Panoramica di IAM

Oracle Cloud Infrastructure Identity and Access Management (IAM) utilizza le funzioni di gestione accessi e identità, come autenticazione, Single Sign-On (SSO) e gestione del ciclo di vita delle identità per Oracle Cloud, nonché per applicazioni Oracle e non, Oracle, in hosting sul cloud o in locale. SaaS Dipendenti, partner commerciali e clienti possono accedere alle applicazioni in qualsiasi momento, da qualsiasi luogo e su qualsiasi dispositivo in modo sicuro.

IAM si integra con le aree di memorizzazione delle identità esistenti, i provider di identità esterni e le applicazioni nel cloud e on premise per facilitare l'accesso per gli utenti finali. Offre la piattaforma di sicurezza per Oracle Cloud, che consente agli utenti di accedere, sviluppare e distribuire in modo sicuro e semplice applicazioni aziendali come Oracle Human Capital Management (HCM) e Oracle Sales Cloud, nonché servizi di piattaforma come Oracle Java Cloud Service, Oracle Business Intelligence (BI) Cloud Service e altri.

Gli amministratori e gli utenti possono utilizzare IAM per creare, gestire e utilizzare in modo efficace e sicuro un ambiente di gestione delle identità basato su cloud senza preoccuparsi di impostare i dettagli dell'infrastruttura o della piattaforma.

Suggerimento

Guarda una introduzione video al servizio.

Responsabilità cliente

È vostra responsabilità:

  • Comprendere i criteri, le configurazioni e gli artifact di Oracle Cloud Infrastructure Identity and Access Management (IAM).
  • Implementare criteri, configurazioni e artifact personalizzati per tutte le funzioni IAM.
  • Crea e amministra utenti, criteri, configurazioni e artifact utilizzando IAM.
  • Rispettare tutti i requisiti e le linee guida per i NIST 800-63, inclusi IAL3, AAL3 e FAL3.

Per tutte le funzioni IAM, è necessario utilizzare i propri valori di configurazione e configurare gli artifact.

Componenti IAM

IAM utilizza i componenti descritti in questa sezione. Per comprendere meglio il modo in cui i componenti si integrano, vedere Scenario di esempio.

COMPARTIMENTO
Raccolta di risorse correlate. I compartimenti sono un componente fondamentale di Oracle Cloud Infrastructure per organizzare e isolare le tue risorse cloud. Li si utilizzano per separare chiaramente le risorse ai fini della misurazione dell'uso e della fatturazione, dell'accesso (mediante l'uso dei criteri) e dell'isolamento (separazione delle risorse per un progetto o un'unità aziendale da un altro). Un approccio molto diffuso consiste nel creare un compartimento per ogni settore principale dell'organizzazione. Per ulteriori informazioni, vedere Ulteriori informazioni sulle best practice per l'impostazione della tenancy.
GRUPPI DINAMICI
Un tipo speciale di gruppo che contiene risorse (ad esempio istanze di computazione) che corrispondono a regole definite dall'utente, pertanto l'appartenenza può cambiare dinamicamente quando vengono create o eliminate risorse corrispondenti. Queste istanze fungono da attori "principali" e possono effettuare chiamate API ai servizi in base ai criteri scritti per il gruppo dinamico.
FEDERAZIONE
Relazione configurata da un amministratore tra un provider di identità e un provider di servizi. Quando si federa Oracle Cloud Infrastructure con un provider di identità, si gestiscono utenti e gruppi nel provider di identità. L'autorizzazione viene gestita nel servizio IAM di Oracle Cloud Infrastructure.
GRUPPO
Raccolta di utenti che condividono un insieme simile di privilegi di accesso. Gli amministratori possono concedere i criteri di accesso che autorizzano un gruppo a utilizzare o gestire le risorse all'interno di una tenancy. Tutti gli utenti di un gruppo ereditano lo stesso set di privilegi.
AREA ORIGINE
L'area in cui risiedono le tue risorse IAM. Tutte le risorse IAM sono globali e disponibili in tutte le aree, ma il set principale di definizioni risiede in un'unica area, l'area di origine. È necessario apportare modifiche alle risorse IAM nella propria area di origine. Le modifiche verranno propagate automaticamente a tutte le aree. Per ulteriori informazioni, vedere Gestione delle aree.
DOMINIO DI IDENTITY

Un dominio di identità è un contenitore per la gestione di utenti e ruoli, la federazione e il provisioning degli utenti, l'integrazione sicura delle applicazioni tramite la configurazione Oracle Single Sign-On (SSO) e l'amministrazione OAuth. Rappresenta una popolazione di utenti in Oracle Cloud Infrastructure e le configurazioni e le impostazioni di sicurezza associate (ad esempio MFA).

PROVIDER DI IDENTITÀ
Relazione sicura con un provider di identità federato. Gli utenti federati che tentano di eseguire l'autenticazione alla console di Oracle Cloud Infrastructure vengono reindirizzati al provider di identità configurato. Dopo aver eseguito correttamente l'autenticazione, gli utenti federati possono gestire le risorse Oracle Cloud Infrastructure nella console proprio come un utente IAM nativo.
MFA
L'autenticazione a più fattori (MFA) è un metodo di autenticazione che richiede l'uso di più fattori per verificare l'identità di un utente.
ORIGINE DELLA RETE
Gruppo di indirizzi IP autorizzati ad accedere alle risorse nella tenancy. Gli indirizzi IP possono essere indirizzi IP pubblici o indirizzi IP da una VCN all'interno della tenancy. Dopo aver creato l'origine di rete, utilizzare i criteri per limitare l'accesso solo alle richieste che provengono dagli IP nell'origine di rete.
RISORSA
Oggetto cloud che si crea e utilizza durante l'interazione con i servizi Oracle Cloud Infrastructure. Ad esempio, istanze di computazione , volumi di storage a blocchi, reti cloud virtuali (VCN ), subnet, database, applicazioni di terze parti, applicazioni Software-as-a-Service (SaaS), software on-premise e applicazioni Web retail.
ROLE
Set di privilegi amministrativi che possono essere assegnati a un utente in un dominio di Identity.
CRITERI DI SICUREZZA
Documento che specifica chi può accedere a determinate risorse e in che modo. Puoi scrivere criteri per controllare l'accesso a tutti i servizi all'interno di Oracle Cloud Infrastructure. L'accesso viene concesso a livello di gruppo e compartimento. Ciò significa che è possibile definire un criterio che assegna a un gruppo un tipo specifico di accesso all'interno di un compartimento specifico o nella tenancy stessa. Se si concede a un gruppo l'accesso alla tenancy, il gruppo ottiene automaticamente lo stesso tipo di accesso a tutti i compartimenti all'interno della tenancy. La parola "criterio" viene utilizzata dalle persone in diversi modi: per indicare una singola istruzione scritta nel linguaggio dei criteri; per indicare una raccolta di istruzioni in un singolo documento denominato "criterio" (a cui è assegnato un ID Oracle Cloud (OCID)); e per indicare il corpo complessivo dei criteri utilizzati dall'organizzazione per controllare l'accesso alle risorse.
Quando si applica una politica, potrebbe verificarsi un leggero ritardo prima che la politica sia efficace.
CRITERIO DI ACCESSO
Un criterio di accesso consente agli amministratori del dominio di Identity, agli amministratori della sicurezza e agli amministratori dell'applicazione di definire i criteri che determinano se consentire a un utente di collegarsi a un dominio di Identity.
TAG
Le tag ti consentono di organizzare le risorse in più compartimenti per finalità di reporting o per eseguire azioni in blocco.
TENANCY
Compartimento radice che contiene tutte le risorse Oracle Cloud Infrastructure dell'organizzazione. Oracle crea automaticamente la tenancy della tua azienda. Direttamente all'interno della tenancy sono presenti le entità IAM (utenti, gruppi, compartimenti e alcuni criteri; puoi anche inserire i criteri nei compartimenti all'interno della tenancy). Gli altri tipi di risorse cloud (ad esempio, istanze, reti virtuali, volumi di storage a blocchi e così via) vengono posizionati all'interno dei compartimenti creati.
Gli amministratori della tenancy possono creare utenti e gruppi e assegnare loro l'accesso con i minori privilegi alle risorse partizionate in compartimenti.
UTENTE
Un singolo dipendente o sistema che deve gestire o utilizzare le risorse Oracle Cloud Infrastructure della tua azienda. Gli utenti potrebbero dover avviare istanze, gestire dischi remoti, utilizzare la rete cloud virtuale e così via. Gli utenti finali dell'applicazione in genere non sono utenti IAM. Gli utenti dispongono di una o più credenziali IAM (vedere Utilizzo delle credenziali utente).

Attivazione e disattivazione dei componenti

Esistono diversi componenti che devono essere attivati per poterli utilizzare. È inoltre possibile disattivarli quando necessario.

Per ulteriori informazioni sul componente che si sta utilizzando:

Ruoli di gruppo, criterio e amministratore degli amministratori

Quando l'azienda si registra a un account Oracle e a un dominio di Identity, Oracle imposta un amministratore predefinito per l'account. Questa persona sarà il primo utente IAM dell'azienda e sarà responsabile dell'impostazione iniziale di amministratori aggiuntivi. La tenancy viene fornita con un gruppo denominato Amministratori e l'amministratore predefinito appartiene automaticamente a questo gruppo. Impossibile eliminare questo gruppo. Deve essere sempre presente almeno un utente.

Inoltre, la tenancy dispone automaticamente di un criterio che consente al gruppo Administrators di accedere a tutte le operazioni API Oracle Cloud Infrastructure e a tutte le risorse cloud della tenancy. Non è possibile modificare né eliminare questo criterio. Qualsiasi altro utente inserito nel gruppo Amministratori avrà accesso completo a tutti i servizi. Ciò significa che possono creare e gestire risorse IAM come gruppi, criteri e compartimenti. Inoltre, possono creare e gestire risorse cloud come le reti cloud virtuali (VCN), le istanze, i volumi di storage a blocchi e qualsiasi altro nuovo tipo di risorse Oracle Cloud Infrastructure che diventeranno disponibili in futuro.

Oltre all'amministratore predefinito e al criterio predefinito, è possibile assegnare account utente a ruoli di amministratore predefiniti per delegare le responsabilità amministrative. I ruoli amministratore esistono all'interno dei domini di Identity. È possibile assegnare qualsiasi account utente in un dominio di Identity a uno o più ruoli amministratore in tale dominio di Identity. Sebbene i criteri consentano l'accesso ai compartimenti e alle risorse in tali compartimenti, se si utilizzano i ruoli di amministratore, è possibile concedere l'accesso alle risorse senza la lingua dei criteri di apprendimento o senza scrivere e gestire i criteri.

Nota

Concedere a utenti o gruppi il ruolo di amministratore del dominio di Identity per domini diversi dal dominio predefinito concede loro le autorizzazioni di amministratore complete solo a tale dominio (non alla tenancy). Ad almeno un amministratore del dominio di Identity deve essere concesso direttamente il ruolo di amministratore del dominio di Identity. Si aggiunge a qualsiasi ruolo di amministratore del dominio di Identity concesso dall'appartenenza al gruppo. Per ulteriori informazioni, vedere Introduzione ai ruoli amministratore.

IAM valuta insieme i criteri e i ruoli di amministratore quando determina se un utente ha accesso alle risorse e cosa può fare con tali risorse. Se la tenancy si basa già sui criteri, è possibile continuare a utilizzarli. Puoi anche scrivere criteri per concedere l'accesso a domini di Identity specifici. Tuttavia, Oracle consiglia di iniziare a utilizzare i ruoli di amministratore per concedere agli utenti l'accesso alle risorse nei domini di Identity in futuro.

Modi per accedere a Oracle Cloud Infrastructure

Puoi accedere a Oracle Cloud Infrastructure utilizzando la console (un'interfaccia basata su browser) o l'API REST. Le istruzioni per la console sono incluse negli argomenti di questa guida. Per un elenco di SDK disponibili, consulta Software Development Kits and Command Line Interface.

Per accedere alla console, è necessario utilizzare un browser supportato. Per andare alla pagina di accesso della console, aprire il menu di navigazione nella parte superiore di questa pagina e selezionare Console dell'infrastruttura. È stato richiesto di immettere il tenant cloud, il nome utente e la password personali.

Per il riferimento all'API REST per l'API IAM, vedere API del servizio di gestione delle identità e degli accessi. Per il riferimento all'API REST per l'API dei domini di Identity IAM, vedere API dei domini di Identity IAM. Per informazioni generali sull'uso dell'interfaccia API, vedere API REST.

Documentazione da utilizzare per Cloud Identity

Per aiutarti ad amministrare l'identità in Oracle Cloud Infrastructure (OCI), hai bisogno della documentazione corretta.

La documentazione scelta dipende dai seguenti fattori:

  • Indica se la tenancy OCI è stata aggiornata per utilizzare i domini di Identity di Oracle Cloud Infrastructure Identity and Access Management (IAM)
  • Indica se è stata eseguita la migrazione degli striping Oracle Identity Cloud Service (IDCS) nei domini di Identity IAM

Leggere le seguenti sezioni per trovare automaticamente la documentazione corretta.

Hai accesso ai domini di Identity?

  1. Collegarsi alla console di Oracle Cloud. Occorre assistenza per la connessione? Vedere Accedi alla console.
  2. Nel menu di navigazionemenu di navigazione , selezionare Identità e sicurezza. In Identità, verificare la presenza di domini. Se vengono visualizzati i domini, l'account cloud è stato aggiornato.
Se si accede e si visualizza la console di amministrazione IDCS anziché la console di Oracle Cloud, come mostrato nell'immagine riportata di seguito, non è stata eseguita la migrazione degli striping in IAM. Non hai accesso ai domini di Identity.

Di quale documentazione hai bisogno?

Dopo aver determinato se la tenancy è stata aggiornata o se è stata eseguita la migrazione degli striping IDCS, scegliere automaticamente la documentazione corretta.

La tenancy è stata aggiornata? Utilizzare questa documentazione.
Nella console sono disponibili i domini. La tenancy è stata aggiornata.
Quando si utilizza la console:
Quando si utilizza l'API:
  • Per gestire i domini di Identity, ad esempio la creazione o l'eliminazione di un dominio, vedere API IAM.
  • Per gestire le risorse (ad esempio, utenti e gruppi) all'interno dei domini di Identity, vedere API dei domini di Identity IAM.
Se la tenancy è stata aggiornata di recente, per informazioni su cosa aspettarsi dopo l'aggiornamento, vedere:
Non viene visualizzato Domains nella console. La tenancy personale non è stata aggiornata.

Per utilizzare la console per amministrare IAM nelle tenancy senza domini di Identity, vedere Panoramica di Identity and Access Management.

Per utilizzare l'interfaccia API per amministrare IAM nelle tenancy senza domini di Identity, vedere API IAM.

Per informazioni su cosa aspettarsi quando si verifica l'aggiornamento, consulta Domini di identità IAM OCI: cosa devono sapere i clienti IAM OCI.

Viene visualizzata la console di amministrazione IDCS. Non è stata eseguita la migrazione degli striping nei domini di Identity.
Quando si utilizza la console:

Per utilizzare l'interfaccia API per amministrare gli striping in IDCS, vedere API REST per Oracle Identity Cloud Service.

Per informazioni su cosa aspettarsi quando si verifica la migrazione, consulta Domini di identità IAM OCI: cosa devono sapere i clienti Oracle IDCS.