un authentificateur FIDO ou de notifications push via des applications d'authentification.

Fonctions prises en charge

Les mots de passe de base de données IAM prennent en charge l'association directe d'un mot de passe de base de données à un utilisateur IAM. Une fois que vous avez défini un mot de passe de base de données dans IAM, vous pouvez l'utiliser pour vous connecter à votre base de données IAM dans votre location, si vous avez été autorisé à accéder à la base de données IAM. Vous devez être mis en correspondance avec un schéma de base de données global pour être autorisé à accéder à la base de données. Reportez-vous à Authentification et autorisation d'utilisateurs IAM pour les bases de données Oracle DBaaS dans le guide de sécurité Oracle Database pour plus d'informations sur la mise en correspondance d'utilisateurs de base de données globaux avec des utilisateurs et des groupes IAM.

Sécurité de mot de passe

Les administrateurs IAM peuvent imposer des couches de sécurité supplémentaires en activant l'autorisation à plusieurs facteurs afin qu'un utilisateur puisse accéder à un mot de passe de base de données dans IAM. Pour plus d'informations sur l'authentification des utilisateurs IAM et l'autorisation sur les bases de données OCI, reportez-vous à Authentification et autorisation d'utilisateurs IAM pour les bases de données Oracle DBaaS dans le guide de sécurité Oracle Database.

Création d'un mot de passe de base de données IAM

Vous pouvez gérer votre propre mot de passe de base de données IAM à l'aide de la console, notamment le créer, le modifier et le supprimer.

La création d'un mot de passe de base de données IAM respecte les mêmes règles que la création d'un mot de passe de console, sauf que le caractère des guillemets (") n'est pas autorisé dans le mot de passe de base de données IAM. Pour savoir comment créer des mots de passe de console, reportez-vous à A propos des règles de stratégie de mot de passe.

Pour créer votre propre mot de passe de base de données IAM, reportez-vous à Procédure de création d'un mot de passe de base de données IAM.

Modification d'un mot de passe de base de données IAM

Vous pouvez gérer votre propre mot de passe de base de données IAM à l'aide de la console, notamment le créer, le modifier et le supprimer. Pour modifier un mot de passe existant, supprimez-le et ajoutez le nouveau mot de passe. Reportez-vous à Procédure de modification d'un mot de passe de base de données IAM.

Suppression d'un mot de passe de base de données IAM

Vous pouvez gérer votre propre mot de passe de base de données IAM à l'aide de la console, notamment le créer, le modifier et le supprimer. Pour supprimer votre mot de passe de base de données IAM, reportez-vous à Procédure de suppression d'un mot de passe de base de données IAM.

Verrouillages de mot de passe de base de données IAM

Echec des tentatives de connexion

Les utilisateurs de base de données IAM et de console sont verrouillés après 10 tentatives de connexion ayant échoué consécutives (au total pour les deux mots de passe). Si vous entrez des informations d'identification incorrectes 10 fois de suite avec le mot de passe de base de données ou IAM, votre compte utilisateur est verrouillé. Seul un administrateur IAM peut déverrouiller votre compte utilisateur.

  • Si vous ne parvenez pas à vous connecter à IAM ou à la base de données après 10 tentatives consécutives (au total pour les deux), votre compte est verrouillé et vous ne pouvez vous connecter ni à la base de données ni à la console.
  • Lorsque votre compte est verrouillé, un administrateur IAM doit le déverrouiller explicitement.
  • IAM ne prend pas en charge le déverrouillage automatique.
  • Le nombre d'échecs de connexion est suivi de manière centralisée dans toutes les régions d'un domaine. Les échecs de connexion sont enregistrés dans votre région d'origine et répliqués vers les régions avec abonnement.

Utilisation des noms utilisateur de base de données IAM

Vous pouvez gérer votre propre nom utilisateur de base de données IAM à l'aide de la console, ce qui vous permet de le créer, de le modifier et de le supprimer.

Vous devrez peut-être modifier le nom utilisateur de base de données :

  • si votre nom utilisateur est trop long ou difficile à saisir,
  • pour faciliter la connexion à l'aide d'un nom utilisateur qui n'inclut pas de caractères spéciaux et peut être plus court.

Les rubriques suivantes expliquent comment gérer un nom utilisateur de base de données IAM.