Preguntas frecuentes de Identity and Access Management

Cada dominio de identidad de OCI IAM es una solución de gestión de identidad y acceso independiente que se puede utilizar para abordar una variedad de casos de uso de IAM. Por ejemplo, puedes utilizar un dominio de identidad de OCI IAM para gestionar el acceso de los empleados a numerosas aplicaciones locales y en la nube, lo que permite una autenticación segura, una gestión sencilla de los derechos y una SSO sin problemas para los usuarios finales. También puede que desees configurar un dominio de identidad para permitir el acceso a la cadena de suministro o a los sistemas de órdenes para los socios comerciales. También puedes utilizar dominios de identidad para activar IAM para aplicaciones orientadas al consumidor y permitir a los usuarios consumidores realizar autorregistros, conexión social o consentimientos de las condiciones de uso. Los dominios de identidad representan una solución completa de identidad como servicio (identity-as-a-service, IDaaS) que se adapta a numerosos casos de uso y escenarios de IAM.

• Dominios de identidad gratuitos: cada arrendamiento de OCI incluye un dominio de identidad de OCI IAM por defecto de cuenta gratuita para gestionar el acceso a los recursos de OCI (red, recursos informáticos, almacenamiento, etc.). Si solo deseas gestionar el acceso a los recursos de OCI, puedes utilizar el dominio por defecto incluido. Proporciona un sólido conjunto de funcionalidades de IAM para gestionar el acceso a los recursos de Oracle Cloud. Según el modelo de seguridad y el equipo, los clientes pueden optar por reservar este dominio para los administradores de OCI.
• Dominios de identidad de Oracle Apps: numerosas aplicaciones de Oracle Cloud (HCM, CRM, ERP, aplicaciones del sector, etc.) pueden incluir el uso de OCI IAM a través de un dominio de aplicaciones de Oracle. Estos dominios se incluyen para su uso con aplicaciones de Oracle suscritas y proporcionan una funcionalidad de IAM sólida para gestionar el acceso a los servicios de Oracle Cloud y SaaS. Los clientes pueden elegir agregar todos los empleados a este dominio para activar SSO en un servicio de aplicación de Oracle Cloud y pueden utilizar este dominio para gestionar el acceso a algunos o todos sus recursos de OCI.
• Dominios de identidad de Oracle Apps Premium: si deseas ampliar un dominio de Oracle Apps con funciones empresariales completas para gestionar el acceso de las aplicaciones de Oracle que pueden no entregarse mediante SaaS (p. ej., Oracle E-Business Suite u Oracle Databases, ya sean locales o alojadas en OCI), los dominios de Oracle Apps Premium ofrecen el conjunto completo de funciones y capacidades de OCI IAM para su uso con destinos de Oracle que se pueden desplegar en entornos de nube híbrida. Se trata de un servicio de bajo costo que cuenta con todas las funciones, pero que se limita al uso con destinos de Oracle.
• Dominios de identidad externos: los dominios de identidad externos ofrecen un conjunto completo de funciones y capacidades de OCI IAM para no empleados, como consumidores que acceden a un sitio minorista, gobiernos que permiten el acceso a ciudadanos o empresas que permiten el acceso a socios comerciales. No hay restricciones sobre las aplicaciones que se pueden dirigir. Sin embargo, no se incluyen algunas funciones empresariales que normalmente no son útiles en escenarios de no empleados, como el gateway de aplicaciones y el puente de aprovisionamiento. Los dominios externos incluyen soporte para la conexión social, el autorregistro, el consentimiento de las condiciones de uso y la gestión de perfiles/contraseñas.
• Dominios de identidad premium: los dominios de identidad premium ofrecen el conjunto completo de funciones y capacidades de OCI IAM sin restricciones en las aplicaciones a las que se pueden dirigir. Los dominios premium se pueden utilizar como un servicio de IAM empresarial que gestiona el acceso de empleados o personal a través de aplicaciones en la nube y locales, lo que permite una autenticación segura, una gestión sencilla de los derechos y una conexión única sin problemas para los usuarios finales.

No. OCI IAM los considera poblaciones de usuarios independientes para las licencias. Sin embargo, puedes utilizar el mismo servicio OCI IAM para gestionar dos o más dominios que pueden alojar a empleados y no empleados (socios, filiales, consumidores, etc.). Se pueden utilizar varios dominios para acceder a las mismas aplicaciones, pero las reglas y las políticas de seguridad para no empleados suelen ser diferentes de las que se aplican a los empleados. Cada dominio tiene su propio conjunto de parámetros, configuraciones y políticas de seguridad que son únicas para esa población de usuarios. Esto es por diseño para adaptarse a los requisitos muy variables que son típicos para diferentes poblaciones de usuarios.

Cada arrendamiento de OCI incluye un grupo de administradores que proporciona acceso completo a todos los recursos de OCI. Es importante comprender que todos los miembros del grupo de administradores de OCI tienen acceso completo para gestionar los dominios de identidad de OCI IAM. Oracle recomienda un uso cuidadoso de este grupo. Los privilegios administrativos se pueden otorgar en cada dominio mediante los roles de administrador, que permiten la separación de tareas entre grupos de personas. Consulta Descripción de los roles de administrador para obtener más información.

En cada región de OCI, hay varios dominios de disponibilidad (availability domains, AD) o dominios de errores (fault domains, FD) (en regiones de un solo AD). Los AD y los FD cumplen funciones similares, pero los FD están físicamente más cerca que los AD. Los dominios de identidad se despliegan con instalaciones redundantes en cada región (dos en los AD/FD) que ofrecen alta disponibilidad. Los dominios de identidad de OCI IAM también ofrecen recuperación ante desastres (disaster recovery, DR) entre regiones mediante un enfoque activo-pasivo que aprovecha la replicación de datos de alto rendimiento. Esto proporciona una recuperación de datos confiable para los dominios de identidad en el caso poco probable de que toda una región de OCI deje de estar disponible. Esta DR se entrega a través de una única URL, por lo que es transparente para las aplicaciones.

Los conceptos principales de IAM son los siguientes:

• Cuenta o arrendamiento: al registrarte en OCI, Oracle, creas un arrendamiento para tu compañía, que es una partición aislada dentro de OCI donde puedes crear, organizar y administrar tus recursos en la nube. A veces se denomina cuenta de OCI.
• Compartimento: contenedor lógico dentro de una cuenta de OCI para recursos de Oracle Cloud. Los administradores pueden crear uno o más compartimentos en una cuenta de OCI para organizar y gestionar recursos. Por ejemplo, los compartimentos se pueden utilizar para aplicar la separación de tareas entre diferentes tipos de administradores (red, recursos informáticos, almacenamiento, etc.).
• Compartimento raíz: compartimento de nivel superior dentro de una cuenta de OCI. El compartimento raíz se crea automáticamente cuando se aprovisiona su cuenta.
• Dominios de identidad: un dominio de identidad representa una población de usuarios en OCI y configuraciones y parámetros de seguridad asociados. Cada cuenta incluye un dominio de identidad por defecto que permite a los clientes gestionar el acceso a los recursos de OCI. Los clientes pueden elegir crear dominios de identidad adicionales en función de sus necesidades específicas. Los dominios de identidad se crean dentro de un compartimento y el acceso para gestionar dominios está vinculado a los permisos de compartimento. Las políticas de acceso de OCI se pueden escribir para permitir que los usuarios de un compartimento o dominio determinado accedan a los recursos de otros compartimentos.
• Usuario: una entidad que se puede autenticar. Un usuario puede ser una persona o una cuenta de máquina. Cada usuario tiene un nombre único en su cuenta y un identificador único global. Los usuarios pueden recibir contraseñas para acceder a la consola web y claves para acceder a los servicios a través de las API.
• Grupo: un conjunto de usuarios. Los grupos se utilizan para simplificar la gestión de los accesos. Por ejemplo, los desarrolladores de software pueden agruparse como miembros de un grupo de “desarrolladores”, lo que les permite leer o modificar códigos. Un único usuario puede ser miembro de varios grupos.
• Política: documento que especifica quién puede acceder a qué recursos de OCI y qué privilegios tienen. Una política está formada por sentencias de política que aprovechan la sintaxis de lenguaje natural.

Con OCI IAM, puedes aprovechar un único modelo para la autenticación y autorización en todos los servicios de Oracle Cloud y Cloud Application. OCI IAM facilita la gestión de los accesos a organizaciones de todos los tamaños, desde una persona que trabaja en un solo proyecto hasta grandes empresas que tienen muchos grupos que trabajan en diversos proyectos a la vez, todo ello en una misma cuenta. La gestión y autorización de recursos pueden realizarse en el nivel de cuenta o en el nivel de compartimento, al tiempo que se siguen permitiendo la auditoría y facturación centrales. OCI IAM se creó desde el principio para permitirte aplicar el principio de seguridad del privilegio mínimo; por defecto, los nuevos usuarios no pueden realizar ninguna acción en ningún recurso. Los administradores solo pueden otorgar a cada usuario el acceso adecuado para ese usuario específico.

Además de gestionar los recursos de OCI, OCI IAM pone a tu alcance una solución IDaaS de clase empresarial. Con un clic puede desplegar una solución de IAM sólida que se pueda utilizar para abordar muchos requisitos de IAM en casos de uso de empleados/personal, socios o consumidores.

OCI IAM proporciona un amplio soporte para la autenticación multifactor (multi-factor authentication, MFA) que incluye una aplicación MFA móvil que ofrece opciones de push o código de acceso de un solo uso, soporte para autenticadores FIDO2 y soporte para SMS, correo electrónico, llamada telefónica, etc. OCI IAM también incluye seguridad adaptable sensible al contexto que reduce el riesgo sin introducir obstáculos en la experiencia del usuario final. Adaptive Security evalúa el dispositivo, la red, la ubicación y el comportamiento anterior del usuario para crear una puntuación de riesgo para la sesión del usuario. Los administradores pueden configurar políticas de MFA que pueden diferir para aplicaciones específicas o para grupos de usuarios específicos.

Sí. Para cumplir con los requisitos empresariales de auditoría y conformidad, todos los cambios se registran y estos registros pueden ponerse a tu disposición sin costo adicional.

OCI IAM está habilitado de forma predeterminada sin cargo adicional. El primer usuario de tu cuenta es el administrador predeterminado. Todos los usuarios posteriores se crean a través del servicio IAM, donde les otorga explícitamente privilegios para interactuar con determinados recursos en la nube.

Puede acceder a Oracle IAM mediante la Consola, la API de REST o los SDK.

Para restablecer su contraseña de Oracle Cloud Infrastructure, primero debe asegurarse de haber asociado una dirección de correo electrónico a su cuenta. Visite la página de perfil de usuario para su cuenta de Oracle Cloud Infrastructure y añada una dirección de correo electrónico a la que solo usted tenga acceso. Recibirá un correo electrónico para confirmar que realmente quiere registrar esa dirección con su cuenta. Después, puede restablecer la contraseña con su cuenta de correo electrónico a menos que el administrador de su inquilino la haya deshabilitado.

Un compartimento es un contenedor lógico seguro dentro de su cuenta que se utiliza para alojar sus recursos de infraestructura (como computación, almacenamiento y red), junto con un conjunto de políticas de gestión de accesos para estos recursos. Los compartimentos le permiten organizar de forma lógica sus recursos en la nube para admitir una amplia variedad de casos de uso.

A continuación se muestran algunos usos comunes de los compartimentos:

• Separar los entornos de desarrollo de software para simplificar la administración. Por ejemplo, puede tener compartimentos diferentes para desarrollo, pruebas y producción; o bien puede tener compartimentos separados para admitir un despliegue blue/green.
• Simplificar la gestión de permisos. Por ejemplo, puede crear un compartimento separado para sus recursos de red (VCN, subredes, puertas de enlace de Internet, etc.) y permitir que solo los administradores de red accedan a ese compartimento.
• Medir por separado el uso que hacen las distintas unidades de negocio a fin de cobrarles adecuadamente su consumo de recursos en la nube.
• Minimizar el conjunto de recursos visibles para ciertos conjuntos de usuarios. Por ejemplo, quizás desee tener un compartimento separado para su equipo de Finanzas que solo sea visible para ciertos empleados.

Sí. Los compartimentos son agrupaciones lógicas de recursos distintas de las construcciones físicas de los dominios de disponibilidad. Un compartimento individual puede contener recursos en varios dominios de disponibilidad.

Todas las políticas se asocian al compartimento raíz o a un compartimento secundario. Cada política consta de una o más declaraciones de política que siguen esta sintaxis básica:

Permite compartimento de grupo

Las declaraciones de las políticas le permiten usar compartimentos para simplificar la gestión de los permisos; por ejemplo, puede escribir una política que permita al grupo AdministradoresRRHH gestionar todos los recursos del compartimento CompartimentoRRHH.

Sí, puede eliminar compartimentos.

Sí, puede mover árboles de compartimentos enteros y sus recursos incluidos a otros compartimentos principales.

Sí, puede mover recursos de un compartimento a otro.

Sí, puede crear una jerarquía de compartimentos anidándolos. Con los compartimentos jerárquicos o anidados, el administrador del sistema puede organizar los recursos y permitir que los administradores de nivel inferior hagan lo mismo, al tiempo que conserva total visibilidad y control a través de la política.

Un compartimento se puede anidar hasta seis niveles de profundidad como máximo.

Sí, los compartimentos secundarios heredan las políticas de los compartimentos de nivel superior.

Sí, puede rastrear los costos y el uso por compartimentos en My Services.

Para cada cuenta, Oracle Cloud Infrastructure crea automáticamente un compartimento de nivel superior conocido como el compartimento raíz. Al igual que ocurre con la carpeta raíz en un sistema de archivos, el compartimento raíz se comporta exactamente como sus compartimentos secundarios, a excepción de algunas características especiales:

• Como los permisos son jerárquicos, los permisos de grupo en el compartimento raíz se aplicarán a todos los compartimentos secundarios. Por ejemplo, si se ha otorgado al grupo AdminsRed permiso para gestionar redes virtuales en la nube (VCN) en el compartimento raíz, ese grupo podrá gestionar las VCN en todos los compartimentos.
• Actualmente, todos los usuarios y grupos se crean dentro del compartimento raíz. Pueden utilizarse políticas para otorgarles acceso solo a determinados compartimentos secundarios.

Nota: Actualmente, solo puedes crear compartimentos adicionales dentro del compartimento raíz, no dentro de otros compartimentos.

En general, los recursos deben crearse en un compartimento que no sea el compartimento raíz. Es mejor que diseñe su jerarquía de compartimentos antes de comenzar a crear compartimentos y recursos.

Un usuario es alguien que puede autenticarse con éxito en OCI IAM y que tiene privilegios suficientes para consumir o gestionar recursos en la nube dentro de tu cuenta. Los administradores pueden crear uno o más usuarios dentro de su cuenta y asignarlos a grupos para otorgarles permisos para recursos de compartimentos específicos.

Tu cuenta está provista de un solo usuario, el administrador predeterminado, y un solo grupo, los administradores, del cual es miembro el usuario administrador predeterminado. Este grupo (Administradores) tiene acceso total en su cuenta. Este usuario especial (administrador predeterminado) debe crear todos los usuarios adicionales u otorgar permiso a otros usuarios para que puedan crear nuevos usuarios.

De manera predeterminada, un usuario nuevo no tiene permiso para usar ningún recurso o servicio dentro de su cuenta; todos los permisos se deben otorgar explícitamente. Este enfoque le permite adherirse al principio de seguridad del privilegio mínimo por el cual solo se otorga a cada usuario el acceso necesario para ese usuario específico. Debe añadir explícitamente a los usuarios a un grupo existente o crear un grupo nuevo para ellos, y después asignar los permisos adecuados a ese grupo a través de una política.

Los administradores pueden desactivar o bloquear un usuario para desactivar su acceso temporalmente. También pueden restablecer contraseñas de usuario o eliminar claves.

Sí, las políticas de contraseñas te permiten definir un tiempo de caducidad para las contraseñas. También puedes automatizar restablecimientos de contraseña, cambios de clave o ediciones de usuarios y miembros de grupos mediante API de REST y SDK.

Una política es un documento que consta de declaraciones descriptivas que otorgan permisos específicos a grupos de usuarios. Están escritas con una sintaxis tipo SQL fácil de entender. Ejemplos de lo que podrían aplicar las políticas:

• Los administradores del sistema pueden "finalizar" o "reiniciar" sus instancias de computación Bare Metal.
• Los administradores de red pueden administrar completamente todos los recursos de infraestructura relacionados con la red.
• Los administradores de TI pueden crear usuarios y editar pertenencias a grupos.

Una política permite que un grupo trabaje de ciertas maneras con determinados tipos de recursos en un compartimento concreto. Opcionalmente, las políticas pueden contener una cláusula condicional ("where ...") que restringe aún más la declaración de política. Las políticas se adhieren a la siguiente sintaxis:

Permite compartimento de grupo [dónde]

Por ejemplo, esta es una declaración de política que otorga permisos para utilizar instancias de computación:

Permite a los desarrolladores de grupos utilizar instancias en el compartimento ProjectA

• "group_name" es el nombre del grupo al que se le otorgan permisos.
• “verbs” hace referencia a las acciones que puedes realizar en los recursos; por ejemplo: inspeccionar, leer, utilizar o gestionar.
• "resource-type" es el recurso en la nube para el que se otorgan permisos. Los tipos de recursos de ejemplo son: instancias, volúmenes y tablas de rutas.
• "compartment_name" es el nombre del compartimento en el que se organizan los recursos.
• "conditions" son especificaciones adicionales que reducen el ámbito de la declaración de política. Por ejemplo: “where request.user.id=target.user.id” o “where target.group_name != Administrators”.

Para obtener más detalles, consulta la sección de OCI IAM de la documentación de Oracle Cloud Infrastructure.

Sí. Una política que otorga permisos en el compartimento raíz otorga automáticamente los mismos permisos a todos los compartimentos secundarios. Por ejemplo, la siguiente política otorga permiso a todos los usuarios del grupo "InstanceAdmins" para gestionar instancias en el compartimento raíz, así como en todos los compartimentos secundarios:

Permite al grupo InstanceAdmins gestionar instancias en el arrendamiento

Sí. Cada política está "asociada" a un compartimento. El lugar al que la asocie controla quién puede modificarla o eliminarla. Si asocia una política al compartimento raíz, cualquier persona que tenga acceso para gestionar políticas en el compartimento raíz puede modificarla o eliminarla. Sin embargo, si asocia la política a un compartimento determinado, cualquier persona que tenga acceso para gestionar políticas en ese compartimento puede modificarla o eliminarla. En la práctica, esto significa que es fácil otorgar a los administradores de compartimento (es decir, un grupo con acceso para "gestionar todos los recursos" en el compartimento) acceso para gestionar las políticas de su propio compartimento, sin darles un acceso más amplio para gestionar políticas que residen en la cuenta.

Para obtener más información sobre las políticas y las declaraciones de políticas, consulte "Introducción a las políticas" y "Políticas comunes" en la documentación de Oracle Cloud Infrastructure.

Un grupo es una colección de usuarios que necesitan privilegios de acceso similares para poder usar o gestionar un recurso específico dentro de su cuenta. Los usuarios pueden formar parte de varios grupos. Los permisos son aditivos. Por ejemplo, si la pertenencia a un grupo permite a un usuario utilizar instancias de computación, y la pertenencia a un segundo grupo permite a ese usuario gestionar volúmenes de bloque, el usuario puede gestionar tanto instancias como volúmenes de bloque.

Los administradores escriben políticas que especifican el acceso que los grupos (no usuarios individuales) necesitan, ya sea para un compartimento específico o para la cuenta. Después, los administradores añaden usuarios a los grupos correspondientes.

Sí. Su cuenta está aprovisionada con un único administrador predeterminado que pertenece a un grupo Administradores dentro de su compartimento raíz. Este grupo tiene todos los privilegios para crear y gestionar todos los recursos de Oracle Cloud Infrastructure en su cuenta, incluidos usuarios, grupos, políticas y compartimentos, así como todos los demás recursos de infraestructura en la nube dentro de cualquier compartimento. Puede añadir usuarios adicionales a este grupo Administradores.

La federación de identidades es un mecanismo para delegar la gestión de usuarios de su inquilino de Oracle Cloud Infrastructure a otra entidad denominada proveedor de identidades o IdP. Resulta muy útil para las empresas que ya tienen un sistema de identidad y que les gustaría usarlo, en lugar de crear y mantener un nuevo conjunto de usuarios. La federación requiere una configuración que se realiza una sola vez entre Oracle Cloud Infrastructure y el IdP conocida como confianza de federación.

Los usuarios federados (identidades externas) son usuarios que gestionas fuera de Oracle Cloud Infrastructure (por ejemplo, en tu directorio corporativo), pero a quienes otorgas acceso a tu cuenta de Oracle Cloud Infrastructure. Son distintos de los usuarios de Oracle Cloud Infrastructure, que se crean y mantienen en su cuenta de Oracle Cloud Infrastructure.

Sí. Los usuarios federados pueden acceder a la consola de Oracle Cloud Infrastructure.

Sí. Los usuarios federados pueden acceder al SDK y la CLI de Oracle Cloud Infrastructure.

Los usuarios federados no pueden cambiar ni restablecer sus contraseñas en la consola de Oracle Cloud Infrastructure.

Utilice las mismas políticas de Oracle Cloud Infrastructure para gestionar usuarios federados que las que usa para gestionar usuarios nativos. Puede asignar roles y grupos en su proveedor de identidades a grupos en Oracle Cloud Infrastructure. Cuando un usuario federado inicia sesión, la consola de Oracle Cloud Infrastructure aplica políticas en función de su pertenencia a grupos de Oracle Cloud Infrastructure, igual que ocurre con los usuarios nativos. Consulte la documentación para ver ejemplos.

Solo se puede asignar un rol o grupo en su proveedor de identidades a varios grupos de Oracle Cloud Infrastructure. Además, se pueden asignar varios roles o grupos en su proveedor de identidades a un solo grupo de Oracle Cloud Infrastructure.

No hay ningún límite en cuanto al número de usuarios federados a los que se les puede otorgar acceso a la consola.

OCI IAM soporta cualquier proveedor de identidad compatible con SAML 2.0, Open ID Connect o OAuth, incluidas soluciones populares como Oracle Access Manager, Microsoft Active Directory Federation Services (AD FS) y Okta.