Gestione degli utenti
Questo argomento descrive le nozioni di base sull'utilizzo degli utenti.
Se la tenancy è federata con Oracle Identity Cloud Service, vedere Gestione degli utenti e dei gruppi di Oracle Identity Cloud Service nella console di Oracle Cloud Infrastructure per gestire gli utenti.
Criterio IAM necessario
Se si fa parte del gruppo Administrators, si dispone dell'accesso necessario per la gestione degli utenti.
- È possibile creare un criterio che consente a un utente di creare nuovi utenti e credenziali, ma non di controllare i gruppi in cui si trovano. Vedere Consenti all'help desk di gestire gli utenti.
Se non si conoscono i criteri, vedere Guida introduttiva ai criteri e Criteri comuni. Se si desidera approfondire la scrittura dei criteri per gli utenti o altri componenti IAM, vedere Dettagli per IAM senza domini di Identity.
Applicazione di tag alle risorse
Applica tag alle risorse per organizzarle in base alle tue esigenze aziendali. È possibile applicare tag quando si crea una risorsa ed è possibile aggiornare una risorsa in un secondo momento per aggiungere, rivedere o rimuovere tag. Per informazioni generali sull'applicazione dei tag, vedere Tag risorsa.
Gestione degli utenti
Durante la creazione di un utente, è necessario specificare un nome univoco e immodificabile per l'utente. Il nome deve essere univoco tra tutti gli utenti all'interno della tenancy. Questo nome indica il login dell'utente alla console. Potrebbe essere necessario utilizzare un nome già utilizzato dal sistema di identità dell'azienda (ad esempio, Active Directory, LDAP e così via). È inoltre necessario fornire all'utente una descrizione (anche se può essere una stringa vuota), che è una descrizione non univoca e modificabile per l'utente. Questo valore potrebbe essere il nome completo dell'utente, uno pseudonimo o altre informazioni descrittive. Oracle assegna inoltre all'utente un ID univoco denominato OCID (Oracle Cloud ID). Per ulteriori informazioni, vedere Identificativi risorse.
Se si elimina un utente e quindi si crea un nuovo utente con lo stesso nome, i due utenti vengono considerati utenti diversi, perché dispongono di OCID diversi.
Oracle consiglia di fornire un indirizzo di posta elettronica di recupero della password per l'utente. Se l'utente dimentica la password, può richiedere l'invio di una password temporanea utilizzando il collegamento Password dimenticata nella pagina di accesso. Se non è presente alcun indirizzo e-mail per l'utente, un amministratore deve intervenire per reimpostare la password.
Un nuovo utente non dispone delle autorizzazioni finché non si posiziona l'utente in uno o più gruppi e almeno un criterio non concede a tale gruppo l'autorizzazione per la tenancy o per un compartimento. Eccezione: ogni utente può gestire le proprie credenziali per le quali è stato abilitato. Un amministratore non ha bisogno di creare un criterio per dare a un utente tale capacità. Per ulteriori informazioni, vedere Credenziali utente.
Dopo aver creato un utente e averlo inserito in un gruppo, informare i compartimenti a cui hanno accesso.
Devi anche fornire al nuovo utente alcune credenziali in modo che possa accedere a Oracle Cloud Infrastructure. Un utente può disporre di una o entrambe le credenziali riportate di seguito, a seconda del tipo di accesso di cui ha bisogno: una password per l'utilizzo della console e una chiave di firma API per l'utilizzo dell'API.
Informazioni sulle capacità degli utenti
Per accedere a Oracle Cloud Infrastructure, un utente deve disporre delle credenziali richieste. Gli utenti che devono utilizzare la console devono disporre di una password. Gli utenti che hanno bisogno di accedere tramite l'API hanno bisogno di API key. Alcune funzioni del servizio richiedono credenziali aggiuntive, come token di autenticazione, credenziali SMTP e chiavi API di compatibilità Amazon S3. Affinché un utente possa ottenere queste credenziali, all'utente deve essere concessa la possibilità di avere il tipo di credenziale.
Gli amministratori gestiscono le funzionalità utente nei dettagli utente. Ogni utente può visualizzare le proprie capacità, ma solo un amministratore può abilitare o disabilitare tali funzionalità. Le funzionalità utente sono:
- Può utilizzare la password della console (solo utenti nativi)
- Può usare le chiavi API
- Può usare i token di autenticazione
- Può usare le credenziali SMTP
- Può usare le chiavi segrete cliente
Per impostazione predefinita, tutte queste funzionalità sono abilitate quando si creano utenti, consentendo agli utenti di creare queste credenziali per se stessi. Per informazioni sull'utilizzo delle credenziali utente, vedere Gestione delle credenziali utente.
Abilitazione dell'autenticazione con più fattori per un utente
Per informazioni dettagliate, vedere Gestione dell'autenticazione a più fattori.
Connessione alla console
Gli utenti creati mediante questa procedura vengono creati in IAM e talvolta vengono definiti "utenti locali". Se la tenancy è federata con un altro provider di identità (ad esempio Oracle Identity Cloud Service, Azure AD o Okta), nella pagina di connessione alla console vengono visualizzate due opzioni per l'accesso. Gli utenti locali creati in IAM utilizzano l'opzione Oracle Cloud Infrastructure per eseguire l'accesso, come mostrato nell'immagine seguente:
Se la tenancy non è federata, si dispone di un'unica opzione di connessione.
Come tenere traccia delle attività di accesso recenti
La pagina di elenco Utenti visualizza informazioni che consentono agli amministratori di determinare se gli account utente sono attivi. Il campo Ultima connessione registrata mostra la data e l'ora dell'ultima connessione dell'utente a Oracle Cloud Infrastructure mediante la console o utilizzando Oracle DB integrato con IAM. Per i login alla console, l'indicatore data/ora è l'ultimo login alla console. Per gli accessi che utilizzano Oracle DB integrati con IAM, gli indicatori orari possono avere un buffer fino a 15 minuti dall'ultima connessione registrata. Questo campo viene visualizzato solo nella vista elenco di tutti gli utenti e non nella pagina dei dettagli del singolo utente.
Questo campo tiene traccia solo degli accessi dalla console o da Oracle DB integrati con IAM. Se un utente accede a Oracle Cloud Infrastructure tramite altri metodi di accesso (ad esempio, tramite l'SDK), tali accessi non vengono tracciati.
Collegamento di un utente a un account My Oracle Support
Per inoltrare le richieste di supporto direttamente dalla console, ciascun utente deve collegare il proprio account utente IAM al proprio account My Oracle Support (MOS). È necessario completare questo passaggio solo una volta. Per istruzioni, vedere Per collegare un utente al proprio account My Oracle Support.
Requisiti indispensabili
- Prima di poter creare questo collegamento, un utente deve impostare un account nel Supporto Oracle Cloud personale. Per informazioni sull'impostazione di un account Supporto Oracle Cloud personale, vedere Creazione di un account Oracle Single Sign On (SSO).
Sblocco di un utente dopo tentativi di accesso non riusciti
Se un utente tenta di accedere alla console 10 volte di fila senza successo, viene bloccato da ulteriori tentativi di accesso. Un amministratore può sbloccare l'utente nella console (vedere Per sbloccare un utente) o con l'operazione API UpdateUserState.
Eliminazione di un utente
È possibile eliminare un utente, ma solo se l'utente non è membro di alcun gruppo.
Limiti per gli utenti
Per informazioni sul numero di utenti possibile, vedere Limiti per servizio.
Uso della console
- Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Utenti. Viene visualizzata una lista di utenti nella tenancy.
- Selezionare Crea utente.
- Inserire quanto segue:
- Nome: un nome o un indirizzo e-mail univoco per l'utente. Per suggerimenti sul valore da utilizzare, vedere Utilizzo degli utenti. Il nome deve essere univoco per tutti gli utenti nella tenancy. Impossibile modificare questo valore in un secondo momento. Il nome deve soddisfare i requisiti riportati di seguito. Nessuno spazio. Solo lettere latine base (ASCII), numeri, trattini, punti, caratteri di sottolineatura, + e @.
- Descrizione: questo valore può essere il nome completo dell'utente, uno pseudonimo o altre informazioni descrittive. È possibile modificare questo valore in un secondo momento.
Posta elettronica: immettere l'indirizzo di posta elettronica dell'utente. Questo indirizzo di posta elettronica viene utilizzato per recuperare la password. L'indirizzo e-mail deve essere univoco nella tenancy.
Se l'utente dimentica la password, può selezionare Password dimenticata nella pagina di accesso e viene generata e inviata una password temporanea all'indirizzo e-mail fornito qui. L'utente o un amministratore può anche aggiornare l'indirizzo di posta elettronica in un secondo momento.
- Tag: se si dispone delle autorizzazioni per creare una risorsa, si dispone anche delle autorizzazioni per applicare tag in formato libero a tale risorsa. Per applicare una tag defined, è necessario disporre delle autorizzazioni per utilizzare la tag namespace. Per ulteriori informazioni sull'applicazione di tag, vedere Tag risorsa. Se non sei sicuro di applicare i tag, salta questa opzione o chiedi a un amministratore. È possibile applicare le tag in un secondo momento.
- Selezionare Crea.
Successivamente, è necessario concedere le autorizzazioni utente aggiungendole ad almeno un gruppo. È inoltre necessario fornire all'utente le credenziali necessarie (vedere Gestione delle credenziali utente).
- Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Utenti. Viene visualizzata una lista di utenti nella tenancy.
- Individuare l'utente nell'elenco.
- Fare clic sull'utente. Vengono visualizzati i dettagli dell'utente.
- Fare clic su Gruppi.
- Fare clic su Aggiungi utente a gruppo.
- Selezionare il gruppo dall'elenco a discesa, quindi fare clic su Aggiungi.
Comunicare all'utente a quali compartimenti ha accesso.
- Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Utenti. Viene visualizzata una lista di utenti nella tenancy.
- Individuare l'utente nell'elenco.
- Selezionare l'utente. Vengono visualizzati i dettagli dell'utente.
- Selezionare Gruppi.
- Selezionare il menu , quindi selezionare Rimuovi.
- Confermare quando richiesto.
Prerequisito: per eliminare un utente, l'utente non deve trovarsi in alcun gruppo.
- Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Utenti. Viene visualizzata una lista di utenti nella tenancy.
- Per l'utente da eliminare, selezionare Elimina.
- Confermare quando richiesto.
Gli amministratori possono utilizzare la procedura riportata di seguito per sbloccare un utente che ha tentato di accedere alla console 10 volte di seguito senza successo.
- Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Utenti. Viene visualizzata una lista di utenti nella tenancy.
- Selezionare l'utente. Vengono visualizzati i dettagli dell'utente, incluso lo stato corrente.
- Selezionare Sblocca.
- Confermare quando richiesto.
- Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Utenti. Viene visualizzata una lista di utenti nella tenancy.
- Selezionare l'utente che si desidera aggiornare. Vengono visualizzati i dettagli dell'utente. La descrizione viene visualizzata sotto il login dell'utente.
- Selezionare la matita accanto alla descrizione.
- Modificare la descrizione e salvarla.
- Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Utenti. Viene visualizzata una lista di utenti nella tenancy.
- Selezionare l'utente che si desidera aggiornare. Vengono visualizzati i dettagli dell'utente.
- In Informazioni utente, selezionare la matita accanto a E-mail.
- Immettere l'indirizzo e-mail e selezionare l'icona Salva. L'indirizzo e-mail deve essere univoco nella tenancy.
Gli amministratori possono modificare le funzionalità utente.
- Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Utenti. Viene visualizzata una lista di utenti nella tenancy.
- Fare clic sull'utente per visualizzarne i dettagli.
- Fare clic su Modifica capacità utente.
- Selezionare o deselezionare la casella di controllo per aggiungere o rimuovere una funzionalità.
- Fare clic su Salva.
Importante: assicurarsi di soddisfare i prerequisiti prima di collegare l'account. Vedere Collegamento di un utente a un account My Oracle Support.
- Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Utenti. Viene visualizzata una lista di utenti nella tenancy.
- Selezionare l'utente che si desidera aggiornare. Vengono visualizzati i dettagli dell'utente.
- Selezionare Collega account di supporto. Nella pagina di connessione dell'account Oracle viene richiesto di immettere le credenziali Oracle.
- Immettere il nome utente e la password dell'account del supporto Oracle che si desidera collegare a questo utente e selezionare Connetti. L'account utente IAM è collegato all'account del Supporto Oracle. L'indirizzo e-mail associato all'account di supporto viene visualizzato nei dettagli utente nel campo Account My Oracle Support.
- Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Utenti. Viene visualizzata una lista di utenti nella tenancy.
- Selezionare l'utente che si desidera aggiornare. Vengono visualizzati i dettagli dell'utente.
- Selezionare Scollega account di supporto.
- Nel prompt di conferma, selezionare Annulla collegamento.
Per informazioni sulla gestione delle credenziali utente nella console, vedere Gestione delle credenziali utente.
Utilizzo dell'API
Per informazioni sull'uso dell'API e sulle richieste di firma, consultare la documentazione relativa all'API REST e le credenziali di sicurezza. Per informazioni sugli SDK, vedere SDK e CLI.
Gli aggiornamenti non sono immediati in tutte le aree
Le risorse IAM risiedono nell'area di origine. Per applicare i criteri in tutte le aree, il servizio IAM replica le risorse in ogni area. Ogni volta che si crea o si modifica un criterio, un utente o un gruppo, le modifiche diventano effettive prima nell'area di origine e quindi vengono propagate alle altre aree. L'applicazione delle modifiche in tutte le aree può richiedere alcuni minuti. Si supponga, ad esempio, di disporre di un gruppo con autorizzazioni per avviare le istanze nella tenancy. Se si aggiunge UserA a questo gruppo, UserA è in grado di avviare le istanze nell'area di origine entro un minuto. Tuttavia, UserA non è in grado di avviare istanze in altre aree fino al completamento del processo di replica. Questo processo può richiedere fino a diversi minuti. Se UserA tenta di avviare un'istanza prima del completamento della replica, verrà visualizzato un errore non autorizzato.
Utilizza le seguenti operazioni API per gestire gli utenti:
- CreateUser
- ListUsers
- GetUser
- UpdateUserState: blocca un utente che ha tentato di eseguire l'accesso 10 volte di fila senza successo.
- UpdateUser: è possibile aggiornare la descrizione, l'e-mail e i tag dell'utente.
- UpdateUserCapabilities
- DeleteUser
- ListUserGroupMemberships: utilizzare questa operazione per ottenere una lista degli utenti di un gruppo o dei gruppi in cui si trova un utente.
- AddUserToGroup: questa operazione genera un oggetto
UserGroupMembershipcon il proprio OCID. - GetUserGroupMembership
- RemoveUserFromGroup: questa operazione elimina un oggetto
UserGroupMembership.
Per informazioni sulle operazioni API per la gestione delle credenziali utente, vedere Gestione delle credenziali utente.