Tipi di dominio di Identity IAM
Scopri i tipi di dominio di Identity e le funzioni e i limiti associati a ciascuno di essi.
Un dominio di identità IAM viene distribuito con uno dei cinque tipi di dominio di Identity. Ogni tipo di dominio di identità è associato a un set diverso di funzioni e limiti di oggetti. Utilizzare queste informazioni per decidere quale tipo di dominio è appropriato per le operazioni che si desidera eseguire.
Questa sezione contiene un riepilogo degli argomenti riportati di seguito.
- I diversi tipi di dominio di Identity, vedere Comprendere i tipi di dominio di Identity.
- Le funzioni associate a ciascun tipo, vedere Disponibilità delle funzioni per i tipi di dominio di Identity.
- Numero di tipi diversi di oggetto per ogni tipo di dominio di Identity. Vedere Limiti degli oggetti del dominio di Identity IAM.
- Tipi di dati supportati per attributi personalizzati e relativi limiti. Vedere Tipi di dati per attributi personalizzati.
- Limitazione di frequenza per le API per tipi di dominio di Identity diversi. Vedere Limiti di frequenza API.
- Metri utilizzati per tipi di dominio di Identity diversi. Vedere Metri per i tipi di dominio di Identity.
- Come passare a un tipo di dominio di Identity diverso, vedere Modifica del tipo di dominio di Identity.
Questa sezione contiene informazioni sui domini di Identity e sulle varie funzioni e limiti associati a ciascun tipo di dominio di Identity. Per informazioni sui limiti dei livelli di tenancy IAM, vedere IAM With Identity Domains Limits.
Comprendere i tipi di dominio di Identity
IAM dispone di cinque tipi diversi di dominio di Identity per soddisfare esigenze organizzative diverse. Inizia qui per capire quale si adatta meglio alle tue esigenze e quale tipo scegliere quando crei un dominio di Identity.
Di seguito è riportato un riepilogo dei tipi di dominio di Identity. Decidere quale offre la soluzione più adatta alle proprie esigenze e controllare le funzioni e i limiti riportati di seguito in base al tipo di dominio di Identity selezionato per selezionare il tipo di dominio di Identity più adatto all'utente.
Gratuito
Quando si crea una tenancy OCI, viene eseguito automaticamente il provisioning con un dominio di Identity Libero. Questo tipo di dominio consente di utilizzare il servizio IAM per gestire l'accesso alle risorse dell'infrastruttura e della piattaforma OCI. Utilizzare questo tipo di dominio per informazioni sul servizio IAM e per gestire l'accesso alle risorse OCI IaaS e PaaS. Questo tipo di dominio deve includere tutto ciò di cui hai bisogno per gestire OCI. Tuttavia, se sono necessari limiti superiori o funzioni aggiuntive, è possibile passare a un tipo di dominio di Identity diverso.
Caso d'uso di esempio: l'organizzazione utilizza Oracle Cloud e gli amministratori cloud devono disporre di un accesso sicuro per gestire i servizi OCI sottoscritti.
Oracle Apps
Alcuni servizi PaaS Oracle e alcune applicazioni SaaS offrono ai propri clienti un dominio di Identity Oracle Apps che consente di utilizzare il servizio IAM per gestire l'accesso al servizio sottoscritto. Nella maggior parte dei casi, il dominio di Identity viene fornito dal servizio al momento del provisioning oppure un dominio preesistente diventerà automaticamente un dominio Oracle Apps quando vi è collegato un servizio registrato. Questo tipo di dominio deve includere tutto ciò di cui hai bisogno per gestire l'accesso al servizio Oracle sottoscritto. Tuttavia, se sono necessari limiti superiori o funzioni aggiuntive, è possibile passare a un tipo di dominio di Identity diverso.
Caso d'uso di esempio: l'organizzazione esegue la sottoscrizione a un servizio PaaS o SaaS Oracle Apps che fornisce un dominio di Identity Oracle Apps con il relativo servizio. È possibile utilizzare questo tipo di dominio per gestire l'accesso ai servizi PaaS e SaaS Oracle. Potresti anche avere una o due applicazioni di terze parti per le quali desideri che gli utenti si connettano senza problemi senza dover ripetere l'autenticazione.
Oracle Apps Premium
I domini di Identity di Oracle Apps Premium aggiungono il supporto per scenari IAM ibridi che estendono il servizio IAM per gestire l'accesso per applicazioni Oracle in hosting on-premise o OCI come Oracle E-Business Suite, PeopleSoft e Oracle Database. Sebbene questo tipo di dominio di Identity sia destinato principalmente all'uso con le applicazioni Oracle, consente inoltre di gestire l'accesso per un numero limitato di applicazioni di terze parti o personalizzate.
Caso d'uso di esempio: l'organizzazione desidera abilitare l'autenticazione e il Single Sign-On per consentire agli utenti della forza lavoro di accedere alle applicazioni Oracle SaaS, nonché alle applicazioni Oracle on-premise o ospitate nel cloud come E-Business Suite, JD Edwards, PeopleSoft, Siebel e/o Oracle Database. Potresti anche volere una sincronizzazione bidirezionale con Microsoft Active Directory o altri sistemi on-premise e potresti avere alcune applicazioni di terze parti o personalizzate per le quali desideri che gli utenti si connettano senza problemi senza dover ripetere l'autenticazione.
Premium
I domini di Identity Premium offrono il set completo di funzioni IAM e i limiti più elevati per i casi d'uso di dipendenti e forza lavoro, offrendoti una gestione degli accessi pronta per l'uso in ambienti IT ibridi. Include tutti i tipi di integrazione supportati e applicazioni di terze parti illimitate. Questo è il tipo di dominio ideale se stai standardizzando OCI IAM come provider di gestione delle identità e degli accessi aziendali.
Caso d'uso di esempio: si desidera che una soluzione Identity-as-a-Service (IDaaS) gestisca l'autenticazione della forza lavoro e acceda a tutte le applicazioni Oracle e di terze parti, indipendentemente dal fatto che si tratti di applicazioni SaaS, applicazioni aziendali on-premise o applicazioni ospitate nel cloud. Si desidera utilizzare funzioni di autenticazione e autorizzazione moderne, quali l'autenticazione senza password, i token hardware FIDO2 e la sicurezza adattiva. Potresti anche voler eseguire il provisioning e il deprovisioning automatizzati degli account in questi sistemi.
Utente esterno
I domini di identità esterni offrono un solido set di funzioni IAM per casi d'uso non dipendenti, applicazioni rivolte ai consumatori e sviluppo di applicazioni personalizzate. Questo tipo di dominio fornisce funzioni pertinenti per questi scenari, ad esempio self-service utente, accesso social e gestione del consenso.
I domini di Identity esterni sono concessi in licenza solo per gli account utente non dipendenti. Se le esigenze aziendali richiedono che gli account utente dei dipendenti siano memorizzati in un dominio di Identity esterno (ad esempio, se un'applicazione supporta un solo provider di identità), ciò è consentito solo se tali account utente esistono anche in un altro dominio di Identity di tipo Free, Oracle Apps, Oracle Apps Premium o Premium.
Caso d'uso di esempio: si desidera una soluzione Identity-as-a-Service (IDaaS) completa di tutte le funzionalità che consenta di gestire l'autenticazione e l'accesso alle applicazioni personalizzate o rivolte ai consumatori. La soluzione dovrebbe supportare l'accesso social, la password self-service dell'utente e la gestione del profilo e il consenso alle condizioni d'uso. E potresti aver bisogno della soluzione scalabile per supportare milioni di utenti.
Disponibilità delle funzioni per i tipi di dominio di Identity
Comprendere le funzioni disponibili per i diversi tipi di dominio di Identity.
Questa tabella mostra le funzioni disponibili per ogni tipo di dominio.
| Funzione | Gratuito | Oracle Apps | Oracle Apps Premium | Premium | Utente esterno |
|---|---|---|---|---|---|
| Funzioni di base di IAM | |||||
| Gestione di utenti e gruppi |
|
|
|
|
|
| Autoregistrazione dell'utente finale | - |
|
|
|
|
| Gestione dei profili self-service |
|
|
|
|
|
| Recupero dell'account (reimpostazione della password self-service tramite e-mail, SMS, domande di sicurezza) |
SMS non fa parte del tipo di dominio gratuito |
|
|
|
|
| Criterio predefinito per la password |
|
|
|
|
|
| Criteri password basati su gruppo |
|
|
|
|
|
| Supporto per applicazioni esterne 1 | |||||
| SSO in uscita per applicazioni di terze parti |
|
|
|
|
|
| Provisioning ad applicazioni di terze parti mediante App Catalog |
|
|
|
|
- |
| Gestione OAuth/token per applicazioni di terze parti |
|
|
|
|
|
| Modello applicazione SCIM generico |
|
|
|
|
|
| Gestisci l'accesso a Oracle Cloud Infrastructure | |||||
| Tutte le funzioni IAM Infrastructure as a Service correnti |
|
|
|
|
- |
| Gestire l'accesso alle risorse OCI |
|
|
|
|
- |
| Gruppi dinamici (per OCI) |
|
|
|
|
- |
| Tipi di credenziale specifici di OCI |
|
|
|
|
- |
| Opzioni di sicurezza | |||||
| Login esterno IdPs e social (SSO federazione/in entrata) |
|
|
|
|
|
| Criteri flessibili di instradamento IdP |
|
|
|
|
|
| Condizioni d'uso |
|
|
|
|
|
| Provisioning just in time |
|
|
|
|
|
| Supporto per schede PIV / CAC |
|
|
|
|
|
| Estensione schema |
|
|
|
|
|
| Amministrazione delegata |
|
|
|
|
|
| Sincronizzazione Active Directory unidirezionale che supporta la sincronizzazione in entrata da AD al dominio di Identity IAM |
|
|
|
|
- |
| Opzioni di autenticazione: Oracle Mobile Authenticator (MFA) e sicurezza adattiva (MFA - TOTP e push, chiamata telefonica, domande di sicurezza, FIDO2, DUO, e-mail). |
SMS non fa parte del tipo di dominio gratuito |
|
|
|
|
| Autenticazione senza password |
|
|
|
|
|
| Criteri di accesso (condizioni autenticate da, gruppi, amministratori, esclusioni, perimetro di rete, motore di rischio integrato) |
|
|
|
|
|
| SDK applicazione |
|
|
|
|
|
| Integrazione di Oracle SaaS | |||||
| SSO per i servizi Oracle Cloud |
|
|
|
|
|
| Provisioning degli utenti per i servizi Oracle Cloud (con form account, attributi personalizzati, filtri e così via) |
|
|
|
|
- |
| Gestione OAuth/Token per le estensioni Oracle e SaaS 2 |
|
|
|
|
- |
| Report | |||||
| Audit e reporting |
|
|
|
|
|
| Branding | |||||
| Aspetto personalizzato |
|
|
|
|
|
| Connessione hosted | - | - |
|
|
|
| Funzioni avanzate e ibride di gestione delle identità e degli accessi | |||||
| IAM avanzato | |||||
| Sincronizzazione bidirezionale con LDAP mediante il bridge di provisioning | - | - |
|
|
- |
| Sincronizzazione bidirezionale con il bridge AD | - | - |
|
|
- |
| Autenticazione delegata tramite bridge AD | - | - |
|
|
- |
| SSO per qualsiasi applicazione |
|
|
|
|
|
| IAM ibrido | |||||
| Gateway applicazioni (per qualsiasi applicazione aziendale) | - | - |
Solo app aziendali Oracle |
Qualsiasi app aziendale |
Qualsiasi app aziendale |
| Assertore EBS 3 | - | - |
|
|
|
| Proxy RADIUS (tutti - Oracle DB, VPN, dispositivi di rete e così via) | - | - |
Solo Oracle DB |
Tutto - Oracle DB, VPN, dispositivi di rete e così via |
- |
| PAM Linux | - | - |
|
|
- |
1 Per applicazioni esterne o di terze parti si intendono le applicazioni commerciali offerte da un provider diverso da Oracle o come applicazioni sviluppate su misura (incluse, ad esempio, le applicazioni create su OCI utilizzando APEX). Tenere presente che le applicazioni personalizzate create utilizzando Visual Builder Cloud Service non contano sul limite delle applicazioni esterne.
2 SaaS Le estensioni sono applicazioni sviluppate su misura che vengono utilizzate solo come estensioni per le applicazioni Oracle SaaS sottoscritte come HCM, ERP, SCM e così via. L'unico scopo di queste applicazioni è quello di aumentare le app Oracle SaaS. Questi non contano sul limite delle app esterne.
3 Il diritto di utilizzare Oracle E-Business Suite Asserter include anche il diritto di utilizzare WebLogic Server Enterprise Edition al solo scopo di eseguire l'applicazione asserter in conformità a tutti i termini e le condizioni descritti nel Manuale utente delle informazioni sulle licenze di Oracle Fusion Middleware.
Limiti degli oggetti del dominio di Identity IAM
Comprendere il numero di tipi diversi di oggetto consentiti in ogni tipo di dominio di Identity.
È possibile creare tipi di dominio di Identity diversi soggetti al limite consentito dal tipo di sottoscrizione. Per conoscere i limiti del dominio di Identity per ciascun tipo di sottoscrizione, vedere IAM With Identity Domains Limits.
| Risorsa | Gratuito | Oracle Apps | Oracle Apps Premium | Premium | Utente esterno |
|---|---|---|---|---|---|
| Utenti | 2.000 | 1.000.000 | 1.000.000 | 1.000.000 | 100.000.000 |
| Gruppi | 250 | 10.000 | 100.000 | 100.000 | 100.000 |
| Utenti di un gruppo | 2.000 | 10.000 | 100.000 | 100.000 | 100.000 |
| Gruppi per utente | 250 | 500 | 5.000 | 5.000 | 5.000 |
| Criteri predefiniti per password e password basate su gruppo | 10 | 10 | 10 | 10 | 10 |
| App non Oracle 1 | 2 | 2 2 | 10 2 | 5.000 | 5.000 |
| App Oracle Cloud | 2.000 | 2.000 | 2.000 | 2.000 | - |
| App aziendali | - | - | 500 (Solo app aziendali Oracle) |
500 | 500 |
| Proxy RADIUS | - | - | 50 | 50 | - |
| Domini Active Directory (AD) | 2 | 10 | 20 | 20 | - |
| Bridge di dominio attivi per il dominio AD | 4 | 10 | 10 | 10 | - |
| Bridge di provisioning | 4 | 10 | 10 | 10 | - |
| Gateway applicazioni | - | - | 20 | 20 | 20 |
| Provider di identità esterni e login social (IdPs) (SSO federazione/in entrata) | 5 | 5 | 30 | 30 | 30 |
| Criteri IdP | 5 | 50 | 100 | 100 | 100 |
| Condizioni d'uso | 500 | 500 | 500 | 500 | 500 |
| Criteri accesso | 5 | 50 | 200 | 200 | 200 |
| Profilo di autoregistrazione | - | 50 | 50 | 50 | 50 |
| Gruppi dinamici | 50 | 50 | 50 | 50 | - |
| Chiave API per utente | 3 | 3 | 3 | 3 | - |
| Token di autenticazione per utente | 2 | 2 | 2 | 2 | - |
| Credenziali client OAuth2 per utente | 10 | 10 | 10 | 10 | - |
| Credenziali SMTP | 2 | 2 | 2 | 2 | - |
| Chiave segreta del cliente per utente | 2 | 2 | 2 | 2 | - |
| Credenziali DB per utente | 2 | 2 | 2 | 2 | - |
| Certificato client OAuth | 20 | 200 | 200 | 20.000 | 20.000 |
| OAuth Certificati partner | 20 | 20 | 100 | 100 | 100 |
| Certificati partner protetti | 20 | 20 | 100 | 100 | 100 |
| Trust propagazione identità | 30 | 30 | 30 | 30 | 30 |
1 Per app non Oracle o di terze parti si intendono le applicazioni commerciali offerte da un provider diverso da Oracle o le applicazioni sviluppate in modo personalizzato (incluse, ad esempio, le applicazioni create su OCI utilizzando APEX). Tenere presente che le applicazioni personalizzate create utilizzando Visual Builder Cloud Service non contano sul limite delle applicazioni esterne.
2 I limiti per il numero di applicazioni non Oracle o di terze parti per i tipi di dominio Oracle Apps e Oracle Apps Premium non vengono temporaneamente applicati. Verranno applicate in futuro.
Tipi di dati per attributi personalizzati
Vedere i tipi di dati supportati per gli attributi personalizzati e i relativi limiti. Si applicano a tutti i tipi di dominio di Identity.
| Tipo di dati | Limitato |
|---|---|
| Stringa 4K char indicizzata (ricercabile) | 84 |
| Stringa indicizzata a 40 caratteri (ricercabile) | 5 |
| Stringa 4K char non indicizzata | 36 |
| Stringa da 40 caratteri non indicizzata | 15 |
| Numero intero | 20 |
Limiti di frequenza API
Comprendere la limitazione di frequenza per le API per diversi tipi di dominio di Identity.
Le API Oracle sono soggette a limitazioni di frequenza per proteggere l'uso del servizio API per tutti i clienti Oracle. Se si raggiunge il limite API per il tipo di dominio di Identity, IAM restituisce un codice di errore 429.
Limiti di frequenza per tutti i tipi di dominio di Identity
| Gruppo API | Per | Gratuito | Oracle Apps | Oracle Apps Premium | Premium | Utente esterno |
|---|---|---|---|---|---|---|
| AuthN | secondo | 10 | 50 | 80 | 95 | 90 |
| AuthN | minuto | 150 | 1.000 | 2.100 | 4.500 | 3.100 |
| BasicAuthN | secondo | 10 | 100 | 160 | 95 | 90 |
| BasicAuthN | minuto | 150 | 3.000 | 4.000 | 4.500 | 3.100 |
| Gestione token | secondo | 10 | 40 | 50 | 65 | 60 |
| Gestione token | minuto | 150 | 1.000 | 1.700 | 3.400 | 2.300 |
| Altri | secondo | 20 | 50 | 55 | 90 | 80 |
| Altri | minuto | 150 | 1.500 | 1.750 | 5.000 | 4.000 |
| Bulk | secondo | 5 | 5 | 5 | 5 | 5 |
| Bulk | minuto | 200 | 200 | 200 | 200 | 200 |
| Importa ed esporta | giorno | 4 | 8 | 10 | 10 | 10 |
Il numero massimo di oggetti sicuri di propagazione delle identità che è possibile creare è limitato a 30. Contattare il supporto se il limite deve essere aumentato. Per ulteriori informazioni sui limiti degli oggetti, vedere Limiti degli oggetti del dominio di Identity IAM.
API nei gruppi API
I limiti API si applicano al totale di tutte le API all'interno di un gruppo.
login/sso/v1/user//sso/v1/user/secure/login/sso/v1/user/logout/sso/v1/user/callback/login/sso/v1/sdk/authenticate/sso/v1/sdk/session/sso/v1/sdk/idp/sso/v1/sdk/secure/session/mfa/v1/requests/mfa/v1/users/{userguid}/factors/oauth2/v1/authorize/oauth2/v1/userlogout/oauth2/v1/consent/fed/v1/user/request/login/fed/v1/sp/sso/fed/v1/idp/sso/fed/v1/idp/usernametoken/fed/v1/metadata/fed/v1/mex/fed/v1/sp/slo/fed/v1/sp/initiatesso/fed/v1/sp/ssomtls/fed/v1/idp/slo/fed/v1/idp/initiatesso/fed/v1/idp/wsfed/fed/v1/idp/wsfedsignoutreturn/fed/v1/user/response/login/fed/v1/user/request/logout/fed/v1/user/response/logout/fed/v1/user/testspstart/fed/v1/user/testspresult/admin/v1/SigningCert/jwk/admin/v1/Asserter/admin/v1/MyAuthenticationFactorInitiator/admin/v1/MyAuthenticationFactorEnroller/admin/v1/MyAuthenticationFactorValidator/admin/v1/MyAuthenticationFactorsRemover/admin/v1/TermsOfUseConsent/admin/v1/MyTermsOfUseConsent/admin/v1/TrustedUserAgents/admin/v1/AuthenticationFactorInitiator/admin/v1/AuthenticationFactorEnroller/admin/v1/AuthenticationFactorValidator/admin/v1/MePasswordResetter/admin/v1/UserPasswordChanger/admin/v1/UserLockedStateChanger/admin/v1/AuthenticationFactorsRemover/admin/v1/BypassCodes/admin/v1/MyBypassCodes/admin/v1/MyTrustedUserAgents/admin/v1/Devices/admin/v1/MyDevices/admin/v1/TermsOfUses/admin/v1/TermsOfUseStatements/admin/v1/AuthenticationFactorSettings/admin/v1/SsoSettings/admin/v1/AdaptiveAccessSettings/admin/v1/RiskProviderProfiles/admin/v1/Threats/admin/v1/UserDevices/session/v1/SessionsLogoutValidator/ui/v1/signin
/admin/v1/HTTPAuthenticator/admin/v1/PasswordAuthenticator
/oauth2/v1/token/oauth2/v1/introspect/oauth2/v1/revoke/oauth2/v1/device
/job/v1/JobSchedules?jobType=UserImport/job/v1/JobSchedules?jobType=UserExport/job/v1/JobSchedules?jobType=GroupImport/job/v1/JobSchedules?jobType=GroupExport/job/v1/JobSchedules?jobType=AppRoleImport/job/v1/JobSchedules?jobType=AppRoleExport
/admin/v1/Bulk/admin/v1/BulkUserPasswordChanger/admin/v1/BulkUserPasswordResetter/admin/v1/BulkSourceEvents
Qualsiasi API non presente in uno degli altri gruppi di API è inclusa nel gruppo Altre API
Altre limitazioni
Queste limitazioni sono relative a bulk, importazione ed esportazione per tutti i livelli:
- Dimensione payload: 1 MB
- API bulk: limite di 50 operazioni per chiamata
- Solo uno di questi può essere eseguito alla volta:
- Importa: per utenti, gruppi e appartenenze ai ruoli applicazione
- Sincronizzazione completa dalle app
- API di massa
- Esporta: per utenti, gruppi e appartenenze ai ruoli applicazione
- Importazione CSV: limite di righe 100 K per CSV e dimensione massima file: 10 MB
- Esportazione CSV: limite righe 100 K
Metri per tipi di dominio di Identity
Comprendere i contatori utilizzati per i diversi tipi di dominio di Identity.
I tipi di dominio di Identity Free e Oracle Apps non utilizzano i contatori.
I tipi di dominio di identità Oracle Apps Premium, Premium e Utente esterno utilizzano i seguenti contatori:
-
Utenti al mese: il numero di utenti attivi e inattivi nel sistema, indicato all'ora. Questi contatori vengono aggregati alla fine del ciclo di fatturazione.
-
SMS: il numero di messaggi SMS inviati dal sistema, segnalati ogni ora. Questi contatori vengono aggregati alla fine del ciclo di fatturazione.
-
Tokens: il numero di token emessi dal sistema, riportato ogni ora.
-
Utenti replicati al mese: se si configura la replica in più aree, questo indicatore si applica al numero di utenti attivi e inattivi in ogni area replicata, riportato all'ora. Questi contatori vengono aggregati alla fine del ciclo di fatturazione.
Dopo aver eseguito il provisioning del servizio, Oracle Cloud Infrastructure dispone di strumenti che ti aiutano ad analizzare e comprendere i costi associati al tuo account. Vedere Controllo delle spese e dell'uso.
Modifica del tipo di dominio di Identity
- Impossibile modificare il dominio predefinito in tipo di dominio di identità utente esterno.
- Il tipo di sottoscrizione controlla il numero di domini di Identity di ciascun tipo. Se la modifica supera il numero di domini di Identity di quel tipo per il tipo di sottoscrizione in uso, non è possibile passare al nuovo tipo di dominio di Identity. Vedere IAM With Identity Domains Limits.
- Se il numero di oggetti di qualsiasi tipo nel dominio di Identity è superiore a quello consentito nel tipo di dominio di Identity di destinazione, non è possibile passare al nuovo tipo di dominio di Identity. Vedere Limiti degli oggetti del dominio di Identity IAM.
- Le funzioni disponibili nel tipo di dominio di Identity corrente vengono controllate. Vedere Feature Availability for Identity Domain Types. Viene visualizzato un messaggio di avvertenza che ricorda di prestare attenzione quando si passa da un tipo di dominio di Identity a un altro. È possibile continuare dopo il messaggio di avvertenza, ma alcune delle funzioni esistenti potrebbero non funzionare più.
- Non è possibile modificare un dominio di identità utente gratuito, Premium o esterno in un dominio di Identity delle applicazioni Oracle.
Per informazioni su come modificare il tipo di dominio, vedere Modifica del tipo di un dominio di Identity.