Credenziali utente
Esistono diversi tipi di credenziali che gestisci con Oracle Cloud Infrastructure Identity and Access Management (IAM):
- Password console: per accedere alla console, l'interfaccia utente per l'interazione con Oracle Cloud Infrastructure. Tenere presente che gli utenti federati non possono avere password console perché si collegano tramite il proprio provider di identità. Vedere Federazione con provider di identità.
- Chiave di firma API (in formato PEM): per l'invio di richieste API che richiedono l'autenticazione.
- Token di autenticazione: un token generato da Oracle che è possibile utilizzare per l'autenticazione con API di terze parti. Ad esempio, utilizzare un token di autenticazione per eseguire l'autenticazione con un client Swift quando si utilizza Recovery Manager (RMAN) per eseguire il backup di un database del sistema Oracle Database (sistema DB) nello storage degli oggetti.
- Chiavi segrete del cliente: per l'utilizzo dell'API di compatibilità Amazon S3 con lo storage degli oggetti. Vedere API di compatibilità Amazon S3.
- Credenziali client OAuth 2.0: per l'interazione con le API di quei servizi che utilizzano l'autorizzazione OAuth 2.0. Vedere Credenziali client OAuth 2.0.
- Credenziali SMTP: per l'utilizzo della panoramica del servizio di consegna tramite e-mail.
- Password database IAM: gli utenti possono creare e gestire la password del database nel proprio profilo utente IAM e utilizzare tale password per eseguire l'autenticazione ai database nella propria tenancy. Vedere Password database IAM.
Le chiavi di firma API sono diverse dalle chiavi SSH utilizzate per accedere a un'istanza di computazione (vedere Istanze di computazione). Per ulteriori informazioni sulle chiavi di firma API, vedere Chiavi e OCID richiesti. Per ulteriori informazioni sulle chiavi SSH dell'istanza, vedere Gestione delle coppie di chiavi.
Password utente
L'amministratore che crea un nuovo utente in IAM deve anche generare una password della console monouso per l'utente (vedere Per creare o reimpostare la password della console di un altro utente). L'amministratore deve consegnare in modo sicuro la password all'utente fornendola verbalmente, stampandola o inviandola tramite un servizio di posta elettronica sicuro.
Quando l'utente accede alla console per la prima volta, verrà immediatamente richiesto di modificare la password. Se l'utente attende più di 7 giorni per accedere e modificare la password inizialmente, scadrà e un amministratore dovrà creare una nuova password monouso per l'utente.
Una volta eseguito correttamente il login alla console, l'utente può utilizzare le risorse Oracle Cloud Infrastructure in base alle autorizzazioni concesse tramite i criteri.
Un utente ha automaticamente la possibilità di modificare la propria password nella console. Un amministratore non deve creare un criterio per concedere a un utente tale possibilità.
Modifica di una password
Se un utente desidera modificare la propria password a volte dopo la modifica della password iniziale una tantum, può farlo nella console. Tenere presente che un utente può modificare automaticamente la propria password; un amministratore non deve creare un criterio per fornire all'utente tale possibilità.
Per ulteriori informazioni, vedere Per modificare la password della console.
Se un utente ha bisogno di reimpostare la password della console
Se un utente dimentica la password della console e non ha accesso all'API, può utilizzare il collegamento Password dimenticata della console per ricevere una password temporanea. Questa opzione è disponibile se l'utente ha un indirizzo e-mail nel proprio profilo utente.
Se l'utente non dispone di un indirizzo e-mail nel proprio profilo utente, deve chiedere a un amministratore di reimpostare la password. Tutti gli amministratori e tutti gli altri che dispongono dell'autorizzazione per la tenancy possono reimpostare le password della console. Il processo di reimpostazione della password genera una nuova password monouso che l'amministratore deve consegnare all'utente. L'utente dovrà modificare la password al successivo accesso alla console.
Se si è amministratori che devono reimpostare la password della console di un utente, vedere Per creare o reimpostare la password della console di un altro utente.
Se un utente è bloccato dall'accesso alla console
Se un utente tenta 10 volte di fila di accedere alla console senza successo, verrà automaticamente bloccato da ulteriori tentativi. Dovranno contattare un amministratore per essere sbloccati (vedere Per sbloccare un utente).
Chiavi di firma API
Un utente che deve effettuare richieste API deve avere una chiave pubblica RSA in formato PEM (minimo 2048 bit) aggiunta al proprio profilo utente IAM e firmare le richieste API con la chiave privata corrispondente (vedere Chiavi e OCID richiesti).
Un utente può generare e gestire automaticamente le proprie chiavi API nella console o nell'API. Un amministratore non deve scrivere un criterio per offrire all'utente tale possibilità. Tenere presente che un utente non può utilizzare l'API per modificare o eliminare le proprie credenziali finché non salva una chiave nella console oppure un amministratore aggiunge una chiave per tale utente nella console o nell'API.
Se si dispone di un sistema non umano che deve effettuare richieste API, un amministratore deve creare un utente per tale sistema e quindi aggiungere una chiave pubblica al servizio IAM per il sistema. Non è necessario generare una password della console per l'utente.
Per istruzioni sulla generazione di una chiave API, vedere Per aggiungere una chiave di firma API.
Credenziali client OAuth 2.0
OAuth Le credenziali client 2.0 non sono disponibili nel cloud del governo del Regno Unito (OC4).
Le credenziali client OAuth 2.0 sono necessarie per interagire a livello di programmazione con i servizi che utilizzano il protocollo di autorizzazione OAuth 2.0. Le credenziali consentono di ottenere un token sicuro per accedere a tali endpoint API REST del servizio. Le azioni e gli endpoint consentiti concessi dal token dipendono dagli ambiti (autorizzazioni) selezionati quando si generano le credenziali. Per ulteriori informazioni, vedere Utilizzo delle credenziali client OAuth 2.0.
Token di autenticazione
I token di autenticazione sono token di autenticazione generati da Oracle. I token di autenticazione vengono utilizzati per l'autenticazione con API di terze parti che non supportano l'autenticazione basata sulla firma di Oracle Cloud Infrastructure, ad esempio l'API Swift. Se il servizio richiede un token di autenticazione, la documentazione specifica del servizio indica all'utente di generarne uno e come utilizzarlo.
Password database IAM
Gestisci la panoramica delle password del database IAM.
panoramica
Una password del database IAM è diversa da una password della console. L'impostazione di una password per il database IAM consente a un utente IAM autorizzato di collegarsi a uno o più Autonomous Database nella propria tenancy.
La centralizzazione della gestione degli account utente in IAM migliora la sicurezza e riduce notevolmente la necessità per gli amministratori di database di gestire gli utenti che si uniscono, si spostano all'interno e lasciano un'organizzazione (nota anche come gestione del ciclo di vita degli utenti). Gli utenti possono impostare una password di database in IAM e utilizzarla per eseguire l'autenticazione quando eseguono il login ai database Oracle configurati in modo appropriato nella propria tenancy.
Facile da usare
Gli utenti finali del database possono continuare a utilizzare i client e gli strumenti di database supportati esistenti per accedere al database. Tuttavia, invece di utilizzare il nome utente e la password del database locale, utilizzano il nome utente IAM e la password del database IAM. Puoi accedere alle password del database gestite tramite il tuo profilo OCI solo dopo aver eseguito correttamente l'autenticazione in OCI. Ciò significa che gli amministratori possono creare un ulteriore livello di protezione prima che gli utenti possano accedere o gestire la password del database. Possono applicare l'autenticazione a più fattori sulla password della console utilizzando, ad esempio, l'autenticatore FIDO o le notifiche push tramite le applicazioni di autenticazione.
Funzioni supportate
Le password del database IAM supportano l'associazione di una password del database direttamente a un utente IAM. Dopo aver impostato la password di un database in IAM, è possibile utilizzarla per collegarsi al database IAM nella tenancy, se si è autorizzati ad accedere al database IAM. Per poter accedere al database, è necessario essere mappati a uno schema di database globale. Per ulteriori informazioni sul mapping degli utenti del database globale agli utenti e ai gruppi IAM, vedere Authenticating and Authorizing IAM Users for Oracle DBaaS Databases in Oracle Database Security Guide.
Sicurezza con password
Gli amministratori IAM possono imporre livelli di accesso di sicurezza aggiuntivi abilitando l'autorizzazione con più fattori prima che un utente possa accedere a una password di database in IAM. Vedere Authenticating and Authorizing IAM Users for Oracle DBaaS Databases nel manuale Oracle Database Security Guide per ulteriori informazioni su come gli utenti IAM autenticano e autorizzano i database OCI.
Puoi gestire la tua password del database IAM con la console, inclusa la creazione, la modifica e l'eliminazione.
La creazione di una password del database IAM segue le stesse regole della creazione di una password della console, ad eccezione del fatto che il carattere virgolette (") non è consentito nella password del database IAM. Per informazioni sulle regole per la creazione delle password della console, vedere Informazioni sulle regole dei criteri delle password.
Per creare una password per il database IAM personalizzata, vedere Per creare una password per il database IAM.
Gestita la password del database IAM personale.
Puoi gestire la tua password del database IAM con la console, inclusa la creazione, la modifica e l'eliminazione. Per modificare una password esistente, eliminare la password esistente e aggiungere la nuova password. Vedere Per modificare la password di un database IAM.
Gestire la password del database IAM.
Puoi gestire la tua password del database IAM con la console, inclusa la creazione, la modifica e l'eliminazione. Per eliminare la password del database IAM, vedere Per eliminare una password del database IAM.
Lockout password database IAM
L'account di un utente viene bloccato se l'utente incontra 10 tentativi di accesso non riusciti consecutivi.
Gli utenti del database IAM e della console vengono bloccati dopo 10 tentativi consecutivi di accesso non riusciti (totale per entrambe le password). Solo un amministratore IAM può sbloccare l'account utente.
- Se non riesci ad accedere a IAM o al database dopo 10 tentativi consecutivi (il totale per entrambi), l'account viene bloccato e non puoi collegarti al database o alla console.
- Quando si è bloccati, un amministratore IAM deve sbloccare l'account in modo esplicito.
- IAM non supporta lo sblocco automatico.
- Il conteggio dei login non riusciti viene tracciato centralmente in tutte le aree di un realm. I login non riusciti vengono registrati nell'area di origine e replicati nelle rispettive aree sottoscritte.
Tentativi di login non riusciti
Utilizzo dei nomi utente del database IAM
Puoi gestire il tuo nome utente del database IAM con la console, inclusa la creazione, la modifica e l'eliminazione.
Potrebbe essere necessario modificare il nome utente del database:
- Se il nome utente è troppo lungo o difficile da digitare
- Per semplificare l'accesso con un nome utente che non include caratteri speciali e può essere più breve
Gli argomenti riportati di seguito spiegano come gestire un nome utente del database IAM.