Die wichtigsten Konzepte von IAM sind die folgenden:

• Abteilung – Ein logischer Container für Ihre Cloud-Ressourcen. Administratoren eines Kontos können ein oder mehrere Abteilungen erstellen, um Ressourcen in ihrem Konto zu organisieren und zu verwalten. Sie können Abteilungen für Folgendes verwenden:
• Stammabteilung – Die oberste Abteilungsebene in Ihrem Konto. Die Stammabteilung wird automatisch für Sie erstellt, wenn Ihr Konto bereitgestellt wird.
• Nutzer – Eine Entität, die authentifiziert werden kann. Ein Nutzer kann entweder ein Personen- oder ein Computerkonto sein. Jeder Nutzer hat einen eindeutigen Namen in Ihrem Konto und eine global eindeutige Kennung. Nutzer können Kennwörter für den Zugriff auf die Webkonsole und Schlüssel für den Zugriff auf die Dienste über die APIs zugewiesen werden.
• Gruppe – Eine Gruppe von Nutzern. Gruppen werden verwendet, um die Zugriffsverwaltung zu vereinfachen. Beispielsweise können Softwareentwickler als Mitglieder einer Gruppe „Entwickler“ zusammengefasst werden, die es ihnen ermöglicht, Code zu lesen, zu schreiben und zu ändern. Ein einzelner Nutzer kann Mitglied mehrerer Gruppen sein.
• Richtlinien – Ein Dokument, das angibt, wer wie auf welche Oracle Cloud Infrastructure-Ressourcen Ihres Unternehmens zugreifen kann. Eine Richtlinie besteht aus Richtlinienanweisungen. Mehrere Richtlinien umfassen ein Richtlinienkorpus.

Mit Oracle Cloud Infrastructure IAM können Sie ein einziges Modell für die Authentifizierung und Autorisierung in allen Oracle Cloud Infrastructure-Diensten nutzen. Oracle IAM vereinfacht es, den Zugriff für Organisationen jeder Größe zu verwalten, von einer Person, die an einem einzigen Projekt arbeitet, bis zu großen Unternehmen mit vielen Gruppen, die gleichzeitig an vielen Projekten arbeiten – alles in einem einzigen Konto. Die Ressourcenverwaltung und -autorisierung kann auf Konto- oder Abteilungsebene erfolgen, wobei eine zentrale Prüfung und Abrechnung weiterhin möglich ist.

Oracle IAM ist von Grund auf so aufgebaut, dass Sie das Sicherheitsprinzip der niedrigsten Berechtigung erzwingen können – standardmäßig dürfen neue Nutzer keine Aktionen für Ressourcen ausführen. Administratoren können dann jedem Nutzer nur den Zugriff gewähren, der für den jeweiligen Nutzer geeignet ist.

Oracle Cloud Infrastructure unterstützt Multi-Faktor-Authentifizierung (MFA) nativ per Identity and Access Management. Darüber hinaus können Verbundnutzer mit MFA über Oracle Identity Cloud Service oder einen unterstützten Drittanbieter für Identitäten, der MFA unterstützt, authentifiziert werden.

Ja. Zur Unterstützung der Unternehmensanforderungen für Auditing und Compliance werden alle Änderungen aufgezeichnet und können Ihnen ohne zusätzliche Kosten zur Verfügung gestellt werden.

Oracle IAM wird standardmäßig ohne zusätzliche Kosten aktiviert. Der allererste Nutzer in Ihrem Konto ist der Standardadministrator. Alle nachfolgenden Nutzer werden über den IAM-Dienst erstellt, wobei Sie ihnen explizit Berechtigungen für die Interaktion mit bestimmten Cloud-Ressourcen erteilen.

Sie können auf Oracle IAM über die Konsole, Rest API oder SDKs zugreifen.

Um Ihr Passwort für Oracle Cloud Infrastructure zurückzusetzen, müssen Sie zunächst sicherstellen, dass Sie Ihrem Konto eine E-Mail-Adresse zugeordnet haben. Besuchen Sie die Nutzerprofilseite für Ihr Oracle Cloud Infrastructure-Konto, und fügen Sie eine E-Mail-Adresse hinzu, auf die nur Sie Zugriff haben. Sie erhalten eine E-Mail, um zu bestätigen, dass Sie diese Adresse in Ihrem Konto registrieren möchten. Anschließend können Sie Ihr Passwort mit Ihrem E-Mail-Konto zurücksetzen, sofern es nicht von Ihrem Tenancy-Administrator deaktiviert wurde.

Eine Abteilung ist ein sicherer logischer Container in Ihrem Konto, der zum Hosten Ihrer Infrastrukturressourcen (z. B. Computing, Storage und Netzwerk) zusammen mit einer Reihe von Zugriffsverwaltungsrichtlinien für diese Ressourcen verwendet wird. Mithilfe von Abteilungen können Sie Ihre Cloud-Ressourcen logisch organisieren, um eine Vielzahl von Anwendungsfällen zu unterstützen.

Im Folgenden finden Sie einige gebräuchliche Methoden zur Verwendung von Abteilungen:

• Trennen Sie Ihre Softwareentwicklungsumgebungen für eine einfache Administration. Beispielsweise könnten Sie separate Abteilungen für Entwicklung, Test und Produktion nutzen, oder Sie verwenden separate Abteilungen, um Blue-Green-Bereitstellung zu unterstützen.
• Vereinfachen Sie die Berechtigungsverwaltung. Sie können beispielsweise eine separate Abteilung für Ihre Netzwerkressourcen (VCNs, Subnetze, Internetgateways usw.) erstellen und dann nur Netzwerkadministratoren den Zugriff auf dieses Fach gestatten.
• Messen Sie die Nutzung separat für unterschiedliche Geschäftsbereiche, um diese Geschäftsbereiche ordnungsgemäß anhand des Cloud-Ressourcenverbrauchs abzurechnen.
• Minimieren Sie die Ressourcen, die für bestimmte Nutzergruppen sichtbar sind. Beispielsweise könnten Sie eine separate Abteilung für Ihr Finanzteam haben, die nur für bestimmte Mitarbeiter sichtbar ist.

Ja. Abteilungen sind logische Gruppierungen von Ressourcen, die sich von den physischen Konstrukten von Verfügbarkeitsdomänen unterscheiden. Eine einzelne Abteilung kann Ressourcen in verschiedenen Verfügbarkeitsdomänen enthalten.

Alle Richtlinien sind an eine Abteilung gebunden, die entweder die Stammabteilung oder eine untergeordnete Abteilung sein kann. Jede Richtlinie besteht aus einer oder mehreren Richtlinienanweisungen, die dieser grundlegenden Syntax folgen:

Gruppe „“ für „ “ in Abteilung „“ zulassen

Mit Richtlinienanweisungen können Sie Abteilungen verwenden, um die Berechtigungsverwaltung zu vereinfachen. Sie können beispielsweise eine Richtlinie schreiben, mit der die Gruppe HRAdministratoren alle Ressourcen in der Abteilung HRAbteilung verwalten kann.

Ja, Sie können Abteilungen löschen.

Ja, Sie können ganze Abteilungsstrukturen und die darin enthaltenen Ressourcen in andere übergeordnete Abteilungen verschieben.

Ja, Sie können Ressourcen von einer Abteilung in eine andere verschieben.

Ja, Sie können eine Hierarchie von Abteilungen erstellen, indem Sie diese verschachteln. Mit hierarchischen oder verschachtelten Abteilungen kann der Systemadministrator Ressourcen organisieren und dies auch für Administratoren auf niedrigerer Ebene ermöglichen, wobei die vollständige Visibilität und die Kontrolle über die Richtlinie erhalten bleiben.

Die maximale Tiefe einer verschachtelten Abteilung beträgt sechs Ebenen.

Ja, Richtlinien für übergeordnete Abteilungen werden von untergeordneten Abteilungen übernommen.

Ja, Sie können Kosten und Nutzung nach Abteilungen unter „Meine Dienste“ verfolgen.

Oracle Cloud Infrastructure erstellt für jedes Konto automatisch eine oberste Abteilung, die als Stammabteilung bezeichnet wird. Ähnlich wie der Stamm-Ordner in einem Dateisystem verhält sich die Stammabteilung bis auf einige Besonderheiten genau wie die untergeordneten Abteilungen:

• Da die Berechtigungen hierarchisch sind, gelten die Gruppenberechtigungen in der Stammabteilung für alle untergeordneten Abteilungen. Wenn beispielsweise der Gruppe „NetworkAdmins“ die Berechtigung zum Verwalten von Virtual Cloud Networks (VCN) in der Stammabteilung erteilt wird, kann diese Gruppe VCNs in allen Abteilungen verwalten.
• Derzeit werden alle Nutzer und Gruppen in der Stammabteilung erstellt. Richtlinien können verwendet werden, um ihnen nur Zugriff auf bestimmte untergeordnete Abteilungen zu gewähren.

Hinweis: Derzeit können Sie zusätzliche Abteilungen nur in der Stammabteilung und nicht in anderen Abteilungen erstellen.

Im Allgemeinen sollten Ressourcen in einer anderen Abteilung als der Stammabteilung erstellt werden. Am besten entwerfen Sie Ihre Abteilungshierarchie, bevor Sie mit der Erstellung von Abteilungen und Ressourcen beginnen. Derzeit können Ressourcen nicht von einer Abteilung in eine andere verschoben, und Abteilungen können nicht bearbeitet oder gelöscht werden.

Ein Nutzer ist eine Person, die sich erfolgreich bei Oracle IAM authentifizieren kann und über ausreichende Berechtigungen verfügt, um Cloud-Ressourcen im Konto zu nutzen oder zu verwalten. Administratoren können einen oder mehrere Nutzer in ihrem Konto erstellen und sie Gruppen zuweisen, um ihnen Berechtigungen für Ressourcen in bestimmten Abteilungen zu erteilen.

Ihr Konto ist mit einem einzigen Nutzer versehen: dem Standardadministrator, sowie einer einzelnen Gruppe: den Administratoren, zu denen der Standardadministratornutzer gehört. Diese Gruppe (Administratoren) hat vollen Zugriff auf Ihr Konto. Dieser spezielle Nutzer (Standardadministrator) muss zusätzliche Nutzer erstellen oder anderen Nutzern die Berechtigung erteilen, neue Nutzer zu erstellen.

Standardmäßig verfügt ein neuer Nutzer nicht über die Berechtigung, eine Ressource oder einen Dienst in Ihrem Konto zu verwenden. Alle Berechtigungen müssen explizit erteilt werden. Mit diesem Ansatz können Sie das Sicherheitsprinzip der geringsten Berechtigungen einhalten, bei dem Sie jedem Nutzer nur den für diesen bestimmten Nutzer erforderlichen Zugriff gewähren. Sie müssen den Nutzer entweder explizit einer vorhandenen Gruppe hinzufügen oder eine neue Gruppe für diesen erstellen und dieser Gruppe dann über eine Richtlinie die entsprechenden Berechtigungen zuweisen.

Derzeit können Sie den Zugriff für Nutzer nicht deaktivieren. Sie können jedoch Passwörter zurücksetzen oder Schlüssel entfernen.

Sie können das Zurücksetzen von Passwörtern, das Ändern von Schlüsseln oder das Bearbeiten von Nutzern und Gruppenmitgliedschaften über die REST-API und SDKs automatisieren.

Eine Gruppe ist eine Sammlung von Nutzern, die ähnliche Zugriffsrechte benötigen, um eine bestimmte Ressource in Ihrem Konto zu verwenden oder zu verwalten. Nutzer können mehreren Gruppen angehören. Berechtigungen sind additiv. Wenn die Mitgliedschaft in einer Gruppe beispielsweise die Verwendung von Compute-Instanzen durch Nutzer und die Mitgliedschaft in einer zweiten Gruppe die Verwaltung von Blockvolumes durch Nutzer ermöglicht, können die Nutzer sowohl Instanzen als auch Blockvolumes verwalten.

Administratoren schreiben Richtlinien, die Gruppen (nicht einzelne Nutzer) mit dem erforderlichen Zugriff festlegen, der für eine bestimmte Abteilung oder das Konto erforderlich ist. Administratoren fügen dann Nutzer zu den entsprechenden Gruppen hinzu.

Ja. Ihr Konto ist mit einem einzelnen Standardadministrator ausgestattet, der zu einer Administratorgruppe in Ihrer Stammabteilung gehört. Diese Gruppe verfügt über die vollständigen Berechtigungen zum Erstellen und Verwalten aller Oracle Cloud Infrastructure-Ressourcen in Ihrem Konto, einschließlich Nutzern, Gruppen, Richtlinien und Abteilungen sowie aller anderen Cloud-Infrastrukturressourcen in Abteilungen. Sie können dieser Administratorengruppe weitere Nutzer hinzufügen.

Eine Richtlinie ist ein Dokument, das aus beschreibenden Richtlinienanweisungen besteht, die bestimmten Nutzergruppen bestimmte Berechtigungen erteilen. Sie sind in einer leicht verständlichen SQL-ähnlichen Syntax geschrieben. Beispielrichtlinien können Folgendes erzwingen:

• Systemadministratoren können Ihre Bare Metal-Compute-Instanzen „beenden“ oder „neu starten“.
• Netzwerkadministratoren können alle netzwerkbezogenen Infrastrukturressourcen vollständig verwalten.
• IT-Administratoren können Nutzer erstellen und Gruppenmitgliedschaften bearbeiten.

Eine Richtlinie ermöglicht es einer Gruppe, auf bestimmte Weise mit bestimmten Arten von Ressourcen in einer bestimmten Abteilung zu arbeiten. Optional können Richtlinien eine Bedingungsklausel („wobei ... gilt“) enthalten, die die Richtlinienanweisung weiter einschränkt. Richtlinien folgen der folgenden Syntax:

Gruppe „“ für „ “ in Abteilung „“ zulassen [wobei „“ gilt]

Im Folgenden finden Sie beispielsweise eine Richtlinienanweisung, mit der Berechtigungen zur Verwendung von Compute-Instanzen erteilt werden:

Gruppe „Entwickler“ für „Instanzverwendung“ in Abteilung „ProjectA“ zulassen

• „group_name“ ist der Name der Gruppe, der Berechtigungen erteilt wurden.
• „verbs“ sind Aktionen, die Sie für Ressourcen ausführen können, wie zum Beispiel: inspizieren, lesen, verwenden oder verwalten.
• „resource-type“ ist die Cloud-Ressource, für die Berechtigungen erteilt werden. Beispiele für Ressourcentypen sind: Instanzen, Volumes und Routingtabellen.
• „compartment_name“ ist der Name der Abteilung, in der die Ressourcen organisiert sind.
• „conditions“ sind weitere Spezifikationen, die den Umfang der Richtlinienanweisung einschränken. Beispiele: „where request.user.id=target.user.id“ oder „where target.group_name != Administratoren“.

Weitere Einzelheiten finden Sie im Abschnitt zu Oracle IAM in der Oracle Cloud Infrastructure-Dokumentation.

Ja. Eine Richtlinie, die Berechtigungen in der Stammabteilung gewährt, gewährt automatisch die gleichen Berechtigungen für alle untergeordneten Abteilungen. Die folgende Richtlinie erteilt beispielsweise allen Nutzern in der Gruppe „InstanceAdmins“ die Berechtigung, Instanzen in der Stammabteilung sowie in allen untergeordneten Abteilungen zu verwalten:

Gruppe „InstanceAdmins“ für „Instanzenverwaltung“ in der Tenancy zulassen

Ja. Jede Richtlinie ist an eine Abteilung „angehängt“. Die Position des Anhangs legt dann fest, wer sie ändern oder löschen kann. Wenn Sie eine Richtlinie an die Stammabteilung anhängen, kann sie jeder ändern oder löschen, der Zugriff auf die Verwaltung von Richtlinien in der Stammabteilung hat. Wenn Sie die Richtlinie stattdessen an die Abteilung anhängen, kann sie jeder ändern oder löschen, der Zugriff auf die Verwaltung von Richtlinien in der Abteilung hat. In der Praxis bedeutet dies, dass es problemlos möglich ist, Abteilungsadministratoren (d. h. einer Gruppe mit Zugriff auf die Verwaltung aller Ressourcen in der Abteilung) Zugriff auf die Verwaltung der Richtlinien ihrer eigenen Abteilung zu gewähren, ohne ihnen einen breiteren Zugriff auf die Verwaltung der Richtlinien zu gewähren, die sich im Konto befinden.

Weitere Informationen zu Richtlinien und Richtlinienanweisungen finden Sie unter „Erste Schritte mit Richtlinien“ und „Gemeinsame Richtlinien“ in der Oracle Cloud Infrastructure-Dokumentation.

Ein Identitätsverbund ist ein Mechanismus zum Delegieren der Nutzerverwaltung für Ihre Oracle Cloud Infrastructure-Tenancy an eine andere Entität, die Identitätsanbieter oder IdP genannt wird. Dies ist hilfreich für Unternehmen, die über ein vorhandenes Identitätssystem verfügen, das sie verwenden möchten, anstatt eine neue Gruppe von Nutzern zu erstellen und zu verwalten. Für den Verbund ist eine einmalige Konfiguration zwischen Oracle Cloud Infrastructure und dem als Verbundvertrauensstellung bekannten IdP erforderlich.

Verbundnutzer (externe Identitäten) sind Nutzer, die Sie außerhalb von Oracle Cloud Infrastructure verwalten (z. B. in Ihrem Unternehmensverzeichnis), denen Sie jedoch Zugriff auf Ihr Oracle Cloud Infrastructure-Konto gewähren. Sie unterscheiden sich von Oracle Cloud Infrastructure-Nutzern, die in Ihrem Oracle Cloud Infrastructure-Konto erstellt und verwaltet werden.

Ja. Verbundnutzer können auf die Oracle Cloud Infrastructure-Konsole zugreifen.

Ja. Verbundnutzer können auf die Oracle Cloud Infrastructure SDK und CLI zugreifen.

Verbundnutzer können ihre Passwörter in der Oracle Cloud Infrastructure-Konsole weder ändern noch zurücksetzen.

Sie verwenden dieselben Oracle Cloud Infrastructure-Richtlinien zum Verwalten von Verbundnutzern wie für native Nutzer. Sie ordnen Rollen und Gruppen in Ihren Identitätsanbietergruppen in Oracle Cloud Infrastructure zu. Wenn sich ein Verbundnutzer anmeldet, wendet die Oracle Cloud Infrastructure-Konsole Richtlinien an, die auf der Oracle Cloud Infrastructure-Gruppenmitgliedschaft basieren, genau wie bei nativen Nutzern. Beispiele finden Sie in der Dokumentation.

Eine einzelne Rolle oder Gruppe in Ihrem Identitätsanbieter kann mehreren Oracle Cloud Infrastructure-Gruppen zugeordnet werden. Gleichermaßen können mehrere Rollen oder Gruppen in Ihrem Identitätsanbieter einer einzelnen Oracle Cloud Infrastructure-Gruppe zugeordnet werden.

Die Anzahl der Verbundnutzer, denen Zugriff auf die Konsole gewährt werden kann, ist unbegrenzt.

Derzeit unterstützen wir den Identity Cloud Service (IDCS) von Oracle, Microsoft Active Directory Federation Services (AD FS), Okta und alle anderen SAML 2.0-kompatiblen Identitätsanbieter.