OCI IAM est un service natif d'OCI qui fournit des fonctionnalités de gestion des identités et des accès de niveau entreprise, telles qu'une authentification forte et adaptative, une gestion du cycle de vie utilisateur (LCM) et un accès avec connexion unique (SSO) aux applications d'entreprise. OCI IAM est déployé en tant que domaine(s) d'identité dans OCI. Le ou les domaines inclus permettent aux organisations de gérer l'accès à leurs services Oracle Cloud (réseau, calcul, stockage, etc.) et à leurs applications Oracle SaaS. Les clients peuvent choisir de mettre à niveau ou de créer des domaines d'identité supplémentaires pour répondre à d'autres cas d'utilisation, tels que la gestion de l'accès du personnel aux applications autres qu'Oracle, l'accès pour les consommateurs aux applications destinées aux clients ou l'intégration d'IAM aux applications personnalisées.
Chaque domaine d'identité OCI IAM est une solution autonome de gestion des identités et des accès, qui peut être utilisée pour répondre à divers cas d'utilisation d'IAM. Par exemple, vous pouvez utiliser un domaine d'identité OCI IAM pour gérer l'accès des collaborateurs à de nombreuses applications cloud et sur site, ce qui permet une authentification sécurisée, une gestion facile des habilitations et une connexion unique transparente pour les utilisateurs finaux. Vous pouvez également mettre en place un domaine d'identité pour permettre l'accès aux systèmes de chaîne d'approvisionnement ou de commande pour les partenaires commerciaux. Vous pouvez également utiliser des domaines d'identité afin d'activer IAM pour les applications destinées aux clients et d'autoriser les utilisateurs à effectuer l'auto-inscription, la connexion par réseau social et/ou le consentement selon les conditions d'utilisation. Les domaines d'identité représentent une solution complète d'identité as-a-service (IDaaS) prenant en charge de nombreux cas d'utilisation et scénarios IAM.
Non. OCI IAM les considère comme des populations d'utilisateurs distinctes concernant la licence. Toutefois, vous pouvez utiliser le même service OCI IAM pour gérer plusieurs domaines pouvant s'adapter aux collaborateurs et aux non-collaborateurs (partenaires, affiliés, consommateurs, etc.). Plusieurs domaines peuvent être utilisés pour accéder aux mêmes applications, mais les règles et les stratégies de sécurité pour les non-collaborateurs diffèrent généralement de celles qui s'appliquent aux collaborateurs. Chaque domaine dispose de son propre ensemble de paramètres, de configurations et de stratégies de sécurité qui sont uniques pour cette population d'utilisateurs. Ceci est conçu pour répondre aux exigences très diverses typiques de différentes populations d'utilisateurs.
Chaque location OCI inclut un groupe d'administrateurs qui fournit un accès complet à toutes les ressources OCI. Il est important de comprendre que tous les membres du groupe d'administrateurs OCI disposent d'un accès complet pour gérer les domaines d'identité OCI IAM. Oracle recommande d'utiliser ce groupe avec précaution. Des privilèges d'administration peuvent être accordés au sein de chaque domaine via des rôles d'administrateur qui permettent de séparer les tâches entre les groupes de personnes. Pour plus d'informations, reportez-vous à Présentation des rôles d'administrateur.
Chaque région OCI comporte plusieurs domaines de disponibilité (DD) ou domaines de pannes (DP) (dans les régions avec un seul domaine de disponibilité). Les DD et les DP remplissent des fonctions similaires, mais les DP sont physiquement plus proches les uns des autres que les DD. Les domaines d'identité sont déployés avec des installations redondantes dans chaque région (deux sur les DD/DP) qui assurent une haute disponibilité. Les domaines d'identité OCI IAM offrent également une récupération après sinistre (RS) inter-région via une approche active-passive qui exploite la réplication de données hautes performances. Cela permet une récupération fiable des données pour les domaines d'identité dans le cas peu probable où une région OCI entière deviendrait indisponible. La RS est fournie via une seule URL, ce qui la rend transparente pour les applications.
Les concepts clés du service IAM sont les suivants :
Avec OCI IAM, vous pouvez exploiter un modèle unique d’authentification et d’autorisation pour tous les services Oracle Cloud et Cloud Application. OCI IAM facilite la gestion de l’accès pour les entreprises de toutes tailles, d’une personne travaillant sur un seul projet aux grandes entreprises dont plusieurs groupes travaillent sur plusieurs projets en même temps, le tout au sein d’un seul compte. La gestion et l’autorisation des ressources peuvent avoir lieu au niveau du compte ou au niveau du compartiment, tout en permettant un audit et une facturation centralisés. OCI IAM a été conçu à partir de zéro pour vous permettre d’appliquer le principe de sécurité du moindre privilège : par défaut, les nouveaux utilisateurs ne sont autorisés à effectuer aucune action sur aucune ressource. Les administrateurs peuvent ensuite accorder à chaque utilisateur uniquement l’accès approprié pour cet utilisateur spécifique.
En plus de gérer les ressources OCI, OCI IAM met à votre disposition une solution d'entreprise IDaaS. En cliquant simplement sur un bouton, vous pouvez déployer une solution IAM fiable pouvant être utilisée pour répondre à de nombreuses exigences IAM dans les cas d'utilisation des collaborateurs/du personnel, des partenaires ou des consommateurs.
OCI IAM fournit une prise en charge étendue de l'authentification à plusieurs facteurs, qui inclut une application d'authentification à plusieurs facteurs mobile proposant des options pour les codes d'accès à la demande ou à usage unique, la prise en charge des authentificateurs FIDO2, et la prise en charge des SMS, des e-mails, des appels téléphoniques, etc. OCI IAM inclut également une sécurité adaptative contextuelle qui réduit les risques sans entraver l'expérience de l'utilisateur final. Adaptive Security évalue l'appareil, le réseau, l'emplacement et le comportement passé de l'utilisateur afin de créer un score de risque pour la session de l'utilisateur. Les administrateurs peuvent configurer des stratégies d'authentification multifacteur qui peuvent être différentes pour des applications spécifiques ou pour des groupes d'utilisateurs spécifiques.
Oui. Pour prendre en charge les exigences de l’entreprise en matière d’audit et de conformité, toutes les modifications sont enregistrées. Ces enregistrements peuvent être mis à votre disposition sans frais supplémentaires.
OCI IAM est activé par défaut sans frais supplémentaires. Le tout premier utilisateur de votre compte est l’administrateur par défaut. Tous les utilisateurs suivants sont créés via le service IAM, où vous leur accordez explicitement des privilèges pour interagir avec les ressources cloud spécifiées.
Vous pouvez accéder à Oracle IAM à l’aide de la Console, de l’API Rest ou de SDK.
Pour réinitialiser votre mot de passe pour Oracle Cloud Infrastructure, vous devez d’abord vous assurer que vous avez associé une adresse e-mail à votre compte. Visitez la page de profil utilisateur de votre compte Oracle Cloud Infrastructure et ajoutez une adresse e-mail à laquelle vous seul avez accès. Vous recevrez un e-mail confirmant votre intention d’enregistrer cette adresse sur votre compte. Ensuite, vous pouvez réinitialiser votre mot de passe avec votre compte de messagerie, sauf s’il a été désactivé par votre administrateur de locataire.
Un compartiment est un conteneur logique sécurisé au sein de votre compte utilisé pour héberger vos ressources d’infrastructure (telles que le calcul, le stockage et le réseau), ainsi qu’un ensemble de stratégies de gestion d’accès pour ces ressources. Les compartiments vous permettent d’organiser logiquement vos ressources cloud pour prendre en charge une grande variété de cas d’utilisation.
Voici quelques façons courantes d’utiliser les compartiments pour :
Oui. Les compartiments sont des regroupements logiques de ressources distincts des constructions physiques des domaines de disponibilité. Un compartiment individuel peut contenir des ressources à travers les domaines de disponibilité.
L'ensemble des stratégies est associé au compartiment racine ou à un compartiment enfant. Chaque stratégie consiste en une ou plusieurs déclarations de stratégie qui suivent cette syntaxe de base :
Autoriser le groupe dans le compartiment
Les déclarations de stratégie vous permettent d’utiliser des compartiments pour simplifier la gestion des autorisations ; par exemple, vous pouvez écrire une stratégie qui permet au groupe HRAdministrators de gérer toutes les ressources dans le compartiment HRCompartment.
Oui, vous pouvez supprimer des compartiments.
Oui, vous pouvez déplacer des arborescences de compartiments entières et leurs ressources incluses vers d’autres compartiments parents.
Oui, vous pouvez déplacer des ressources d’un compartiment vers un autre.
Oui, vous pouvez créer une hiérarchie de compartiments en les imbriquant. Avec des compartiments hiérarchiques ou imbriqués, l’administrateur système peut organiser les ressources et permettre aux administrateurs de niveau inférieur de faire de même, tout en conservant une visibilité et un contrôle complets via une stratégie.
La profondeur maximale d’un compartiment imbriqué est de six.
Oui, les stratégies sur les compartiments de niveau supérieur sont héritées par les sous-compartiments.
Oui, vous pouvez suivre les coûts et l’utilisation par compartiments dans Mes services.
Pour chaque compte, Oracle Cloud Infrastructure crée automatiquement un compartiment de niveau supérieur appelé compartiment racine. Tout comme le dossier racine dans un système de fichiers, le compartiment racine se comporte exactement comme ses compartiments enfants, à l’exception de quelques caractéristiques spéciales :
Remarque : actuellement, vous ne pouvez créer des compartiments supplémentaires que dans le compartiment racine et non dans d’autres compartiments.
Généralement, les ressources doivent être créées dans un compartiment qui n’est pas le compartiment racine. Il est préférable de concevoir la hiérarchie de vos compartiments avant de commencer à créer des compartiments et des ressources.
Un utilisateur est une personne qui peut s’authentifier auprès d’OCI IAM et qui dispose des privilèges suffisants pour consommer ou gérer les ressources cloud au sein de votre compte. Les administrateurs peuvent créer un ou plusieurs utilisateurs dans leur compte et les affecter à des groupes afin de leur accorder des autorisations sur les ressources dans des compartiments spécifiques.
Votre compte est provisionné avec un seul utilisateur (l'administrateur par défaut) et un seul groupe (celui des administrateurs), dont l'administrateur par défaut est membre. Ce groupe (Administrateurs) dispose d’un accès complet à votre compte. Cet utilisateur spécial (administrateur par défaut) doit créer des utilisateurs supplémentaires ou accorder l’autorisation à d’autres utilisateurs de créer de nouveaux utilisateurs.
Par défaut, un nouvel utilisateur n’a pas l’autorisation d’utiliser une ressource ou un service au sein de votre compte - toutes les autorisations doivent être explicitement accordées. Cette approche vous permet d’adhérer au principe de sécurité du moindre privilège selon lequel vous accordez à chaque utilisateur uniquement l’accès requis pour cet utilisateur spécifique. Vous devez soit ajouter explicitement l’utilisateur à un groupe existant, soit créer un nouveau groupe pour lui, puis attribuer les autorisations appropriées à ce groupe via une stratégie.
Les administrateurs peuvent désactiver ou verrouiller un utilisateur afin de désactiver temporairement son accès. Ils peuvent également réinitialiser les mots de passe des utilisateurs ou supprimer des clés.
Oui, les stratégies de mot de passe vous permettent de définir un délai d'expiration pour les mots de passe. Vous pouvez également automatiser la réinitialisation des mots de passe, les modifications de clé ou les modifications d'utilisateurs et d'appartenances à des groupes par le biais d'une API REST et de SDK.
Une stratégie est un document composé d’instructions de stratégie descriptives qui accordent des autorisations spécifiques à des groupes d’utilisateurs. Elles sont écrites avec une syntaxe de type SQL facile à comprendre. Des exemples de stratégies peuvent être appliqués :
Une stratégie permet à un groupe de travailler de certaines manières avec des types spécifiques de ressources dans un compartiment particulier. Facultativement, les stratégies peuvent contenir une clause conditionnelle (« où ... ») qui restreint davantage la déclaration de stratégie. Les stratégies respectent la syntaxe suivante :
Autoriser le groupe dans le compartiment [where]
Par exemple, voici une déclaration de stratégie qui accorde des autorisations pour utiliser des instances de calcul :
Autoriser le groupe Développeurs à utiliser des instances dans le compartiment ProjectA
Pour plus de détails, consultez la section OCI IAM de la documentation Oracle Cloud Infrastructure.
Oui. Une stratégie accordant des autorisations dans le compartiment racine accorde automatiquement les mêmes autorisations pour tous les compartiments enfants. Par exemple, la stratégie suivante autorise tous les utilisateurs du groupe « InstanceAdmins » à gérer les instances dans le compartiment racine ainsi que tous les compartiments enfants :
Autoriser le groupe InstanceAdmins à gérer les instances dans la location
Oui. Chaque stratégie est « attachée » à un compartiment. L’endroit où vous l’attachez contrôle qui peut ensuite la modifier ou la supprimer. Si vous attachez une stratégie au compartiment racine, toute personne autorisée à gérer les stratégies dans le compartiment racine peut la modifier ou la supprimer. Si vous attachez plutôt la stratégie au compartiment, alors toute personne ayant accès à la gestion des stratégies dans ce compartiment peut la modifier ou la supprimer. En termes pratiques, cela signifie qu’il est facile de donner aux administrateurs de compartiment (c’est-à-dire un groupe ayant accès à « gérer toutes les ressources » dans le compartiment) un accès pour gérer les stratégies de leur propre compartiment, sans leur donner un accès plus large pour gérer les stratégies qui résident dans le compte.
Pour plus d’informations sur la stratégie et les déclarations de stratégie, consultez le sections Pour commencer avec les politiques et Stratégies communes dans la documentation Oracle Cloud Infrastructure.
Un groupe est un ensemble d’utilisateurs qui ont besoin de privilèges d’accès similaires pour utiliser ou gérer une ressource spécifique dans votre compte. Les utilisateurs peuvent appartenir à plusieurs groupes. Les autorisations sont additives. Par exemple, si l’appartenance à un groupe permet à un utilisateur d’utiliser des instances de calcul et l’appartenance à un deuxième groupe permet à cet utilisateur de gérer des volumes de blocs, alors l’utilisateur est autorisé à gérer à la fois les instances et les volumes de blocs.
Les administrateurs écrivent des stratégies qui spécifient des groupes (pas des utilisateurs individuels) avec l’accès requis dont ils ont besoin, que ce soit pour un compartiment spécifique ou le compte. Les administrateurs ajoutent ensuite des utilisateurs aux groupes appropriés.
Oui. Votre compte est provisionné avec un seul administrateur par défaut qui appartient à un groupe Administrateurs dans votre compartiment racine. Ce groupe a tous les privilèges pour créer et gérer toutes les ressources Oracle Cloud Infrastructure de votre compte, y compris les utilisateurs, les groupes, les stratégies et les compartiments, ainsi que toutes les autres ressources d’infrastructure cloud dans tous les compartiments. Vous pouvez ajouter des utilisateurs supplémentaires à ce groupe d’administrateurs.
Les stratégies de mot de passe vous permettent de définir un délai d'expiration pour les mots de passe. Une stratégie de mot de passe par défaut définit une expiration des mots de passe après 120 jours. Cette durée est configurable. Différentes stratégies peuvent être appliquées à des sous-ensembles d'utilisateurs.
Utilisez des groupes de ressources dynamiques pour affecter un ensemble de ressources de calcul à un groupe. Vous pouvez ensuite affecter ces autorisations de groupe via une stratégie. Cela permet à une instance de calcul d'accéder à d'autres ressources OCI en toute sécurité, sans intégrer d'informations d'identification dans des scripts.
La fédération d’identité est un mécanisme permettant de déléguer la gestion des utilisateurs de votre location Oracle Cloud Infrastructure à une autre entité appelée fournisseur d’identité ou IdP. Ceci est utile pour les entreprises qui ont un système d’identité existant qu’elles souhaitent utiliser, plutôt que de créer et de maintenir un nouvel ensemble d’utilisateurs. La fédération nécessite une configuration unique entre Oracle Cloud Infrastructure et l’IdP connu sous le nom de fédération d’approbation.
Les utilisateurs fédérés (identités externes) sont des utilisateurs que vous gérez en dehors d’Oracle Cloud Infrastructure (par exemple, dans votre répertoire d’entreprise), mais à qui vous accordez l’accès à votre compte Oracle Cloud Infrastructure. Ils diffèrent des utilisateurs Oracle Cloud Infrastructure, qui sont créés et maintenus dans votre compte Oracle Cloud Infrastructure.
Oui. Les utilisateurs fédérés peuvent accéder à la console Oracle Cloud Infrastructure.
Oui. Les utilisateurs fédérés peuvent accéder au SDK et à la CLI Oracle Cloud Infrastructure.
Les utilisateurs fédérés ne peuvent ni modifier ni réinitialiser leurs mots de passe dans la console Oracle Cloud Infrastructure.
Vous utilisez les mêmes stratégies Oracle Cloud Infrastructure pour gérer les utilisateurs fédérés que vous utilisez pour gérer les utilisateurs natifs. Vous mappez les rôles et les groupes de votre fournisseur d’identité aux groupes d’Oracle Cloud Infrastructure. Lorsqu’un utilisateur fédéré se connecte, la console Oracle Cloud Infrastructure applique ensuite des stratégies basées sur son appartenance au groupe Oracle Cloud Infrastructure, tout comme avec les utilisateurs natifs. Pour obtenir des exemples, consultez la documentation.
Un seul rôle ou groupe de votre fournisseur d’identité peut être mappé à plusieurs groupes Oracle Cloud Infrastructure. De plus, plusieurs rôles ou groupes de votre fournisseur d’identité peuvent être associés à un seul groupe Oracle Cloud Infrastructure.
Il n’y a pas de limite au nombre d’utilisateurs fédérés qui peuvent avoir accès à la console.
OCI IAM prend en charge tous les fournisseurs d'identités compatibles SAML 2.0, Open ID Connect ou OAuth, y compris les solutions populaires telles qu'Oracle Access Manager, Microsoft Active Directory Federation Services (AD FS) et Okta.
Par le passé, les comptes étaient seulement protégés par un nom d'utilisateur et un mot de passe. Toutefois, les mots de passe peuvent être difficiles à mémoriser et relativement faciles à deviner à l'aide de techniques courantes de cyberattaques, telles que le reniflage réseau, l'hameçonnage et les attaques par force brute. Si un pirate vole vos identifiants, il peut accéder à tous vos comptes et ressources.
L'authentification multifacteur (MFA) est une fonction de sécurité reconnue qui permet de réduire le risque de vol de compte en vérifiant de manière plus robuste l'identité des utilisateurs d'une application. La MFA nécessite que les utilisateurs fournissent plusieurs formes d'authentification. Il existe trois catégories de facteurs d'authentification : ce que vous connaissez (un mot de passe, un code PIN, etc.), ce que vous possédez (un jeton de sécurité, un téléphone mobile, etc.) et ce que vous êtes (données biométriques, telles qu'une empreinte digitale ou un scan du visage). Lorsque l'authentification multifacteur est activée, même si un attaquant parvient à obtenir votre mot de passe, il ne pourra pas se connecter à votre compte sans fournir également les preuves supplémentaires requises par l'authentification multifacteur. Vous évitez ainsi plus facilement les accès non autorisés, le vol d'informations et les activités malveillantes. L'authentification multifacteur répond également en partie aux exigences de conformité et au respect des normes du secteur, telles que celle de l'Institut national de normalisation et de technologie (NIST).
Oracle recommande d'activer l'authentification multifacteur pour tous les utilisateurs. Au minimum, vous devriez activer l'authentification multifacteur pour les utilisateurs disposant de privilèges administrateurs, permettant par exemple de créer et de gérer des ressources OCI. Vous devez également exiger l'authentification multifacteur pour accéder à toutes les applications hébergeant des informations sensibles ou permettant des actions à haut risque.
Lorsque l'authentification multifacteur est activée pour la première fois par un administrateur, les utilisateurs sont invités à paramétrer l'authentification multifacteur à la prochaine authentification. Après, les utilisateurs doivent valider l'authentification multifacteur lors du processus de connexion à chaque visite ultérieure. Si l'administrateur active une option de périphériques sécurisés, les utilisateurs ont la possibilité de marquer un appareil comme sécurisé, ce qui leur évite de devoir réaliser une authentification multifacteur à chaque fois sur cet appareil.
Pour plus d'informations, les utilisateurs peuvent se référer aux instructions suivantes :
Non, la MFA n'est pas strictement obligatoire en toutes circonstances. Si vous accordez l'accès à un site Web public, par exemple, vous n'avez généralement besoin d'aucune authentification. Si vous souhaitez que les utilisateurs se connectent lors d'un achat afin d'indiquer le compte à débiter et le lieu de livraison, un nom d'utilisateur et un mot de passe suffisent probablement. Toutefois, si le même utilisateur souhaite modifier le mode de paiement ou l'adresse de livraison, ou si l'application autorise des actions susceptibles d'avoir des conséquences pour votre entreprise, l'authentification multifacteur est recommandée.
Oracle vous recommande vivement d'activer l'authentification multifacteur pour tous les administrateurs cloud et d'application. En fin de compte, l'activation de l'authentification multifacteur dépend des politiques de sécurité internes de votre entreprise et de l'évaluation des risques. Toutefois, il est recommandé de commencer avec une politique qui prévoit que l'authentification multifacteur est toujours obligatoire et nécessite l'approbation d'un cadre pour les applications pour lesquelles vous souhaitez rendre l'authentification multifacteur facultative.
Pour bien comprendre les différents facteurs d'authentification et les coûts, il est important de comprendre le type de location OCI dont vous disposez. Pour déterminer si votre location dispose d'OCI Identity and Access Management (IAM) avec des domaines d'identité ou si elle dispose d'OCI IAM sans domaines d'identité, consultez cette documentation.
Les instructions spécifiques pour l'implémentation de l'authentification multifacteur varient en fonction du type de location OCI. Pour déterminer si votre location dispose d'OCI IAM avec des domaines d'identité ou si elle dispose d'OCI IAM sans domaines d'identité, consultez cette documentation.
Si vous n'implémentez pas l'authentification multifacteur, vos comptes risquent de ne pas résister à une cyberattaque. Avec l'authentification multifacteur, votre location et/ou d'autres processus d'authentification continueront de fonctionner normalement.