Gestione degli utenti
In questo argomento vengono descritte le nozioni di base per l'utilizzo degli utenti.
Se la tenancy è federata con Oracle Identity Cloud Service, vedere Gestione degli utenti e dei gruppi di Oracle Identity Cloud Service nella console di Oracle Cloud Infrastructure per gestire gli utenti.
Criteri IAM necessari
Se si fa parte del gruppo Amministratori, si dispone dell'accesso necessario per la gestione degli utenti.
- È possibile creare un criterio che consenta a qualcuno di creare nuovi utenti e credenziali, ma non di controllare in quali gruppi si trovano tali utenti. Vedere Consenti all'help desk di gestire gli utenti.
Se non si ha familiarità con i criteri, vedere Introduzione ai criteri e Criteri comuni. Se si desidera approfondire la scrittura dei criteri per gli utenti o altri componenti IAM, vedere Dettagli per IAM senza domini di Identity.
Applicazione di tag alle risorse
Applica tag alle risorse per organizzarle in base alle esigenze aziendali. È possibile applicare le tag quando si crea una risorsa ed è possibile aggiornare una risorsa in un secondo momento per aggiungere, rivedere o rimuovere le tag. Per informazioni generali sull'applicazione delle tag, vedere Tag risorsa.
Gestione degli utenti
Quando si crea un utente, è necessario fornire un nome univoco e non modificabile per l'utente. Il nome deve essere univoco per tutti gli utenti all'interno della tenancy. Questo nome è il login dell'utente alla console. È possibile utilizzare un nome già utilizzato dal sistema di identità dell'azienda (ad esempio, Active Directory, LDAP e così via). È inoltre necessario fornire all'utente una descrizione (anche se può essere una stringa vuota), che è una descrizione non univoca e modificabile per l'utente. Questo valore può essere il nome completo dell'utente, uno pseudonimo o altre informazioni descrittive. Oracle assegna inoltre all'utente un ID univoco denominato OCID (Oracle Cloud ID). Per ulteriori informazioni, vedere Identificativi delle risorse.
Se si elimina un utente e quindi si crea un nuovo utente con lo stesso nome, i due utenti vengono considerati utenti diversi, poiché dispongono di OCID diversi.
Oracle consiglia di fornire un indirizzo di posta elettronica di recupero della password per l'utente. Se l'utente dimentica la password, può richiedere l'invio di una password temporanea utilizzando il collegamento Password dimenticata nella pagina di accesso. Se non è presente alcun indirizzo e-mail per l'utente, un amministratore deve intervenire per reimpostare la password.
Un nuovo utente non dispone di autorizzazioni finché non si inserisce l'utente in uno o più gruppi e almeno un criterio non concede a tale gruppo l'autorizzazione per la tenancy o per un compartimento. Eccezione: ogni utente può gestire le proprie credenziali per le quali è stato abilitato. Un amministratore non deve creare un criterio per concedere a un utente tale possibilità. Per ulteriori informazioni, vedere Credenziali utente.
Dopo aver creato un utente e averlo inserito in un gruppo, comunicargli a quali compartimenti ha accesso.
È inoltre necessario fornire al nuovo utente alcune credenziali in modo che possa accedere a Oracle Cloud Infrastructure. Un utente può avere una o entrambe le credenziali seguenti, a seconda del tipo di accesso di cui ha bisogno: una password per l'utilizzo della console e una chiave di firma API per l'utilizzo dell'interfaccia API.
Informazioni sulle capacità utente
Per accedere a Oracle Cloud Infrastructure, un utente deve disporre delle credenziali necessarie. Gli utenti che devono utilizzare la console devono avere una password. Gli utenti che hanno bisogno di accedere tramite l'API hanno bisogno di API key. Alcune funzioni del servizio richiedono credenziali aggiuntive, come token di autenticazione, credenziali SMTP e chiavi API di compatibilità Amazon S3. Affinché un utente possa ottenere queste credenziali, è necessario che all'utente sia concessa la possibilità di disporre del tipo di credenziale.
Gli amministratori gestiscono le funzionalità utente nei dettagli dell'utente. Ogni utente può visualizzare le proprie funzionalità, ma solo un amministratore può abilitare o disabilitare tali funzionalità. Di seguito sono riportate le funzionalità utente disponibili.
- È possibile utilizzare la password della console (solo utenti nativi)
- Può usare le API key
- Può usare i token di autenticazione
- Può usare le credenziali SMTP
- può usare le chiavi segrete cliente;
Per impostazione predefinita, tutte queste funzionalità sono abilitate quando si creano utenti e consentono agli utenti di creare queste credenziali per se stessi. Per informazioni sull'utilizzo delle credenziali utente, vedere Gestione delle credenziali utente.
Abilitazione dell'autenticazione con più fattori per un utente
Per ulteriori informazioni, vedere Gestione dell'autenticazione con più fattori.
Connessione alla console in corso
Gli utenti creati mediante questa procedura vengono creati in IAM e talvolta vengono definiti "utenti locali". Se la tenancy è federata con un altro provider di identità, ad esempio Oracle Identity Cloud Service, Azure AD o Okta, nella pagina di collegamento alla console vengono visualizzate due opzioni per l'accesso. Gli utenti locali creati in IAM utilizzano l'opzione Oracle Cloud Infrastructure per collegarsi, come mostrato nella seguente immagine:
Se la tenancy non è federata, si dispone di una sola opzione di accesso.
Come tenere traccia dell'attività di accesso recente
Nella pagina Elenco utenti vengono visualizzate informazioni che consentono agli amministratori di determinare se gli account utente sono attivi. Il campo Ultimo accesso registrato visualizza la data e l'ora dell'ultimo accesso dell'utente a Oracle Cloud Infrastructure mediante la console o l'utilizzo di Oracle DB integrato con IAM. Per gli accessi alla console, l'indicatore orario è l'ultimo accesso alla console. Per gli accessi che utilizzano Oracle DB integrato con IAM, gli indicatori orari possono avere un buffer fino a 15 minuti dall'ultimo accesso registrato. Questo campo viene visualizzato solo nella vista elenco di tutti gli utenti e non nella pagina dei dettagli dei singoli utenti.
Questo campo tiene traccia solo degli accessi dalla console o da Oracle DB integrato con IAM. Se un utente accede a Oracle Cloud Infrastructure tramite altri metodi di accesso (ad esempio, tramite l'SDK), tali accessi non vengono tracciati.
Collegamento di un utente a un account My Oracle Support
Per presentare le richieste di supporto direttamente dalla console, ogni utente deve collegare il proprio account utente IAM al proprio account MOS (My Oracle Support). È necessario completare questo passo una sola volta. Per istruzioni, vedere Per collegare un utente al proprio account My Oracle Support.
Prerequisiti
- Per poter creare questo collegamento, un utente deve impostare un account nel Supporto Oracle Cloud personale. Per informazioni sull'impostazione di un account My Oracle Cloud Support, vedere Creazione di un account Oracle Single Sign-On (SSO).
Sblocco di un utente dopo tentativi di accesso non riusciti
Se un utente tenta di accedere alla console 10 volte di seguito senza riuscirci, non potrà più effettuare ulteriori tentativi di accesso. Un amministratore può sbloccare l'utente nella console (vedere Per sbloccare un utente) o con l'operazione API UpdateUserState.
Eliminazione utente
È possibile eliminare un utente, ma solo se non è membro di alcun gruppo.
Limiti per gli utenti
Per informazioni sul numero di utenti che è possibile avere, vedere Limiti del servizio.
Utilizzo di Console
- Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Utenti. Viene visualizzata una lista di utenti nella tenancy.
- Selezionare Crea utente.
- Immettere quanto riportato di seguito.
- Nome: un nome o un indirizzo e-mail univoco per l'utente. Per suggerimenti sul valore da utilizzare, vedere Utilizzo degli utenti. Il nome deve essere univoco per tutti gli utenti della tenancy. Impossibile modificare questo valore in un secondo momento. Il nome deve soddisfare i requisiti riportati di seguito. Nessuno spazio. Solo lettere latine di base (ASCII), numeri, trattini, punti, caratteri di sottolineatura, + e @.
- Descrizione: questo valore può essere il nome completo dell'utente, uno pseudonimo o altre informazioni descrittive. Questo valore può essere modificato in seguito.
E-mail: immettere un indirizzo e-mail per l'utente. Questo indirizzo di posta elettronica viene utilizzato per il recupero della password. L'indirizzo e-mail deve essere univoco nella tenancy.
Se l'utente dimentica la password, può selezionare Password dimenticata nella pagina di accesso e una password temporanea viene generata e inviata all'indirizzo e-mail fornito qui. L'utente o un amministratore può anche aggiornare l'indirizzo di posta elettronica in un secondo momento.
- Tag: se si dispone delle autorizzazioni per creare una risorsa, si dispone anche delle autorizzazioni per applicare tag in formato libero a tale risorsa. Per applicare una tag defined, è necessario disporre delle autorizzazioni per utilizzare la tag namespace. Per ulteriori informazioni sull'applicazione di tag, vedere Tag risorsa. Se non si è certi di applicare le tag, saltare questa opzione o chiedere a un amministratore. È possibile applicare le tag in un secondo momento.
- Selezionare Crea.
Successivamente, è necessario concedere all'utente le autorizzazioni aggiungendole ad almeno un gruppo. È inoltre necessario fornire all'utente le credenziali necessarie (vedere Gestione delle credenziali utente).
- Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Utenti. Viene visualizzata una lista di utenti nella tenancy.
- Individuare l'utente nell'elenco.
- Fare clic sull'utente. Vengono visualizzati i dettagli dell'utente.
- Fare clic su Gruppi.
- Fare clic su Aggiungi utente a gruppo.
- Selezionare il gruppo dall'elenco a discesa, quindi fare clic su Aggiungi.
Comunicare all'utente a quali compartimenti ha accesso.
- Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Utenti. Viene visualizzata una lista di utenti nella tenancy.
- Individuare l'utente nell'elenco.
- Selezionare l'utente. Vengono visualizzati i dettagli dell'utente.
- Selezionare Gruppi.
- Selezionare il menu , quindi selezionare Rimuovi.
- Confermare quando richiesto.
Prerequisito: per eliminare un utente, l'utente non deve appartenere ad alcun gruppo.
- Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Utenti. Viene visualizzata una lista di utenti nella tenancy.
- Per l'utente da eliminare, selezionare Elimina.
- Confermare quando richiesto.
Gli amministratori possono utilizzare la procedura riportata di seguito per sbloccare un utente che ha tentato di accedere alla console 10 volte di seguito.
- Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Utenti. Viene visualizzata una lista di utenti nella tenancy.
- Selezionare l'utente. Vengono visualizzati i dettagli dell'utente, incluso lo stato corrente.
- Selezionare Unblock.
- Confermare quando richiesto.
- Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Utenti. Viene visualizzata una lista di utenti nella tenancy.
- Selezionare l'utente che si desidera aggiornare. Vengono visualizzati i dettagli dell'utente. La descrizione viene visualizzata sotto il login dell'utente.
- Selezionare la matita accanto alla descrizione.
- Modificare la descrizione e salvarla.
- Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Utenti. Viene visualizzata una lista di utenti nella tenancy.
- Selezionare l'utente che si desidera aggiornare. Vengono visualizzati i dettagli dell'utente.
- In Informazioni utente, selezionare la matita accanto a E-mail.
- Immettere l'indirizzo e-mail e selezionare l'icona Salva. L'indirizzo e-mail deve essere univoco nella tenancy.
Gli amministratori possono modificare le funzionalità utente.
- Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Utenti. Viene visualizzata una lista di utenti nella tenancy.
- Fare clic sull'utente per visualizzare i relativi dettagli.
- Fare clic su Modifica capacità utente.
- Selezionare o deselezionare la casella di controllo per aggiungere o rimuovere una capacità.
- Fare clic su Salva.
Importante: assicurarsi di soddisfare i prerequisiti prima di collegare l'account. Vedere Collegamento di un utente a un account My Oracle Support.
- Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Utenti. Viene visualizzata una lista di utenti nella tenancy.
- Selezionare l'utente che si desidera aggiornare. Vengono visualizzati i dettagli dell'utente.
- Selezionare Collega account di supporto. Nella pagina di accesso dell'account Oracle viene richiesto di immettere le credenziali Oracle.
- Immettere il nome utente e la password dell'account del Supporto Oracle da collegare a questo utente e selezionare Accedi. L'account utente IAM è collegato all'account del Supporto Oracle. L'indirizzo di posta elettronica associato all'account di supporto viene visualizzato nei dettagli utente nel campo Account My Oracle Support.
- Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Utenti. Viene visualizzata una lista di utenti nella tenancy.
- Selezionare l'utente che si desidera aggiornare. Vengono visualizzati i dettagli dell'utente.
- Selezionare Scollega account di supporto.
- Nel prompt di conferma, selezionare Scollega.
Per informazioni sulla gestione delle credenziali utente nella console, vedere Gestione delle credenziali utente.
Uso dell'API
Per informazioni sull'uso dell'API e delle richieste di firma, consulta la documentazione dell'API REST e le credenziali di sicurezza. Per informazioni sugli SDK, vedere SDK e l'interfaccia CLI.
Gli aggiornamenti non sono immediati in tutte le aree
Le risorse IAM risiedono nell'area di origine. Per applicare i criteri in tutte le aree, il servizio IAM replica le risorse in ogni area. Ogni volta che si crea o si modifica un criterio, un utente o un gruppo, le modifiche diventano effettive prima nell'area di origine, quindi vengono propagate nelle altre aree. L'entrata in vigore delle modifiche in tutte le aree può richiedere alcuni minuti. Ad esempio, si supponga di disporre di un gruppo con le autorizzazioni per avviare le istanze nella tenancy. Se si aggiunge UserA a questo gruppo, UserA sarà in grado di avviare le istanze nella propria area di origine entro un minuto. Tuttavia, UserA non è in grado di avviare istanze in altre aree fino al completamento del processo di replica. Questo processo può richiedere alcuni minuti. Se UserA tenta di avviare un'istanza prima del completamento della replica, verrà visualizzato un errore non autorizzato.
Utilizza le seguenti operazioni API per gestire gli utenti:
- CreateUser
- ListUsers
- GetUser
- UpdateUserState: sblocca un utente che ha tentato di accedere 10 volte di seguito senza successo.
- UpdateUser: è possibile aggiornare la descrizione, l'e-mail e le tag dell'utente.
- UpdateUserCapabilities
- DeleteUser
- ListUserGroupMemberships: utilizzare questa operazione per ottenere una lista degli utenti inclusi in un gruppo o dei gruppi in cui si trova un utente.
- AddUserToGroup: questa operazione restituisce un oggetto
UserGroupMembershipcon il proprio OCID. - GetUserGroupMembership
- RemoveUserFromGroup: questa operazione elimina un oggetto
UserGroupMembership.
Per informazioni sulle operazioni API per la gestione delle credenziali utente, vedere Gestione delle credenziali utente.