Visão Geral do Serviço IAM

O Oracle Cloud Infrastructure Identity and Access Management (IAM) fornece recursos de gerenciamento de identidades e acessos, como autenticação, sign-on único (SSO) e gerenciamento do ciclo de vida de identidades para a Oracle Cloud, bem como aplicativos Oracle e não-Oracle, sejam eles SaaS, hospedados na nuvem ou on-premises. Funcionários, parceiros de negócios e clientes podem acessar aplicativos a qualquer momento, de qualquer lugar e em qualquer dispositivo de forma segura.

O IAM se integra a armazenamentos de identidades existentes, provedores de identidades externos e aplicativos na nuvem e on-premises para facilitar o acesso aos usuários finais. Ele fornece a plataforma de segurança do Oracle Cloud, que permite aos usuários acessar, desenvolver e implantar de forma segura e fácil aplicativos de negócios como Oracle Human Capital Management (HCM) e Oracle Sales Cloud, bem como serviços de plataforma como Oracle Java Cloud Service, Oracle Business Intelligence (BI) Cloud Service e outros.

Administradores e usuários podem usar o IAM para ajudá-los a criar, gerenciar e usar com segurança um ambiente para gerenciamento de identidades baseado em nuvem, sem se preocupar em configurar qualquer infraestrutura ou detalhes da plataforma.

Dica

Assista a uma introdução em vídeo do serviço.

Responsabilidade do Cliente

É sua responsabilidade:

Compreenda as políticas, configurações e artefatos do Oracle Cloud Infrastructure Identity and Access Management (IAM).
Implemente suas próprias políticas, configurações e artefatos para todos os recursos do IAM.
Crie e administre usuários, políticas, configurações e artefatos usando o IAM.
Cumprir todos os requisitos e diretrizes do NIST 800-63, incluindo o IAL3, AAL3 e FAL3.

Para todos os recursos do IAM, você deve usar seus próprios valores e configurar seus próprios artefatos.

Componentes do Serviço IAM

O IAM usa os componentes descritos nesta seção. Para entender melhor como os componentes se encaixam, consulte Exemplo de Cenário.

COMPARTIMENTO: Um conjunto de recursos relacionados. Compartimentos são um componente fundamental do Oracle Cloud Infrastructure para organizar e isolar seus recursos na nuvem. Use-os para separar claramente recursos para fins de medição de uso e faturamento, acesso (pelo uso das políticas) e isolamento (separando os recursos de um projeto ou unidade de negócios de outro). Uma abordagem comum é criar um compartimento para cada parte principal da sua organização. Para obter mais informações, consulte Saiba Melhores Práticas para Configurar Sua Tenancy.
GRUPOS DINÂMICOS: Um tipo especial de grupo que contém recursos (como instâncias do serviço Compute) que correspondem às regras definidas por você (portanto, a associação pode ser alterada dinamicamente à medida que os recursos correspondentes são criados ou excluídos). Essas instâncias atuam como atores "principais" e podem fazer chamadas de API para serviços de acordo com as políticas gravadas para o grupo dinâmico.
FEDERAÇÃO: Uma relação na qual um administrador configura entre um provedor de identidades e um provedor de serviços. Ao federar o Oracle Cloud Infrastructure com um provedor de identidades, você gerencia usuários e grupos no provedor de identidades. Você gerencia a autorização no serviço IAM do Oracle Cloud Infrastructure.
GRUPO: Uma coleção de usuários que compartilham um conjunto semelhante de privilégios de acesso. Os administradores podem conceder políticas de acesso que autorizam um grupo a consumir ou gerenciar recursos em uma tenancy. Todos os usuários de um grupo herdam o mesmo conjunto de privilégios.
REGIÃO HOME: A região em que residem os recursos do IAM. Todos os recursos do IAM são globais e disponíveis em todas as regiões, mas o conjunto mestre de definições reside em uma única região, a região home. Você deve fazer alterações nos recursos do IAM na sua região home. As alterações serão propagadas automaticamente para todas as regiões. Para obter mais informações, consulte Gerenciando Regiões.
DOMÍNIO DE IDENTIDADES: Domínio de identidades é um contêiner para gerenciar usuários e atribuições, federar e provisionar usuários, proteger a integração de aplicativos por meio da configuração do Oracle Single Sign-On (SSO) e da administração OAuth. Ele representa uma população de usuários do Oracle Cloud Infrastructure e suas configurações e definições de segurança associadas (como MFA).
PROVEDOR DE IDENTIDADES: Uma relação confiável com um provedor federado de identidades. Os usuários federados que tentarem se autenticar na console do Oracle Cloud Infrastructure serão redirecionados ao provedor de identidades configurado. Após a autenticação com sucesso, os usuários federados podem gerenciar os recursos da Oracle Cloud Infrastructure na console, assim como um usuário nativo do IAM.
MFA: Uma autenticação multifatora (MFA) é um método de autenticação que requer o uso de mais de um fator para verificar a identidade de um usuário.
ORIGEM DE REDE: Um grupo de endereços IP com permissão para acessar recursos na sua tenancy. Os endereços IP podem ser endereços IP públicos ou endereços IP de uma VCN em sua tenancy. Depois de criar a origem da rede, você usa a política para restringir o acesso apenas às solicitações originadas dos IPs na origem da rede.
RECURSO: Um objeto de nuvem que você cria e usa ao interagir com os serviços do Oracle Cloud Infrastructure. Por exemplo, instâncias de computação, volumes de armazenamento em bloco, redes virtuais na nuvem (VCNs ), sub-redes, bancos de dados, aplicativos de terceiros, aplicativos Software-as-a-Service (SaaS), software on-premises e aplicativos Web de varejo.
FUNÇÃO: Um conjunto de privilégios administrativos que podem ser designados a um usuário em um domínio de identidades.
POLÍTICA DE SEGURANÇA: Um documento que especifica quem pode acessar quais recursos e como. Você pode gravar políticas para controlar os acessos a todos os serviços no Oracle Cloud Infrastructure. O acesso é concedido no nível de grupo e compartimento, o que significa que você pode gravar uma política que dá a um grupo um tipo específico de acesso em um compartimento específico ou à própria tenancy. Se você conceder a um grupo acesso à tenancy, o grupo obterá automaticamente o mesmo tipo de acesso a todos os compartimentos na tenancy. A palavra "política" é usada pelas pessoas de maneiras distintas: para se referir a uma instrução individual escrita na linguagem da política; para se referir a um conjunto de instruções em um único documento chamado de "política" (que tem um OCID (Oracle Cloud ID) designado a ele); e para indicar o conjunto completo das políticas que sua organização usa para controlar o acesso aos recursos.; Quando você aplica uma política, pode haver um pequeno atraso antes de a política ser efetiva.
POLÍTICA DE SIGN-ON: Uma política de sign-on permite que administradores de domínio de identidades, administradores de segurança e administradores de aplicativos definam critérios que determinem se um usuário poderá acessar um domínio de identidades.
TAGS: As tags permitem que você organize recursos em vários compartimentos para fins de geração de relatórios ou para executar ações em massa.
TENANCY: O compartimento-raiz que contém todos os recursos do Oracle Cloud Infrastructure da organização. O sistema Oracle cria automaticamente a tenancy de sua empresa para você. Diretamente na tenancy estão suas entidades do IAM (usuários, grupos, compartimentos e algumas políticas; você também pode colocar políticas em compartimentos dentro da tenancy). Você coloca os outros tipos de recursos de nuvem (por exemplo, instâncias, redes virtuais, volumes de armazenamento de blocos etc.) dentro dos compartimentos que você cria.; Os administradores da tenancy podem criar usuários e grupos e atribuir a eles acesso menos privilegiado aos recursos que são particionados em compartimentos.
USUÁRIO: Um funcionário ou sistema individual que precisa gerenciar ou usar os recursos do Oracle Cloud Infrastructure da sua empresa. Os usuários podem precisar iniciar instâncias, gerenciar discos remotos, trabalhar com sua rede virtual na nuvem etc. Os usuários finais de seu aplicativo geralmente não se tratam de usuários do IAM. Os usuários têm uma ou mais credenciais do IAM (consulte Como Trabalhar com Credenciais do Usuário).

Ativando e Desativando Componentes

Há vários componentes que precisam ser ativados para que seja possível usá-los. Também é possível desativá-los quando necessário.

Localize mais informações sobre o componente com o qual você está trabalhando:

Segurança adaptável: Ativar e Desativar
App Gateway: Ativar e Desativar.
Aplicativos: Ativar e Desativar
Domínios de identidades: Desativar e reativar
Provedores de identidade: Ativando ou Desativando uma Provedora de Identidades
Ponte do Microsoft AD: Ativar e Desativar
Provedores de risco: Ativar e Desativar
Perfis de autorregistro: Ativar
Políticas de sign-on: Ativar e Desativar
Termos de uso: Ativar e Desativar
Usuários: Desativar e reativar

Grupo de Administradores, Política e Atribuições de Administrador

Quando sua empresa se cadastra em uma conta Oracle e em um domínio, o sistema Oracle configura um administrador padrão para a conta. Essa pessoa será o primeiro usuário do IAM da sua empresa e será responsável por configurar inicialmente administradores adicionais. Sua tenancy vem com um grupo chamado Administradores, e o administrador padrão pertence automaticamente a esse grupo. Não é possível excluir este grupo, e sempre deve haver pelo menos um usuário.

Sua tenancy também tem automaticamente uma política que dá ao grupo Administradores acesso a todas as operações de API do Oracle Cloud Infrastructure e a todos os recursos de nuvem em sua tenancy. Não é possível alterar nem excluir esta política. Qualquer outro usuário que você colocar no grupo Administradores terá acesso total a todos os serviços. Isso significa que eles podem criar e gerenciar recursos do IAM, como grupos, políticas e compartimentos. E eles podem criar e gerenciar recursos de nuvem, como redes virtuais em nuvem (VCNs), instâncias, volumes de armazenamento de blocos e quaisquer outros novos tipos de recursos do Oracle Cloud Infrastructure que se tornem disponíveis no futuro.

Além do administrador padrão e da política padrão, você pode designar contas de usuário a atribuições predefinidas de administrador para delegar responsabilidades administrativas. Existem atribuições de administrador nos domínios de identidade. Você pode designar qualquer conta de usuário de um domínio de identidades a uma ou mais atribuições de administrador nesse domínio de identidades. Embora as políticas forneçam acesso a compartimentos e aos recursos desses compartimentos, se você usar atribuições de administrador, poderá conceder acesso a recursos sem saber o idioma da política ou criar e manter políticas.

Observação

A concessão de usuários ou grupos à atribuição de administrador do domínio da identidade para domínios que não sejam o domínio padrão concede-lhes permissões de administrador completas apenas a esse domínio (não à tenancy). Pelo menos um administrador do domínio da identidade deve receber a atribuição do administrador do domínio da identidade diretamente. Isso é adicional a qualquer atribuição de administrador de domínio de identidades concedida pela associação do grupo. Para obter mais informações, consulte Noções Básicas de Atribuições de Administrador.

O IAM avalia as políticas e as atribuições do administrador ao determinar se um usuário tem acesso aos recursos e o que esse usuário pode fazer com esses recursos. Se a tenancy já depender de políticas, você poderá continuar usando-as. Você pode até mesmo criar políticas para conceder acesso a domínios de identidade específicos. No entanto, a Oracle recomenda que você comece a usar atribuições de administrador para conceder aos usuários acesso a recursos em domínios de identidade que estão se movendo para frente.

Formas de Acessar o Oracle Cloud Infrastructure

Você pode acessar o Oracle Cloud Infrastructure usando a Console (uma interface baseada em browser) ou a API REST. As instruções para a Console estão incluídas nos tópicos deste guia. Para ver uma lista de SDKs disponíveis, consulte Software Development Kits e Interface de Linha de Comando.

Para acessar a Console, você deve usar um browser suportado. Para ir até a página do acesso à Console, abra o menu de navegação na parte superior desta página e selecione Console da Infraestrutura. Será solicitado que você digite seu tenant na nuvem, seu nome de usuário e sua senha.

Para obter a Referência da API REST da API do IAM, consulte API do Serviço Identity and Access Management. Para obter a Referência da API REST da API de Domínios da Identidade do IAM, consulte API de Domínios da Identidade do IAM. Para obter informações gerais sobre como usar a API, consulte REST API.

Documentação a Ser Usada para o Cloud Identity

Para ajudar a administrar a identidade no OCI (Oracle Cloud Infrastructure), você precisa da documentação correta.

A documentação escolhida depende dos seguintes fatores:

Se sua tenancy do OCI foi atualizada para usar os domínios do Oracle Cloud Infrastructure Identity and Access Management (IAM)
Se seus segmentos do Oracle Identity Cloud Service (IDCS) foram migrados para domínios de identidade do IAM

Leia as seções a seguir para encontrar a documentação correta para você.

Você Tem Acesso a Domínios de Identidade?

Acessar a Console do Oracle Cloud. Precisa de ajuda para acessar? Consulte Acessar a Console.
No menu de navegaçãomenu de navegação , selecione Identidade e Segurança. Em Identidade, verifique Domínios. Se você vir Domínios, sua conta da nuvem foi atualizada.

Tenancy com domínios de identidades

Captura de tela do OCI IAM com domínios de identidade

Tenancy sem domínios de identidades

Captura de tela do OCI IAM sem domínios de identidade

Se você acessar e ver a Console de Administração do IDCS em vez da Console do Oracle Cloud, conforme mostrado na imagem a seguir, suas faixas não foram migradas para o IAM. Você não tem acesso a domínios de identidade.

Identity Cloud Service

Captura de tela da Console de Administração do IDCS

Qual Documentação Você Precisa?

Depois de determinar se sua tenancy foi atualizada ou se as faixas do IDCS migraram, escolha a documentação correta para você.

Sua tenancy foi atualizada?	Usando esta documentação.
Eu vejo Domínios na Console. Minha tenancy foi atualizada.	Ao usar a Console: Para administrar o IAM em tenancies com domínios do Identity, consulte Oracle Cloud Infrastructure Identity and Access Management. Para obter instruções de autoatendimento, como configurar a MFA, consulte o Guia do Usuário do IAM. Ao usar a API: Para gerenciar domínios de identidades (por exemplo, criar ou excluir um domínio), consulte a API do IAM. Para gerenciar recursos (por exemplo, usuários e grupos) nos domínios da identidade, consulte API dos Domínios de Identidade do IAM. Se sua tenancy foi atualizada recentemente, para ver informações sobre o que esperar após a atualização, consulte: Domínios de Identidade do OCI IAM: O que os clientes do OCI IAM precisam saber Domínios de Identidade do OCI IAM: O que o Oracle IDCS os clientes precisam saber
Eu não vejo Domínios na Console. Minha tenancy não foi atualizada.	Para usar a Console para administrar o IAM em tenancies sem domínios de identidades, consulte Visão Geral do Serviço Identity and Access Management. Para usar a API para administrar o IAM em tenancies sem domínios, consulte API do IAM. Para obter informações sobre o que esperar quando a atualização acontecer, consulte Domínios de Identidade do OCI IAM: O que os clientes do OCI IAM precisam saber.
Eu vejo a Console de Administração do IDCS. Minhas faixas não foram migradas para domínios de identidade.	Ao usar a Console: Para administrar faixas no IDCS, consulte Administrando o Oracle Identity Cloud Service. Para obter instruções sobre autoatendimento do usuário, como a configuração de MFA, consulte Usando o Oracle Identity Cloud Service. Para usar a API para administrar faixas no IDCS, consulte API REST do Oracle Identity Cloud Service. Para obter informações sobre o que esperar quando a migração acontece, consulte Domínios de Identidade de OCI IAM: O que o cliente do Oracle IDCS precisa saber.

Sua tenancy foi atualizada?

Usando esta documentação.

Eu vejo Domínios na Console. Minha tenancy foi atualizada.

Ao usar a Console:

Para administrar o IAM em tenancies com domínios do Identity, consulte Oracle Cloud Infrastructure Identity and Access Management.
Para obter instruções de autoatendimento, como configurar a MFA, consulte o Guia do Usuário do IAM.

Ao usar a API:

Para gerenciar domínios de identidades (por exemplo, criar ou excluir um domínio), consulte a API do IAM.
Para gerenciar recursos (por exemplo, usuários e grupos) nos domínios da identidade, consulte API dos Domínios de Identidade do IAM.

Se sua tenancy foi atualizada recentemente, para ver informações sobre o que esperar após a atualização, consulte:

Eu não vejo Domínios na Console. Minha tenancy não foi atualizada.

Para usar a Console para administrar o IAM em tenancies sem domínios de identidades, consulte Visão Geral do Serviço Identity and Access Management.

Para usar a API para administrar o IAM em tenancies sem domínios, consulte API do IAM.

Para obter informações sobre o que esperar quando a atualização acontecer, consulte Domínios de Identidade do OCI IAM: O que os clientes do OCI IAM precisam saber.

Eu vejo a Console de Administração do IDCS. Minhas faixas não foram migradas para domínios de identidade.