Documentation Oracle Cloud Infrastructure

Informations d'identification utilisateur

Il existe plusieurs types d'informations d'identification que vous gérez à l'aide de Oracle Cloud Infrastructure Identity and Access Management (IAM) :

  • Mot de passe de la console : permet de se connecter à la console, c'est-à-faire l'interface utilisateur permettant d'interagir avec Oracle Cloud Infrastructure. Les utilisateurs fédérés ne peuvent pas posséder de mots de passe en mode console car ils se connectent via leur fournisseur d'identités. Reportez-vous à Fédération avec les fournisseurs d'identités.
  • Clé de signature d'API (au format PEM) : permet d'envoyer des demandes d'API, qui nécessitent une authentification.
  • Jeton d'authentification : jeton généré par Oracle que vous pouvez utiliser pour l'authentification auprès d'API tierces. Par exemple, utilisez un jeton d'authentification pour l'authentification auprès d'un client Swift lorsque vous utilisez Recovery Manager (RMAN) afin d'effectuer une sauvegarde d'une base de données Oracle Database System (DB System) vers Object Storage.
  • Clés secrètes client : permet d'utiliser l'API de compatibilité Amazon S3 avec Object Storage. Reportez-vous à API de compatibilité Amazon S3.
  • Informations d'identification de client OAuth 2.0 : permettent d'interagir avec les API des services qui utilisent l'autorisation OAuth 2.0. Reportez-vous à Informations d'identification de client OAuth 2.0.
  • Informations d'identification SMTP : elles permettent d'utiliser la présentation du service Email Delivery,
  • Mot de travail de base de données IAM : les utilisateurs peuvent créer et gérer leur mot de travail de base de données dans leur profil utilisateur IAM, et employer ce mot de travail pour s'authentifier auprès des bases de données de leur location. Reportez-vous à Mots de passe de base de données IAM.
Important

Les clés de signature d'API sont différentes des clés SSH que vous utilisez pour accéder à l'instance de calcul (reportez-vous à la section Instances de calcul). Pour plus d'informations sur les clés de signature d'API, reportez-vous à Clés et OCID requis. Pour plus d'informations sur les clés SSH d'instance, reportez-vous à Gestion des paires de clés.

Mot de passe utilisateur

L'administrateur qui crée un utilisateur dans IAM doit également générer un mot à la fois pour celui-ci (reportez-vous à la procédure de création ou d'initialisation du mot de passe d'un autre utilisateur). L'administrateur doit fournir le mot de passe de manière sécurisée à l'utilisateur en le communiquant de vive voix, en l'imprimant ou en l'envoyant via un service de messagerie sécurisé.

Lorsque l'utilisateur se connecte à la console la première fois, il est immédiatement invité à modifier son mot de passe. Si l'utilisateur attend plus de 7 jours pour se connecter pour la première fois et modifier son mot de passe, ce dernier expire et un administrateur doit de nouveau créer un mot de passe à usage unique pour l'utilisateur.

Une fois que l'utilisateur s'est connecté à la console, il peut utiliser la ressource Oracle Cloud Infrastructure selon les droits d'accès qui lui ont été octroyés via les stratégies.

Remarque

Un utilisateur dispose automatiquement du droit lui permettant de modifier son mot de passe dans la console. Il n'est pas nécessaire qu'un administrateur crée une stratégie pour autoriser un utilisateur à effectuer cette opération.

Modification d'un mot de passe

Si un utilisateur veut modifier son propre mot de passe après avoir modifié son mot de passe à utilisation unique initial, il peut Le faire dans la console. Gardez à l'esprit qu'un utilisateur dispose automatiquement du droit lui permettant de modifier son propre mot de passe ; il n'est pas nécessaire qu'un administrateur crée une stratégie l'autorisant à effectuer cette action.

Pour plus d'informations, reportez-vous à Procédure de modification du mot de passe de la console.

Si un utilisateur a besoin d'une réinitialisation de son mot de passe de console

Si un utilisateur oublie son mot de passe de la console et qu'il n'a pas accès à l'API, il peut utiliser le lien Mot de passe oublié de la console pour qu'un motde passe temporaire lui soit envoyé. Cette option est disponible si l'utilisateur dispose d'une adresse électronique dans son profil.

Si aucune adresse électronique ne figure dans le profil de l'utilisateur, celui-ci doit demander à un administrateur de réinitialiser son mot de passe. Tous les administrateurs (et les autres utilisateurs disposant de droits d'accès à la location) peuvent réinitialiser les mots de passe de console. Le processus de réinitialisation du mot de passe génère un nouveau mot de passe à usage unique que l'administrateur doit fournir à l'utilisateur. L'utilisateur devra modifier son mot de passe lorsqu'il se connectera à la console.

Si vous êtes administrateur et que vous avez besoin de réinitialiser le mot d'accès à la console d'un utilisateur, reportez-vous à Procédure pour créer ou réinitialiser le mot d'accès à la console d'un autre utilisateur.

Si un utilisateur ne peut plus se connecter à la console

Si un utilisateur ne parvient pas à se connecter à la console 10 fois de suite, ses nouvelles tentatives sont automatiquement bloquées. Il doit contacter un administrateur pour débloquer son accès (reportez-vous à Procédure de déblocage d'un utilisateur).

Clés de signature d'API

Un utilisateur qui doit effectuer des demandes d'API doit avoir ajouté une clé publique RSE au format PEM (2048 bits minimum) à son profil utilisateur IAM et signer les demandes d'API avec la clé privée correspondante (reportez-vous à la section Clés et OCID requis).

Important

Un utilisateur a automatiquement le droit de générer et gérer ses propres clés d'API dans la console ou l'API. Il n'est pas nécessaire qu'un administrateur écrive une stratégie lui donnant cette possibilité. N'oubliez pas qu'un utilisateur Ne peut pas utiliser l'API pour modifier ou supprimer ses propres informations d'identification tant qu'il n'a pas enregistré une clé dans la console, ou qu'un administrateur n'a pas ajout de clé pour cet utilisateur dans la console ou l'API.

Si vous disposez d'un système non humain qui doit effectuer des demandes d'API, un administrateur doit créer un utilisateur pour ce système, puis ajouter une clé publique au service IAM pour le système. Il n'est pas nécessaire de générer un mot de passe de console pour l'utilisateur.

Pour obtenir des instructions sur la génération d'une clé d'API, reportez-vous à Procédure d'ajout d'une clé de signature d'API.

Informations d'identification de client OAuth 2.0

Remarque

Les informations d'identification de client OAuth 2.0 ne sont pas disponibles dans United Kingdom Government Cloud (OC4).

Les informations d'identification de client OAuth 2.0 sont requises pour interagir par programmation avec les services qui utilisent le protocole d'autorisation OAuth 2.0. Les informations d'identification vous permettent d'obtenir un jeton sécurisé pour accéder à ces adresses d'API REST de service. Les actions et adresses autorisées par le jeton dépendent des portées (droits d'accès) que vous sélectionnez lors de la génération des informations d'identification. Pour plus d'informations, reportez-vous à Utilisation des informations d'identification de client OAuth 2.0.

Jetons d'authentification

Les jetons d'authentification sont générés par Oracle. Vous utilisez les jetons d'authentification pour l'authentification auprès d'API tierces qui ne prennent pas en charge l'authentification basée sur une signature Oracle Cloud Infrastructure, comme l'API Swift. Si le service requiert un jeton d'authentification, la documentation propre au service vous indique comment en générer un et comment l'utiliser.

Mots de passe de base de données IAM

Gérez votre présentation des mots de passe de base de données IAM.

Présentation

Un mot de passe de base de données IAM est différent d'un mot de passe de console. Setting an IAM database password allows an authorized IAM user to sign in to one or more Autonomous AI Databases in their tenancy.

La centralisation de la gestion des comptes utilisateur dans IAM améliore la sécurité et réduit considérablement la gestion que demandent aux administrateurs de base de données les utilisateurs qui rejoignent et quittent une organisation, ou qui évoluent dans l'organisation (gestion du cycle de vie utilisateur). Les utilisateurs peuvent définir un mot de passe de base de données dans IAM et s'en servir pour s'authentifier lors de la connexion aux bases de données Oracle configurées de façon appropriée dans leur location.

Facilité d'utilisation

Les utilisateurs finals de base de données peuvent continuer à passer par les outils et les clients de base de données pris en charge existants pour accéder à la base de données. Cependant, au lieu de leurs nom utilisateur et mot de passe de base de données locale, ils emploient leur nom utilisateur IAM et leur mot de passe de base de données IAM. Vous pouvez accéder aux mots de passe de base de données que vous gérez via votre profil OCI uniquement après authentification auprès d'OCI. Cela signifie que les administrateurs peuvent créer une couche de protection supplémentaire avant que les utilisateurs puissent accéder à leur mot de passe de base de données ou le gérer. Ils peuvent appliquer l'authentification à plusieurs éléments sur leur mot de passe de console à l'aide, par exemple, d'un authentificateur FIDO ou de notifications Push via des applications d'authentification.

Fonctions prises en charge

Les mots de passe de base de données IAM prennent en charge l'association directe d'un mot de passe de base de données à un utilisateur IAM. Une fois que vous avez défini un mot de passe de base de données dans IAM, vous pouvez l'utiliser pour vous connecter à votre base de données IAM dans votre location, si vous avez été autorisé à accéder à la base de données IAM. Vous devez être mis en correspondance avec un schéma de base de données global pour être autorisé à accéder à la base de données. Reportez-vous à Authentification et autorisation d'utilisateurs IAM pour les bases de données Oracle DBaaS dans le guide de sécurité Oracle Database pour plus d'informations sur la mise en correspondance d'utilisateurs de base de données globaux avec des utilisateurs et des groupes IAM.

Sécurité de mot de passe

Les administrateurs IAM peuvent imposer des couches d'accès de sécurité supplémentaires en activant l'autorisation à plusieurs facteurs afin que l'utilisateur puisse accéder à un mot de passe de base de données dans IAM. See Authenticating and Authorizing IAM Users for Oracle DBaaS Databases in the Oracle Database Security Guide for more information about how IAM users authenticate and authorize to OCI databases.

Création d'un mot de passe de base de données IAM

Vous pouvez gérer votre propre mot de passe de base de données IAM à l'aide de la console, notamment Le créer, le modifier et le supprimer.

La Création d'un mot de passe de base de données IAM respecte les mêmes règles que la création d'un mot de passe de console, sauf que le caractère de guillemets (") n'est pas autorisé dans le mot de passe de base de données IAM. Reportez-vous à A propos des règles de stratégie de mots de passe pour connaître les règles de création de mots de passe de console.

Pour créer votre propre mot de passe de base de données IAM, reportez-vous à Procédure de création d'un mot de passe de base de données IAM.

Modification d'un mot de passe de base de données IAM

Géré votre propre mot de passe de base de données IAM.

Vous pouvez gérer votre propre mot de passe de base de données IAM à l'aide de la console, notamment Le créer, le modifier et le supprimer. Pour modifier un mot de passe existant, supprimez-le et ajoutez le nouveau mot de passe. Reportez-vous à Procédure de modification d'un mot de passe de base de données IAM.

Suppression d'un mot de passe de base de données IAM

Gestion du mot de passe de base de données IAM.

Vous pouvez gérer votre propre mot de passe de base de données IAM à l'aide de la console, notamment Le créer, le modifier et le supprimer. Pour supprimer votre mot de passe de base de données IAM, reportez-vous à Procédure de suppression d'un mot de passe de base de données IAM.

Verrouillages de mot de passe de base de données IAM

Le compte d'un utilisateur est verrouillé si l'utilisateur rencontre 10 échecs de connexion consécutifs.

Les utilisateurs de base de données IAM et de console sont verrouillés après 10 tentatives de connexion infructueuse consécutives (au total pour les deux mots. Seul un administrateur IAM peut déverrouiller votre compte utilisateur.

  • Si vous ne parvenez pas à vous connecter à IAM ou à la base de données après 10 tentatives consécutives (au total pour les deux), votre compte est verrouillé et vous ne pouvez vous connecter ni à la base de données ni à la console.
  • Lorsque votre compte est verrouillé, un administrateur IAM doit le déverrouiller explicitement.
  • IAM ne prend pas en charge le déverrouillage automatique.
  • Le nombre d'échecs de connexion est suivi de manière centralisée dans toutes les régions d'un domaine. Les échecs de connexion sont enregistrés dans votre région d'origine et répliqués vers les régions avec abonnement.

Tentatives de connexion ayant échoué

Utilisation des noms utilisateur de base de données IAM

Vous pouvez gérer votre propre nom utilisateur de base de données IAM avec la console, notamment Le créer, le modifier et le supprimer.

Vous devrez peut-être modifier le nom utilisateur pour la base de données :

  • si votre nom utilisateur est trop long ou difficile à saisir,
  • pour faciliter la connexion à l'aide d'un nom utilisateur qui n'inclut pas de caractères spéciaux et peut être plus court.

Les rubriques suivantes expliquent comment gérer un nom utilisateur de base de données IAM.