Visão Geral do Serviço IAM

O Oracle Cloud Infrastructure Identity and Access Management (IAM) fornece recursos de gerenciamento de identidade e acesso como autenticação, sign-on único (SSO) e gerenciamento do ciclo de vida de identidade para o Oracle Cloud, bem como aplicativos Oracle e não Oracle, sejam SaaS, hospedados na nuvem ou locais. Funcionários, parceiros de negócios e clientes podem acessar aplicativos a qualquer momento, de qualquer lugar e em qualquer dispositivo de forma segura.

O serviço IAM se integra aos armazenamentos de identidade, provedores de identidade externos e aplicativos existentes, na nuvem e locais, para facilitar o acesso dos usuários finais. Ele fornece a plataforma de segurança do Oracle Cloud, que permite aos usuários acessar, desenvolver e implantar de forma segura e fácil aplicativos de negócios como Oracle Human Capital Management (HCM) e Oracle Sales Cloud, bem como serviços de plataforma como Oracle Java Cloud Service, Oracle Business Intelligence (BI) Cloud Service e outros.

Os administradores e usuários podem utilizar o serviço IAM para ajudá-los a criar, gerenciar e usar de forma eficaz e segura um ambiente de gerenciamento de identidades baseado na nuvem sem se preocupar com a configuração de qualquer detalhe de infraestrutura ou plataforma.

Dica

Assista a uma introdução em vídeo do serviço.

Responsabilidade do Cliente

É sua responsabilidade:

Entender as políticas, as configurações e os artefatos do Oracle Cloud Infrastructure Identity and Access Management (IAM).
Implementar suas próprias políticas, configurações e artefatos para todos os recursos do serviço IAM.
Criar e administrar usuários, políticas, configurações e artefatos usando o serviço IAM.
Cumprir todos os requisitos e diretrizes do NIST 800-63, incluindo o IAL3, AAL3 e FAL3.

Para todos os recursos do serviço IAM, você deve usar seus próprios valores de configuração e configurar seus próprios artefatos.

Componentes do Serviço IAM

O serviço IAM usa os componentes descritos nesta seção. Para entender melhor como os componentes se encaixam, consulte Exemplo de Cenário.

COMPARTIMENTO: Um conjunto de recursos relacionados. Os compartimentos são um componente fundamental do Oracle Cloud Infrastructure para organizar e isolar seus recursos na nuvem. Use-os para separar claramente recursos para fins de medição de uso e faturamento, acesso (pelo uso das políticas) e isolamento (separando os recursos de um projeto ou unidade de negócios de outro). Uma abordagem comum é criar um compartimento para cada parte principal da sua organização. Para obter mais informações, consulte Conheça as Melhores Práticas para Configurar a Sua Tenancy.
GRUPOS DINÂMICOS: Um tipo especial de grupo que contém recursos (como instâncias do serviço Compute) que correspondem às regras definidas por você (portanto, a associação pode ser alterada dinamicamente à medida que os recursos correspondentes são criados ou excluídos). Essas instâncias atuam como atores "principais" e podem fazer chamadas de API para serviços de acordo com as políticas gravadas para o grupo dinâmico.
FEDERAÇÃO: Uma relação na qual um administrador configura entre um provedor de identidades e um provedor de serviços. Quando você federa o Oracle Cloud Infrastructure com um provedor de identidades, você gerencia usuários e grupos no provedor de identidades. Você gerencia a autorização no serviço IAM do Oracle Cloud Infrastructure.
GRUPO: Um conjunto de usuários que compartilha um conjunto semelhante de privilégios de acesso. Os administradores podem conceder políticas de acesso que autorizam um grupo a consumir ou gerenciar recursos em uma tenancy. Todos os usuários de um grupo herdam o mesmo conjunto de privilégios.
REGIÃO HOME: A região na qual residem os recursos do serviço IAM. Todos os recursos do serviço IAM são globais e estão disponíveis em todas as regiões, mas o conjunto mestre de definições reside em uma única região, a região local. Você deverá fazer alterações nos recursos do serviço IAM na sua região local. As alterações serão propagadas automaticamente para todas as regiões. Para obter mais informações, consulte Gerenciando Regiões.
DOMÍNIO DE IDENTIDADES: Domínio de identidades é um contêiner para gerenciar usuários e atribuições, federar e provisionar usuários, proteger a integração de aplicativos por meio da configuração do Oracle Single Sign-On (SSO) e da administração OAuth. Ele representa uma população de usuários do Oracle Cloud Infrastructure e suas configurações e definições de segurança associadas (como MFA).
PROVEDOR DE IDENTIDADE: Uma relação confiável com um provedor de identidades federado. Os usuários federados que tentam autenticar a console do Oracle Cloud Infrastructure são redirecionados para o provedor de identidades configurado. Após a autenticação bem-sucedida, os usuários federados poderão gerenciar recursos do Oracle Cloud Infrastructure na console, como um usuário nativo do serviço IAM.
MFA: Autenticação multifator (MFA) é um método de autenticação que exige o uso de mais de um fator para verificar a identidade de um usuário.
ORIGEM DE REDE: Um grupo de endereços IP com permissão para acessar recursos em sua tenancy. Os endereços IP podem ser endereços IP públicos ou endereços IP de uma VCN em sua tenancy. Depois de criar a origem da rede, você usa a política para restringir o acesso apenas às solicitações originadas dos IPs na origem da rede.
RECURSO: Um objeto de nuvem que você cria e usa ao interagir com os serviços do Oracle Cloud Infrastructure. Por exemplo, instâncias de computação, volumes de armazenamento em blocos, redes virtuais na nuvem (VCNs ), sub-redes, bancos de dados, aplicativos de terceiros, aplicativos Software-as-a-Service (SaaS), software local e aplicativos Web de varejo.
ATRIBUIÇÃO: Um conjunto de privilégios administrativos que podem ser atribuídos a um usuário em um domínio de identidades.
POLÍTICA DE SEGURANÇA: Um documento que especifica quem pode acessar quais recursos e como. Você pode gravar políticas para controlar o acesso a todos os serviços no Oracle Cloud Infrastructure. O acesso é concedido no nível de grupo e compartimento, o que significa que você pode gravar uma política que dá a um grupo um tipo específico de acesso em um compartimento específico ou à própria tenancy. Se você conceder a um grupo acesso à tenancy, o grupo obterá automaticamente o mesmo tipo de acesso a todos os compartimentos na tenancy. Para obter mais informações, consulte Exemplo de Cenário e Como as Políticas Funcionam. A palavra "política" é usada pelas pessoas de maneiras distintas: para se referir a uma instrução individual escrita na linguagem da política; para se referir a um conjunto de instruções em um único documento chamado de "política" (que tem um OCID (Oracle Cloud ID) designado a ele); e para indicar o conjunto completo das políticas que sua organização usa para controlar o acesso aos recursos.; Quando você aplica uma política, pode haver um ligeiro atraso antes de a política ser efetiva.
POLÍTICA DE SIGN-ON: Uma política de sign-on permite que administradores de domínio de identidades, administradores de segurança e administradores de aplicativos definam critérios que determinem se um usuário poderá acessar um domínio de identidades.
TAGS: As tags permitem que você organize recursos em vários compartimentos para fins de geração de relatórios ou para executar ações em massa.
TENANCY: O compartimento raiz que contém todos os recursos do Oracle Cloud Infrastructure da organização. O sistema Oracle cria automaticamente a tenancy de sua empresa para você. Diretamente na tenancy estão suas entidades do serviço IAM (usuários, grupos, compartimentos e algumas políticas; você também pode colocar políticas em compartimentos dentro da tenancy). Você coloca os outros tipos de recursos de nuvem (por exemplo, instâncias, redes virtuais, volumes de armazenamento em blocos etc.) nos compartimentos que você cria.; Os administradores da tenancy podem criar usuários e grupos e designá-los a um acesso menos privilegiado a recursos particionados em compartimentos.
USUÁRIO: Um funcionário individual ou sistema que precisa gerenciar ou usar os recursos do Oracle Cloud Infrastructure da sua empresa. Os usuários podem precisar iniciar instâncias, gerenciar discos remotos, trabalhar com sua rede virtual na nuvem etc. Os usuários finais do seu aplicativo não são normalmente usuários do serviço IAM. Os usuários têm uma ou mais credenciais do serviço IAM (consulte Credenciais do Usuário).

Ativando e Desativando Componentes

Há vários componentes que precisam ser ativados para que seja possível usá-los. Também é possível desativá-los quando necessário.

Localize mais informações sobre o componente com o qual você está trabalhando:

Segurança adaptável: Ativar e Desativar
App Gateway: Ativar e Desativar.
Aplicativos: Ativar e Desativar
Domínios de identidades: Desativar e reativar
Provedores de identidade: Ativando ou Desativando um Provedor de Identidades
Ponte do Microsoft AD: Ativar e Desativar
Provedores de risco: Ativar e Desativar
Perfis de autorregistro: Ativar
Políticas de sign-on: Ativar e Desativar
Termos de uso: Ativar e Desativar
Usuários: Desativar e reativar

O Grupo de Administradores, a Política e as Atribuições de Administrador

Quando sua empresa se inscreve em uma conta da Oracle e no domínio de identidades, a Oracle configura um administrador padrão para a conta. Essa pessoa será o primeiro usuário do serviço IAM de sua empresa e será responsável pela configuração inicial dos administradores adicionais. Sua tenancy vem com um grupo chamado Administradores, e o administrador padrão pertence automaticamente a esse grupo. Não é possível excluir este grupo, e sempre deve haver pelo menos um usuário.

Sua tenancy também tem automaticamente uma política que oferece ao grupo Administradores acesso a todas as operações da API do Oracle Cloud Infrastructure e a todos os recursos de nuvem em sua tenancy. Não é possível alterar nem excluir esta política. Qualquer outro usuário que você colocar no grupo Administradores terá acesso total a todos os serviços. Isso possibilita criar e gerenciar recursos do serviço IAM, como grupos, políticas e compartimentos. E poder criar e gerenciar recursos da nuvem, como redes virtuais na nuvem (VCNs), instâncias, volumes de armazenamento em blocos e qualquer outro novo tipo de recursos do Oracle Cloud Infrastructure que se torne disponível no futuro.

Além do administrador padrão e da política padrão, você pode designar contas de usuário a atribuições predefinidas de administrador para delegar responsabilidades administrativas. Existem atribuições de administrador nos domínios de identidade. Você pode designar qualquer conta de usuário de um domínio de identidades a uma ou mais atribuições de administrador nesse domínio de identidades. Embora as políticas forneçam acesso a compartimentos e aos recursos desses compartimentos, se você usar atribuições de administrador, poderá conceder acesso a recursos sem saber o idioma da política ou criar e manter políticas.

Observação

A concessão de usuários ou grupos à atribuição de administrador de domínio de identidades para domínios diferentes do domínio padrão concede a eles permissões completas de administrador somente para esse domínio (não para a tenancy). Pelo menos um administrador do domínio de identidades deve receber a atribuição de administrador do domínio de identidades diretamente. Isso é adicional a qualquer atribuição de administrador de domínio de identidades concedida pela associação do grupo. Para obter mais informações, consulte Noções Básicas sobre Atribuições de Administrador.

O serviço IAM avalia políticas e atribuições de administrador ao determinar se um usuário tem acesso a recursos e o que ele pode fazer com esses recursos. Se a tenancy já depender de políticas, você poderá continuar usando-as. Você pode até mesmo criar políticas para conceder acesso a domínios de identidade específicos. No entanto, a Oracle recomenda que você comece a usar atribuições de administrador para conceder aos usuários acesso a recursos em domínios de identidade que estão se movendo para frente.

Formas de Acessar o Oracle Cloud Infrastructure

Você pode acessar o Oracle Cloud Infrastructure usando a Console (uma interface baseada em browser) ou a REST API. As instruções referentes à Console estão incluídas nos tópicos deste guia. Para ver uma lista de SDKs disponíveis, consulte Software Development Kits e Interface de Linha de Comando.

Para acessar a Console, você deve usar um navegador suportado. Para acessar a página de acesso da Console, abra o menu de navegação na parte superior desta página e clique em Console de Infraestrutura. Será solicitado que você digite seu tenant na nuvem, seu nome de usuário e sua senha.

Para a Referência de API REST da API do serviço IAM, consulte API do Serviço Identity and Access Management. Para a Referência de API REST da API de Domínios de Identidade do serviço IAM, consulte API de Domínios de Identidade do Serviço IAM. Para obter informações gerais sobre o uso da API, consulte APIs REST.

Documentação a Ser Usada para o Cloud Identity

Para ajudá-lo a administrar a identidade no Oracle Cloud Infrastructure (OCI), você precisa da documentação correta.

A documentação escolhida depende dos seguintes fatores:

Se sua tenancy do OCI foi atualizada para usar os domínios de identidade do Oracle Cloud Infrastructure Identity and Access Management (IAM)
Se seus segmentos do Oracle Identity Cloud Service (IDCS) foram migrados para domínios de identidades do serviço IAM

Leia as seções a seguir para encontrar a documentação correta para você.

Você Tem Acesso a Domínios de Identidade?

Acessar a Console do Oracle Cloud. Precisa de ajuda para acessar? Consulte Acessar a Console.
No menu de navegação, clique em Identidade e Segurança. Em Identidade, verifique Domínios. Se você vir Domínios, sua conta na nuvem foi atualizada.

Tenancy com domínios de identidades

Captura de tela do OCI IAM com domínios de identidade

Tenancy sem domínios de identidades

Captura de tela do OCI IAM sem domínios de identidade

Se você acessar e vir a Console de Administração do IDCS em vez da Console do Oracle Cloud, conforme mostrado na imagem a seguir, é porque seus segmentos não foram migrados para o serviço IAM. Você não tem acesso a domínios de identidade.

Identity Cloud Service

Captura de tela da Console de Administração do IDCS

De qual Documentação Você Precisa?

Depois de determinar se sua tenancy foi atualizada ou se suas faixas do IDCS migraram, escolha a documentação correta para você.

Sua tenancy foi atualizada?	Usando esta documentação.
Eu vejo Domínios na Console. Minha tenancy foi atualizada.	Ao usar a Console: Para administrar o IAM em tenancies com domínios de identidades, consulte o Oracle Cloud Infrastructure Identity and Access Management. Para obter instruções de autoatendimento do usuário, como a configuração de MFA, consulte o Guia do Usuário do Serviço IAM. Ao usar a API: Para gerenciar domínios de identidades (por exemplo, criar ou excluir um domínio), consulte API do Serviço IAM . Para gerenciar recursos (por exemplo, usuários e grupos) nos domínios de identidades, consulte API de Domínios de Identidades do Serviço IAM. Se sua tenancy tiver sido atualizada recentemente, para obter informações sobre o que esperar pós-atualização, consulte: Domínios de Identidades do OCI IAM: O que os clientes do OCI IAM precisam saber Domínios de Identidades do OCI IAM: O que os clientes do Oracle IDCS precisam saber
Não vejo Domínios na Console. Minha tenancy não foi atualizada.	Para usar a Console para administrar o serviço IAM em tenancies sem domínios de identidades, consulte Visão Geral do Serviço Identity and Access Management. Para usar a API para administrar o serviço IAM em tenancies sem domínios de identidades, consulte API do serviço IAM. Para obter informações sobre o que esperar quando ocorrer a atualização, consulte OCI IAM Identity Domains: What OCI IAM customers need to know.
Eu vejo a Console de Administração do IDCS. Minhas faixas não foram migradas para domínios de identidade.	Ao usar a Console: Para administrar faixas no IDCS, consulte Administrando o Oracle Identity Cloud Service. Para obter instruções sobre autoatendimento do usuário, como a configuração de MFA, consulte Usando o Oracle Identity Cloud Service. Para usar a API para administrar faixas no IDCS, consulte API REST do Oracle Identity Cloud Service. Para obter informações sobre o que esperar quando a migração ocorrer, consulte OCI IAM Identity Domains: What Oracle IDCS customers need to know.

Sua tenancy foi atualizada?

Usando esta documentação.

Eu vejo Domínios na Console. Minha tenancy foi atualizada.

Ao usar a Console:

Para administrar o IAM em tenancies com domínios de identidades, consulte o Oracle Cloud Infrastructure Identity and Access Management.
Para obter instruções de autoatendimento do usuário, como a configuração de MFA, consulte o Guia do Usuário do Serviço IAM.

Ao usar a API:

Para gerenciar domínios de identidades (por exemplo, criar ou excluir um domínio), consulte API do Serviço IAM .
Para gerenciar recursos (por exemplo, usuários e grupos) nos domínios de identidades, consulte API de Domínios de Identidades do Serviço IAM.

Se sua tenancy tiver sido atualizada recentemente, para obter informações sobre o que esperar pós-atualização, consulte:

Domínios de Identidades do OCI IAM: O que os clientes do OCI IAM precisam saber
Domínios de Identidades do OCI IAM: O que os clientes do Oracle IDCS precisam saber

Não vejo Domínios na Console. Minha tenancy não foi atualizada.

Para usar a Console para administrar o serviço IAM em tenancies sem domínios de identidades, consulte Visão Geral do Serviço Identity and Access Management.

Para usar a API para administrar o serviço IAM em tenancies sem domínios de identidades, consulte API do serviço IAM.

Para obter informações sobre o que esperar quando ocorrer a atualização, consulte OCI IAM Identity Domains: What OCI IAM customers need to know.

Eu vejo a Console de Administração do IDCS. Minhas faixas não foram migradas para domínios de identidade.