O OCI IAM é um serviço nativo da OCI que fornece recursos de gerenciamento de identidade e acesso de classe empresarial, como autenticação forte e adaptável, LCM (Lifecycle Management, Gerenciamento do ciclo de vida) do usuário e SSO (Single Sign-On, Logon único) para aplicações empresariais. O OCI IAM é implementado como domínio(s) de identidades na OCI. Os domínios incluídos permitem que as organizações gerenciem o acesso aos serviços da Oracle Cloud (rede, computação, armazenamento etc.) e às aplicações Oracle SaaS. Os clientes podem optar por fazer upgrade ou criar domínios de identidade adicionais para acomodar outros casos de uso, como gerenciar o acesso da força de trabalho a aplicações não Oracle, permitir o acesso do consumidor a aplicações voltadas para o cliente ou incorporar o IAM em aplicações personalizadas.
Cada domínio de identidade do OCI IAM é uma solução de gerenciamento de identidade e acesso independente que pode ser usada para tratar uma variedade de casos de uso do IAM. Por exemplo, você pode usar um domínio de identidade do OCI IAM para gerenciar o acesso de funcionários em várias aplicações na nuvem e on-premises, permitindo autenticação segura, gerenciamento fácil de direitos e SSO integrado para usuários finais. Você também pode querer oferecer um domínio de identidades para permitir o acesso a sistemas de cadeia de suprimento ou de pedidos para parceiros de negócios. Você também pode usar domínios de identidades para ativar o IAM para aplicações voltadas ao consumidor e permitir que os usuários façam autorregistro, logon social e/ou consentimento de termos de uso. Os domínios de identidade representam uma solução abrangente de identidade como serviço (IDaaS) que acomoda vários casos de uso e cenários do IAM.
Não. O OCI IAM os considera como populações de usuários separadas para fins de licenciamento. No entanto, você pode usar o mesmo serviço OCI IAM para gerenciar dois ou mais domínios que podem acomodar funcionários e não funcionários (parceiros, afiliados, consumidores etc.). Vários domínios podem ser usados para acessar as mesmas aplicações, mas as regras e as políticas de segurança para não funcionários geralmente diferem das aplicadas aos funcionários. Cada domínio tem seu próprio conjunto de definições, configurações e políticas de segurança que são exclusivas para essa população de usuários. Isso é por design para acomodar os requisitos amplamente variados que são típicos de diferentes populações de usuários.
Cada tenancy da OCI inclui um grupo Administradores que fornece acesso total a todos os recursos da OCI. É importante entender que todos os membros do grupo Administradores da OCI têm acesso total para gerenciar domínios de identidade do OCI IAM. A Oracle recomenda o uso cuidadoso deste grupo. Privilégios administrativos podem ser concedidos em cada domínio por meio de Funções de Administrador que permitem a separação de tarefas entre grupos de pessoas. Consulte Noções Básicas sobre Atribuições de Administrador para obter mais detalhes.
Dentro de cada região da OCI, há vários Domínios de Disponibilidade (ADs) ou Domínios de Falha (FD) (em regiões de AD único). Os ADs e FDs têm funções semelhantes, mas os FDs estão fisicamente mais próximos que os ADs. Os domínios de identidades são implementados com instalações redundantes em cada região (duas nos AD/FDs) que oferecem alta disponibilidade. Os domínios de identidade do OCI IAM também oferecem recuperação de desastres (DR) entre regiões por meio de uma abordagem ativa-passiva, aproveitando a replicação de dados de alto desempenho. Isso fornece recuperação de dados confiável para domínios de identidade no caso improvável de toda uma região da OCI ficar indisponível. Esse DR é entregue por meio de um único URL que o torna transparente para as aplicações.
Os principais conceitos de IAM são:
Com o OCI IAM, você pode aproveitar um único modelo de autenticação e autorização em todos os serviços da Oracle Cloud e do Cloud Application. O OCI IAM ajuda a gerenciar o acesso a organizações de todos os tamanhos, de uma pessoa trabalhando em um único projeto a grandes empresas com muitos grupos trabalhando em vários projetos ao mesmo tempo, tudo em uma única conta. O gerenciamento e a autorização de recursos podem ocorrer no nível da conta ou no compartimento, enquanto ainda permitem a auditoria e o faturamento centrais. O OCI IAM foi criado do zero para permitir que você aplique o princípio de segurança de privilégio mínimo; por padrão, novos usuários não podem executar nenhuma ação em nenhum recurso. Os administradores podem conceder a cada usuário apenas o acesso apropriado para esse usuário específico.
Além de gerenciar recursos da OCI, o OCI IAM coloca uma solução de classe empresarial IDaaS ao alcance dos seus dedos. Com o clique de um botão, você pode implementar uma solução robusta de IAM que possa ser usada para atender a muitos requisitos de IAM nos casos de uso de funcionários/forças de trabalho, parceiros ou consumidores.
O OCI IAM fornece amplo suporte para autenticação multifator (MFA) que inclui uma aplicação MFA móvel que oferece opções para envio ou senha única, suporte para autenticadores FIDO2 e suporte para SMS, e-mail, chamada telefônica e muito mais. O OCI IAM também inclui segurança adaptável sensível ao contexto que reduz o risco sem introduzir obstáculos à experiência do usuário final. A Segurança Adaptável avalia o dispositivo, a rede, o local e o comportamento anterior do usuário para criar uma pontuação de risco para a sessão dele. Os administradores podem configurar políticas de MFA que podem diferir para aplicações específicas ou para grupos de usuários específicos.
Sim. Para dar suporte aos requisitos corporativos de auditoria e conformidade, todas as alterações são registradas e esses registros podem ser disponibilizados a você sem nenhum custo adicional.
O OCI IAM é ativado por padrão sem custo adicional. O primeiro usuário da sua conta é o Administrador padrão. Todos os usuários subsequentes são criados por meio do serviço IAM, onde você concede explicitamente privilégios para interagir com recursos de nuvem especificados.
Você pode acessar o Oracle IAM usando o Console, API Rest ou SDKs.
Para redefinir sua senha para a Oracle Cloud Infrastructure, primeiro verifique se você associou um endereço de email à sua conta. Visite a página de perfil do usuário da sua conta Oracle Cloud Infrastructure e adicione um endereço de email ao qual somente você tenha acesso. Você receberá um email para confirmar que pretendia registrar esse endereço na sua conta. Em seguida, você pode redefinir sua senha com sua conta de email, a menos que tenha sido desativada pelo administrador do inquilino.
Um compartimento é um contêiner lógico seguro em sua conta usado para hospedar seus recursos de infraestrutura (como computação, armazenamento e rede), juntamente com um conjunto de políticas de gerenciamento de acesso para esses recursos. Compartimentos permitem organizar logicamente seus recursos de nuvem para suportar uma ampla variedade de casos de uso.
A seguir, são apresentadas algumas maneiras comuns de usar compartimentos para:
Sim. Compartimentos são agrupamentos lógicos de recursos distintos das construções físicas dos Domínios de Disponibilidade. Um compartimento individual pode conter recursos nos Domínios de Disponibilidade.
Todas as políticas são anexadas ao compartimento raiz ou a um compartimento filho. Cada política consiste em uma ou mais instruções de política que seguem esta sintaxe básica:
Permita grupo no compartimento
As declarações de política permitem usar compartimentos para simplificar o gerenciamento de permissões; por exemplo, você pode escrever uma política que permita ao grupo HRAdministrators gerenciar todos os recursos no compartimento HRCompartment.
Sim, você pode excluir compartimentos.
Sim, você pode mover árvores de compartimento inteiras e seus recursos incluídos para outros compartimentos principais.
Sim, você pode mover recursos de um compartimento para outro.
Sim, você pode criar uma hierarquia de compartimentos aninhando-os. Com compartimentos hierárquicos ou aninhados, o administrador do sistema pode organizar recursos e permitir que os administradores de nível inferior façam o mesmo, mantendo a visibilidade e o controle completos via política.
A profundidade máxima de um compartimento aninhado é seis.
Sim, políticas em compartimentos de nível superior são herdadas por subcompartimentos.
Sim, você pode acompanhar os custos e o uso pelos compartimentos em Meus Serviços.
Para cada conta, a Oracle Cloud Infrastructure cria automaticamente um compartimento de nível superior conhecido como compartimento raiz. Muito parecido com a pasta raiz em um sistema de arquivos, o compartimento raiz se comporta exatamente como seus compartimentos filhos, exceto por algumas características especiais:
Observação: Atualmente, você pode criar compartimentos adicionais apenas no compartimento raiz e não em outros compartimentos.
Geralmente, os recursos devem ser criados em um compartimento que não seja o compartimento raiz. É melhor projetar sua hierarquia de compartimentos antes de começar a criar compartimentos e recursos.
Um usuário é alguém que pode se autenticar com êxito no Oracle IAM e que possui privilégios suficientes para consumir ou gerenciar recursos de nuvem em sua conta. Os administradores podem criar um ou mais usuários em sua conta e atribuí-los a grupos para conceder permissões a recursos em compartimentos específicos.
Sua conta é provisionada com um só usuário: o administrador padrão, e um só grupo: Administradores, do qual o usuário administrador padrão é membro. Este grupo (Administradores) tem acesso total à sua conta. Esse usuário especial (administrador padrão) deve criar usuários adicionais ou conceder permissão a outros usuários para gerar novos usuários.
Por padrão, um novo usuário não tem permissão para usar nenhum recurso ou serviço em sua conta - todas as permissões devem ser concedidas explicitamente. Essa abordagem permite aderir ao princípio de segurança de menor privilégio, no qual você concede a cada usuário apenas o acesso necessário para esse usuário específico. Você deve adicionar explicitamente o usuário a um grupo existente ou criar outro grupo para eles e atribuir permissões apropriadas a esse grupo por meio de uma política.
Os administradores podem desativar ou bloquear um usuário para desativar seu acesso temporariamente. Eles também podem redefinir senhas de usuário ou remover chaves.
Sim, as políticas de senha permitem que você defina um tempo de expiração para as senhas. Você também pode automatizar redefinições de senha, alterações de chave ou edições em associações de usuários e grupos por meio da API REST e SDKs.
Uma política é um documento que consiste em instruções de política descritivas que concedem permissões específicas a grupos de usuários. Elas são escritas com uma sintaxe fácil de entender, semelhante ao SQL. Políticas de exemplo podem aplicar:
Uma política permite que um grupo trabalhe de determinadas maneiras com tipos específicos de recursos em um compartimento específico. Opcionalmente, as políticas podem conter uma cláusula condicional ("onde...") que restringe ainda mais a declaração da política. As políticas seguem a seguinte sintaxe:
Permitir grupo no compartimento [onde]
Por exemplo, aqui está uma declaração de política que concede permissões para usar instâncias de computação:
Permitir que os Desenvolvedores do grupo usem instâncias no compartimento ProjectA
Para mais detalhes, consulte a seção OCI IAM da documentação da Oracle Cloud Infrastructure.
Sim. Uma política que concede permissões no compartimento raiz concede automaticamente as mesmas permissões para todos os compartimentos filhos. Por exemplo, a política a seguir concede permissão a todos os usuários do grupo "InstanceAdmins" para gerenciar instâncias no compartimento raiz e em todos os compartimentos filhos:
Permitir que os Group InstanceAdmins gerenciem instâncias na locação
Sim. Cada política é "anexada" a um compartimento. Onde você o anexa, controla quem pode modificá-lo ou excluí-lo. Se você anexar uma política ao compartimento raiz, qualquer pessoa com acesso para gerenciar políticas no compartimento raiz poderá alterá-la ou excluí-la. Se você anexar a política ao compartimento, qualquer pessoa com acesso para gerenciar políticas nesse compartimento poderá alterá-la ou excluí-la. Em termos práticos, isso significa que é fácil conceder aos administradores do compartimento (ou seja, um grupo com acesso para "gerenciar todos os recursos" no compartimento) o acesso para gerenciar as políticas de seu próprio compartimento, sem fornecer a eles acesso mais amplo para gerenciar as políticas que residem na conta.
Para mais informações sobre políticas e declarações de políticas, consulte "Getting Started with Policies" and "Common Policies" (Introdução às Políticas e Políticas Comuns) na documentação da Oracle Cloud Infrastructure.
Um grupo é uma coleção de usuários que precisam de privilégios de acesso semelhantes para usar ou gerenciar um recurso específico em sua conta. Os usuários podem estar em vários grupos. Permissões são aditivas. Por exemplo, se a associação em um grupo permitir que um usuário use instâncias de computação, e a associação em um segundo grupo permitir que o usuário gerencie volumes em blocos, o usuário poderá gerenciar instâncias e volumes em blocos.
Os administradores gravam diretivas que especificam grupos (não usuários individuais) com o acesso necessário de que precisam, seja em um compartimento específico ou na conta. Os administradores adicionam usuários aos grupos apropriados.
Sim. Sua conta é provisionada com um único administrador padrão que pertence a um grupo de Administradores dentro do seu compartimento raiz. Este grupo tem privilégios totais para criar e gerenciar todos os recursos da Oracle Cloud Infrastructure em sua conta, incluindo usuários, grupos, políticas e compartimentos, além de todos os outros recursos de infraestrutura de nuvem em qualquer compartimento. Você pode adicionar usuários adicionais a este grupo Administradores.
As políticas de senha permitem que você defina um tempo de expiração para as senhas. Uma política de senha padrão define que as senhas expiram após 120 dias. Isso é configurável e diferentes políticas podem ser aplicadas a subconjuntos de usuários.
Use grupos de recursos dinâmicos para designar um conjunto de recursos de computação a um grupo. Você pode então designar esse grupo de permissões por meio de uma política. Isso permite que uma instância de computação acesse outros recursos da OCI de forma segura sem incorporar credenciais em scripts.
A federação de identidade é um mecanismo para delegar o gerenciamento de usuários para a sua locação Oracle Cloud Infrastructure a outra entidade chamada provedor de identidade ou IdP. Isso é útil para empresas que possuem um Sistema de identidades existente que gostariam de usar, em vez de criar e manter um novo conjunto de usuários. A federação requer uma configuração exclusiva entre a Oracle Cloud Infrastructure e o IdP conhecida como Federation Trust.
Usuários federados (identidades externas) são usuários que você gerencia fora do Oracle Cloud Infrastructure (por exemplo, no diretório corporativo), mas a quem você concede acesso à sua conta no Oracle Cloud Infrastructure. Eles diferem dos usuários da Oracle Cloud Infrastructure, criados e mantidos em sua conta Oracle Cloud Infrastructure.
Sim. Usuários federados podem acessar o Console Oracle Cloud Infrastructure.
Sim. Os usuários federados podem acessar o Oracle Cloud Infrastructure SDK e CLI.
Usuários federados não podem alterar nem redefinir suas senhas no Console Oracle Cloud Infrastructure.
Você usa as mesmas políticas do Oracle Cloud Infrastructure para gerenciar usuários federados que você usa para gerenciar usuários nativos. Você mapeia funções e grupos em seu Provedor de Identidade para grupos no Oracle Cloud Infrastructure. Quando um usuário federado efetua login, o Oracle Cloud Infrastructure Console aplica políticas com base em sua associação ao grupo Oracle Cloud Infrastructure, assim como nos usuários nativos. Veja exemplos na documentação.
Uma única função ou grupo em seu Provedor de Identidade pode ser mapeado para vários grupos Oracle Cloud Infrastructure. Além disso, várias funções ou grupos no seu Provedor de Identidade podem ser mapeados para um único grupo do Oracle Cloud Infrastructure.
Não há limite para o número de usuários federados que podem ter acesso ao console.
O OCI IAM suporta qualquer provedor de identidades compatível com SAML 2.0, Open ID Connect ou OAuth, incluindo soluções populares como Oracle Access Manager, Microsoft Active Directory Federation Services (AD FS) e Okta.
Usualmente as contas eram protegidas apenas com usuário e senha. Porém, as senhas podem ser esquecidas facilmente e relativamente fáceis de descobrir usando técnicas simples de ataque, como sniffers, phishing e ataques de força bruta. Se alguém descobrisse suas credenciais podem adotar a sua identidade e acessar todas as suas contas e recursos.
A autenticação multifator (MFA) é um recurso de segurança popular que ajuda a reduzir o risco de aquisição de contas, fortalecendo a garantia de que um usuário do aplicativo é quem ele afirma ser. A MFA exige que os usuários autentiquem sua identidade em duas ou mais etapas. Há três categorias de fatores de autenticação: algo que você conhece (como senha ou PIN), algo que você tem (como token de segurança ou celular) e algo que você é (como dados biométricos, como impressão digital ou varredura de rosto). Quando a MFA é habilitada, mesmo que um invasor consiga a sua senha, não conseguirão continuar com a autenticação por não conseguirem validar o token, por exemplo, exigido pelo mecanismo de segurança. Isso previne acesso não autorizado e protege informações confidenciais contra vazamentos ou outras ações inadequadas. Habilitar a MFA ajuda a cumprir os padrões regulatórios e compliance adotados pela indústria, tais como aqueles fornecidos pelo National Institute of Standards and Technology (NIST).
A Oracle recomenda que todos os usuários habilitem a MFA. Você deve, como medida cautelar, habilitar a MFA para usuários com direitos de administrador, que tenham, por exemplo, autorização de criar e gerenciar os recursos da OCI. Também recomendamos o uso da MFA para acessar qualquer aplicação que hospede informações confidenciais ou ofereçam ações de alto risco.
Quando a MFA for habilitada pela primeira vez por um administrador, os usuários serão solicitados a habilitarem a MFA no próximo login. Após a configuração inicial, os usuários passarão pelo mecanismo da MFA a cada novo evento de login. Caso o administrador tenha habilitado Trusted Devices (Dispositivos Confiáveis), os usuários poderão clicar em "confiar neste dispositivo". Desta forma, sempre que o usuário utilizar o mesmo dispositivo o mecanismo da MFA não será ativado.
Para mais informações, os usuários podem consultar as seguintes referências:
Não. A MFA não é obrigatória em todos os cenários. Se você estiver concedendo acesso a um site público, por exemplo, normalmente não exigiria autenticação. Se você quiser que os usuários se conectem ao fazer uma compra para saber qual conta cobrar e onde entregar produtos, talvez um nome de usuário e senha sejam suficientes. No entanto, se esse mesmo usuário quiser alterar o método de pagamento ou o endereço de entrega ou se o aplicativo permitir ações que possam impactar sua organização, a MFA será recomendada.
A Oracle recomenda você habilitar a MFA para todos os administradores de nuvem e das aplicações. Por fim, você deve avaliar se deve impor a MFA com base nas políticas internas de segurança e na avaliação de risco da sua organização. Mas é uma boa prática começar com uma política que a MFA é sempre obrigatória e requer aprovações executivas para quaisquer aplicativos para os quais você deseja tornar a MFA opcional.
Para entender totalmente os fatores e o custo disponíveis, é importante primeiro entender qual tipo de tenancy do OCI você tem. Para determinar se a sua tenancy possui o OCI Identity and Access Management (IAM) com os domínios de identidade ou se a tenancy possui o OCI IAM sem domínios de identidade, consulte esta documentação.
As instruções específicas para implementar a MFA variam, dependendo do tipo de tenancy do OCI que você tem. Para determinar se a sua tenancy possui o OCI Identity and Access Management (IAM) com os domínios de identidade ou se a tenancy possui o OCI IAM sem domínios de identidade, consulte esta documentação.
Caso você não habilite a MFA, terá maior risco de sofrer um ataque bem-sucedido direcionado à sua conta. Por outro lado, com a MFA habilitada entre outros processos de autenticação, a sua operação continua normalmente.