Documentazione dell'infrastruttura Oracle Cloud

Credenziali utente

Esistono diversi tipi di credenziali che gestisci con Oracle Cloud Infrastructure Identity and Access Management (IAM):

  • Password della console: per l'accesso alla console, l'interfaccia utente per l'interazione con Oracle Cloud Infrastructure. Tenere presente che gli utenti federati non possono avere password della console perché si connettono tramite il provider di identità. Vedere Federazione con i provider di identità.
  • Chiave di firma API (in formato PEM): per l'invio di richieste API che richiedono l'autenticazione.
  • Token di autenticazione: token generato da Oracle che è possibile utilizzare per eseguire l'autenticazione con API di terze parti. Ad esempio, utilizzare un token di autenticazione per eseguire l'autenticazione con un client Swift quando si utilizza Recovery Manager (RMAN) per eseguire il backup di un database Oracle Database System (DB System) nello storage degli oggetti.
  • Chiavi segrete dei clienti: per l'utilizzo dell'API di compatibilità Amazon S3 con lo storage degli oggetti. Vedere API di compatibilità Amazon S3.
  • OAuth 2.0 Credenziali client: per l'interazione con le API dei servizi che utilizzano l'autorizzazione OAuth 2.0. Vedere Credenziali client OAuth 2.0.
  • Credenziali SMTP: per l'utilizzo della panoramica del Servizio Email Delivery.
  • Password database IAM: gli utenti possono creare e gestire la password del database nel proprio profilo utente IAM e utilizzare tale password per eseguire l'autenticazione ai database nella propria tenancy. Vedere IAM Database Passwords.
Importante

Le chiavi di firma API sono diverse dalle chiavi SSH utilizzate per accedere a un'istanza di computazione (vedere Istanze di computazione). Per ulteriori informazioni sulle chiavi di firma API, vedere Chiavi e OCID richiesti. Per ulteriori informazioni sulle chiavi SSH dell'istanza, vedere Gestione delle coppie di chiavi.

Password utente

L'amministratore che crea un nuovo utente in IAM deve anche generare una password una tantum della Console per l'utente (vedere Per creare o reimpostare la password della console di un altro utente). L'amministratore deve consegnare la password in modo sicuro all'utente fornendola verbalmente, stampandola o inviandola tramite un servizio di posta elettronica sicuro.

Quando l'utente accede alla console la prima volta, verrà immediatamente richiesto di modificare la password. Se l'utente attende più di 7 giorni per accedere e modificare inizialmente la password, scadrà e un amministratore dovrà creare una nuova password una tantum per l'utente.

Una volta eseguito correttamente l'accesso alla console, l'utente può utilizzare le risorse Oracle Cloud Infrastructure in base alle autorizzazioni concesse tramite i criteri.

Nota

Un utente può modificare automaticamente la propria password nella console. Un amministratore non ha bisogno di creare un criterio per dare a un utente tale capacità.

Modifica di una password

Se un utente desidera modificare la propria password a volte dopo che ha modificato la password una tantum iniziale, può farlo nella console. Tenere presente che un utente può modificare automaticamente la propria password. Un amministratore non deve creare un criterio per concedere all'utente tale possibilità.

Per ulteriori informazioni, vedere Per modificare la password della console.

Se un utente ha bisogno della reimpostazione della password della console

Se un utente dimentica la password della console e non ha accesso all'API, può utilizzare il collegamento Password dimenticata della console per ricevere una password temporanea. Questa opzione è disponibile se l'utente ha un indirizzo e-mail nel proprio profilo utente.

Se l'utente non dispone di un indirizzo e-mail nel proprio profilo utente, deve chiedere a un amministratore di reimpostare la password. Tutti gli amministratori (e chiunque altro abbia l'autorizzazione per la tenancy) possono reimpostare le password della console. Il processo di reimpostazione della password genera una nuova password occasionale che l'amministratore deve fornire all'utente. L'utente dovrà modificare la password al successivo accesso alla console.

Gli amministratori che devono reimpostare la password della console di un utente, vedere Per creare o reimpostare la password della console di un altro utente.

Se un utente viene bloccato dall'accesso alla console

Se un utente tenta di accedere alla console 10 volte di fila senza successo, verrà automaticamente bloccato da ulteriori tentativi. Dovranno contattare un amministratore per rimanere sbloccati (vedere Per sbloccare un utente).

Chiavi di firma API

Un utente che deve effettuare richieste API deve disporre di una chiave pubblica RSA in formato PEM (minimo 2048 bit) aggiunta al profilo utente IAM e firmare le richieste API con la chiave privata corrispondente (vedere Chiavi e OCID richiesti).

Importante

Un utente può generare e gestire automaticamente le chiavi API proprie nella console o nell'API. Un amministratore non ha bisogno di scrivere un criterio per dare all'utente tale capacità. Tenere presente che un utente non può utilizzare l'API per modificare o eliminare le proprie credenziali finché non salva da solo una chiave nella console oppure un amministratore aggiunge una chiave per tale utente nella console o nell'API.

Se si dispone di un sistema non umano che deve effettuare richieste API, un amministratore deve creare un utente per tale sistema e quindi aggiungere una chiave pubblica al servizio IAM per il sistema. Non è necessario generare una password della console per l'utente.

Per istruzioni sulla generazione di una chiave API, vedere Per aggiungere una chiave di firma API.

Credenziali client OAuth 2.0

Nota

OAuth 2.0 Le credenziali client non sono disponibili nel cloud del governo del Regno Unito (OC4).

Le credenziali client OAuth 2.0 sono necessarie per interagire a livello di programmazione con i servizi che utilizzano il protocollo di autorizzazione OAuth 2.0. Le credenziali consentono di ottenere un token sicuro per accedere a tali endpoint dell'API REST del servizio. Le azioni e gli endpoint consentiti concessi dal token dipendono dagli ambiti (autorizzazioni) selezionati quando si generano le credenziali. Per ulteriori informazioni, vedere Utilizzo delle credenziali client OAuth 2.0.

Token di autenticazione

I token di autenticazione sono token di autenticazione generati da Oracle. I token di autenticazione vengono utilizzati per l'autenticazione con API di terze parti che non supportano l'autenticazione basata sulla firma di Oracle Cloud Infrastructure, ad esempio l'API Swift. Se il servizio richiede un token di autenticazione, la documentazione specifica del servizio indica di generarne uno e di utilizzarlo.

Password database IAM

Gestire la panoramica delle password del database IAM.

Panoramica

La password di un database IAM è una password diversa da quella di una console. L'impostazione di una password di database IAM consente a un utente IAM autorizzato di connettersi a uno o più database AI autonomi nella propria tenancy.

La centralizzazione della gestione degli account utente in IAM migliora la sicurezza e riduce notevolmente gli amministratori di database che devono gestire gli utenti che si uniscono, si spostano all'interno e lasciano un'organizzazione (nota anche come gestione del ciclo di vita degli utenti). Gli utenti possono impostare una password per il database in IAM e utilizzare tale password per eseguire l'autenticazione durante il login ai database Oracle configurati in modo appropriato nella propria tenancy.

Facile da usare

Gli utenti finali del database possono continuare a utilizzare i client e gli strumenti di database supportati esistenti per accedere al database. Tuttavia, invece di utilizzare il nome utente e la password del database locale, utilizzano il nome utente IAM e la password del database IAM. Puoi accedere alle password di database gestite tramite il tuo profilo OCI solo dopo aver eseguito l'autenticazione a OCI. Ciò significa che gli amministratori possono creare un ulteriore livello di protezione prima che gli utenti possano accedere o gestire la password del database. Possono applicare l'autenticazione a più fattori sulla password della console utilizzando, ad esempio, l'autenticatore FIDO o le notifiche push tramite applicazioni di autenticazione.

Funzioni supportate

Le password del database IAM supportano l'associazione di una password del database direttamente a un utente IAM. Dopo aver impostato una password del database in IAM, è possibile utilizzarla per collegarsi al database IAM nella tenancy, se si è autorizzati ad accedere al database IAM. È necessario essere mappati a uno schema di database globale per poter accedere al database. Per ulteriori informazioni sul mapping degli utenti del database globale agli utenti e ai gruppi IAM, vedere Authenticating and Authorizing IAM Users for Oracle DBaaS Databases in Oracle Database Security Guide.

Sicurezza con password

Gli amministratori IAM possono imporre livelli di accesso di sicurezza aggiuntivi abilitando l'autorizzazione a più fattori prima che un utente possa accedere a una password di database in IAM. Vedere Authenticating and Authorizing IAM Users for Oracle DBaaS Databases in Oracle Database Security Guide per ulteriori informazioni su come gli utenti IAM eseguono l'autenticazione e l'autorizzazione ai database OCI.

Creazione di una password del database IAM

Puoi gestire la password del tuo database IAM con la console, inclusa la creazione, la modifica e l'eliminazione.

La creazione di una password per il database IAM segue le stesse regole della creazione di una password della console, ad eccezione del fatto che il carattere virgolette (") non è consentito nella password del database IAM. Per informazioni sulle regole per la creazione delle password della console, vedere Informazioni sulle regole dei criteri delle password.

Per creare una password del database IAM personale, vedere Per creare una password del database IAM.

Modifica della password di un database IAM

Gestisce la password del database IAM.

Puoi gestire la password del tuo database IAM con la console, inclusa la creazione, la modifica e l'eliminazione. Per modificare una password esistente, eliminare la password esistente e aggiungerne una nuova. Vedere Per modificare una password del database IAM.

Eliminazione di una password del database IAM

Gestione della password del database IAM.

Puoi gestire la password del tuo database IAM con la console, inclusa la creazione, la modifica e l'eliminazione. Per eliminare la password del database IAM, vedere Per eliminare una password del database IAM.

Lockout password database IAM

L'account di un utente viene bloccato se l'utente incontra 10 tentativi consecutivi di accesso non riuscito.

Gli utenti del database IAM e della console vengono bloccati dopo 10 tentativi consecutivi di accesso non riusciti (totale per entrambe le password). Solo un amministratore IAM può sbloccare l'account utente.

  • Se non si riesce a collegarsi a IAM o al database dopo 10 tentativi consecutivi (totale per entrambi), l'account viene bloccato e non è possibile connettersi al database o alla console.
  • Quando si è bloccati, un amministratore IAM deve sbloccare in modo esplicito l'account.
  • IAM non supporta lo sblocco automatico.
  • Il conteggio dei login non riusciti viene registrato a livello centrale in tutte le aree di un realm. I login non riusciti vengono registrati nell'area di origine e replicati nelle aree sottoscritte.

Tentativi di login non riusciti

Utilizzo dei nomi utente del database IAM

Puoi gestire il tuo nome utente del database IAM con la console, inclusa la creazione, la modifica e l'eliminazione.

Potrebbe essere necessario modificare il nome utente del database:

  • Se il nome utente è troppo lungo o difficile da digitare
  • Per semplificare l'accesso con un nome utente che non include caratteri speciali e può essere più breve

Negli argomenti riportati di seguito viene descritto come gestire un nome utente del database IAM.