Introduction
Découvrez le domaine d'identité par défaut, l'utilisation de plusieurs domaines, la récupération après sinistre et les domaines, etc.
Cette introduction comprend les rubriques suivantes :
Domaine d'identité par défaut
Chaque location inclut un domaine d'identité par défaut dans le compartiment racine.
Un domaine d'identité par défaut :
- ne peut être ni désactivé ni supprimé (Vit avec le cycle de vie de la location.)
- ne peut pas être masqué sur la page de connexion.
Le domaine d'identité par défaut contient l'utilisateur Administrateur et le groupe Administrateurs du locataire initial, ainsi qu'une stratégie par défaut qui permet aux administrateurs de gérer n'importe quelle ressource de la location. La stratégie Administrateurs et le groupe Administrateurs ne peuvent pas être supprimés, et le groupe Administrateurs doit compter au moins un utilisateur. Vous pouvez également affecter des comptes utilisateur à des rôles d'administrateur prédéfinis afin de déléguer des responsabilités d'administration dans le domaine par défaut.
L'octroi à des utilisateurs ou à des groupes du rôle d'administrateur de domaine d'identité pour des domaines autres que le domaine par défaut leur accorde des droits d'accès administrateur complets uniquement pour ce domaine (et non pour la location). Au moins un administrateur du domaine d'identité doit disposer directement du rôle d'administrateur de domaine d'identité. Ce rôle s'ajoute aux rôles d'administrateur de domaine d'identité accordés du fait de l'appartenance à un groupe. Pour plus d'informations, reportez-vous à Présentation des rôles d'administrateur.
Vous pouvez mettre à niveau un domaine en modifiant le type de domaine. Chaque type de domaine d'identité est associé à un ensemble différent de fonctionnalités et de limites relatives aux objets. Pour vous aider à déterminer le type de domaine qui vous convient, reportez-vous à Types de domaine d'identité IAM.
Utilisation de plusieurs domaines d'identité
Créez et gérez plusieurs domaines d'identité (par exemple, un domaine pour le développement et un pour la production), chacun avec des exigences différentes en matière de sécurité et d'identité afin de protéger vos applications et vos services Oracle Cloud.
Le recours à plusieurs domaines d'identité peut vous aider à maintenir l'isolement du contrôle d'administration sur chaque domaine d'identité. Cette opération est nécessaire si, par exemple, les normes de sécurité empêchent l'existence d'ID utilisateur de développement dans l'environnement de production ou exigent des administrateurs différents pour contrôler les différents environnements.
Chaque location contient un domaine d'identité par défaut, qui est le domaine d'identité fourni avec votre location. Les administrateurs peuvent créer autant de domaines d'identité supplémentaires que le permet leur licence. Les administrateurs peuvent :
- Créer des domaines d'identité supplémentaires et en être l'administrateur, ou définir un autre utilisateur en tant qu'administrateur
- Créer des domaines d'identité supplémentaires et, dans le cadre du processus de création de domaine d'identité, définir des utilisateurs en tant qu'administrateurs des domaines d'identité
- Déléguer la création de domaines d'identité supplémentaires à d'autres administrateurs
Un administrateur de domaine d'identité est affecté au domaine d'identité lors de sa création. Bien que l'administrateur de domaine d'identité puisse disposer du même nom utilisateur qu'un utilisateur dans le domaine d'identité par défaut, ce sont des utilisateurs différents qui peuvent disposer de privilèges différents dans chaque domaine d'identité et de mots de passe distincts.
L'administrateur d'un domaine d'identité peut utiliser l'ensemble complet de fonctionnalités du domaine. Dans un domaine d'identité, l'administrateur peut effectuer les opérations suivantes :
- Gérer les utilisateurs, les groupes, les applications, la configuration système et les paramètres de sécurité
- Appliquer l'administration déléguée en affectant des utilisateurs à différents rôles d'administration
- Activation et désactivation de l'authentification à plusieurs facteurs, configuration des paramètres associés et configuration des facteurs d'authentification
- Créer des profils d'auto-inscription pour gérer différents ensembles d'utilisateurs, stratégies d'approbation et applications
Limites relatives aux domaines d'identité
Chaque type de domaine d'identité est associé à un ensemble différent de fonctionnalités et de limites relatives aux objets.
Afin de connaître les limites relatives aux objets, les limites de débit et les compteurs pour chaque type de domaine d'identité, reportez-vous à Types de domaine d'identité IAM.
Pour obtenir la liste des limites applicables et des instructions de demande d'augmentation de limite, reportez-vous à Limites de service. Pour définir des limites propres aux compartiments sur une ressource ou une famille de ressources, les administrateurs peuvent utiliser des quotas de compartiment.
Récupération de domaines
Les administrateurs ne peuvent pas récupérer un domaine d'identité supprimé. Pour contacter le support technique Oracle afin de récupérer un domaine d'identité supprimé, reportez-vous à Obtention d'aide et contact avec le support technique.
Récupération après sinistre et domaines d'identité
Un sinistre peut être n'importe quel événement qui met les applications en danger, comme les pannes causées par des catastrophes naturelles. Dans les régions pour lesquelles la récupération après sinistre inter-région est activée, les domaines d'identité intègrent directement cette récupération afin de minimiser la perte de données. Les données d'une région sont répliquées vers une région voisine en cas de sinistre. Si l'ensemble d'une région OCI devient indisponible, le trafic est routé vers la région de récupération après sinistre pour accélérer la récupération de service et conserver autant de données que possible. Oracle couple les régions avec leurs régions de récupération après sinistre pour vous.
Pour en savoir plus sur la récupération après sinistre dans Oracle Cloud Infrastructure, reportez-vous à Procédure de protection de la topologie cloud contre les catastrophes.
Si une coupure de région se produit, le domaine d'identité subit une brève coupure, puis est récupéré. Après la récupération vers la région de récupération après sinistre :
- Les utilisateurs du domaine d'identité sont authentifiés et autorisés comme d'habitude.
- Les URL de domaine d'identité ne changent pas. Aucune modification n'est nécessaire pour les applications.
- Les domaines d'identité ayant basculé ne sont pas répliqués vers les régions répliquées.
- Les domaines d'identité répliqués vers d'autres régions peuvent ne pas être synchronisés avec la région de récupération après sinistre. Par exemple, les modifications apportées aux paramètres des utilisateurs, des groupes et des domaines peuvent ne pas être répercutées dans la région de récupération après sinistre. Les incohérences sont résolues lorsque le domaine d'identité est restauré.
Utilisation de la console pendant le basculement
Vous n'aurez peut-être pas accès à la console au cours du basculement. Pendant cette période, vous pourrez peut-être utiliser l'interface de ligne de commande et le kit SDK pour IAM et les domaines d'identité afin de gérer les configurations d'identité.
La console est disponible si la région d'origine du domaine d'identité est disponible ou si la région indisponible n'est pas la région d'origine de la location.
La console n'est pas disponible si la région d'origine du domaine d'identité n'est pas disponible ou si la région d'origine de la location n'est pas disponible.
Accès à la région de récupération après sinistre
Suivez ces étapes pour confirmer que le réseau peut accéder à la région de DR.
- Recherchez l'identificateur de région de récupération après sinistre dans le tableau Couplages de régions de récupération après sinistre. Reportez-vous à Couplages de régions de récupération après sinistre.
- Utilisez l'identificateur de région de récupération après sinistre pour rechercher les adresses IP publiques affectées à la région. Reportez-vous à Adresses IP publiques pour les réseaux cloud virtuels et Oracle Services Network.
- Ajoutez ces adresses IP publiques à vos pare-feu pour autoriser le trafic provenant de cette région de récupération après sinistre.
Basculement en lecture seule et domaines d'identité
En cas de panne d'une région, OCI peut lancer un basculement des domaines d'identité de cette région (et des bandes IDCS) vers une région de basculement qui restaure l'accès à ces domaines d'identité (et à ces bandes IDCS) en mode d'accès en lecture seule. Vérifiez les informations sur les coupures lorsque l'état région-coupure est activé et désactivé.
Si une région d'origine n'est pas disponible, les utilisateurs ne pourront pas accéder à la console OCI dans n'importe quelle région, même si les domaines d'identité ont basculé. L'accès CLI et SDK aux régions autres que la région d'origine est disponible.
En mode d'accès en lecture seule :
- Les ressources ne peuvent pas être mises à jour. Aucune mise à jour de ressources de domaine d'identité (ou de stripe IDCS) n'est autorisée. Par exemple, les utilisateurs ne peuvent pas mettre à jour ou supprimer des utilisateurs, des applications, des groupes ou des paramètres de domaine. Les utilisateurs disposent de droits d'accès en lecture sur toutes les ressources.
- Les utilisateurs ne peuvent pas modifier leur mot de passe. Si un utilisateur est à l'état de réinitialisation forcée du mot de passe, il ne peut pas réinitialiser son mot de passe et n'y aura pas accès tant que la coupure de la région n'aura pas été atténuée.
- Les utilisateurs disposant d'une authentification à plusieurs facteurs peuvent se connecter lorsque le domaine d'identité est en mode lecture seule.
- Les applications utilisant le domaine d'identité pourront s'authentifier et autoriser. Par exemple, une application personnalisée pourra authentifier et autoriser les appels à l'aide du domaine d'identité en mode lecture seule.
Couplages de régions de récupération après sinistre
Utilisez le tableau suivant pour rechercher les couplages de régions DR dans le domaine commercial Oracle Cloud Infrastructure.
Pour plus d'informations sur les régions disponibles, reportez-vous à Régions Oracle Cloud - Centres de données.
| Nom de région | Identificateur de région | Emplacement de région | Nom de la région de récupération après sinistre | Identificateur de la région de récupération après sinistre |
|---|---|---|---|---|
| Est de l'Australie (Sydney) | ap-sydney-1 | Sydney, Australie | Sud-est de l'Australie | ap-melbourne-1 |
| Sud-est de l'Australie | ap-melbourne-1 | Melbourne, Australie | Est de l'Australie (Sydney) | ap-sydney-1 |
| Est du Brésil (São Paulo) | sa-saopaulo-1 | São Paulo, Brésil | Sud-est du Brésil (Vinhedo) | sa-vinhedo-1 |
| Sud-est du Brésil (Vinhedo) | sa-vinhedo-1 | Vinhedo, Brésil | Est du Brésil (São Paulo) | sa-saopaulo-1 |
| Sud-est du Canada | ca-montreal-1 | Montréal, Canada | Sud-est du Canada (Toronto) | ca-toronto-1 |
| Sud-est du Canada (Toronto) | ca-toronto-1 | Toronto, Canada | Sud-est du Canada (Montréal) | ca-montreal-1 |
| Allemagne centrale (Francfort) | eu-frankfurt-1 | Frankfurt, Allemagne | Nord-ouest des Pays-Bas (Amsterdam) | eu-amsterdam-1 |
| Nord-ouest des Pays-Bas (Amsterdam) | eu-amsterdam-1 | Amsterdam, Pays-Bas | Allemagne centrale (Francfort) | eu-frankfurt-1 |
| Sud de l'Inde (Hyderabad) | ap-hyderabad 1 | Hyderabad, Inde | Ouest de l'Inde (Mumbai) | ap-mumbai-1 |
| Ouest de l'Inde (Mumbai) | ap-mumbai-1 | Bombay, Inde | Sud de l'Inde (Hyderabad) | ap-hyderabad 1 |
| Nord-ouest de l'Italie (Milan) | eu-milan-1 | Milan, Italie | Sud de la France | eu-marseille-1 |
| Centre du Japon (Osaka) | ap-osaka-1 | Osaka, Japon | Est du Japon (Tokyo) | ap-tokyo-1 |
| Est du Japon (Tokyo) | ap-tokyo-1 | Tokyo, Japon | Centre du Japon (Osaka) | ap-osaka-1 |
| Centre de la Corée du Sud (Séoul) | ap-seoul-1 | Séoul, Corée du Sud | Nord de la Corée du Sud (Chuncheon) | ap-chunchéon-1 |
| Nord de la Corée du Sud (Chuncheon) | ap-chunchéon-1 | Chuncheon, Corée du Sud | Centre de la Corée du Sud (Séoul) | ap-seoul-1 |
| Nord de la Suisse | eu-zurich-1 | Zurich, Suisse | Allemagne centrale (Francfort) | eu-frankfurt-1 |
| Centre des Emirats arabes unis (Abou Dabi) | me-abudhabi-1 | Abu Dhabi, EAU | Est des EAU (Dubaï) | me-dubai-1 |
| Est des EAU (Dubaï) | me-dubai-1 | Dubaï, Emirats arabes unis | Centre des Emirats arabes unis (Abou Dabi) | me-abudhabi-1 |
| Sud du Royaume-Uni (Londres) | uk-london-1 | London, Royaume-Uni | Ouest du Royaume-Uni (Newport) | uk-cardiff-1 |
| Ouest du Royaume-Uni (Newport) | uk-cardiff-1 | Newport, Royaume-Uni | Sud du Royaume-Uni (Londres) | uk-london-1 |
| Est des États-Unis (Ashburn) | us-ashburn-1 | Ashburn, VA | Ouest des Etats-Unis (Phénix) | us-phoenix-1 |
| Ouest des Etats-Unis (Phénix) | us-phoenix-1 | Phoenix, AZ | Est des États-Unis (Ashburn) | us-ashburn-1 |
| Ouest des Etats-Unis (San José) | us-sanjose-1 | San José, Californie | Ouest des Etats-Unis (Phénix) | us-phoenix-1 |