Credenciais do Usuário
Há vários tipos de credenciais que você gerencia com o serviço Oracle Cloud Infrastructure Identity and Access Management (IAM):
- Senha da console: Para acessar a Console, a interface do usuário para interagir com a Oracle Cloud Infrastructure. Observe que usuários federados não podem ter senhas do Console porque acessam o sistema por meio do provedor de identidades. Consulte Federando com Provedores de Identidades.
- Chave de assinatura da API (no formato PEM): Para enviar solicitações de API, que exigem autenticação.
- Token de autenticação: Um token gerado pelo Oracle que você pode usar para autenticação com APIs de terceiros. Por exemplo, use um token para autenticação com um cliente Swift ao utilizar o RMAN (Recovery Manager) para fazer backup do banco de dados Oracle Database System (DB System) para o Object Storage.
- Chaves Secretas do Cliente: Para usar a API do Amazon S3 Compatibility com Object Storage. Consulte API de Compatibilidade com Amazon S3.
- OAuth 2.0 Credenciais do Cliente: Para interagir com as APIs desses serviços que usam autorização OAuth 2.0. Consulte Credenciais do Cliente OAuth 2.0.
- Credenciais SMTP: Para usar o Visão Geral do Serviço Email Delivery.
- Senha do Banco de Dados do IAM: Os usuários podem criar e gerenciar sua senha de banco de dados em seu perfil de usuário do IAM e usar essa senha para autenticar-se em bancos de dados em sua tenancy. Consulte Senhas de Banco de Dados do IAM.
As chaves de assinatura de API são diferentes das chaves SSH que você usa para acessar uma instância do serviço Compute (consulte Instâncias do Serviço Compute). Para obter mais informações sobre chaves de assinatura de API, consulte Chaves Necessárias e OCIDs. Para obter mais informações sobre chaves SSH da instância, consulte Gerenciando Pares de Chaves.
Senha do Usuário
O administrador que cria um novo usuário no IAM também precisa gerar uma senha de Console única para o usuário (consulte Para criar ou redefinir uma senha de Console de outro usuário). O administrador precisa entregar com segurança a senha ao usuário, fornecendo-a verbalmente, imprimindo-a ou enviando-a por meio de um serviço de e-mail seguro.
Quando o usuário acessar a Console pela primeira vez, ele será imediatamente solicitado a alterar a senha. Se o usuário esperar mais de 7 dias para entrar inicialmente e alterar a senha, ela expirará e um administrador precisará criar uma nova senha única para o usuário.
Assim que o usuário acessar com sucesso a Console, ele poderá usar recursos da Oracle Cloud Infrastructure de acordo com as permissões concedidas por meio de políticas.
Um usuário pode alterar automaticamente a senha na Console. Um administrador não precisa criar uma política para fornecer a um usuário essa capacidade.
Alterando uma Senha
Se um usuário quiser alterar suas próprias senhas em algum momento depois de alterar suas senhas únicas iniciais, ele poderá fazê-lo na Console. Lembre-se de que um usuário pode alterar automaticamente sua própria senha; um administrador não precisa criar uma política para conceder a ele essa capacidade.
Para obter mais informações, consulte Para alterar sua senha da Console.
Se um Usuário Precisar Redefinir sua Senha da Console
Se um usuário esquecer a senha da Console e também não tiver acesso à API, ele poderá usar o link Esqueci a Senha da Console para ter uma senha temporária enviada a ele. Esta opção estará disponível se o usuário tiver um endereço de e-mail em seu perfil de usuário.
Se o usuário não tiver um endereço de e-mail em seu perfil de usuário, ele precisará solicitar que um administrador redefina sua senha para eles. Todos os administradores (e qualquer outra pessoa que tenha permissão para a tenancy) podem redefinir as senhas de Console. O processo de redefinição da senha gera uma nova senha única que o administrador precisa entregar ao usuário. O usuário precisará alterar a senha na próxima vez que acessar a Console.
Se você for um administrador que precise redefinir uma senha da Console do usuário, consulte Para criar ou redefinir uma senha da Console de outro usuário.
Se um Usuário Estiver Impedido de se Conectar à Console
Se um usuário tentar 10 vezes seguidas para acessar a Console sem sucesso, ele será automaticamente bloqueado para outras tentativas. Será necessário entrar em contato com um administrador para obter o desbloqueio (consulte Para desbloquear um usuário).
Chaves de Assinatura da API
Um usuário que precisa fazer solicitações de API deve ter uma chave pública do RSA no formato PEM (mínimo de 2048 bits) adicionada ao perfil do usuário do IAM e assinar as solicitações de API com a chave privada correspondente (consulte Chaves e OCIDs Necessários).
Um usuário pode gerar e gerenciar automaticamente suas próprias chaves da API na Console ou API. Um administrador não precisa gravar uma política para fornecer ao usuário essa capacidade. Lembre-se de que um usuário não pode usar a API para alterar ou excluir suas próprias credenciais até que ele mesmo salve uma chave na Console ou que um administrador adiciona uma chave a esse usuário na Console ou na API.
Se você tiver um sistema não humano que precise fazer solicitações de API, um administrador deverá criar um usuário para esse sistema e, em seguida, adicionar uma chave pública ao serviço IAM para o sistema. Não há necessidade de gerar uma senha da Console para o usuário.
Para obter instruções sobre como gerar uma chave de API, consulte Para adicionar uma chave de assinatura de API.
Credenciais do Cliente OAuth 2.0
OAuth As Credenciais do Cliente 2.0 não estão disponíveis no United Kingdom Government Cloud (OC4).
As credenciais do cliente OAuth 2.0 são necessárias para interagir programaticamente com os serviços que usam o protocolo de autorização OAuth 2.0. As credenciais permitem obter um token seguro para acessar esses pontos finais de API REST de serviço. As ações e os pontos finais permitidos concedidos pelo token dependem dos escopos (permissões) que você seleciona quando gera as credenciais. Para obter mais informações, consulte Como Trabalhar com Credenciais do Cliente OAuth 2.0.
Tokens de Autenticação
Tokens de autenticação são tokens de autenticação gerados pelo Oracle. Você usa tokens de auth para autenticar com APIs de terceiros que não suportam a autenticação baseada em assinatura do Oracle Cloud Infrastructure, por exemplo, a API Swift. Se seu serviço exigir um token de autenticação, a documentação específica do serviço instruirá você a gerar um e a usá-lo.
Senhas de Banco de Dados do Serviço IAM
Gerencie sua visão geral de senhas do banco de dados do IAM.
Visão geral
Uma senha do banco de dados do IAM é uma senha diferente da senha da Console. A definição de uma senha do banco de dados IAM permite que um usuário autorizado do serviço IAM acesse um ou mais Autonomous AI Databases na sua tenancy.
A centralização do gerenciamento de contas de usuário no serviço IAM melhora a segurança e minimiza consideravelmente a necessidade dos administradores de banco de dados de gerenciar as entradas, movimentações e saídas de usuários que ocorrem em uma organização (também conhecido como gerenciamento do ciclo de vida do usuário). Os usuários podem definir uma senha de banco de dados no IAM e usar essa senha para autenticação ao fazer log-in em bancos de dados Oracle configurados de forma apropriada na tenancy.
Fácil de usar
Os usuários finais do banco de dados podem continuar a usar clientes e ferramentas de banco de dados suportados existentes para acessar o banco de dados. No entanto, em vez de usar o nome de usuário e a senha do banco de dados local, eles usam o nome de usuário e a senha do banco de dados do serviço IAM. Você só poderá acessar senhas de banco de dados que gerencia por meio do seu perfil do OCI após a autenticação bem-sucedida no OCI. Isso significa que os administradores podem criar uma camada extra de proteção para que os usuários possam acessar ou gerenciar suas senhas de banco de dados. Eles podem impor autenticação multifator em suas senhas da Console usando, por exemplo, autenticador FIDO ou notificações push por meio de aplicativos autenticadores.
Funções Suportadas
As senhas de banco de dados do serviço IAM suportam a associação de uma senha de banco de dados diretamente a um usuário do serviço IAM. Depois de definir uma senha de banco de dados no IAM, você poderá usá-la para acessar seu banco de dados IAM em sua tenancy, se tiver sido autorizado a acessar o banco de dados IAM. Você deve estar mapeado para um esquema de banco de dados global para ser autorizado a acessar o banco de dados. Consulte Autenticando e Autorizando Usuários do IAM para Bancos de Dados DBaaS da Oracle no Oracle Database Security Guide para obter mais informações sobre como mapear usuários globais de banco de dados para usuários e grupos do IAM.
Segurança de Senha
Os administradores do IAM podem impor camadas de acesso à segurança extras ativando a autorização de vários fatores para que um usuário possa acessar uma senha de banco de dados no IAM. Consulte Autenticando e Autorizando Usuários do IAM para Bancos de Dados Oracle DBaaS no Oracle Database Security Guide para obter mais informações sobre como os usuários do IAM autenticam e autorizam bancos de dados do OCI.
Você pode gerenciar sua própria senha do banco de dados do serviço IAM com a Console, incluindo a criação, alteração e exclusão.
A Criação de uma senha do banco de dados do IAM segue as mesmas regras que a criação de uma senha da Console, exceto que o caractere de aspa dupla (") não é permitido na senha do banco de dados do IAM. Consulte Sobre as Regras de Política de Senha para ver as regras para criar senhas da Console.
Para criar sua própria senha do banco de dados do serviço IAM, consulte Para criar uma Senha de Banco de Dados do Serviço IAM.
Gerenciou sua própria senha de banco de dados do IAM.
Você pode gerenciar sua própria senha do banco de dados do serviço IAM com a Console, incluindo a criação, alteração e exclusão. Para alterar uma senha existente, exclua-a e adicione a nova senha. Consulte Para alterar uma Senha de Banco de Dados do Serviço IAM.
Gerenciando sua senha de banco de dados do IAM.
Você pode gerenciar sua própria senha do banco de dados do serviço IAM com a Console, incluindo a criação, alteração e exclusão. Para excluir sua senha de banco de dados do serviço IAM, consulte Para Excluir uma Senha de Banco de Dados do Serviço IAM.
Bloqueios de Senha de Banco de Dados do Serviço IAM
A conta de um usuário será bloqueada se o usuário encontrar 10 tentativas consecutivas de conexão com falha.
Os usuários da Console e do banco de dados do IAM são bloqueados após 10 tentativas consecutivas de conexão com falha (total de ambas as senhas). Somente um administrador do serviço IAM pode desbloquear sua conta de usuário.
- Se você não conseguir acessar o serviço IAM ou o banco de dados após 10 tentativas consecutivas (total de ambas), sua conta será bloqueada e você não poderá acessar o banco de dados nem a Console.
- Quando você for bloqueado, um administrador do serviço IAM deverá desbloquear explicitamente sua conta.
- O serviço IAM não suporta desbloqueio automático.
- Uma contagem de log-ins com falha é rastreada centralmente em todas as regiões de um realm. Os log-ins com falha são registrados em sua região home e replicados nas regiões assinadas.
Tentativas de log-in com falha
Trabalhando com Nomes de Usuários do Banco de Dados do Serviço IAM
Você pode gerenciar seu próprio nome de usuário do banco de dados do serviço IAM com a Console, incluindo a criação, alteração e exclusão.
Talvez seja necessário alterar o Nome do Usuário do Banco de Dados:
- Se o seu nome de usuário for muito longo ou difícil de digitar
- Facilitar o log-in com um nome de usuário que não inclua caracteres especiais e possa ser menor
Os tópicos a seguir explicam como gerenciar um nome de usuário de banco de dados do serviço IAM.