Los conceptos principales de IAM son los siguientes:

• Compartimento: Un contenedor lógico para sus recursos en la nube. Los administradores de una cuenta pueden crear uno o más compartimentos para organizar y gestionar los recursos de su cuenta. Puede usar compartimentos para lo siguiente:
• Compartimento raíz: El compartimento de nivel superior dentro de su cuenta. El compartimento raíz se crea automáticamente cuando se aprovisiona su cuenta.
• Usuario: Una entidad que se puede autenticar. Un usuario puede ser una persona o una cuenta de máquina. Cada usuario tiene un nombre único en su cuenta y un identificador único global. Los usuarios pueden recibir contraseñas para acceder a la consola web y claves para acceder a los servicios a través de las API.
• Grupo: Un conjunto de usuarios. Los grupos se utilizan para simplificar la gestión de los accesos. Por ejemplo, los desarrolladores de software pueden agruparse como miembros de un grupo de "desarrolladores", lo que les permite leer, escribir y modificar código. Un único usuario puede ser miembro de varios grupos.
• Política: Un documento que especifica quién puede acceder a cada recurso de Oracle Cloud Infrastructure de su empresa y cómo puede hacerlo. Una política se compone de declaraciones de política. Varias políticas forman un corpus de políticas.

Con Oracle Cloud Infrastructure IAM, puede utilizar un único modelo para la autenticación y autorización en todos los servicios de Oracle Cloud Infrastructure. Oracle IAM facilita la gestión de los accesos a organizaciones de todos los tamaños, desde una persona que trabaja en un solo proyecto hasta grandes empresas que tienen muchos grupos que trabajan en diversos proyectos a la vez, todo ello en una misma cuenta. La gestión y autorización de recursos pueden realizarse en el nivel de cuenta o en el nivel de compartimento, al tiempo que se siguen permitiendo la auditoría y facturación centrales.

Oracle IAM se creó desde el principio para permitirle respetar el principio de seguridad del privilegio mínimo; de manera predeterminada, los nuevos usuarios no pueden realizar ninguna acción en ningún recurso. Los administradores solo pueden otorgar a cada usuario el acceso adecuado para ese usuario específico.

Oracle Cloud Infrastructure admite la autenticación multifactor (MFA) de forma nativa a través de Identity and Access Management. Además, los usuarios federados pueden autenticarse con MFA a través de Oracle Identity Cloud Service o de cualquier proveedor de identidad tercero compatible que admita MFA.

Sí. Para cumplir con los requisitos empresariales de auditoría y cumplimiento, todos los cambios se registran y pueden ponerse a su disposición sin coste adicional.

Oracle IAM está habilitado de forma predeterminada sin coste adicional. El primer usuario de su cuenta es el administrador predeterminado. Todos los usuarios posteriores se crean a través del servicio IAM, donde les otorga explícitamente privilegios para interactuar con determinados recursos en la nube.

Puede acceder a Oracle IAM mediante la Consola, la API de REST o los SDK.

Para restablecer su contraseña de Oracle Cloud Infrastructure, primero debe asegurarse de haber asociado una dirección de correo electrónico a su cuenta. Visite la página de perfil de usuario para su cuenta de Oracle Cloud Infrastructure y añada una dirección de correo electrónico a la que solo usted tenga acceso. Recibirá un correo electrónico para confirmar que realmente quiere registrar esa dirección con su cuenta. Después, puede restablecer la contraseña con su cuenta de correo electrónico a menos que el administrador de su inquilino la haya deshabilitado.

Un compartimento es un contenedor lógico seguro dentro de su cuenta que se utiliza para alojar sus recursos de infraestructura (como computación, almacenamiento y red), junto con un conjunto de políticas de gestión de accesos para estos recursos. Los compartimentos le permiten organizar de forma lógica sus recursos en la nube para admitir una amplia variedad de casos de uso.

A continuación se muestran algunos usos comunes de los compartimentos:

• Separar los entornos de desarrollo de software para simplificar la administración. Por ejemplo, puede tener compartimentos diferentes para desarrollo, pruebas y producción; o bien puede tener compartimentos separados para admitir un despliegue blue/green.
• Simplificar la gestión de permisos. Por ejemplo, puede crear un compartimento separado para sus recursos de red (VCN, subredes, puertas de enlace de Internet, etc.) y permitir que solo los administradores de red accedan a ese compartimento.
• Medir por separado el uso que hacen las distintas unidades de negocio a fin de cobrarles adecuadamente su consumo de recursos en la nube.
• Minimizar el conjunto de recursos visibles para ciertos conjuntos de usuarios. Por ejemplo, quizás desee tener un compartimento separado para su equipo de Finanzas que solo sea visible para ciertos empleados.

Sí. Los compartimentos son agrupaciones lógicas de recursos distintas de las construcciones físicas de los dominios de disponibilidad. Un compartimento individual puede contener recursos en varios dominios de disponibilidad.

Todas las políticas se asocian a un compartimento, que puede ser el compartimento raíz o un compartimento secundario. Cada política consta de una o más declaraciones de política que siguen esta sintaxis básica:

Allow group to in compartment

Las declaraciones de las políticas le permiten usar compartimentos para simplificar la gestión de los permisos; por ejemplo, puede escribir una política que permita al grupo AdministradoresRRHH gestionar todos los recursos del compartimento CompartimentoRRHH.

Sí, puede eliminar compartimentos.

Sí, puede mover árboles de compartimentos enteros y sus recursos incluidos a otros compartimentos principales.

Sí, puede mover recursos de un compartimento a otro.

Sí, puede crear una jerarquía de compartimentos anidándolos. Con los compartimentos jerárquicos o anidados, el administrador del sistema puede organizar los recursos y permitir que los administradores de nivel inferior hagan lo mismo, al tiempo que conserva total visibilidad y control a través de la política.

Un compartimento se puede anidar hasta seis niveles de profundidad como máximo.

Sí, los compartimentos secundarios heredan las políticas de los compartimentos de nivel superior.

Sí, puede rastrear los costes y el uso por compartimentos en My Services.

Para cada cuenta, Oracle Cloud Infrastructure crea automáticamente un compartimento de nivel superior conocido como el compartimento raíz. Al igual que ocurre con la carpeta raíz en un sistema de archivos, el compartimento raíz se comporta exactamente como sus compartimentos secundarios, a excepción de algunas características especiales:

• Como los permisos son jerárquicos, los permisos de grupo en el compartimento raíz se aplicarán a todos los compartimentos secundarios. Por ejemplo, si se ha otorgado al grupo AdminsRed permiso para gestionar redes virtuales en la nube (VCN) en el compartimento raíz, ese grupo podrá gestionar las VCN en todos los compartimentos.
• Actualmente, todos los usuarios y grupos se crean dentro del compartimento raíz. Pueden utilizarse políticas para otorgarles acceso solo a determinados compartimentos secundarios.

Nota: Actualmente, solo puede crear compartimentos adicionales dentro del compartimento raíz, no dentro de otros compartimentos.

En general, los recursos deben crearse en un compartimento que no sea el compartimento raíz. Es mejor que diseñe su jerarquía de compartimentos antes de comenzar a crear compartimentos y recursos. Actualmente, no se pueden mover recursos de un compartimento a otro, y los compartimentos no se pueden editar ni eliminar.

Un usuario es alguien que puede autenticarse con éxito en Oracle IAM y que tiene privilegios suficientes para consumir o gestionar recursos en la nube dentro de su cuenta. Los administradores pueden crear uno o más usuarios dentro de su cuenta y asignarlos a grupos para otorgarles permisos para recursos de compartimentos específicos.

Su cuenta está aprovisionada con un solo usuario: el administrador predeterminado, y un solo grupo: Administradores, de los cuales es miembro el usuario administrador predeterminado. Este grupo (Administradores) tiene acceso total en su cuenta. Este usuario especial (administrador predeterminado) debe crear todos los usuarios adicionales u otorgar permiso a otros usuarios para que puedan crear nuevos usuarios.

De manera predeterminada, un usuario nuevo no tiene permiso para usar ningún recurso o servicio dentro de su cuenta; todos los permisos se deben otorgar explícitamente. Este enfoque le permite adherirse al principio de seguridad del privilegio mínimo por el cual solo se otorga a cada usuario el acceso necesario para ese usuario específico. Debe añadir explícitamente a los usuarios a un grupo existente o crear un grupo nuevo para ellos, y después asignar los permisos adecuados a ese grupo a través de una política.

Actualmente, no puede deshabilitar el acceso de los usuarios. Sin embargo, puede restablecer contraseñas o eliminar claves.

Puede automatizar el restablecimiento de contraseñas, el cambio de claves o la edición de usuarios y pertenencias a grupos a través de la API de REST y los SDK.

Un grupo es una colección de usuarios que necesitan privilegios de acceso similares para poder usar o gestionar un recurso específico dentro de su cuenta. Los usuarios pueden formar parte de varios grupos. Los permisos son aditivos. Por ejemplo, si la pertenencia a un grupo permite a un usuario utilizar instancias de computación, y la pertenencia a un segundo grupo permite a ese usuario gestionar volúmenes de bloque, el usuario puede gestionar tanto instancias como volúmenes de bloque.

Los administradores escriben políticas que especifican el acceso que los grupos (no usuarios individuales) necesitan, ya sea para un compartimento específico o para la cuenta. Después, los administradores añaden usuarios a los grupos correspondientes.

Sí. Su cuenta está aprovisionada con un único administrador predeterminado que pertenece a un grupo Administradores dentro de su compartimento raíz. Este grupo tiene todos los privilegios para crear y gestionar todos los recursos de Oracle Cloud Infrastructure en su cuenta, incluidos usuarios, grupos, políticas y compartimentos, así como todos los demás recursos de infraestructura en la nube dentro de cualquier compartimento. Puede añadir usuarios adicionales a este grupo Administradores.

Una política es un documento que consta de declaraciones descriptivas que otorgan permisos específicos a grupos de usuarios. Están escritas con una sintaxis tipo SQL fácil de entender. Ejemplos de lo que podrían aplicar las políticas:

• Los administradores del sistema pueden "finalizar" o "reiniciar" sus instancias de computación Bare Metal.
• Los administradores de red pueden administrar completamente todos los recursos de infraestructura relacionados con la red.
• Los administradores de TI pueden crear usuarios y editar pertenencias a grupos.

Una política permite que un grupo trabaje de ciertas maneras con determinados tipos de recursos en un compartimento concreto. Opcionalmente, las políticas pueden contener una cláusula condicional ("where ...") que restringe aún más la declaración de política. Las políticas se adhieren a la siguiente sintaxis:

Allow group to in compartment [where ]

Por ejemplo, esta es una declaración de política que otorga permisos para utilizar instancias de computación:

Allow group Developers to use instances in compartment ProjectA

• "group_name" es el nombre del grupo al que se le otorgan permisos.
• "verb" hace referencia a las acciones que puede realizar en los recursos, por ejemplo: inspect, read, use, or manage (inspeccionar, leer, usar o gestionar).
• "resource-type" es el recurso en la nube para el que se otorgan permisos. Estos son algunos tipos de recursos de ejemplo: instances, volumes y route-tables (instancias, volúmenes y tablas de rutas).
• "compartment_name" es el nombre del compartimento en el que se organizan los recursos.
• "conditions" son especificaciones adicionales que reducen el ámbito de la declaración de política. Por ejemplo: "where request.user.id=target.user.id" o "where target.group_name != Administrators".

Para obtener más detalles, consulte la sección de Oracle IAM de la documentación de Oracle Cloud Infrastructure.

Sí. Una política que otorga permisos en el compartimento raíz otorga automáticamente los mismos permisos a todos los compartimentos secundarios. Por ejemplo, la siguiente política otorga permiso a todos los usuarios del grupo "InstanceAdmins" para gestionar instancias en el compartimento raíz, así como en todos los compartimentos secundarios:

Allow Group InstanceAdmins to manage instances in tenancy

Sí. Cada política está "asociada" a un compartimento. El lugar al que la asocie controla quién puede modificarla o eliminarla. Si asocia una política al compartimento raíz, cualquier persona que tenga acceso para gestionar políticas en el compartimento raíz puede modificarla o eliminarla. Sin embargo, si asocia la política a un compartimento determinado, cualquier persona que tenga acceso para gestionar políticas en ese compartimento puede modificarla o eliminarla. En la práctica, esto significa que es fácil otorgar a los administradores de compartimento (es decir, un grupo con acceso para "gestionar todos los recursos" en el compartimento) acceso para gestionar las políticas de su propio compartimento, sin darles un acceso más amplio para gestionar políticas que residen en la cuenta.

Para obtener más información sobre las políticas y las declaraciones de políticas, consulte "Introducción a las políticas" y "Políticas comunes" en la documentación de Oracle Cloud Infrastructure.

La federación de identidades es un mecanismo para delegar la gestión de usuarios de su inquilino de Oracle Cloud Infrastructure a otra entidad denominada proveedor de identidades o IdP. Resulta muy útil para las empresas que ya tienen un sistema de identidad y que les gustaría usarlo, en lugar de crear y mantener un nuevo conjunto de usuarios. La federación requiere una configuración que se realiza una sola vez entre Oracle Cloud Infrastructure y el IdP conocida como confianza de federación.

Los usuarios federados (identidades externas) son usuarios que usted gestiona fuera de Oracle Cloud Infrastructure (por ejemplo, en su directorio corporativo), pero a quienes otorga acceso a su cuenta de Oracle Cloud Infrastructure. Son distintos de los usuarios de Oracle Cloud Infrastructure, que se crean y mantienen en su cuenta de Oracle Cloud Infrastructure.

Sí. Los usuarios federados pueden acceder a la consola de Oracle Cloud Infrastructure.

Sí. Los usuarios federados pueden acceder al SDK y la CLI de Oracle Cloud Infrastructure.

Los usuarios federados no pueden cambiar ni restablecer sus contraseñas en la consola de Oracle Cloud Infrastructure.

Utilice las mismas políticas de Oracle Cloud Infrastructure para gestionar usuarios federados que las que usa para gestionar usuarios nativos. Puede asignar roles y grupos en su proveedor de identidades a grupos en Oracle Cloud Infrastructure. Cuando un usuario federado inicia sesión, la consola de Oracle Cloud Infrastructure aplica políticas en función de su pertenencia a grupos de Oracle Cloud Infrastructure, igual que ocurre con los usuarios nativos. Consulte la documentación para ver ejemplos.

Solo se puede asignar un rol o grupo en su proveedor de identidades a varios grupos de Oracle Cloud Infrastructure. Además, se pueden asignar varios roles o grupos en su proveedor de identidades a un solo grupo de Oracle Cloud Infrastructure.

No hay ningún límite en cuanto al número de usuarios federados a los que se les puede otorgar acceso a la consola.

Actualmente, ofrecemos compatibilidad con Identity Cloud Service (IDCS) de Oracle, Servicios de federación de Active Directory (AD FS) de Microsoft, Okta y cualquier otro proveedor de identidades compatible con SAML 2.0.