Documentazione di Oracle Cloud Infrastructure

Gestione delle credenziali utente

Questo argomento descrive le nozioni di base per l'utilizzo delle credenziali utente di Oracle Cloud Infrastructure Identity and Access Management (IAM). Se non si conosce già le credenziali disponibili, vedere Credenziali utente.

Utilizzo delle password della console e delle chiavi API

Ogni utente può modificare o reimpostare automaticamente la propria password della console, nonché gestire le proprie chiavi API. Un amministratore non ha bisogno di creare un criterio per dare a un utente tali abilità.
Nota

Gli utenti federati potrebbero dover creare un criterio per modificare le chiavi API. Ad esempio, gli utenti di cui è stato eseguito il provisioning tramite SCIM.

Per gestire le credenziali per utenti diversi da se stessi, è necessario appartenere al gruppo Administrators o a un altro gruppo che dispone dell'autorizzazione per utilizzare la tenancy. L'autorizzazione a utilizzare un compartimento all'interno della tenancy non è sufficiente. Per ulteriori informazioni, vedere Gruppo e criterio di amministratori.

Gli amministratori IAM (o chiunque disponga dell'autorizzazione per la tenancy) possono utilizzare la console o l'interfaccia API per gestire tutti gli aspetti di entrambi i tipi di credenziali, per se stessi e per tutti gli altri utenti. Ciò include la creazione di una password iniziale una tantum per un nuovo utente, la reimpostazione di una password, il caricamento di chiavi API ed l'eliminazione di chiavi API.

Gli utenti che non sono amministratori possono gestire le proprie credenziali. Nella console è possibile:

  • Modificare o reimpostare la propria password.
  • Carica una chiave API nella console per uso personale ed elimina anche le proprie chiavi API.

E con l'API, gli utenti possono:

  • Reimpostare la propria password con CreateOrResetUIPassword.
  • Caricare una chiave API aggiuntiva nel servizio IAM per uso personale con UploadApiKey ed eliminare anche le proprie chiavi API con DeleteApiKey. Tenere presente che un utente non può utilizzare l'interfaccia API per modificare o eliminare le proprie credenziali finché non carica una chiave nella console oppure un amministratore carica una chiave per l'utente nella console o nell'interfaccia API.

Un utente può avere al massimo tre chiavi API alla volta.

Utilizzo dei token di autenticazione

Nota

I "token di autenticazione" erano precedentemente denominati "password Swift". Le password Swift create sono ora elencate nella console come token di autenticazione. Sarà possibile continuare a usare le password esistenti.

I token di autenticazione sono stringhe di token generate da Oracle che è possibile utilizzare per l'autenticazione con API di terze parti che non supportano l'autenticazione basata sulla firma di Oracle Cloud Infrastructure. Ogni utente creato nel servizio IAM ha automaticamente la possibilità di creare, aggiornare ed eliminare i propri token di autenticazione nella console o nell'API. Un amministratore non ha bisogno di creare un criterio per dare a un utente tali abilità. Gli amministratori (o chiunque disponga dell'autorizzazione per la tenancy) possono anche gestire i token di autenticazione per altri utenti.

Tenere presente che non è possibile modificare il token di autenticazione in una stringa di propria scelta. Il token è sempre una stringa generata da Oracle.

I token di autenticazione non scadono. Ogni utente può avere fino a due token di autenticazione alla volta. Per ottenere un token di autenticazione nella console, vedere Per creare un token di autenticazione.

Utilizzo di un token di autenticazione con Swift

Swift è il servizio dell'area di memorizzazione degli oggetti OpenStack. Se si dispone già di un client Swift esistente, è possibile utilizzarlo con Recovery Manager (RMAN) per eseguire il backup di un database del sistema Oracle Database (sistema DB) nello storage degli oggetti. Sarà necessario ottenere un token di autenticazione da utilizzare come password Swift. Quando si accede al client Swift, fornire quanto segue:

  • Login utente alla console di Oracle Cloud Infrastructure
  • Token di autenticazione specifico di Swift, fornito da Oracle
  • Nome tenant Oracle dell'organizzazione

Qualsiasi utente di un client Swift che si integra con lo storage degli oggetti deve disporre dell'autorizzazione per lavorare con il servizio. Se non si è sicuri di disporre dell'autorizzazione, contattare l'amministratore. Per informazioni sui criteri, vedere Funzionamento dei criteri. Per i criteri di base che consentono l'uso dello storage degli oggetti, vedere Criteri comuni.

Utilizzo delle chiavi segrete cliente

Nota

"Chiavi segrete del cliente" in precedenza erano denominate "Chiavi API di compatibilità Amazon S3". Tutte le chiavi create vengono ora elencate nella console come chiavi segrete del cliente. Sarà possibile continuare a usare le chiavi esistenti.

Object Storage fornisce un'API per abilitare l'interoperabilità con Amazon S3. Per utilizzare questa API di compatibilità Amazon S3, è necessario generare la chiave di firma necessaria per eseguire l'autenticazione con Amazon S3. Questa chiave di firma speciale è una coppia chiave di accesso/chiave segreta. Oracle fornisce la chiave di accesso associata al login utente della console. L'utente o l'amministratore genera la chiave segreta del cliente da associare alla chiave di accesso.

Ogni utente creato nel servizio IAM ha automaticamente la possibilità di creare, aggiornare ed eliminare le proprie chiavi segrete cliente nella console o nell'API. Un amministratore non ha bisogno di creare un criterio per dare a un utente tali abilità. Gli amministratori (o chiunque disponga dell'autorizzazione per la tenancy) possono anche gestire le chiavi segrete del cliente per altri utenti.

Qualsiasi utente dell'API di compatibilità Amazon S3 con lo storage degli oggetti deve disporre dell'autorizzazione per utilizzare il servizio. Se non si è sicuri di disporre dell'autorizzazione, contattare l'amministratore. Per informazioni sui criteri, vedere Funzionamento dei criteri. Per i criteri di base che consentono l'uso dello storage degli oggetti, vedere Criteri comuni.

Le chiavi segrete cliente non scadono. Ogni utente può avere fino a due chiavi segrete del cliente alla volta. Per creare le chiavi mediante la console, vedere Per creare una chiave segreta del cliente.

Utilizzo delle credenziali client OAuth 2.0

Nota

OAuth Le credenziali client 2.0 non sono disponibili nel cloud del governo del Regno Unito (OC4).
Le credenziali client OAuth 2.0 sono necessarie per interagire a livello di programmazione con i servizi che utilizzano il protocollo di autorizzazione OAuth 2.0. Le credenziali consentono di ottenere un token sicuro per accedere a tali endpoint API REST del servizio. Le azioni e gli endpoint consentiti concessi dal token dipendono dagli ambiti (autorizzazioni) selezionati quando si generano le credenziali. Di seguito sono riportati i servizi che utilizzano il protocollo OAuth 2.0.
  • Oracle Analytics Cloud
  • Oracle Integration

Un token di accesso OAuth 2.0 è valido per 3600 secondi (1 ora).

Per creare le credenziali, è necessario conoscere la risorsa e l'ambito del servizio. In genere, è possibile selezionarle da un elenco a discesa. Tuttavia, se le informazioni non sono disponibili nell'elenco, è possibile immettere manualmente la risorsa e l'ambito. L'ambito definisce le autorizzazioni consentite per il token, quindi assicurarsi di impostare l'ambito al livello di accesso minimo richiesto.

Un utente può creare le credenziali per se stesso oppure un amministratore può creare le credenziali per un altro utente. Gli elenchi delle risorse e degli ambiti disponibili visualizzano solo le risorse e i livelli di autorizzazione a cui l'utente ha ottenuto l'accesso.

Limiti delle credenziali client OAuth 2.0

Ogni utente può avere fino a 10 credenziali client OAuth 2.0. Puoi aumentare questo limite richiedendo un aumento del limite del servizio.

Ogni credenziale client OAuth 2.0 può avere fino a 10 ambiti.

Recupero di un token di accesso OAuth 2.0

Per ottenere il token, utilizzare le credenziali in una richiesta per l'endpoint del servizio token OAuth2 come indicato di seguito.

  1. Creare le credenziali client OAuth 2.0. Vedere Per creare le credenziali del client OAuth 2.0.

    Dopo aver creato la credenziale client OAuth 2.0, tenere presenti le informazioni riportate di seguito.

    • Il segreto generato
    • OCID della credenziale client OAuth 2.0
    • Ambito e audience (ambito completamente qualificato)
  2. Utilizzando le informazioni del passo precedente, effettuare una richiesta sull'endpoint /oauth2/token per ottenere un token come indicato di seguito.
    curl -k -X POST -H "Content-Type: application/x-www-form-urlencoded;charset=UTF-8" --user '<Oauth 2.0 client credential OCID>:<credential secret>'  https://auth.<oci_region>.oraclecloud.com/oauth2/token -d 'grant_type=client_credentials&scope=<audience>-<scope>'

Dove:

  • <Oauth 2.0 client credential OCID>:<credential secret> è l'OCID della credenziale client OAuth 2.0 creata unita tramite due punti (:) con il segreto generato per la credenziale. Si noti che questo segreto viene visualizzato solo al momento della generazione e deve essere copiato immediatamente. È possibile recuperare l'OCID dai dettagli della credenziale in qualsiasi momento.
  • https://auth.<oci_region>.oraclecloud.com/oauth2/token è l'endpoint di autorizzazione OAuth 2.0 di Oracle Cloud Infrastructure in cui <OCI_region> è un'area a cui è sottoscritta la tenancy. Ad esempio, us-ashburn-1.
  • <scope>-<audience> è l'ambito completamente qualificato, ovvero l'ambito e l'audience uniti da un trattino (-). L'ambito e l'audience sono disponibili nella pagina dei dettagli della credenziale.

Richiesta di esempio:

curl -k -X POST -H "Content-Type: application/x-www-form-urlencoded;charset=UTF-8" --user 'ocid1.credential.region1..aaaaaaexamplestringaapgpedxq:{SAMplESeCreta5y'  https://auth.us-ashburn-1.oraclecloud.com/oauth2/token -d 'grant_type=client_credentials&scope=https://2aexampley3uytc.analytics.ocp.oraclecloud.com-urn:opc:resource:consumer::all'

La risposta includerà il token. Risposta di esempio:

{
"access_token" : "eyJraWQiOiJhcDVfwqKdi...8lTILrzc4cof2A",
"token_type" : "Bearer",
"expires_in" : "3600"
}

La stringa del token viene troncata nella risposta di esempio. Copiare l'intera stringa access_token (tra virgolette) come mostrato nella risposta.

Utilizzo del token OAuth 2.0 in una richiesta

Dopo aver ottenuto un token di accesso OAuth 2.0, fornire il token in un'intestazione token bearer della richiesta API REST.

Ad esempio:

curl -i -X GET -H "Authorization: Bearer <token-string>" "https://<audience>/<rest-endpoint-path>"

Cosa fare alla scadenza del token

Il token scade dopo 3600 secondi (1 ora). Alla scadenza del token, richiedere un nuovo token seguendo le istruzioni riportate in Recupero di un token di accesso OAuth 2.0.

Aggiunta di ambiti

È possibile aggiungere ambiti a una credenziale client OAuth 2.0 esistente per aggiungere l'accesso a più servizi con la stessa credenziale. Dopo aver aggiunto gli ambiti, non è necessario rigenerare il segreto.

Per richiedere un token per più ambiti, è possibile includere ulteriori ambiti in una richiesta di token aggiungendo 

&scope=<scope>-<<audience>

all'argomento finale della richiesta e specificando l'ambito e l'audience per l'ambito che si desidera aggiungere.

Utilizzo delle credenziali SMTP

Per inviare e-mail tramite il servizio di consegna tramite e-mail sono necessarie credenziali SMTP (Simple Mail Transfer Protocol). Ogni utente è limitato a un massimo di due credenziali SMTP. Se sono necessari più di due, devono essere generati su altri utenti esistenti o devono essere creati altri utenti.

Nota

Non è possibile modificare il nome utente o la password SMTP in una stringa di propria scelta. Le credenziali sono sempre stringhe generate da Oracle.

Ogni utente creato nel servizio IAM ha automaticamente la possibilità di creare ed eliminare le proprie credenziali SMTP nella console o nell'API. Un amministratore non ha bisogno di creare un criterio per dare a un utente tali abilità. Gli amministratori (o chiunque disponga dell'autorizzazione per la tenancy) possono anche gestire le credenziali SMTP per altri utenti.

Suggerimento

Sebbene ciascun utente possa creare ed eliminare le proprie credenziali, è consigliabile creare un nuovo utente e generare credenziali SMTP in questo utente anziché generare credenziali SMTP nell'utente della console a cui sono già state assegnate autorizzazioni.

Le credenziali SMTP non scadono. Ogni utente può avere fino a due credenziali alla volta. Per ottenere le credenziali SMTP nella console, vedere Per generare le credenziali SMTP.

Per informazioni sull'uso del servizio di consegna e-mail, consulta la panoramica del servizio di consegna e-mail.

Utilizzo dei nomi utente e delle password del database IAM

Più facile da usare

Gli utenti finali del database possono utilizzare facilmente le password del database IAM perché possono continuare a utilizzare un metodo di autenticazione noto per accedere al database. Puoi accedere alle password del database gestite tramite il tuo profilo OCI dopo aver eseguito correttamente l'autenticazione in OCI.

Prima che gli utenti possano accedere o gestire la password del database, gli amministratori IAM possono creare un ulteriore livello di protezione applicando l'autenticazione con più fattori utilizzando la funzione Gestione dell'autenticazione con più fattori. Ad esempio, può trattarsi di un autenticatore FIDO o di un'operazione di push delle notifiche tramite le applicazioni di autenticazione.

Sicurezza password database IAM

L'uso dei nomi utente del database IAM e delle password del database IAM per accedere ai database migliora la sicurezza perché consentono agli amministratori IAM di gestire centralmente gli utenti e l'accesso degli utenti alle password del database all'interno di IAM invece che localmente in ogni database. Quando un utente lascia un'organizzazione, il proprio account IAM viene sospeso e, pertanto, il relativo accesso a tutti i database viene sospeso automaticamente. Questo metodo rimuove la possibilità di lasciare account non autorizzati sui database server dopo che un utente se ne è andato. Per ulteriori informazioni, vedere Password database IAM. Per informazioni su come gli utenti IAM autenticano e autorizzano i database OCI, consultare il Oracle Security Guide, capitolo 7.

Nomi utente database IAM

Se il nome utente del database IAM OCI ha una lunghezza superiore a 128 byte, è necessario impostare un nome utente e una password del database diversi inferiori a 128 byte. IAM applica l'univocità dei nomi utente del database all'interno di una tenancy. Il nome utente del database non fa distinzione tra maiuscole e minuscole e contiene gli stessi caratteri consentiti per un nome utente IAM (lettere ASCII, numeri, trattini, punti, caratteri di sottolineatura, + e @)). Questo è più restrittivo dei nomi utente del database locale, che sono regolati dal set di caratteri del database. Per ulteriori informazioni, vedere Nomi e qualificatori degli oggetti di database.

Per creare, modificare ed eliminare i nomi utente del database IAM, vedere Utilizzo dei nomi utente del database IAM.

Nomi utente database IAM alternativi

È possibile creare un nome utente del database IAM alternativo che contenga solo lettere e numeri, non includa caratteri speciali e possa essere più breve dei normali nomi utente del database IAM.

È possibile creare un nome utente del database IAM alternativo:

  • Se il nome utente è troppo lungo o difficile da digitare
  • Per semplificare l'accesso con un nome utente che non include caratteri speciali

Specifiche password database IAM

La complessità delle password del database IAM utilizza quasi le stesse regole supportate in IAM per le password della console (senza virgolette doppie ["] nelle password IAM). Per i dettagli, vedere Creazione di una password per il database IAM.

Blocco login non riuscito

Per informazioni sui login non riusciti, vedere Blocchi password del database IAM.

Rollover password

Le applicazioni hanno una password in un wallet o in un altro meccanismo sicuro e nel database. Quando si modifica una password di database, è necessario modificare anche la password nel wallet dell'applicazione. In genere, questa operazione viene eseguita durante il periodo di inattività dell'applicazione. Tuttavia, avere una seconda password consente di modificare le password senza tempi di inattività dell'applicazione. Poiché entrambe le password sono utilizzabili, l'amministratore dell'applicazione può scambiare le password nei file del wallet dell'applicazione a suo piacimento e può rimuovere la vecchia password da IAM in un secondo momento. Questo è indipendente dallo stato di rollover graduale della password del database nel database. Il database riflette ancora lo stato aperto, ovvero non aperto e in fase di rinnovo.

Utilizzo di Console

Per modificare la password della console

Viene richiesto di modificare la password iniziale una tantum la prima volta che si accede alla console. La procedura riportata di seguito consente di modificare di nuovo la password in un secondo momento.

Nota

Per utenti federati

Se l'azienda utilizza un provider di identità (diverso da Oracle Identity Cloud Service) per gestire i login e le password degli utenti, non è possibile utilizzare la console per aggiornare la password. Lo si fa con il proprio provider di identità.

  1. Collegarsi alla console utilizzando il nome utente e la password di Oracle Cloud Infrastructure.

  2. Dopo aver eseguito l'accesso, selezionare il menu Profilo Icona menu Profilo nel lato superiore destro della barra di navigazione nella parte superiore della pagina, quindi selezionare Modifica password.

  3. Immettere la password corrente.
  4. Immettere la nuova password nei campi Nuova password e Conferma nuova password, quindi selezionare Salva nuova password.
Per creare o ripristinare la password della console di un altro utente

Gli amministratori possono utilizzare la procedura riportata di seguito per creare o reimpostare la password di un utente. La procedura genera una nuova password monouso che l'utente deve modificare al successivo accesso alla console.

  1. Visualizzare i dettagli dell'utente: selezionare il nome del dominio di Identity in cui si desidera lavorare. Potrebbe essere necessario modificare il compartimento per trovare il dominio desiderato. Selezionare quindi Users. Individuare l'utente nell'elenco, quindi selezionare il nome dell'utente per visualizzare i dettagli.

  2. Selezionare Crea/Reimposta password.

    Verrà visualizzata la nuova password monouso. Gli amministratori che eseguono il task per un altro utente devono consegnare la nuova password all'utente in modo sicuro. All'utente verrà richiesto di modificare la password al successivo accesso alla console. Se non vengono modificate entro 7 giorni, la password scadrà e sarà necessario creare una nuova password monouso per l'utente.

Per reimpostare la password se l'hai dimenticata

Se si dispone di un indirizzo e-mail nel profilo utente, è possibile utilizzare il collegamento Password dimenticata nella pagina Collega per ricevere una password temporanea. Se non si dispone di un indirizzo e-mail nel profilo utente, è necessario chiedere a un amministratore di reimpostare la password.

Per sbloccare un utente

Gli amministratori possono sbloccare un utente che ha provato 10 volte di fila a collegarsi alla console senza successo. Vedere Per sbloccare un utente.

Per aggiungere una chiave di firma API

Puoi utilizzare la console per generare automaticamente la coppia di chiavi privata/pubblica. Se hai già una coppia di chiavi, puoi scegliere di caricare la chiave pubblica. Quando si utilizza la console per aggiungere la coppia di chiavi, la console genera automaticamente uno snippet di anteprima del file di configurazione.

Le procedure seguenti possono essere utilizzate da un utente regolare o da un amministratore. Gli amministratori possono gestire le chiavi API per un altro utente o per se stessi.

Informazioni sullo snippet del file di configurazione

Quando si utilizza la console per aggiungere la coppia di chiavi di firma API, viene generato uno snippet di anteprima del file di configurazione con le informazioni riportate di seguito:

  • user: OCID dell'utente per il quale viene aggiunta la coppia di chiavi.
  • fingerprint: l'impronta della chiave appena aggiunta.
  • tenancy: OCID della propria tenancy.
  • region: l'area selezionata al momento nella console.
  • key_file: il percorso del file di chiavi private scaricato. Questo valore deve essere aggiornato con il percorso del file system in cui è stato salvato il file di chiavi private.

Se il file di configurazione dispone già di un profilo DEFAULT, è necessario eseguire una delle seguenti operazioni:

  • Sostituire il profilo esistente e il relativo contenuto.
  • Rinominare il profilo esistente.
  • Rinominare questo profilo con un nome diverso dopo averlo incollato nel file di configurazione.

È possibile copiare questo snippet nel file di configurazione per iniziare. Se non si dispone già di un file di configurazione, vedere File di configurazione SDK e CLI per dettagli su come crearne uno. Puoi anche recuperare lo snippet del file di configurazione in un secondo momento per una chiave di firma API ogni volta che ne hai bisogno. Vedere: Per ottenere lo snippet del file di configurazione per una chiave di firma API.

Per generare una coppia di chiavi di firma API

Prerequisito: prima di generare una coppia di chiavi, creare la directory .oci nella directory home per memorizzare le credenziali. Per ulteriori informazioni, vedere File di configurazione SDK e CLI.

  1. Visualizza i dettagli dell'utente:
    • Se si sta aggiungendo una chiave API per si: nel menu di navigazione , selezionare il menu Profilo Icona menu Profilo, quindi selezionare Impostazioni utente o Profilo personale, a seconda dell'opzione visualizzata.
    • Se si è amministratori che aggiungono una chiave API per un altro utente: aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Utenti. Individuare l'utente nella lista, quindi fare clic sul nome dell'utente per visualizzare i dettagli.
  2. Fare clic su Aggiungi chiave API.
  3. Nella finestra di dialogo selezionare Generate API Key Pair.

  4. Fare clic su Scarica chiave privata e salvare la chiave nella directory .oci. Nella maggior parte dei casi, non è necessario scaricare la chiave pubblica.

    Nota: se il browser scarica la chiave privata in un'altra directory, spostarla nella directory .oci.

  5. Fare clic su Aggiungi.

    La chiave viene aggiunta e viene visualizzata l'anteprima del file di configurazione. Lo snippet di file include i parametri e i valori necessari per creare il file di configurazione. Copiare e incollare lo snippet del file di configurazione dalla casella di testo nel file ~/.oci/config file. Se questo file non è stato ancora creato, vedere File di configurazione SDK e CLI per informazioni dettagliate sulla creazione di un file.

    Dopo aver incollato il contenuto del file, sarà necessario aggiornare il parametro key_file nella posizione in cui è stato salvato il file di chiavi private.

    Se il file di configurazione dispone già di un profilo DEFAULT, è necessario eseguire una delle seguenti operazioni:
    • Sostituire il profilo esistente e il relativo contenuto.
    • Rinominare il profilo esistente.
    • Rinominare questo profilo con un nome diverso dopo averlo incollato nel file di configurazione.
  6. Aggiornare le autorizzazioni per il file di chiavi private scaricato in modo che solo l'utente possa visualizzarlo:
    1. Andare alla directory .oci in cui è stato posizionato il file di chiavi private.
    2. Utilizzare il comando chmod go-rwx ~/.oci/<oci_api_keyfile>.pem per impostare le autorizzazioni per il file.
Per caricare o incollare una chiave API

Prerequisito: è stata generata una chiave RSA pubblica in formato PEM (minimo 2048 bit). Il formato PEM è simile al seguente:

-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAoTFqF...
...
-----END PUBLIC KEY——
 OCI_PRIVATE_KEY

Si consiglia di includere un'etichetta alla fine della chiave. Ad esempio, OCI_PRIVATE_KEY.

  1. Visualizza i dettagli dell'utente:
    • Se si sta aggiungendo una chiave API per si: nel menu di navigazione , selezionare il menu Profilo Icona menu Profilo, quindi selezionare Impostazioni utente o Profilo personale, a seconda dell'opzione visualizzata.
    • Se si è amministratori che aggiungono una chiave API per un altro utente: aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Utenti. Individuare l'utente nella lista, quindi fare clic sul nome dell'utente per visualizzare i dettagli.
  2. Fare clic su Aggiungi chiave API.
  3. Nella finestra di dialogo, selezionare Scegli file chiave pubblica per caricare il file oppure Incolla chiave pubblica, se si preferisce incollarlo in una casella di testo
  4. Fare clic su Aggiungi.

    La chiave viene aggiunta e viene visualizzata l'anteprima del file di configurazione. Lo snippet di file include i parametri e i valori necessari per creare il file di configurazione. Copiare e incollare lo snippet del file di configurazione dalla casella di testo nel file ~/.oci/config file. Se questo file non è stato ancora creato, vedere File di configurazione SDK e CLI per informazioni dettagliate sulla creazione di un file.

    Dopo aver incollato il contenuto del file, sarà necessario aggiornare il parametro key_file nella posizione in cui è stato salvato il file di chiavi private.

    Se il file di configurazione dispone già di un profilo DEFAULT, è necessario eseguire una delle seguenti operazioni:

    • Sostituire il profilo esistente e il relativo contenuto.
    • Rinominare il profilo esistente.
    • Rinominare questo profilo con un nome diverso dopo averlo incollato nel file di configurazione.
Per ottenere lo snippet del file di configurazione per una chiave di firma API
La procedura riportata di seguito è adatta a un utente normale o a un amministratore.
  1. Visualizza i dettagli dell'utente:
    • Se si sta ottenendo uno snippet del file di configurazione della chiave API per si: nel menu di navigazione , selezionare il menu Profilo Icona menu Profilo, quindi selezionare Impostazioni utente o Profilo personale, a seconda dell'opzione visualizzata.
    • Se si è amministratori che ottengono uno snippet di file di configurazione della chiave API per un altro utente: aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Utenti. Individuare l'utente nella lista, quindi fare clic sul nome dell'utente per visualizzare i dettagli.
  2. Sul lato sinistro della pagina, fare clic su Chiavi API. Viene visualizzato l'elenco delle impronte digitali della chiave API.
  3. Fare clic sul menu Azioni (tre punti) per l'impronta digitale e selezionare Visualizza file di configurazione.

    Viene visualizzata l'anteprima file di configurazione. Lo snippet di file include i parametri e i valori necessari per creare il file di configurazione. Copiare e incollare lo snippet del file di configurazione dalla casella di testo nel file ~/.oci/config file. Se questo file non è stato ancora creato, vedere File di configurazione SDK e CLI per informazioni dettagliate sulla creazione di un file. Dopo aver incollato il contenuto del file, sarà necessario aggiornare il parametro key_file nella posizione in cui è stato salvato il file di chiavi private.

    Se il file di configurazione dispone già di un profilo DEFAULT, è necessario eseguire una delle seguenti operazioni:
    • Sostituire il profilo esistente e il relativo contenuto.
    • Rinominare il profilo esistente.
    • Rinominare questo profilo con un nome diverso dopo averlo incollato nel file di configurazione.
Per eliminare una chiave di firma API
La procedura riportata di seguito è adatta a un utente normale o a un amministratore. Gli amministratori possono eliminare una chiave API per un altro utente o per se stessi.
  1. Visualizza i dettagli dell'utente:
    • Se si sta eliminando una chiave API per si: nel menu di navigazione , selezionare il menu Profilo Icona menu Profilo, quindi selezionare Impostazioni utente o Profilo personale, a seconda dell'opzione visualizzata.
    • Se si è amministratori che eliminano una chiave API per un altro utente, aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Utenti. Individuare l'utente nell'elenco, quindi selezionare il nome dell'utente per visualizzare i dettagli.
  2. Selezionare Chiavi API.
  3. Selezionare il menu Azioni (tre punti) per la chiave API che si desidera eliminare, quindi selezionare Elimina.
  4. Confermare quando richiesto.
La API Key non è più valida per inviare richieste API.
Come creare un token di autenticazione
  1. Visualizza i dettagli dell'utente:
    • Se si sta creando un token di autenticazione per se stessi: nel menu di navigazione selezionare il menu Profilo Icona menu Profilo, quindi selezionare Impostazioni utente o Profilo personale, a seconda dell'opzione visualizzata.
    • Se si è amministratori che creano un token di autenticazione per un altro utente, aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Utenti. Individuare l'utente nell'elenco, quindi selezionare il nome dell'utente per visualizzare i dettagli.
  2. Sul lato sinistro della pagina, selezionare Token di autenticazione.
  3. Selezionare Genera token.
  4. Immettere una descrizione che indichi a cosa si riferisce questo token, ad esempio "Swift password token".

  5. Selezionare Genera token.

    Viene visualizzata la nuova stringa di token.

  6. Copiare immediatamente la stringa di token perché non è possibile recuperarla di nuovo dopo aver chiuso la finestra di dialogo.

Se sei un amministratore che crea un token di autenticazione per un altro utente, devi consegnarlo in modo sicuro all'utente fornendolo verbalmente, stampandolo o inviandolo tramite un servizio di posta elettronica sicuro.

Come eliminare un token di autenticazione

La procedura riportata di seguito è adatta a un utente normale o a un amministratore. Gli amministratori possono eliminare un token di autenticazione per un altro utente o per se stessi.

  1. Visualizza i dettagli dell'utente:
    • Se si sta eliminando un token di autenticazione per se stessi: nel menu di navigazione , selezionare il menu Profilo Icona menu Profilo, quindi selezionare Impostazioni utente o Profilo personale, a seconda dell'opzione visualizzata.
    • Se si è amministratori che eliminano un token di autenticazione per un altro utente, aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Utenti. Individuare l'utente nell'elenco, quindi selezionare il nome dell'utente per visualizzare i dettagli.
  2. Sul lato sinistro della pagina, selezionare Token di autenticazione.
  3. Per il token di autenticazione che si desidera eliminare, selezionare Elimina.
  4. Confermare quando richiesto.

Il token di autenticazione non è più valido per l'accesso alle API di terze parti.

Per creare una chiave segreta del cliente
  1. Visualizza i dettagli dell'utente:
    • Se si sta creando una chiave segreta del cliente: nel menu di navigazione selezionare il menu Profilo Icona menu Profilo, quindi selezionare Impostazioni utente o Profilo personale, a seconda dell'opzione visualizzata.
    • Se si è amministratori che creano una chiave Segreto cliente per un altro utente, aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Utenti. Individuare l'utente nell'elenco, quindi selezionare il nome dell'utente per visualizzare i dettagli.

  2. Sul lato sinistro della pagina, selezionare Chiavi segrete cliente.

    Una chiave segreta del cliente è costituita da una coppia chiave di accesso/chiave segreta. Oracle genera automaticamente la chiave di accesso quando l'utente o l'amministratore genera la chiave segreta per creare la chiave segreta del cliente.

  3. Selezionare Generate Secret Key.

  4. Immettere una descrizione descrittiva per la chiave e selezionare Genera chiave segreta.

    La chiave segreta generata viene visualizzata nella finestra di dialogo Genera chiave segreta. Allo stesso tempo, Oracle genera la chiave di accesso associata alla chiave segreta. La chiave segreta del cliente appena generata viene aggiunta all'elenco delle chiavi segrete del cliente.

  5. Copiare immediatamente la chiave segreta perché non è possibile recuperare di nuovo la chiave segreta dopo aver chiuso la finestra di dialogo per motivi di sicurezza.

    Se sei un amministratore che crea una chiave segreta per un altro utente, devi consegnarla in modo sicuro all'utente fornendola verbalmente, stampandola o inviandola tramite un servizio di posta elettronica sicuro.

  6. Selezionare Chiudi.
  7. Per mostrare o copiare la chiave di accesso, selezionare l'azione Mostra o Copia a sinistra del nome di una determinata chiave segreta del cliente.
Per eliminare una chiave segreta del cliente

La procedura riportata di seguito è adatta a un utente normale o a un amministratore. Gli amministratori possono eliminare una chiave segreta del cliente per un altro utente o per se stessi.

  1. Visualizza i dettagli dell'utente:
    • Se si sta eliminando una chiave segreta del cliente per si: nel menu di navigazione , selezionare il menu Profilo Icona menu Profilo, quindi selezionare Impostazioni utente o Profilo personale, a seconda dell'opzione visualizzata.
    • Se si è amministratori che eliminano una chiave del segreto cliente per un altro utente: aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Utenti. Individuare l'utente nell'elenco, quindi selezionare il nome dell'utente per visualizzare i dettagli.
  2. Sul lato sinistro della pagina, selezionare Chiavi segrete cliente.
  3. Per la chiave segreta del cliente che si desidera eliminare, selezionare Elimina.
  4. Confermare quando richiesto.

La chiave del segreto cliente non è più disponibile per l'utilizzo con l'API di compatibilità Amazon S3.

Per creare le credenziali del client OAuth 2.0
Nota

Le credenziali client OAuth 2.0 non sono disponibili nei regni riportati di seguito.
  • il settore commerciale (OC1)
  • il cloud per il governo del Regno Unito (OC4)
  1. Visualizza i dettagli dell'utente:
    • Se si sta creando una credenziale client OAuth 2.0 per se stessi: nel menu di navigazione selezionare il menu Profilo Icona menu Profilo, quindi selezionare Impostazioni utente o Profilo personale, a seconda dell'opzione visualizzata.
    • Per gli amministratori che creano una credenziale client OAuth 2.0 per un altro utente, aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Utenti. Individuare l'utente nell'elenco, quindi selezionare il nome dell'utente per visualizzare i dettagli.

  2. Sul lato sinistro della pagina, selezionare OAuth 2.0 Credenziali client.

  3. Selezionare Genera credenziali client OAuth 2.0.

  4. Selezionare Nome, quindi immettere un nome per questa credenziale.

  5. Selezionare Titolo, quindi immettere una descrizione per questa credenziale.

  6. Aggiungere l'URI per i servizi OAuth 2.0 ai quali le credenziali forniranno l'accesso.

    Per selezionare una coppia audience-ambito:
    1. In Destinatari, immettere l'URI per i servizi OAuth 2.0.
    2. Selezionare quindi l'ambito per questa credenziale. Selezionare sempre i privilegi minimi richiesti.
  7. Per aggiungere ulteriori autorizzazioni a questa credenziale, selezionare + Altro ambito e seguire le istruzioni del passo precedente.
  8. Selezionare Genera. La nuova stringa segreta viene generata.

    Copiare immediatamente la stringa di token perché non è possibile recuperarla di nuovo dopo aver chiuso la finestra di dialogo.

    Gli amministratori che creano una chiave segreta per un altro utente devono consegnarla in modo sicuro all'utente.

Per la richiesta di token sono necessarie le seguenti informazioni dalle credenziali:

  • Il segreto generato
  • OCID della credenziale client OAuth 2.0
  • Ambito e audience (ambito completamente qualificato)
Per aggiungere ambiti a una credenziale client OAuth 2.0 esistente
  1. Visualizza i dettagli dell'utente:
    • Se si sta creando una credenziale client OAuth 2.0 per se stessi: nel menu di navigazione selezionare il menu Profilo Icona menu Profilo, quindi selezionare Impostazioni utente o Profilo personale, a seconda dell'opzione visualizzata.
    • Per gli amministratori che creano una credenziale client OAuth 2.0 per un altro utente, aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Utenti. Individuare l'utente nell'elenco, quindi selezionare il nome dell'utente per visualizzare i dettagli.

  2. Sul lato sinistro della pagina, selezionare OAuth 2.0 Credenziali client.

  3. Selezionare il nome della credenziale a cui si desidera aggiungere gli ambiti.
  4. Selezionare Aggiungi ambiti.

  5. Aggiungere l'URI per i servizi OAuth 2.0 ai quali si desidera aggiungere l'accesso.

    Per selezionare una coppia risorsa-ambito
    1. Selezionare l'opzione Selezionare una coppia risorsa-ambito.
    2. Nell'elenco Risorsa vengono visualizzate le risorse che si dispone dell'autorizzazione per visualizzare. Selezionare la risorsa per la quale si desidera aggiungere le credenziali. Dopo aver selezionato la risorsa, il campo Audience viene popolato automaticamente.
    3. Selezionare quindi l'ambito per questa credenziale. Selezionare sempre i privilegi minimi richiesti.
    Per immettere un ambito completamente qualificato:
    1. Selezionare l'opzione Immetti ambito completamente qualificato.
    2. Immettere l'Audience e l'Ambito per questa credenziale.
  6. Per aggiungere ulteriori autorizzazioni a questa credenziale, selezionare + Altro ambito e seguire le istruzioni del passo precedente.
  7. Selezionare Salva modifiche.
Per rigenerare il segreto delle credenziali client OAuth 2.0

IMPORTANTE: quando si rigenera il segreto per una credenziale, alle richieste effettuate con il segreto precedente verrà negato l'accesso agli ambiti di destinazione.

  1. Visualizza i dettagli dell'utente:
    • Se si sta creando una credenziale client OAuth 2.0 per se stessi: nel menu di navigazione selezionare il menu Profilo Icona menu Profilo, quindi selezionare Impostazioni utente o Profilo personale, a seconda dell'opzione visualizzata.
    • Per gli amministratori che creano una credenziale client OAuth 2.0 per un altro utente, aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Utenti. Individuare l'utente nell'elenco, quindi selezionare il nome dell'utente per visualizzare i dettagli.

  2. Sul lato sinistro della pagina, selezionare OAuth 2.0 Credenziali client.

  3. Selezionare il nome della credenziale per la quale si desidera rigenerare il segreto.
  4. Selezionare Aggiungi ambiti.
  5. Selezionare Genera segreto.
  6. Confermare la finestra di dialogo di avvertenza e selezionare Rigenera segreto.
  7. Copiare immediatamente la stringa di token perché non è possibile recuperarla di nuovo dopo aver chiuso la finestra di dialogo.

Assicurarsi di aggiornare le richieste di token esistenti con la nuova stringa segreta.

Per eliminare una credenziale client OAuth 2.0

La procedura riportata di seguito è adatta a un utente normale o a un amministratore. Gli amministratori possono eliminare un token di autenticazione per un altro utente o per se stessi.

  1. Visualizza i dettagli dell'utente:
    • Se si sta eliminando una credenziale client OAuth 2.0 per se stessi: nel menu di navigazione , selezionare il menu Profilo Icona menu Profilo, quindi selezionare Impostazioni utente o Profilo personale, a seconda dell'opzione visualizzata.
    • Se si è amministratori che eliminano un token di autenticazione per un altro utente, aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Utenti. Individuare l'utente nell'elenco, quindi selezionare il nome dell'utente per visualizzare i dettagli.
  2. Sul lato sinistro della pagina, selezionare OAuth 2.0 Credenziali client.
  3. Per le credenziali client OAuth 2.0 da eliminare, selezionare Elimina.
  4. Confermare quando richiesto.

La credenziale client OAuth 2.0 non è più disponibile per l'uso.

Per generare le credenziali SMTP
  1. Visualizza i dettagli dell'utente:
    • Se si generano credenziali SMTP per si: nel menu di navigazione , selezionare il menu Profilo Icona menu Profilo, quindi selezionare Impostazioni utente o Profilo personale, a seconda dell'opzione visualizzata.
    • Se si è amministratori che generano le credenziali SMTP per un altro utente, aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Utenti. Individuare l'utente nella lista, quindi fare clic sul nome dell'utente per visualizzare i dettagli.
  2. Fare clic su Credenziali SMTP.

  3. Fare clic su Genera credenziali SMTP.

  4. Immettere una descrizione delle credenziali SMTP nella finestra di dialogo.
  5. Fare clic su Genera credenziali SMTP. Vengono visualizzati un nome utente e una password.

  6. Copiare il nome utente e la password per i propri record e fare clic su Chiudi. Copiare immediatamente le credenziali perché non è possibile recuperare di nuovo la password dopo aver chiuso la finestra di dialogo per motivi di sicurezza.

    Gli amministratori che creano il set di credenziali per un altro utente devono consegnarlo in modo sicuro all'utente fornendolo verbalmente, stampandolo o inviandolo tramite un servizio di posta elettronica sicuro.

Per eliminare le credenziali SMTP

La procedura riportata di seguito è adatta a un utente normale o a un amministratore. Gli amministratori possono eliminare le credenziali SMTP per un altro utente o per se stessi.

  1. Visualizza i dettagli dell'utente:
    • Se si stanno eliminando le credenziali SMTP per si: nel menu di navigazione , selezionare il menu Profilo Icona menu Profilo, quindi selezionare Impostazioni utente o Profilo personale, a seconda dell'opzione visualizzata.
    • Se si è amministratori che eliminano le credenziali SMTP per un altro utente, aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Utenti. Individuare l'utente nell'elenco, quindi selezionare il nome dell'utente per visualizzare i dettagli.
  2. Sul lato sinistro della pagina, selezionare Credenziali SMTP.
  3. Per le credenziali SMTP che si desidera eliminare, selezionare Elimina.
  4. Confermare quando richiesto.

Le credenziali SMTP non sono più disponibili per l'uso con il servizio di consegna tramite e-mail.

Per creare una password del database IAM

Utilizzare la console per creare una password del database.

È possibile creare una password del database IAM per soddisfare le istruzioni di creazione delle password di Oracle Database. Per le specifiche della password del database IAM, vedere Creazione di una password del database IAM.

  1. Eseguire il login alla console IAM OCI.
  2. Nell'angolo in alto a destra della finestra, selezionare l'icona del profilo per visualizzare la pagina del profilo utente.
  3. Selezionare il proprio nome utente nella pagina del profilo utente.
  4. In Risorse, selezionare Password database.
  5. Nella sezione Password database selezionare Crea password database.

    Viene visualizzata la finestra di dialogo Crea password database.

  6. Immettere una descrizione della password.
  7. Prendere nota delle linee guida e delle limitazioni relative alle password elencate nella pagina. Per ulteriori informazioni sulle regole relative alle password, vedere Creazione di una password del database IAM.
  8. Selezionare Crea password del database.

    La finestra di dialogo si chiude e la descrizione per la quale è stata creata una password viene visualizzata nella sezione Password del database.

Per modificare la password di un database IAM

Utilizzare la console per modificare la password di un database.

Per modificare la password del database IAM, eliminare la password corrente e crearne una nuova. Vedere Per eliminare una password del database IAM e Per creare una password del database IAM.

Per eliminare una password di database IAM

È possibile eliminare la password del database IAM personale.

  1. Eseguire il login alla console IAM OCI.
  2. Nell'angolo in alto a destra della finestra, selezionare l'icona del profilo per visualizzare la pagina del profilo utente.
  3. Selezionare il proprio nome utente nella pagina del profilo utente.
  4. In Risorse, selezionare Password database.
  5. Il nome utente viene visualizzato nella sezione Password database.
  6. All'estremità destra della riga con il proprio nome utente, selezionare il menu a tre punti, quindi selezionare Elimina.
Per creare un nome utente del database IAM

Utilizzare la console per creare un nome utente del database.

Per modificare il nome utente del database IAM:

  1. Eseguire il login alla console IAM OCI.
  2. Selezionare Identità e sicurezza.
  3. Selezionare Utenti nella sezione Identità.
  4. Nella tabella degli utenti del database, selezionare Crea utente.
  5. Nel campo Nome, immettere il nome utente del database. Immettere solo lettere, numeri, trattini, punti, caratteri di sottolineatura, segno più (+) e simbolo @. Non è possibile utilizzare spazi nel nome.
  6. Nel campo Descrizione, è possibile immettere il nome del database a cui si riferisce il nome utente o qualsiasi altra informazione pertinente.
  7. Se si desidera, selezionare Opzioni avanzate per visualizzare la finestra di dialogo Tag.
  8. Immettere un nome tag nei campi Spazio di nomi tag, Chiave tag e Valore.
  9. Selezionare Salva modifiche.
Per modificare il nome utente di un database IAM

Utilizzare la console per modificare il nome utente di un database.

Per modificare il nome utente del database IAM:

  1. Eseguire il login alla console IAM OCI.
  2. Selezionare Identità e sicurezza.
  3. Selezionare Utenti nella sezione Identità.
  4. Nella tabella degli utenti del database individuare il nome utente del database e selezionarlo a sinistra.

    Viene visualizzata la pagina del nome utente.

  5. Selezionare Modifica utente.
  6. Nel campo Descrizione, modificare il nome utente del database e selezionare Salva modifiche.
Per eliminare un nome utente del database IAM

Utilizzare la console per eliminare un nome utente del database.

Per modificare il nome utente del database IAM:

  1. Eseguire il login alla console IAM OCI.
  2. Selezionare Identità e sicurezza.
  3. Selezionare Utenti nella sezione Identità.
  4. Nella tabella degli utenti del database individuare il nome utente del database e selezionarlo a sinistra.

    Viene visualizzata la pagina del nome utente.

  5. All'estremità destra della riga che contiene il nome utente, selezionare il menu a tre punti, quindi selezionare Elimina.

Uso dell'API

Per informazioni sull'uso dell'API e delle richieste di firma, consulta la documentazione dell'API REST e le credenziali di sicurezza. Per informazioni sugli SDK, vedere SDK e l'interfaccia CLI.

Utilizzare questa operazione API per gestire le password e l'accesso della console:

  • CreateOrResetUIPassword: questa operazione genera una nuova password della console monouso per l'utente. Alla successiva connessione dell'utente alla console verrà richiesto di modificare la password.
  • UpdateUserState: sblocca un utente che ha tentato di accedere 10 volte di seguito senza successo.

Utilizzare le seguenti operazioni API per gestire le chiavi di firma API:

Utilizzare le operazioni API riportate di seguito per gestire i token di autenticazione.

Utilizzare le seguenti operazioni API per gestire le chiavi segrete del cliente:

Utilizzare le operazioni API riportate di seguito per gestire le credenziali client OAuth 2.0.

Utilizzare le seguenti operazioni API per gestire le credenziali SMTP: