Introdução
Saiba mais sobre o domínio de identidades Padrão, como usar vários domínios, recuperação de desastres e domínios e muito mais.
Ela contém os seguintes tópicos:
O Domínio de Identidades Padrão
Cada tenancy inclui um domínio de identidades Padrão no compartimento raiz.
Um domínio de identidades Padrão:
- Não pode ser desativado ou excluído. (Vive com o ciclo de vida da tenancy.)
- Não pode ser ocultado na página de acesso.
O domínio de identidades Padrão contém o usuário Administrador inicial de tenants e o grupo de Administradores, além de uma política padrão que permite aos administradores gerenciar qualquer recurso na tenancy. A política de administradores e o grupo de administradores não podem ser excluídos e deve haver pelo menos um usuário no grupo de administradores. Também é possível designar contas de usuário a atribuições de administrador predefinidas para delegar responsabilidades administrativas ao domínio Padrão.
A concessão de usuários ou grupos à atribuição de administrador de domínio de identidades para domínios diferentes do domínio padrão concede a eles permissões completas de administrador somente para esse domínio (não para a tenancy). Pelo menos um administrador do domínio de identidades deve receber a atribuição de administrador do domínio de identidades diretamente. Isso é adicional a qualquer atribuição de administrador de domínio de identidades concedida pela associação do grupo. Para obter mais informações, consulte Noções Básicas sobre Atribuições de Administrador.
Você pode fazer upgrade de um domínio alterando o tipo de domínio. Cada tipo de domínio de identidade é associado a outro conjunto de recursos e limites de objeto. Para obter informações que ajudem a decidir qual tipo de domínio é apropriado para o que você deseja fazer, consulte Tipos de Domínio de Identidades do Serviço IAM.
Usando Diversos Domínios de Identidade
Crie e gerencie vários domínios de identidade (por exemplo, um domínio para desenvolvimento e outro para produção) cada um com diferentes requisitos de identidade e segurança para proteger seus aplicativos e serviços do Oracle Cloud.
O uso de vários domínios de identidade pode ajudar você a manter o isolamento do controle administrativo sobre cada domínio de identidades. Isso será necessário se, por exemplo, os padrões de segurança impedirem a existência de IDs do usuário de desenvolvimento no ambiente de produção ou exigirem que administradores diferentes tenham controle sobre ambientes diferentes.
Cada tenancy contém um domínio de identidades Padrão, o domínio de identidades que vem com sua tenancy. Os administradores podem criar quantos domínios de identidade adicionais forem permitidos pela licença. Os Administradores podem:
- Criar domínios de identidade adicionais e ser o administrador dos domínios de identidade deles ou designar outro usuário para ser o administrador.
- Criar domínios de identidades adicionais e, como parte do processo de criação de domínios de identidade, designar usuários a serem administradores dos domínios de identidade.
- Delegar a criação de domínios de identidade adicionais a outros administradores.
Um administrador de domínios de identidade é designado a um domínio durante a criação do domínio. Embora a identidade do administrador de domínios de identidade possa ter o mesmo nome de usuário no domínio de identidades Padrão, eles são usuários diferentes que podem ter privilégios diferentes em cada domínio de identidades e terão senhas distintas.
O administrador de domínios de identidade pode usar todo o conjunto de recursos do domínio de identidades. Em um domínio de identidades, o administrador do domínio pode:
- Gerenciar usuários, grupos, aplicativos, configuração do sistema e definições de segurança.
- Execute a administração delegada designando usuários a diferentes atribuições administrativas.
- Ativar e desativar a Autenticação Multifactor (MFA), configurar as definições de MFA e configurar fatores de autenticação.
- Crie perfis de autorregistro para gerenciar diferentes conjuntos de usuários, políticas de aprovação e aplicativos.
Limites nos Domínios de Identidade
Cada tipo de domínio de identidades é associado a outro conjunto de recursos e limites de objeto.
Consulte Tipos de Domínio de Identidades do Serviço IAM para conhecer limites de objeto, limites de taxa e medidores de cada tipo de domínio de identidades.
Para ver uma lista dos limites e instruções aplicáveis à solicitação de um aumento de limite, consulte Limites do Serviço. Para definir limites específicos de compartimentos em um recurso ou família de recursos, os administradores podem usar cotas de compartimentos.
Recuperando Domínios
Os administradores não podem recuperar um domínio de identidades excluído. Consulte Obtendo Ajuda e Entrando em Contato com o Suporte para entrar em contato com o Suporte Técnico da Oracle para recuperar um domínio de identidades excluído.
Recuperação de Desastre e Domínios de Identidade
Um desastre pode ser qualquer evento que coloque os aplicativos em risco, por exemplo, falhas causadas por desastres naturais. Em regiões com DR (recuperação de desastre) entre regiões ativada, os domínios de identidades têm DR integrada entre regiões para minimizar a perda de dados. Os dados de uma região são replicados em uma região próxima em caso de desastre. Se toda uma região do OCI ficar indisponível, o tráfego será roteado para a região de recuperação de desastre para acelerar a recuperação de serviços e manter o máximo possível de dados. A Oracle faz para você o pareamento das regiões com as regiões de recuperação de desastre (DR).
Consulte Saiba como proteger sua topologia de nuvem contra desastres para saber mais sobre DR no Oracle Cloud Infrastructure.
Se ocorrer uma interrupção de região, o domínio de identidades terá uma breve interrupção e depois será recuperado. Depois de recuperado para a região de DR:
- Os usuários do domínio de identidades são autenticados e autorizados como de costume.
- Os URLs do domínio de identidades não são alterados. Nenhuma alteração é necessária para os aplicativos.
- Os domínios de identidades com failover não são replicados em regiões replicadas.
- Os domínios de identidade replicados em outras regiões não podem ser sincronizados com a região de DR. Por exemplo, nenhuma alteração em usuários, grupos e definições de domínio poderá ser refletida na região de DR. As inconsistências serão resolvidas quando o domínio de identidades for recuperado.
Usando a Console Durante o Failover
Talvez você não tenha acesso à Console durante o failover. Durante esse tempo, você poderá usar a CLI e o SDK para que o serviço IAM e os domínios de identidades gerenciem as configurações de identidade.
A Console estará disponível se a região home do domínio de identidades ou da tenancy não estiver disponível.
A Console não estará disponível se a região home do domínio de identidades ou da tenancy estiver indisponível.
Acessando a Região de DR
Use estas etapas para confirmar que a rede pode acessar a região de DR.
- Localize o identificador da região de DR na tabela Pareamentos da Região de DR. Consulte Pareamentos da Região de Recuperação de Desastre.
- Use o identificador de região de DR para procurar os endereços IP públicos designados à região. Consulte Endereços IP Públicos para VCNs e o Oracle Services Network.
- Adicione esses endereços IP públicos aos seus firewalls para permitir o tráfego nessa região de DR.
Failover Somente para Leitura e Domínios de Identidade
Se ocorrer uma interrupção de região, o OCI poderá iniciar um failover dos domínios de identidades (e faixas do IDCS) dessa região para uma região de failover que restaura o acesso a esses domínios de identidades (e faixas do IDCS) em um modo de acesso somente leitura. Verifique as informações de indisponibilidade de serviço para quando o estado de indisponibilidade de serviço da região estiver ativado e desativado.
Se uma região home estiver indisponível, os usuários não poderão acessar a Console do OCI em nenhuma região, mesmo que os domínios de identidades tenham falhado. O acesso à CLI e ao SDK a regiões diferentes da região home está disponível.
No modo de acesso somente leitura:
- Não é possível atualizar os recursos. Não são permitidas atualizações em nenhum recurso do domínio de identidades (ou do segmento do IDCS). Por exemplo, os usuários não podem atualizar ou excluir usuários, aplicativos, grupos ou definições de domínio. Os usuários têm permissões de leitura para todos os recursos.
- Os usuários não podem alterar suas senhas. Se um usuário estiver no estado de forçar redefinição de senha, ele não poderá redefinir sua senha e não terá acesso até que a interrupção da região seja mitigada.
- Os usuários com autenticação multifator podem acessar enquanto o domínio de identidades está no modo somente leitura.
- Os aplicativos que usam o domínio de identidades poderão autenticar e autorizar. Por exemplo, um aplicativo personalizado poderá autenticar e autorizar chamadas usando o domínio de identidades enquanto estiver no modo somente leitura.
Pareamentos da Região de Recuperação de Desastre
Use a seguinte tabela para localizar os pareamentos da região de DR no realm comercial do Oracle Cloud Infrastructure:
Consulte Regiões do Oracle Cloud - Data Centers para obter informações sobre as regiões disponíveis.
| Nome da Região | Identificador da Região | Localização da Região | Nome da Região de Recuperação de Desastre | Identificador da Região de Recuperação de Desastre |
|---|---|---|---|---|
| Leste da Austrália (Sidney) | ap-sydney-1 | Sydney, Austrália | Sudeste da Austrália (Melbourne) | ap-melbourne-1 |
| Sudeste da Austrália (Melbourne) | ap-melbourne-1 | Melbourne, Austrália | Leste da Austrália (Sidney) | ap-sydney-1 |
| Leste do Brasil (São Paulo) | sa-saopaulo-1 | São Paulo, Brasil | Sudeste do Brasil (Vinhedo) | sa-vinhedo-1 |
| Sudeste do Brasil (Vinhedo) | sa-vinhedo-1 | Vinhedo, Brasil | Leste do Brasil (São Paulo) | sa-saopaulo-1 |
| Sudeste do Canadá (Montreal) | ca-montreal-1 | Montreal, Canadá | Sudeste do Canadá (Toronto) | ca-toronto-1 |
| Sudeste do Canadá (Toronto) | ca-toronto-1 | Toronto, Canadá | Sudeste do Canadá (Montreal) | ca-montreal-1 |
| Centro da Alemanha (Frankfurt) | eu-frankfurt-1 | Frankfurt, Germany | Noroeste da Holanda (Amsterdã) | eu-amsterdam-1 |
| Noroeste da Holanda (Amsterdã) | eu-amsterdam-1 | Amsterdã, Holanda | Centro da Alemanha (Frankfurt) | eu-frankfurt-1 |
| Sul da Índia (Hyderabad) | ap-hyderabad-1 | Hyderabad, Índia | Oeste da Índia (Mumbai) | ap-mumbai-1 |
| Oeste da Índia (Mumbai) | ap-mumbai-1 | Mumbai, Índia | Sul da Índia (Hyderabad) | ap-hyderabad-1 |
| Noroeste da Itália (Milão) | eu-milan-1 | Milão, Itália | Sul da França (Marseille) | eu-marseille-1 |
| Central do Japão (Osaka) | ap-osaka-1 | Osaka, Japão | Leste do Japão (Tóquio) | ap-tokyo-1 |
| Leste do Japão (Tóquio) | ap-tokyo-1 | Tokyo, Japan | Central do Japão (Osaka) | ap-osaka-1 |
| Centro da Coreia do Sul (Seul) | ap-seoul-1 | Seoul, South Korea | Norte da Coreia do Sul (Chuncheon) | ap-chuncheon-1 |
| Norte da Coreia do Sul (Chuncheon) | ap-chuncheon-1 | Chuncheon, Coreia do Sul | Centro da Coreia do Sul (Seul) | ap-seoul-1 |
| Norte da Suíça (Zurique) | eu-zurich-1 | Zurich, Suíça | Centro da Alemanha (Frankfurt) | eu-frankfurt-1 |
| Centro dos EAU (Abu Dhabi) | me-abudhabi-1 | Abu Dhabi, EAU | Leste dos Emirados Árabes Unidos (Dubai) | me-dubai-1 |
| Leste dos Emirados Árabes Unidos (Dubai) | me-dubai-1 | Dubai, UAE | Centro dos EAU (Abu Dhabi) | me-abudhabi-1 |
| Sul do Reino Unido (London) | uk-london-1 | Londres, Reino Unido | Oeste do Reino Unido (Newport) | uk-cardiff-1 |
| Oeste do Reino Unido (Newport) | uk-cardiff-1 | Newport, Reino Unido | Sul do Reino Unido (London) | uk-london-1 |
| Leste dos EUA (Ashburn) | us-ashburn-1 | Ashburn, VA | Oeste dos EUA (Phoenix) | us-phoenix-1 |
| Oeste dos EUA (Phoenix) | us-phoenix-1 | Phoenix, AZ | Leste dos EUA (Ashburn) | us-ashburn-1 |
| Oeste dos EUA (San Jose) | us-sanjose-1 | San José, CA | Oeste dos EUA (Phoenix) | us-phoenix-1 |