OCI IAM 是 OCI 的原生服務,提供企業級的身分識別和存取管理功能,例如對企業應用程式提供強式調適型認證、使用者生命週期管理 (LCM) 和單一登入 (SSO)。OCI IAM 在 OCI 中部署為識別網域。內含的網域可讓組織管理對 Oracle Cloud 服務 (網路、運算、儲存等) 和 Oracle SaaS 應用系統的存取。客戶可以選擇升級或建立其他識別網域以配合其他使用案例,例如管理非 Oracle 應用程式的人力存取、讓消費者存取面對客戶的應用程式,或將 IAM 內嵌至自訂開發的應用程式。
每個 OCI IAM 識別網域都是獨立的身分識別與存取管理解決方案,可用來處理各種 IAM 使用案例。例如,您可以使用 OCI IAM 識別網域管理橫跨多個雲端和內部部署應用程式的員工存取權,從而實現安全驗證、輕鬆管理權益,並為一般使用者提供無縫接軌的 SSO。您可能也想要建立識別網域,讓業務夥伴能夠存取供應鏈或訂購系統。您也可以使用識別網域為面向消費者的應用程式啟用 IAM,並允許消費者使用者執行自行註冊、社群登入和 (或) 使用條款許可。識別網域代表一個完整的識別即服務 (IDaaS) 解決方案,可容納許多 IAM 使用案例和案例。
編號 OCI IAM 將這些項目視為個別的使用者群體,供授權之用。不過,您可以使用相同的 OCI IAM 服務來管理兩個或更多可容納員工和非員工的網域 (合作夥伴、關係企業、消費者等)。多個網域可以用來存取相同的應用程式,但非員工的規則與安全性政策通常與套用至員工的規則及安全性政策不同。每個網域都有自己的一組設定值、組態和安全原則,這對使用者群體而言是唯一的。這是為了因應各種不同使用者群體一般需求而設計。
每個 OCI 租用戶都包含一個管理員群組,可提供所有 OCI 資源的完整存取權。請務必瞭解 OCI 管理員群組的所有成員都具備管理 OCI IAM 識別網域的完整存取權。Oracle 建議謹慎使用此群組。管理權限可以透過管理員角色在每個網域內授予,以分隔人員群組之間的職責。請參閱瞭解管理員角色瞭解詳細資訊。
每個 OCI 區域內都有多個可用性網域 (AD) 或容錯域 (FD),這些網域位於單一 AD 區域中。AD 和 FD 提供類似的功能,但 FD 實際上比 AD 更接近。識別網域會在提供高可用性的每個區域 (兩個跨 AD/FD) 中部署備援安裝。OCI IAM 識別網域也運用高效能資料複寫,透過主動 - 被動方法提供跨區域災害復原 (DR)。這會在整個 OCI 區域無法使用時,為識別網域提供可靠的資料復原。此災害復原是透過單一 URL 提供,讓應用程式通透。
IAM 的主要概念是:
透過 OCI IAM,您可以在所有 Oracle Cloud 和雲端應用程式服務中運用單一模型進行認證和授權。OCI IAM 可讓各種規模的組織輕鬆管理存取,從使用單一專案的個人,到擁有許多群組同時處理許多專案的大型公司,全部都在一個帳戶中。資源管理與授權可以按帳戶等級或區間等級進行,同時允許集中稽核與計費。OCI IAM 是從頭建置的,可讓您強制執行最低權限的安全原則;在預設情況下,新使用者無法對任何資源執行任何動作。管理員可為每一名使用者授予適當的存取權限。
除了管理 OCI 資源之外,OCI IAM 還讓企業級的 IDaaS 解決方案觸手可及。只要按一下按鈕,即可部署強大的 IAM 解決方案,用於解決員工 / 人力、合作夥伴或消費者使用案例的許多 IAM 需求。
OCI IAM 提供對多重因素認證 (MFA) 的廣泛支援,其中包括提供推送或一次性密碼選項的行動 MFA 應用程式、支援 FIDO2 認證者,以及支援簡訊、電子郵件、電話等。OCI IAM 也包含內容感知調適型安全性,可降低風險,而不會對一般使用者體驗造成障礙。「調適型安全性」會評估使用者的裝置、網路、位置和過去行為,以建立使用者階段作業的風險分數。管理員可以設定特定應用程式或特定使用者群組可能不同的 MFA 原則。
有。為滿足稽核與法規遵循的企業需求,我們會記錄所有變更與這些記錄供您使用,無須額外費用。
OCI IAM 是預設啟用的服務且無須額外付費。您帳戶的預設管理員。所有後續使用者均透過 IAM 服務建立,您可以在這項服務中明確授予使用者與指定雲端資源互動的權限。
您可以使用 Console、Rest API 或 SDK,存取 Oracle IAM。
如要重設 Oracle Cloud Infrastructure 密碼,您必須先確認您的帳戶已經設妥關聯的電子郵件地址。請造訪 Oracle Cloud Infrastructure 帳戶的使用者個人資料頁面,並新增只有您才可存取的電子郵件地址。您將會收到一封電子郵件,要求確認要以該電子郵件地址註冊您的帳號。如果您的租戶管理員未停用該電子郵件地址,那您就可以使用該電子郵件地址重設密碼。
區間是帳戶內的一個安全邏輯容器,用於託管基礎架構資源 (如:運算、儲存和網路),此外還有一組適用於這些資源的存取管理原則。區間讓您能夠有條不紊地整理雲端資源,以便支援各種使用案例。
以下列出區間常見的幾種用法:
有。區間是資源的邏輯分組,與可用性網域的實體建構完全不同。每一個區間可包含整個可用性網域的資源。
所有原則均會附加至根區間或子區間。每個原則均包含一個或多個遵循此基本語法的原則聲明:
允許群組在區間中
原則聲明可讓您透過區間簡化權限管理;例如:您可以寫入允許 HRAdministrators 群組管理 HRCompartment 區間內所有資源的原則。
是的,您可以刪除區間。
是的,您可以將整個區間樹狀圖及其所含的資源,移至其他主區間。
是的,您可以將資源從一個區間移到另一個區間。
是的,您可以通過進行巢狀來建立區間的階層。在階層式或巢狀區間情況下,系統管理員可以整理資源,並允許較低層級的管理員執行相同的操作,同時透過原則保持完整的可見度與控制。
巢狀區間的分層上限為六層。
是的,更高級別區間的原則會往下傳至子區間。
是的,您可以在「我的服務」追蹤區間的費用和使用量。
Oracle Cloud Infrastructure 會針對每一個帳戶自動建立一個名為根區間的最上層區間。根區間的概念類似於檔案系統的根資料夾,而且除了以下幾個特殊的特性之外,根區間的行為模式和子區間完全一樣:
注意:您目前只能在根區間中建立額外的區間,無法在其他區間中這麼做。
一般而言,您應在不是根區間的區間中建立資源。最好能在開始建立區間與資源之前,設計好區間的階層。
使用者是指可成功通過 OCI IAM 驗證的人,並且有權使用或管理您帳戶中的雲端資源。管理員可以在自己帳戶中建立一個或多個使用者,並為其指派群組,以便授予特定區間的資源權限。
您的帳戶佈建完成後,當中會有一個使用者 (預設管理員) 和一個群組 (管理員群組);預設管理員就是這個群組的成員。此群組 (管理員) 具備您帳戶的完整存取權限。此特殊使用者 (預設管理員) 必須建立其他任一使用者或授予其他使用者權限,以便其建立新的使用者。
依預設,新的使用者不具備使用您帳戶中任何資源或服務的權限 - 所有權限均必須明示授予。此做法可讓您遵守最低權限的安全性原則,以便針對每一位使用者授予必要的存取權限。您必須明示新增使用者至現有群組或為其建立新的群組,然後透過原則,為該群組指派適當的權限。
管理員可以停用或鎖定使用者,以暫時停用其存取權。他們也可以重設使用者密碼或移除金鑰。
是,密碼制定原則可讓您設定密碼的到期時間。您也可以透過 REST API 和 SDK 將密碼重設、金鑰變更或編輯自動化至使用者和群組成員。
原則是一份說明文件,其中包含了授予使用者群組特定權限之描述性原則聲明。原則是以類似於 SQL 的語法編寫,淺顯易懂。原則可強制執行的操作範例如下:
原則允許群組在特定區間中,使用指定類型資源進行某些操作。原則可包含一個對該原則聲明提出更詳盡限制說明的條件式子句 (「where...」)。原則遵循以下語法:
允許群組在區間 [where]
例如:授予使用運算實例權限的原則聲明如下:
允許開發人員群組在 ProjectA 區間中使用實例
如需更多詳細資訊,請參閱 Oracle Cloud Infrastructure 說明文件的「OCI IAM」小節。
有。在根區間中的原則授予權限會自動為所有子區間授予相同權限。例如:以下原則會為「InstanceAdmins」群組的所有使用者授予權限,以便管理根區間和所有子區間中的實例:
允許 InstanceAdmins 群組管理租戶中的實例
有。每一個原則均會「附加」至區間。您所選擇的附加位置,決定了可對該原則進行修改或刪除操作的人員。若將原則附加至根區間,則任何具備根區間原則管理權限的人員,均可對該原則進行變更或刪除。若將原則附加至某一區間,則任何具備該區間原則管理權限者,均可變更或刪除該原則。實際上,這便於區間管理員 (即具備區間「管理所有資源」權限的群組) 進行存取,以管理其負責區間的原則,不需再授予管理員用於管理帳戶內原則的邊界存取權限。
如需更多關於原則與原則聲明的資訊,請參閱 Oracle Cloud Infrastructure 說明文件中的《原則快速入門指南》和《常見原則》。
群組是一組使用者,並且需要相似的存取權限才能使用或管理您帳戶中的特定資源。使用者可加入多個群組。權限採累計制。例如:如果有一個群組中的成員資格允許某名使用者使用計算實例,而第二個群組中的成員資格允許該使用者管理區塊磁碟區,則該名使用者便可管理實例和區塊磁碟區。
原則由管理員負責編寫,為群組 (而非個人使用者) 指定存取特定區間或帳戶所需的必要權限。之後再將使用者新增至適當的群組。
有。您的帳戶附設一名隸屬於根區間「管理員」群組的預設管理員。此群組具備建立及管理您帳戶內所有 Oracle Cloud Infrastructure 資源的完整權限,其中包括使用者、群組、原則與區間,以及任一區間中的所有其他雲端基礎架構資源。您可以新增其他使用者至此管理員群組。
密碼制定原則可讓您設定密碼的到期時間。預設的密碼制定原則會將密碼設為 120 天後到期。這是可設定的,且不同的原則可套用至使用者的子集。
使用動態資源群組將一組運算資源指定給群組。然後,您可以透過原則來指派該群組權限。這可讓運算執行處理安全地存取其他 OCI 資源,而不需要將證明資料內嵌到命令檔中。
身分聯合識別是一種機制,用於將 Oracle Cloud Infrastructure 租戶的使用者管理,委派給其他稱為身分識別提供者 (或簡稱 IdP) 的實體。此做法不需要再建立和維護新的一組使用者,對於已有既定慣用身分識別系統的公司而言十分實用。聯合識別需要在 Oracle Cloud Infrastructure 和 IdP 之間進行一次性的設定;這樣的操作又稱聯合信任 (Federation Trust)。
身分聯合識別使用者 (外部身分) 是指您在 Oracle Cloud Infrastructure 以外所管理的使用者 (如:企業目錄),並且您會對這些使用者授予 Oracle Cloud Infrastructure 帳戶的存取權限。這些使用者有別於您在 Oracle Cloud Infrastructure 帳戶中所建立和維護的 Oracle Cloud Infrastructure 使用者。
有。身分聯合識別的使用者可以存取 Oracle Cloud Infrastructure Console。
有。身分聯合識別使用者可以存取 Oracle Cloud Infrastructure SDK 和 CLI。
身分聯合識別使用者無法在 Oracle Cloud Infrastructure Console 中變更或重設密碼。
您可以沿用管理原有使用者的 Oracle Cloud Infrastructure 原則來管理身分聯合識別使用者。請將身分識別提供者的角色與群組對應至 Oracle Cloud Infrastructure 中的群組。當身分聯合識別使用者登入時,Oracle Cloud Infrastructure Console 便會根據其 Oracle Cloud Infrastructure 的群組成員資格套用原則,就和對原有使用者採取的做法一樣。如需範例,請參閱說明文件。
身分識別提供者中的單一角色或群組可對應至多個 Oracle Cloud Infrastructure 群組。此外,身分識別提供者中的多個角色或群組也可對應至單一的 Oracle Cloud Infrastructure 群組。
關於可授權存取該主控台的身分聯合識別使用者,並無人數限制。
OCI IAM 支援任何符合 SAML 2.0、Open ID Connect 或 OAuth 規範的身分識別提供者,包括熱門解決方案,例如 Oracle Access Manager、Microsoft Active Directory Federation Services (AD FS) 和 Okta。
過去,帳號都使用簡單的使用者名稱與密碼來保護。但是,使用常見的網路攻擊技術 (例如網路竊聽、釣魚及暴力攻擊) 時,密碼可能會難以記住,並相對易於擷取。如果有人竊取您的認證,他們就可以偽裝您並存取您所有的帳號與資源。
多重因素認證 (MFA) 是熱門的安全功能,可加強應用程式使用者所宣稱的身分,以協助降低帳戶接管風險。MFA 要求使用者提供多個認證因子。認證因子有三種類別:您知道的項目 (例如密碼或 PIN)、您擁有的項目 (例如安全記號或行動電話),以及您的項目 (例如生物識別資料 (例如指紋或臉部掃描)。啟用 MFA 後,即使攻擊者管理取得您的密碼,他們也將無法像您一樣進行認證,同時提供 MFA 所需的其他證據。這有助於防止未經授權的存取,並防止機密資訊被入侵或採取不當的動作。啟用 MFA 也有助於解決法規遵循需求,並遵守產業標準,例如 National Institute of Standards and Technology (NIST) 提供的標準。
Oracle 建議為所有使用者啟用 MFA。您至少應為具有管理權限的使用者 (例如能夠建立及管理 OCI 資源) 啟用 MFA。您也應該要求 MFA 存取代管機密資訊或允許進行高風險動作的任何應用程式。
管理員第一次啟用 MFA 時,系統會在使用者下次登入時提示使用者註冊 MFA。初次註冊之後,使用者將在每次後續造訪的登入過程中對 MFA 進行挑戰。如果管理員啟用信任裝置,使用者將可選擇選取「信任此裝置」,這樣會移除使用者在相同裝置上傳回的 MFA 需求。
如需詳細資訊,使用者可參考下列指南:
編號在任何情況下,MFA 並非嚴格規定。例如,如果您授予公用網站的存取權,通常不需要任何認證。如果您希望使用者在進行採購時登入,以便瞭解要收取的帳戶以及產品交付位置 (或許使用者名稱和密碼足夠)。但是,如果相同使用者想要變更付款方式或遞送地址,或應用程式允許可能影響您組織的動作,則建議使用 MFA。
Oracle 強烈建議您為所有雲端和應用程式管理員啟用 MFA。最後,您應該根據組織的內部安全原則和風險評估,評估是否強制執行 MFA。但是,從原則開始,MFA 一律是必要的,並且需要任何想要讓 MFA 成為選擇性的應用程式執行核准。
若要完全瞭解可用的因素和成本,請務必先瞭解您擁有的 OCI 租用戶類型。若要判斷您的租用戶是否具有識別網域的 OCI 身分識別與存取管理 (IAM),或是否具有不含識別網域的 OCI IAM,請檢閱此文件。
導入 MFA 的特定指示會根據您擁有的 OCI 租用戶類型而有所不同。若要判斷您的租用戶是否有具備識別網域的 OCI IAM,或是否有不含識別網域的 OCI IAM,請檢閱此文件。
如果您不實作 MFA,目標帳戶接管攻擊可能會成功增加風險。但使用 MFA 時,您的租用戶和 (或) 其他認證處理作業將繼續正常運作。