Identitäts- und Zugriffsverwaltung – Häufig gestellte Fragen

Jede OCI IAM-Identitätsdomain ist eine eigenständige Identitäts- und Zugriffsverwaltungslösung, die für eine Vielzahl von IAM-Anwendungsfälle verwendet werden kann. Beispielsweise können Sie eine OCI IAM-Identitätsdomain verwenden, um den Zugriff für Mitarbeiter über zahlreiche Cloud- und On-Premises-Anwendungen hinweg zu verwalten und eine sichere Authentifizierung, eine einfache Verwaltung von Berechtigungen und nahtlosen Single Sign-On für Endbenutzer zu ermöglichen. Möglicherweise möchten Sie auch eine Identitätsdomain einrichten, sodass Geschäftspartner Zugriff auf Lieferketten- oder Bestellsysteme haben. Außerdem können Sie Identitätsdomains verwenden, um IAM für verbraucherorientierte Anwendungen zu aktivieren und Verbraucherbenutzern die Möglichkeit zu geben, sich selbst zu registrieren, sich bei sozialen Netzwerken anzumelden und/oder den Nutzungsbedingungen zuzustimmen. Identitätsdomains stellen eine umfassende Identity-as-a-Service-(IDaaS-)Lösung dar, die zahlreiche IAM-Anwendungsfälle und -Szenarien abdeckt.

• Kostenlose Identitätsdomains: Jeder OCI-Mandant umfasst eine standardmäßige OCI-IAM-Identitätsdomain im kostenlosen Kontingent zum Verwalten des Zugriffs auf OCI-Ressourcen (Networking, Compute, Storage usw.). Wenn Sie nur den Zugriff auf OCI-Ressourcen verwalten möchten, können Sie die enthaltene Standarddomain verwenden. Sie bietet einen robusten Satz von IAM-Funktionen für die Verwaltung des Zugriffs auf Oracle Cloud-Ressourcen. Je nach Sicherheitsmodell und Team können Kunden diese Domain für OCI-Administratoren reservieren.
• Oracle Apps-Identitätsdomains: Zahlreiche Oracle Cloud Applications (HCM, CRM, ERP, Branchen-Apps usw.) können die Verwendung von OCI IAM über eine Oracle Apps-Domain umfassen. Diese Domains sind für die Verwendung mit abonnierten Oracle Applications enthalten und bieten eine robuste IAM-Funktionalität für die Verwaltung des Zugriffs auf Oracle Cloud- und SaaS-Services. Kunden können alle Mitarbeiter zu dieser Domain hinzufügen, um SSO für einen Oracle Cloud Application-Service zu aktivieren, und können diese Domain verwenden, um den Zugriff auf einige oder alle ihrer OCI-Ressourcen zu verwalten.
• Oracle Apps Premium-Identitätsdomänen: Wenn Sie eine Oracle Apps-Domain mit vollständigen Unternehmensfunktionen erweitern möchten, um den Zugriff für Oracle Applications zu verwalten, die möglicherweise nicht über SaaS bereitgestellt werden (z. B. Oracle E-Business Suite oder Oracle Databases, ob On-Premises oder in OCI gehostet), bieten Oracle Apps Premium-Domains alle OCI IAM-Features und -Funktionen zur Verwendung mit Oracle Zielen, die in Hybrid-Cloud-Umgebungen bereitgestellt werden können. Dies ist ein kostengünstiger Service mit vollem Funktionsumfang, der jedoch auf die Verwendung mit Oracle Zielen beschränkt ist.
• Externe Identitätsdomains: Externe Identitätsdomains bieten eine vollständige Reihe von OCI IAM-Features und -Funktionen für Nicht-Mitarbeiter, wie z. B. Verbraucher, die auf eine Einzelhandelssite zugreifen, Regierungen, die Bürgern den Zugriff ermöglichen, oder Unternehmen, die Geschäftspartnern Zugriff gewähren. Es gibt keine Einschränkungen hinsichtlich der Anwendungen, auf die ausgerichtet werden kann. Bestimmte Unternehmensfunktionen, die in Szenarien ohne Mitarbeiter im Allgemeinen nicht nützlich sind, wie App Gateway und Provisioning Bridge, sind jedoch nicht enthalten. Externe Domains umfassen die Unterstützung für Social Logon, Selbstregistrierung, Zustimmung zu den Nutzungsbedingungen und Profil-/Kennwortverwaltung.
• Premium-Identitätsdomains: Premium-Identitätsdomains bieten eine vollständige Reihe von OCI IAM-Features und -Funktionen ohne Einschränkungen hinsichtlich der Anwendungen, auf die ausgerichtet werden kann. Premium-Domains können als IAM-Service für Unternehmen verwendet werden, der den Zugriff von Mitarbeitern oder der Belegschaft über Cloud- und On-Premises-Anwendungen hinweg verwaltet und eine sichere Authentifizierung, einfache Verwaltung von Berechtigungen und den nahtlosen Single Sign-On für Endbenutzer ermöglicht.

Nein. OCI IAM betrachtet diese für Lizenzierungszwecke als separate Benutzerpopulationen. Sie können jedoch denselben OCI IAM-Service verwenden, um zwei oder mehr Domains zu verwalten, die Mitarbeiter und Nicht-Mitarbeiter (Partner, verbundene Unternehmen, Verbraucher usw.) aufnehmen können. Mehrere Domains können für den Zugriff auf dieselben Anwendungen verwendet werden, aber die Regeln und Sicherheits-Policys für Nicht-Mitarbeiter unterscheiden sich normalerweise von denen, die für Mitarbeiter gelten. Jede Domain hat ihre eigenen Einstellungen, Konfigurationen und Sicherheits-Policys, die für diese Benutzerpopulation einzigartig sind. Dies ist beabsichtigt, um den stark variierenden Anforderungen gerecht zu werden, die für verschiedene Benutzerpopulationen typisch sind.

Jeder OCI-Mandant umfasst eine Administratorengruppe, die vollen Zugriff auf alle OCI-Ressourcen bietet. Es ist wichtig zu verstehen, dass alle Mitglieder der Gruppe „OCI-Administratoren“ vollen Zugriff haben, um OCI IAM-Identitätsdomains zu verwalten. Oracle empfiehlt eine sorgfältige Verwendung dieser Gruppe. Administratorrechte können innerhalb jeder Domain über Administratorrollen erteilt werden, die eine Aufgabentrennung zwischen Personengruppen ermöglichen. Weitere Einzelheiten finden Sie im Abschnitt Grundlegendes zu Administratorrollen.

Innerhalb jeder OCI-Region gibt es entweder mehrere Availability Domains (AD) oder Fault Domains (FD) (in Regionen mit einer AD). ADs und FDs dienen ähnlichen Funktionen, jedoch sind FDs physisch näher beieinander als ADs. Identitätsdomains werden mit redundanten Installationen in jeder Region (zwei über die ADs/FDs) bereitgestellt, die High Availability bieten. OCI IAM-Identitätsdomains bieten über einen Aktiv-Passiv-Ansatz, der eine leistungsstarke Datenreplikation nutzt, auch eine regionsübergreifende Disaster Recovery (DR). Dies sorgt für eine zuverlässige Datenwiederherstellung für Identitätsdomains für den unwahrscheinlichen Fall, dass eine gesamte OCI-Region nicht verfügbar ist. Diese DR wird über eine einzelne URL bereitgestellt und ist für Anwendungen transparent.

Die wichtigsten Konzepte von IAM sind die folgenden:

• Account oder Mandant – Wenn Sie sich für OCI anmelden, erstellt Oracle einen Mandanten für Ihr Unternehmen, bei dem es sich um eine isolierte Partition innerhalb von OCI handelt, in der Sie Ihre Cloud-Ressourcen erstellen, organisieren und verwalten können. Dies wird manchmal auch als OCI-Account bezeichnet.
• Compartment – Ein logischer Container innerhalb eines OCI-Accounts für Oracle Cloud-Ressourcen. Administratoren können zur Organisation und Verwaltung von Ressourcen innerhalb eines OCI-Accounts ein oder mehrere Compartments erstellen. Beispielsweise können Compartments verwendet werden, um die Aufgabentrennung zwischen verschiedenen Arten von Administratoren (Networking, Compute, Storage usw.)
• Root Compartment – Das oberste Compartment innerhalb eines OCI-Accounts. Das Root Compartment wird automatisch für Sie erstellt, wenn Ihr Account bereitgestellt wird.
• Identitätsdomains – Eine Identitätsdomain repräsentiert eine Benutzerpopulation in OCI sowie zugehörige Konfigurationen und Sicherheitseinstellungen. Jeder Account enthält eine standardmäßige Identitätsdomain, mit der Kunden den Zugriff auf OCI-Ressourcen verwalten können. Außerdem können Kunden basierend auf ihren spezifischen Anforderungen zusätzliche Identitätsdomains erstellen. Identitätsdomains werden innerhalb eines Compartments erstellt, und der Zugriff zum Verwalten von Domains ist an Compartment-Berechtigungen gebunden. Darüber hinaus können OCI-Zugriffs-Policys geschrieben werden, um Benutzern in bestimmten Compartments/Domains den Zugriff auf Ressourcen in anderen Compartments zu ermöglichen.
• Benutzer – Eine Entität, die authentifiziert werden kann. Ein Benutzer kann entweder ein Personen- oder ein Computerkonto sein. Jeder Benutzer hat einen eindeutigen Namen in Ihrem Account und eine global eindeutige Kennung. Benutzer können Kennwörter für den Zugriff auf die Webkonsole und Schlüssel für den Zugriff auf die Services über die APIs zugewiesen werden.
• Gruppe – Eine Gruppe von Benutzern. Gruppen werden verwendet, um die Zugriffsverwaltung zu vereinfachen. Zum Beispiel können Softwareentwickler als Mitglieder einer „Entwickler“-Gruppe gruppiert werden, was ihnen ermöglicht, Code zu lesen und/oder zu modifizieren. Ein einzelner Benutzer kann Mitglied mehrerer Gruppen sein.
• Policy – Ein Dokument, das festlegt, wer auf welche OCI-Ressourcen zugreifen kann und welche Berechtigungen er hat. Eine Policy besteht aus Policy-Anweisungen, die die natürliche Sprachsyntax nutzen.

Mit OCI IAM können Sie ein einziges Modell für die Authentifizierung und Autorisierung in allen Oracle Cloud- und Cloud Application-Services nutzen. OCI IAM erleichtert die Zugriffsverwaltung für Organisationen jeder Größe, von einer Person, die an einem einzelnen Projekt arbeitet, bis hin zu großen Unternehmen mit vielen Gruppen, die gleichzeitig an vielen Projekten arbeiten – und das alles innerhalb eines einzigen Accounts. Die Ressourcenverwaltung und -autorisierung kann auf Account- oder Compartment-Ebene erfolgen, wobei eine zentrale Prüfung und Abrechnung weiterhin möglich ist. OCI IAM ist von Grund auf so aufgebaut, dass Sie das Sicherheitsprinzip der niedrigsten Berechtigung erzwingen können – standardmäßig dürfen neue Benutzer keine Aktionen für Ressourcen ausführen. Administratoren können dann jedem Benutzer nur den Zugriff gewähren, der für den jeweiligen Benutzer geeignet ist.

Und zusätzlich zur Verwaltung von OCI-Ressourcen stellt Ihnen OCI IAM eine IDaaS-Lösung der Unternehmensklasse zur Verfügung. Mit einem Klick auf eine Schaltfläche können Sie eine robuste IAM-Lösung bereitstellen, die verwendet werden kann, um viele IAM-Anforderungen in Anwendungsfällen von Mitarbeitern/der Belegschaft, Partnern oder Verbrauchern zu erfüllen.

OCI IAM bietet umfassende Unterstützung für die Multifaktor-Authentifizierung (MFA), die eine mobile MFA-Anwendung umfasst, welche Optionen für Push oder One-Time-Passcode, Unterstützung für FIDO2-Authentifikatoren und Unterstützung für SMS, E-Mail, Telefonanrufe und mehr bietet. Darüber hinaus umfasst OCI IAM eine kontextbewusste adaptive Sicherheit, die das Risiko reduziert und für eine reibungslose Endbenutzererfahrung sorgt. Adaptive Security wertet das Gerät, das Netzwerk, den Standort und das frühere Verhalten des Benutzers aus, um eine Risikobewertung für die Sitzung des Benutzers zu erstellen. Administratoren können MFA-Policys konfigurieren, die für bestimmte Anwendungen oder für bestimmte Benutzergruppen unterschiedlich sein können.

Ja. Zur Unterstützung der Unternehmensanforderungen für Auditing und Compliance werden alle Änderungen aufgezeichnet und diese Aufzeichnungen können Ihnen ohne zusätzliche Kosten zur Verfügung gestellt werden.

OCI IAM wird standardmäßig ohne zusätzliche Kosten aktiviert. Der allererste Benutzer in Ihrem Account ist der Standardadministrator. Alle nachfolgenden Benutzer werden über den IAM-Dienst erstellt, wobei Sie ihnen explizit Berechtigungen für die Interaktion mit bestimmten Cloud-Ressourcen erteilen.

Sie können auf Oracle IAM über die Konsole, Rest API oder SDKs zugreifen.

Um Ihr Passwort für Oracle Cloud Infrastructure zurückzusetzen, müssen Sie zunächst sicherstellen, dass Sie Ihrem Account eine E-Mail-Adresse zugeordnet haben. Besuchen Sie die Benutzerprofilseite für Ihr Oracle Cloud Infrastructure-Account, und fügen Sie eine E-Mail-Adresse hinzu, auf die nur Sie Zugriff haben. Sie erhalten eine E-Mail, um zu bestätigen, dass Sie diese Adresse in Ihrem Account registrieren möchten. Anschließend können Sie Ihr Passwort mit Ihrem E-Mail-Account zurücksetzen, sofern es nicht von Ihrem Tenancy-Administrator deaktiviert wurde.

Ein Compartment ist ein sicherer logischer Container in Ihrem Account, der zum Hosten Ihrer Infrastrukturressourcen (z. B. Computing, Storage und Networking) zusammen mit einer Reihe von Zugriffsverwaltungs-Policys für diese Ressourcen verwendet wird. Mithilfe von Compartments können Sie Ihre Cloud-Ressourcen logisch organisieren, um eine Vielzahl von Anwendungsfällen zu unterstützen.

Im Folgenden finden Sie einige gebräuchliche Methoden zur Verwendung von Compartments:

• Trennen Sie Ihre Softwareentwicklungsumgebungen für eine einfache Administration. Beispielsweise könnten Sie separate Compartments für Entwicklung, Test und Produktion nutzen, oder Sie verwenden separate Compartments, um Blue-Green-Bereitstellung zu unterstützen.
• Vereinfachen Sie die Berechtigungsverwaltung. Sie können beispielsweise ein separates Compartment für Ihre Netzwerkressourcen (VCNs, Subnetze, Internetgateways usw.) erstellen und dann nur Netzwerkadministratoren den Zugriff auf dieses Fach gestatten.
• Messen Sie die Nutzung separat für unterschiedliche Geschäftsbereiche, um diese Geschäftsbereiche ordnungsgemäß anhand des Cloud-Ressourcenverbrauchs abzurechnen.
• Minimieren Sie die Ressourcen, die für bestimmte Benutzergruppen sichtbar sind. Beispielsweise könnten Sie ein separates Compartment für Ihr Finanzteam haben, die nur für bestimmte Mitarbeiter sichtbar ist.

Ja. Compartments sind logische Gruppierungen von Ressourcen, die sich von den physischen Konstrukten von Availability-Domain unterscheiden. Ein einzelnes Compartment kann Ressourcen in verschiedenen Availability-Domains enthalten.

Alle Policys sind entweder dem Root Compartment oder einem Child-Compartment zugeordnet. Jede Policy besteht aus einer oder mehreren Policy-Anweisungen, die dieser grundlegenden Syntax folgen:

Allow group ... to ... in compartment ...

Mit Policy-Anweisungen können Sie Compartments verwenden, um die Berechtigungsverwaltung zu vereinfachen. Sie können beispielsweise eine Policy schreiben, mit der die Gruppe HRAdministratoren alle Ressourcen im Compartment HRCompartment verwalten kann.

Ja, Sie können Compartments löschen.

Ja, Sie können ganze Compartment-Strukturen und die darin enthaltenen Ressourcen in andere übergeordnete Compartments verschieben.

Ja, Sie können Ressourcen von einem Compartment in ein anderes verschieben.

Ja, Sie können eine Hierarchie von Compartments erstellen, indem Sie diese verschachteln. Mit hierarchischen oder verschachtelten Compartments kann der Systemadministrator Ressourcen organisieren und dies auch für Administratoren auf niedrigerer Ebene ermöglichen, wobei die vollständige Visibilität und die Kontrolle über die Policy erhalten bleiben.

Die maximale Tiefe eines verschachtelten Compartments beträgt sechs Ebenen.

Ja, Policys für übergeordnete Compartments werden von untergeordneten Compartments übernommen.

Ja, Sie können Kosten und Nutzung nach Compartments unter „Meine Services“ verfolgen.

Oracle Cloud Infrastructure erstellt für jeden Account automatisch ein übergeordnetes Compartment, das als Root Compartment bezeichnet wird. Ähnlich wie der Stamm-Ordner in einem Dateisystem verhält sich das Root Compartment bis auf einige Besonderheiten genau wie das untergeordnete Compartment:

• Da die Berechtigungen hierarchisch sind, gelten die Gruppenberechtigungen im Root Compartment für alle untergeordneten Compartments. Wenn beispielsweise der Gruppe „NetworkAdmins“ die Berechtigung zum Verwalten von Virtual Cloud Networks (VCN) im Root Compartment erteilt wird, kann diese Gruppe VCNs in allen Compartments verwalten.
• Derzeit werden alle Benutzer und Gruppen im Root Compartment erstellt. Policys können verwendet werden, um ihnen nur Zugriff auf bestimmte untergeordnete Compartments zu gewähren.

Hinweis: Derzeit können Sie zusätzliche Compartments nur im Root Compartment und nicht in anderen Compartments erstellen.

Im Allgemeinen sollten Ressourcen in einen anderen Compartment als das Root Compartment erstellt werden. Am besten entwerfen Sie Ihre Compartment-Hierarchie, bevor Sie mit der Erstellung von Compartments und Ressourcen beginnen.

Ein Benutzer ist jemand, der sich erfolgreich bei OCI IAM authentifizieren kann und über ausreichende Berechtigungen verfügt, um Cloud-Ressourcen in Ihrem Account zu nutzen oder zu verwalten. Administratoren können einen oder mehrere Benutzer in ihrem Account erstellen und sie Gruppen zuweisen, um ihnen Berechtigungen für Ressourcen in bestimmten Compartments zu erteilen.

Ihr Account wird mit einem einzelnen Benutzer bereitgestellt: dem Standardadministrator, und einer einzelnen Gruppe: Administratoren, deren Mitglied der standardmäßige Administratorbenutzer ist. Diese Gruppe (Administratoren) hat vollen Zugriff auf Ihren Account. Dieser spezielle Benutzer (Standardadministrator) muss zusätzliche Benutzer erstellen oder anderen Benutzern die Berechtigung erteilen, neue Benutzer zu erstellen.

Standardmäßig verfügt ein neuer Benutzer nicht über die Berechtigung, eine Ressource oder einen Service in Ihrem Account zu verwenden. Alle Berechtigungen müssen explizit erteilt werden. Mit diesem Ansatz können Sie das Sicherheitsprinzip der geringsten Berechtigungen einhalten, bei dem Sie jedem Benutzer nur den für diesen bestimmten Benutzer erforderlichen Zugriff gewähren. Sie müssen den Benutzer entweder explizit einer vorhandenen Gruppe hinzufügen oder eine neue Gruppe für diesen erstellen und dieser Gruppe dann über eine Policy die entsprechenden Berechtigungen zuweisen.

Administratoren können einen Benutzer deaktivieren oder sperren, um seinen Zugriff vorübergehend zu deaktivieren. Darüber hinaus können Sie Benutzerkennwörter zurücksetzen oder Schlüssel entfernen.

Ja, mit Kennwort-Policys können Sie eine Ablaufzeit für Kennwörter festlegen. Sie können auch das Zurücksetzen von Kennwörtern, Schlüsseländerungen oder Änderungen an Benutzer- und Gruppenmitgliedschaften über die REST-API und SDKs automatisieren.

Eine Policy ist ein Dokument, das aus beschreibenden Policy-Anweisungen besteht, die bestimmten Benutzergruppen bestimmte Berechtigungen erteilen. Sie sind in einer leicht verständlichen SQL-ähnlichen Syntax geschrieben. Beispiel-Policys können Folgendes erzwingen:

• Systemadministratoren können Ihre Bare Metal-Compute-Instanzen „beenden“ oder „neu starten“.
• Netzwerkadministratoren können alle netzwerkbezogenen Infrastrukturressourcen vollständig verwalten.
• IT-Administratoren können Benutzer erstellen und Gruppenmitgliedschaften bearbeiten.

Eine Policy ermöglicht es einer Gruppe, auf bestimmte Weise mit bestimmten Arten von Ressourcen in einem bestimmten Compartment zu arbeiten. Optional können Policys eine Bedingungsklausel („wobei ... gilt“) enthalten, die die Policy-Anweisung weiter einschränkt. Policys folgen der folgenden Syntax:

Allow group ... to ... in compartment ...

Im Folgenden finden Sie beispielsweise eine Policy-Anweisung, mit der Berechtigungen zur Verwendung von Compute-Instanzen erteilt werden:

Gruppe „Entwickler“ für „Instanzverwendung“ in Compartment „ProjectA“ zulassen

• „group_name“ ist der Name der Gruppe, der Berechtigungen erteilt wurden.
• „verbs“ sind Aktionen, die Sie für Ressourcen ausführen können, zum Beispiel: Inspizieren, Lesen, Verwenden oder Verwalten (inspect, read, use oder manage).
• „resource-type“ ist die Cloud-Ressource, für die Berechtigungen erteilt werden. Beispiele für „resource-types“ sind: Instanzen, Volumes und Routingtabellen.
• „compartment_name“ ist der Name des Compartments, in dem die Ressourcen organisiert sind.
• „conditions“ sind weitere Spezifikationen, die den Umfang der Policy-Anweisung einschränken. Beispiele: „where request.user.id=target.user.id“ oder „where target.group_name != Administrators“.

Weitere Einzelheiten finden Sie im Abschnitt zu OCI IAM in der Oracle Cloud Infrastructure-Dokumentation.

Ja. Eine Policy, die Berechtigungen im Root Compartment gewährt, gewährt automatisch die gleichen Berechtigungen für alle untergeordneten Compartments. Die folgende Policy erteilt beispielsweise allen Benutzern in der Gruppe „InstanceAdmins“ die Berechtigung, Instanzen im Root Compartment sowie in allen untergeordneten Compartments zu verwalten:

Gruppe „InstanceAdmins“ für „Instanzenverwaltung“ in der Tenancy zulassen

Ja. Jede Policy ist an ein Compartment „angehängt“. Die Position des Anhangs legt dann fest, wer sie ändern oder löschen kann. Wenn Sie eine Policy an das Root Compartment anhängen, kann sie jeder ändern oder löschen, der Zugriff auf die Verwaltung von Policys im Root Compartment hat. Wenn Sie die Policy stattdessen an das Compartment anhängen, kann sie jeder ändern oder löschen, der Zugriff auf die Verwaltung von Policys im Compartment hat. In der Praxis bedeutet dies, dass es problemlos möglich ist, Compartment-Administratoren (d. h. einer Gruppe mit Zugriff auf die Verwaltung aller Ressourcen im Compartment) Zugriff auf die Verwaltung der Policys ihres eigenen Compartments zu gewähren, ohne ihnen einen breiteren Zugriff auf die Verwaltung der Policys zu gewähren, die sich im Account befinden.

Weitere Informationen zu Policys und Policy-Anweisungen finden Sie unter „Erste Schritte mit Policys“ und „Gemeinsame Policys“ in der Oracle Cloud Infrastructure-Dokumentation.

Eine Gruppe ist eine Sammlung von Benutzern, die ähnliche Zugriffsrechte benötigen, um eine bestimmte Ressource in Ihrem Account zu verwenden oder zu verwalten. Benutzer können mehreren Gruppen angehören. Berechtigungen sind additiv. Wenn die Mitgliedschaft in einer Gruppe beispielsweise die Verwendung von Compute-Instanzen durch Benutzer und die Mitgliedschaft in einer zweiten Gruppe die Verwaltung von Blockvolumes durch Benutzer ermöglicht, können die Benutzer sowohl Instanzen als auch Blockvolumes verwalten.

Administratoren schreiben Policys, die Gruppen (nicht einzelne Benutzer) mit dem erforderlichen Zugriff festlegen, der für ein bestimmtes Compartment oder den Account erforderlich ist. Administratoren fügen dann Benutzer zu den entsprechenden Gruppen hinzu.

Ja. Ihr Account ist mit einem einzelnen Standardadministrator ausgestattet, der zu einer Administratorgruppe in Ihrem Root Compartment gehört. Diese Gruppe verfügt über die vollständigen Berechtigungen zum Erstellen und Verwalten aller Oracle Cloud Infrastructure-Ressourcen in Ihrem Account, einschließlich Benutzern, Gruppen, Policys und Compartments sowie aller anderen Cloud-Infrastrukturressourcen in Compartments. Sie können dieser Administratorengruppe weitere Benutzer hinzufügen.

Ein Identitätsverbund ist ein Mechanismus zum Delegieren der Benutzerverwaltung für Ihre Oracle Cloud Infrastructure-Tenancy an eine andere Entität, die Identitätsanbieter oder IdP genannt wird. Dies ist hilfreich für Unternehmen, die über ein vorhandenes Identitätssystem verfügen, das sie verwenden möchten, anstatt eine neue Gruppe von Benutzern zu erstellen und zu verwalten. Für den Verbund ist eine einmalige Konfiguration zwischen Oracle Cloud Infrastructure und dem als Verbundvertrauensstellung bekannten IdP erforderlich.

Verbundnutzer (externe Identitäten) sind Benutzer, die Sie außerhalb von Oracle Cloud Infrastructure verwalten (z. B. in Ihrem Unternehmensverzeichnis), denen Sie jedoch Zugriff auf Ihr Oracle Cloud Infrastructure-Account gewähren. Sie unterscheiden sich von Oracle Cloud Infrastructure-Benutzern, die in Ihrem Oracle Cloud Infrastructure-Account erstellt und verwaltet werden.

Ja. Verbundnutzer können auf die Oracle Cloud Infrastructure-Konsole zugreifen.

Ja. Verbundnutzer können auf die Oracle Cloud Infrastructure SDK und CLI zugreifen.

Verbundnutzer können ihre Passwörter in der Oracle Cloud Infrastructure-Konsole weder ändern noch zurücksetzen.

Sie verwenden dieselben Oracle Cloud Infrastructure-Policys zum Verwalten von Verbundnutzern wie für native Benutzer. Sie ordnen Rollen und Gruppen in Ihren Identitätsanbietergruppen in Oracle Cloud Infrastructure zu. Wenn sich ein Verbundnutzer anmeldet, wendet die Oracle Cloud Infrastructure-Konsole Policys an, die auf der Oracle Cloud Infrastructure-Gruppenmitgliedschaft basieren, genau wie bei nativen Benutzern. Beispiele finden Sie in der Dokumentation.

Eine einzelne Rolle oder Gruppe in Ihrem Identitätsanbieter kann mehreren Oracle Cloud Infrastructure-Gruppen zugeordnet werden. Gleichermaßen können mehrere Rollen oder Gruppen in Ihrem Identitätsanbieter einer einzelnen Oracle Cloud Infrastructure-Gruppe zugeordnet werden.

Die Anzahl der Verbundnutzer, denen Zugriff auf die Konsole gewährt werden kann, ist unbegrenzt.

OCI IAM unterstützt jeden SAML 2.0-, Open ID Connect- oder OAuth-konformen Identitätsprovider, einschließlich gängiger Lösungen wie Oracle Access Manager, Microsoft Active Directory Federation Services (AD FS) und Okta.