Tipos de Domínio de Identidades do Serviço IAM
Conheça os tipos de domínio de identidades e os recursos e limites associados a cada um.
Um domínio de identidades do IAM é implantado com um dos cinco tipos, Cada tipo de domínio de identificação está associado ao conjunto diferente de recursos e limites do objeto. Use essas informações para decidir qual tipo de domínio é apropriado para o que você deseja fazer.
Esta seção resume:
- Os diferentes tipos de domínio de identidades. Consulte Noções Básicas sobre Tipos de Domínio de Identidades.
- Os recursos associados a cada tipo. Consulte Disponibilidade de Recursos para Tipos de Domínio de Identidades.
- O número de diferentes tipos de objeto para cada tipo de domínio de identidades. Consulte Limites de Objeto do Domínio de Identidades do Serviço IAM.
- Tipos de dados suportados para atributos personalizados e seus limites. Consulte Tipos de Dados para Atributos Personalizados.
- Limitação de taxa para APIs para diferentes tipos de domínio de identidades. Consulte Limites de Taxa de API.
- Medidores usados para diferentes tipos de domínio de identidades. Consulte Medidores para Tipos. de Domínio de Identidades.
- Como alterar para outro tipo de domínio de identidades, consulte Alterando seu Tipo de Domínio de Identidades.
Esta seção tem informações sobre domínios de identidades e os vários recursos e limites associados a cada tipo de domínio de identidades. Para obter informações sobre limites de nível de tenancy do IAM, consulte IAM com Limites de Domínios de Identidade.
Noções Básicas de Tipos de Domínio de Identidades
O IAM tem cinco tipos de domínio de identidades diferentes para atender às diferentes necessidades organizacionais. Comece aqui para entender qual se adapta melhor aos seus requisitos e qual tipo escolher ao criar um domínio de identidades.
Este é um resumo dos tipos de domínio de identidades. Decida qual fornece o melhor ajuste para seus requisitos e verifique os recursos e limites abaixo para que você obtenha com esse tipo de domínio de identidades para selecionar o tipo de domínio de identidades mais adequado para você.
Gratuito
Ao criar uma tenancy da OCI, você é automaticamente provisionado com um domínio de identidades Grátis. Esse tipo de domínio permite que você use o serviço IAM para gerenciar o acesso aos recursos de Plataforma e Infraestrutura do OCI. Use esse tipo de domínio para saber mais sobre o serviço IAM e gerenciar o acesso aos recursos IaaS e PaaS do OCI. Esse tipo de domínio deve incluir tudo o que você precisa para gerenciar o OCI. Mas se você precisar de limites mais altos ou recursos adicionais, poderá alterar para outro tipo de domínio de identidades.
Exemplo de Caso de Uso: Sua organização usa o Oracle Cloud e seus administradores de nuvem precisam de acesso seguro para gerenciar serviços do OCI assinados.
Aplicativos Oracle
Alguns serviços do Oracle PaaS e aplicativos SaaS oferecem aos seus clientes um domínio de identidades do Oracle Apps que permite usar o serviço IAM para gerenciar o acesso ao serviço inscrito. Na maioria dos casos, o domínio de identidades é fornecido pelo serviço no momento do provisionamento ou um domínio pré-existente se tornará automaticamente um domínio do Oracle Apps quando um serviço registrado for anexado a ele. Esse tipo de domínio deve incluir tudo o que você precisa para gerenciar o acesso ao seu serviço Oracle inscrito. Mas se você precisar de limites mais altos ou recursos adicionais, poderá alterar para outro tipo de domínio de identidades.
Exemplo de Caso de Uso: Sua organização se inscreve em um serviço Oracle PaaS ou SaaS que fornece um domínio de identidades do Oracle Apps com seu serviço. Você pode usar esse tipo de domínio para gerenciar o acesso aos serviços PaaS e SaaS da Oracle. Você também pode ter um ou dois aplicativos de terceiros para os quais gostaria que os usuários se conectassem sem problemas sem precisar se reautenticar.
Aplicativos Oracle Premium
Os domínios de identidade Oracle Apps Premium adicionam suporte para cenários híbridos do IAM que estendem o serviço IAM para gerenciar o acesso a aplicativos Oracle hospedados on-premises ou na OCI, como Oracle E-Business Suite, PeopleSoft e Oracle Database. Embora esse tipo de domínio de identidades se destine principalmente ao uso com aplicativos Oracle, ele também permite que você gerencie o acesso para um número limitado de aplicativos de terceiros ou personalizados.
Exemplo de Caso de Uso: Sua organização gostaria de ativar a autenticação e o logon único para que os usuários da força de trabalho acessem os aplicativos Oracle SaaS, bem como os aplicativos Oracle locais ou hospedados na nuvem, como E-Business Suite, JD Edwards, PeopleSoft, Siebel e/ou Oracle Database. Você também pode querer sincronização bidirecional com o Microsoft Active Directory ou outros sistemas on-premises e pode ter alguns aplicativos de terceiros ou personalizados para os quais gostaria que os usuários se conectassem sem precisar se autenticar novamente.
Premium
Domínios de identidade Premium fornecem o conjunto completo de recursos e os limites mais altos do IAM para casos do uso dos funcionários e da força de trabalho que oferecem gerenciamento de acesso pronto para empresas em ambientes híbridos de TI. Inclui todos os tipos de integração suportados e aplicativos ilimitados de terceiros. Esse é o tipo de domínio ideal se você estiver padronizando no OCI IAM como seu provedor de gerenciamento de acesso e identidade empresarial.
Exemplo de Caso de Uso: Você deseja que uma solução Identity-as-a-Service (IDaaS) gerencie a autenticação da força de Trabalho e acesse todos os seus aplicativos Oracle e de terceiros, sejam aplicativos SaaS, aplicativos empresariais locais ou aplicativos hospedados na nuvem. Você deseja usar funcionalidades modernas de autenticação e autorização, como autenticação sem senha, tokens FIDO2 de hardware e segurança adaptável. Você também pode querer provisionamento e desprovisionamento automatizados de contas nesses sistemas.
Usuário Externo
Os domínios External identity fornecem um conjunto robusto de funcionalidades do IAM para casos, aplicativos voltados para o consumidor e desenvolvimento de aplicativo personalizado que não sejam de funcionários. Esse tipo de domínio fornece recursos relevantes para esses cenários, como autoatendimento do usuário, conexão social e gerenciamento de consentimento.
Os domínios de identidade externa só são licenciados para contas do usuário que não são funcionários. Se suas necessidades de negócios exigirem que você tenha contas de usuário de funcionário armazenadas em um domínio de identidades Externo (por exemplo, se um aplicativo suportar apenas um provedor de identidades), isso será permitido apenas se essas contas de usuário também existirem em outro domínio de identidades do tipo Gratuito, Aplicativos Oracle, Aplicativos Oracle Premium ou Premium.
Exemplo de Caso de Uso: Você deseja uma solução Identity-as-a-Service (IDaaS) completa que ajude a gerenciar autenticação e acesso para aplicativos personalizados ou voltados para o consumidor. A solução deve dar suporte ao login social, à senha de autoatendimento e ao gerenciamento de perfis do usuário, bem como ao consentimento de termos de uso. E você pode precisar que a solução seja dimensionada para oferecer suporte a milhões de usuários.
Disponibilidade de Recursos para Tipos de Domínio de Identidades
Entenda os recursos disponíveis para os diferentes tipos de domínio de identidades.
Esta tabela mostra os recursos disponíveis para cada tipo de domínio.
| Recurso | Gratuito | Aplicativos Oracle | Aplicativos Oracle Premium | Premium | Usuário Externo |
|---|---|---|---|---|---|
| Principais recursos do IAM | |||||
| Gerenciamento de usuários e grupos |
|
|
|
|
|
| Autorregistro do usuário final | - |
|
|
|
|
| Gerenciamento de perfis de autoatendimento |
|
|
|
|
|
| Recuperação de conta (redefinição de senha de autoatendimento por e-mail, SMS, perguntas de segurança) |
SMS não faz parte do tipo de domínio Gratuito |
|
|
|
|
| Política de senha padrão |
|
|
|
|
|
| Política de senha baseada em grupo |
|
|
|
|
|
| Suporte para Aplicativos Externos 1 | |||||
| SSO de saída para aplicativos de terceiros |
|
|
|
|
|
| Provisionamento para aplicativos de terceiros usando o Catálogo de Aplicativos |
|
|
|
|
- |
| Gerenciamento de OAuth/token para aplicativos de terceiros |
|
|
|
|
|
| Modelo de aplicativo SCIM genérico |
|
|
|
|
|
| Gerenciar o Acesso ao Oracle Cloud Infrastructure | |||||
| Todos os recursos atuais do IAM Infrastructure as a Service |
|
|
|
|
- |
| Gerenciar acesso a recursos do OCI |
|
|
|
|
- |
| Grupos dinâmicos (para OCI) |
|
|
|
|
- |
| Tipos de credenciais específicos do OCI |
|
|
|
|
- |
| Opções de segurança | |||||
| IdPs externo e log-in social (Federação/SSO de Entrada) |
|
|
|
|
|
| Políticas de roteamento de IdP flexíveis |
|
|
|
|
|
| Termos de uso |
|
|
|
|
|
| Provisionamento just-in-time |
|
|
|
|
|
| Suporte a cartões PIV/CAC |
|
|
|
|
|
| Extensões de esquema |
|
|
|
|
|
| Administração delegada |
|
|
|
|
|
| Sincronização Unidirecional do Active Directory que suporta a sincronização de entrada do AD para o domínio do IAM |
|
|
|
|
- |
| Opções de Autenticação: Oracle Mobile Authenticator (MFA) e segurança adaptativa (MFA - TOTP e push, chamada telefônica, perguntas de segurança, FIDO2, DUO e-mail). |
SMS não faz parte do tipo de domínio Gratuito |
|
|
|
|
| Autenticação sem senha |
|
|
|
|
|
| Políticas de acesso (condições - autenticadas por, grupos, administradores, exclusões, perímetro de rede, mecanismo de risco incorporado) |
|
|
|
|
|
| SDKs de Aplicativos |
|
|
|
|
|
| Integração do Oracle SaaS | |||||
| SSO para serviços do Oracle Cloud |
|
|
|
|
|
| Provisionamento de usuários para serviços do Oracle Cloud (com formulário de conta, atributos personalizados, filtros etc.) |
|
|
|
|
- |
| Gerenciamento de OAuth/Token para Aplicativo Oracle e extensões SaaS 2 |
|
|
|
|
- |
| Relatórios | |||||
| Auditoria e relatórios |
|
|
|
|
|
| Marca | |||||
| Aparência personalizada |
|
|
|
|
|
| Acesso hospedado | - | - |
|
|
|
| Recursos avançados e híbridos de gerenciamento de identidade e acesso | |||||
| IAM Avançado | |||||
| Sincronização bidirecional com LDAP por meio da ponte de provisionamento | - | - |
|
|
- |
| Sincronização bidirecional com a ponte do AD | - | - |
|
|
- |
| Autenticação delegada por meio da ponte do AD | - | - |
|
|
- |
| SSO para qualquer aplicativo |
|
|
|
|
|
| IAM Híbrido | |||||
| Gateway de Aplicativo (para qualquer aplicativo empresarial) | - | - |
Somente aplicativos Oracle empresariais |
Qualquer aplicativo empresarial |
Qualquer aplicativo empresarial |
| EBS Asserter 3 | - | - |
|
|
|
| Proxy RADIUS (todos - Oracle DB, VPNs, dispositivos de rede etc.) | - | - |
Oracle DB somente |
Todos - Oracle DB, VPNs, Dispositivos de Rede etc. |
- |
| Linux PAM | - | - |
|
|
- |
1 Aplicativos externos ou de terceiros são definidos como aplicativos comerciais oferecidos por um provedor que não seja a Oracle ou como aplicativos desenvolvidos sob medida (incluindo, por exemplo, aplicativos criados no OCI usando o APEX). Observe que os aplicativos personalizados criados usando o Visual Builder Cloud Service não contam com o limite em aplicativos externos.
2 SaaS Extensions são aplicativos desenvolvidos personalizados que só são usados como extensões para aplicativos Oracle SaaS assinados, como HCM, ERP, SCM etc. O único propósito desses aplicativos é aumentar os aplicativos Oracle SaaS. Estes não contam com o limite em aplicativos externos.
3 O direito do uso do Oracle E-Business Suite Asserter também inclui o direito do uso do WebLogic Server Enterprise Edition exclusivamente para fins de execução do aplicativo asserter, de acordo com todos os termos e condições, conforme descrito no Oracle Fusion Middleware Licensing Information User Manual.
Limites de Objeto de Domínio de Identidade do IAM
Entenda o número de diferentes tipos de objeto permitidos em cada tipo de domínio de identidades.
Você pode criar diferentes tipos de domínio de identidades sujeitos ao limite permitido pelo seu tipo de assinatura. Para descobrir os limites do domínio de identidades de cada tipo de assinatura, consulte Serviço IAM com Limites de Domínios de Identidade.
| Recurso | Gratuito | Aplicativos Oracle | Aplicativos Oracle Premium | Premium | Usuário Externo |
|---|---|---|---|---|---|
| Usuários | 2.000 | 1.000.000 | 1.000.000 | 1.000.000 | 100.000.000 |
| Grupos | 250 | 10.000 | 100.000 | 100.000 | 100.000 |
| Usuários em um grupo | 2.000 | 10.000 | 100.000 | 100.000 | 100.000 |
| Grupos por usuário | 250 | 500 | 5.000 | 5.000 | 5.000 |
| Políticas de senha padrão e baseadas em grupo | 10 | 10 | 10 | 10 | 10 |
| Aplicativos não Oracle 1 | 2 | 22 | 102 | 5.000 | 5.000 |
| Aplicativos Oracle Cloud | 2.000 | 2.000 | 2.000 | 2.000 | - |
| Aplicativos empresariais | - | - | 500 (Somente aplicativos Oracle empresariais) |
500 | 500 |
| Proxy RADIUS | - | - | 50 | 50 | - |
| Domínios do AD (Active Directory) | 2 | 10 | 20 | 20 | - |
| Pontes de domínio ativas por domínio do AD | 4 | 10 | 10 | 10 | - |
| Pontes de provisionamento | 4 | 10 | 10 | 10 | - |
| Gateway de Aplicativo | - | - | 20 | 20 | 20 |
| Provedores de Identidade Externos e Login Social (IdPs) (Federação/SSO de entrada) | 5 | 5 | 30 | 30 | 30 |
| Políticas do IdP | 5 | 50 | 100 | 100 | 100 |
| Termos de uso | 500 | 500 | 500 | 500 | 500 |
| Políticas de acesso | 5 | 50 | 200 | 200 | 200 |
| Perfis de autorregistro | - | 50 | 50 | 50 | 50 |
| Grupos dinâmicos | 50 | 50 | 50 | 50 | - |
| Chave de API por usuário | 3 | 3 | 3 | 3 | - |
| Token de autenticação por usuário | 2 | 2 | 2 | 2 | - |
| Credenciais do cliente OAuth2 por usuário | 10 | 10 | 10 | 10 | - |
| Credenciais SMTP | 2 | 2 | 2 | 2 | - |
| Chave secreta do cliente por usuário | 2 | 2 | 2 | 2 | - |
| Credenciais do banco de dados por usuário | 2 | 2 | 2 | 2 | - |
| OAuth Certificado do Cliente | 20 | 200 | 200 | 20.000 | 20.000 |
| OAuth Certificados de Parceiros | 20 | 20 | 100 | 100 | 100 |
| Certificados do Parceiro Confiável | 20 | 20 | 100 | 100 | 100 |
| Confiança de Propagação de Identidade | 30 | 30 | 30 | 30 | 30 |
1 Aplicativos não Oracle ou de terceiros são definidos como aplicativos comerciais oferecidos por um provedor que não seja a Oracle ou aplicativos desenvolvidos sob medida (incluindo, por exemplo, aplicativos criados no OCI usando o APEX). Observe que os aplicativos personalizados criados usando o Visual Builder Cloud Service não contam com o limite em aplicativos externos.
2 Os limites do número de aplicativos não Oracle ou de terceiros para os tipos de domínio Oracle Apps e Oracle Apps Premium não são aplicados temporariamente. Elas serão aplicadas no futuro.
Tipos de Dados para Atributos Personalizados
Consulte os tipos de dados suportados para atributos personalizados e seus limites. Eles se aplicam a todos os tipos de domínio de identidades.
| Tipos de Dados | Limite |
|---|---|
| String de 4K de caracteres Indexada (pesquisável) | 84 |
| String de 40 caracteres Indexada (pesquisável) | 5 |
| String de 4K de caracteres Não Indexada | 36 |
| String de 40 caracteres Não Indexada | 15 |
| Inteiro | 20 |
Limites de Taxa de API
Entenda a limitação de taxa para APIs para diferentes tipos de domínio de identidades.
As APIs Oracle estão sujeitas à limitação de taxa para proteger o uso de serviços de API para todos os clientes da Oracle. Se você atingir o limite de API para o tipo de domínio de identidades, o IAM retornará um código 429 de erro.
Limites de Taxa para todos os Tipos de Domínio de Identidades
| Grupo de APIs | Por | Gratuito | Aplicativos Oracle | Aplicativos Oracle Premium | Premium | Usuário Externo |
|---|---|---|---|---|---|---|
| AuthN | segundo | 10 | 50 | 80 | 95 | 90 |
| AuthN | minuto | 150 | 1000 | 2100 | 4500 | 3100 |
| BasicAuthN | segundo | 10 | 100 | 160 | 95 | 90 |
| BasicAuthN | minuto | 150 | 3.000 | 4000 | 4500 | 3100 |
| Gerenciamento de token | segundo | 10 | 40 | 50 | 65 | 60 |
| Gerenciamento de token | minuto | 150 | 1000 | 1700 | 3400 | 2300 |
| Outros | segundo | 20 | 50 | 55 | 90 | 80 |
| Outros | minuto | 150 | 1500 | 1750 | 5000 | 4000 |
| Importação em Massa | segundo | 5 | 5 | 5 | 5 | 5 |
| Importação em Massa | minuto | 200 | 200 | 200 | 200 | 200 |
| Importar e exportar | dia | 4 | 8 | 10 | 10 | 10 |
O número máximo de objetos de Confiança de Propagação de Identidade que podem ser criados é restrito a 30. Entre em contato com o suporte se o limite precisar ser aumentado. Para obter mais informações sobre limites de objeto, consulte Limites de Objeto do Domínio de Identidades do Serviço IAM.
APIs em Grupos de APIs
Os limites de API se aplicam ao total de todas as APIs em um grupo.
login/sso/v1/user//sso/v1/user/secure/login/sso/v1/user/logout/sso/v1/user/callback/login/sso/v1/sdk/authenticate/sso/v1/sdk/session/sso/v1/sdk/idp/sso/v1/sdk/secure/session/mfa/v1/requests/mfa/v1/users/{userguid}/factors/oauth2/v1/authorize/oauth2/v1/userlogout/oauth2/v1/consent/fed/v1/user/request/login/fed/v1/sp/sso/fed/v1/idp/sso/fed/v1/idp/usernametoken/fed/v1/metadata/fed/v1/mex/fed/v1/sp/slo/fed/v1/sp/initiatesso/fed/v1/sp/ssomtls/fed/v1/idp/slo/fed/v1/idp/initiatesso/fed/v1/idp/wsfed/fed/v1/idp/wsfedsignoutreturn/fed/v1/user/response/login/fed/v1/user/request/logout/fed/v1/user/response/logout/fed/v1/user/testspstart/fed/v1/user/testspresult/admin/v1/SigningCert/jwk/admin/v1/Asserter/admin/v1/MyAuthenticationFactorInitiator/admin/v1/MyAuthenticationFactorEnroller/admin/v1/MyAuthenticationFactorValidator/admin/v1/MyAuthenticationFactorsRemover/admin/v1/TermsOfUseConsent/admin/v1/MyTermsOfUseConsent/admin/v1/TrustedUserAgents/admin/v1/AuthenticationFactorInitiator/admin/v1/AuthenticationFactorEnroller/admin/v1/AuthenticationFactorValidator/admin/v1/MePasswordResetter/admin/v1/UserPasswordChanger/admin/v1/UserLockedStateChanger/admin/v1/AuthenticationFactorsRemover/admin/v1/BypassCodes/admin/v1/MyBypassCodes/admin/v1/MyTrustedUserAgents/admin/v1/Devices/admin/v1/MyDevices/admin/v1/TermsOfUses/admin/v1/TermsOfUseStatements/admin/v1/AuthenticationFactorSettings/admin/v1/SsoSettings/admin/v1/AdaptiveAccessSettings/admin/v1/RiskProviderProfiles/admin/v1/Threats/admin/v1/UserDevices/session/v1/SessionsLogoutValidator/ui/v1/signin
/admin/v1/HTTPAuthenticator/admin/v1/PasswordAuthenticator
/oauth2/v1/token/oauth2/v1/introspect/oauth2/v1/revoke/oauth2/v1/device
/job/v1/JobSchedules?jobType=UserImport/job/v1/JobSchedules?jobType=UserExport/job/v1/JobSchedules?jobType=GroupImport/job/v1/JobSchedules?jobType=GroupExport/job/v1/JobSchedules?jobType=AppRoleImport/job/v1/JobSchedules?jobType=AppRoleExport
/admin/v1/Bulk/admin/v1/BulkUserPasswordChanger/admin/v1/BulkUserPasswordResetter/admin/v1/BulkSourceEvents
Qualquer API que não esteja em um dos outros Grupos de API está incluída no Outro Grupo de API
Outras Restrições
Essas restrições são para Em Massa, Importar e Exportar para todas as camadas:
- Tamanho do payload : 1 MB
- API em massa: limite de 50 operações por chamada
- Somente uma destas operações pode ser executada por vez:
- Importar: Para Associações de Usuários, Grupos e Atribuição de Aplicativo
- Sincronização completa dos aplicativos
- API em massa
- Exportar: Para Associações de Usuários, Grupos e Atribuição de Aplicativo
- Importação de CSV: limite de 100 K de linhas por CSV e tamanho máximo de arquivo: 10 MB
- Exportação CSV: limite de 100 K de linhas
Medidores para Tipos de Domínio de Identidades
Entenda os medidores usados para diferentes tipos de domínio de identidades.
Os tipos de domínio de identidades gratuitos e de Aplicativos Oracle não usam medidores.
Os tipos de domínio de identidades Premium, de Aplicativos Oracle Premium e de Usuário Externo usam estes medidores:
-
Usuários por Mês: O número de usuários ativos e inativos no sistema, reportados por hora. Esses medidores são agregados ao final do ciclo de faturamento.
-
SMS: O número de mensagens SMS enviadas do sistema, relatadas a cada hora. Esses medidores são agregados ao final do ciclo de faturamento.
-
Tokens: O número de tokens emitidos pelo sistema, reportados a cada hora.
-
Usuários Replicados por Mês: Se você configurar a replicação para mais regiões, esse medidor se aplicará ao número de usuários ativos e inativos em cada região replicada, reportada por hora. Esses medidores são agregados ao final do ciclo de faturamento.
Depois de provisionar seu serviço, o Oracle Cloud Infrastructure terá ferramentas para ajudar a analisar e entender os custos associados à sua conta. Consulte Verificando Despesas e Uso.
Alterando o Tipo de Domínio de Identidades
- Não é possível alterar o domínio padrão para o tipo de domínio de identidades Usuário Externo.
- Seu tipo de assinatura controla o número de domínios de identidade de cada tipo. Se a alteração exceder o número de domínios de identidade desse tipo para seu tipo de assinatura, você não poderá mudar para o novo tipo de domínio de identidades. Consulte Serviço IAM com Limites de Domínios de Identidade
- Se o número de objetos de qualquer tipo no domínio de identidades for maior que o permitido no tipo de domínio de identidades de destino, você não poderá mudar para o novo tipo de domínio de identidades. Consulte Limites do Objeto do Domínio de Identidades do Serviço IAM.
- Os recursos disponíveis no seu tipo de domínio de identidades atual são verificados. Consulte Disponibilidade de Recursos para Tipos de Domínio de Identidades. Uma mensagem de advertência aparece para lembrar você de ter cuidado ao alterar de um tipo de domínio de identidades para outro. Você poderá prosseguir após a mensagem de advertência, mas alguns dos recursos existentes talvez não funcionem mais.
- Não é possível alterar um domínio de identidades Gratuito, Premium ou de Usuário Externo para um domínio de identidades do Oracle Apps.
Para obter informações sobre como alterar o tipo de domínio, consulte Alterando o Tipo de um Domínio de Identidades.