Introducción
Obtenga información sobre el dominio de identidad por defecto, cómo utilizar varios dominios, recuperación ante desastres y dominios, entre otros.
La introducción contiene los siguientes temas:
Dominio de identidad por defecto
Cada arrendamiento incluye un dominio de identidad por defecto en el compartimento raíz.
Un dominio de identidad por defecto:
- No se puede desactivar ni suprimir. (Vive con el ciclo de vida del arrendamiento).
- No se puede ocultar en la página de conexión.
El dominio de identidad por defecto contiene el usuario administrador de inquilino inicial y el grupo Administradores, así como una política por defecto que permite a los administradores gestionar cualquier recurso del arrendamiento. La política Administradores y el grupo Administradores no se pueden suprimir y debe haber al menos un usuario en el grupo Administradores. También puede asignar cuentas de usuario a roles de administrador predefinidos para delegar responsabilidades administrativas en el dominio por defecto.
Al otorgar a usuarios o grupos el rol de administrador del dominio de identidad para dominios que no sean el dominio por defecto, se les otorgan permisos de administrador completos solo para ese dominio (no para el arrendamiento). Se debe otorgar al menos a un administrador del dominio de identidad el rol de administrador de dominio de identidad directamente. Este se añade a los roles de administrador de dominio de identidad otorgados por la pertenencia a grupo. Para obtener más información, consulte Understanding Administrator Roles.
Puede cambiar la versión de un dominio. Cada tipo de dominio de identidad está asociado a un juego diferente de funciones y límites de objetos. Para obtener información que le ayude a decidir qué tipo de dominio es adecuado para lo que desea hacer, consulte Tipos de dominio de identidad de IAM.
Uso de varios dominios de identidad
Cree y gestione varios dominios de identidad (por ejemplo, un dominio para desarrollo y otro para producción), cada uno con diferentes requisitos de identidad y seguridad para proteger sus aplicaciones y servicios de Oracle Cloud.
El uso de varios dominios de identidad puede ayudarle a mantener el aislamiento del control administrativo en cada dominio de identidad. Esto es necesario, por ejemplo, si los estándares de seguridad evitan que existan identificadores de usuario de desarrollo en el entorno de producción o requieren que los distintos administradores controlen los distintos entornos.
Cada arrendamiento contiene un dominio de identidad por defecto, el dominio de identidad que se incluye con su arrendamiento. Los administradores pueden crear tantos dominios de identidad adicionales como les permitan sus licencias. Los administradores pueden:
- Crear dominios de identidad adicionales y ser su administrador de dominio de identidad o asignar otro usuario para que sea el administrador.
- Crear dominios de identidad adicionales y, como parte del proceso de creación del dominio de identidad, asignar usuarios para que sean administradores de dominio de identidad de los dominios de identidad.
- Delegar la creación de dominios de identidad adicionales a otros administradores.
Durante la creación del dominio de identidad se asigna un administrador de dominio de identidad a un dominio de identidad. Aunque la identidad del administrador de dominio de identidad puede tener el mismo nombre de usuario que un usuario del dominio de identidad por defecto, son usuarios diferentes que pueden tener privilegios diferentes en cada dominio de identidad y tendrán contraseñas independientes.
El administrador de dominio de identidad puede utilizar el juego de funciones completo del dominio de identidad. En un dominio de identidad, el administrador de dominio de identidad puede:
- Gestionar usuarios, grupos, aplicaciones, la configuración del sistema y la configuración de seguridad.
- Realizar la administración delegada asignando usuarios a diferentes roles administrativos.
- Activar y desactivar la autenticación multifactor (MFA), configurar los valores de MFA y configurar los factores de autenticación.
- Crear perfiles de autorregistro para gestionar diferentes juegos de usuarios, políticas de aprobación y aplicaciones.
Límites de los dominios de identidad
Cada tipo de dominio de identidad está asociado a un juego diferente de funciones y límites de objetos.
Consulte Tipos de dominio de identidad de IAM para conocer los límites de objetos, los límites de frecuencia y los medidores de cada tipo de dominio de identidad.
Para obtener una lista de límites aplicables e instrucciones para solicitar un aumento del límite, consulte la sección sobre límites de servicio. Para definir límites específicos de compartimentos en un recurso o familia de recursos, los administradores pueden utilizar cuotas de compartimento.
Recuperación de dominios
Los administradores no pueden recuperar un dominio de identidad suprimido. Consulte Obtención de ayuda y contacto con los Servicios de Soporte para ponerse en contacto con los Servicios de Soporte Oracle para recuperar un dominio de identidad suprimido.
Dominios de identidad y recuperación ante desastres
Un desastre puede ser cualquier evento que ponga en riesgo las aplicaciones, por ejemplo, los fallos causados por desastres naturales. En las regiones con la recuperación ante desastres (DR) entre regiones activada, los dominios de identidad tienen una DR entre regiones integrada para minimizar la pérdida de datos. Los datos de una región se replican en una región cercana en caso de desastre. Si toda una región de OCI no está disponible, el tráfico se enruta a la región de recuperación de fallos para acelerar la recuperación del servicio y retener la mayor cantidad de datos posible. Oracle se encarga de emparejar las regiones con regiones de recuperación ante desastres (DR) en su lugar.
Consulte Más información sobre la protección de la topología de la nube frente a desastres para obtener más información sobre la DR en Oracle Cloud Infrastructure.
Si se produce una interrupción en la región, el dominio de identidad experimentará una breve interrupción y, a continuación, se recuperará. Después de recuperarse en la región de DR:
- Los usuarios del dominio de identidad se podrán autenticar y autorizar de la forma habitual.
- Las URL del dominio de identidad no cambian. No se necesita realizar ningún cambio para ninguna aplicación.
- Los dominios de identidad con failover no se replican en regiones replicadas.
- Es posible que los dominios de identidad replicados en otras regiones no estén sincronizados con la región de DR. Por ejemplo, cualquier cambio en la configuración de usuarios, grupos y dominios podría no reflejarse en la región de DR. Las incoherencias se resuelven cuando se produce un failback en el dominio de identidad.
Uso de la consola durante el failover
Es posible que no tenga acceso a la consola durante el failover. Durante este tiempo, puede utilizar la CLI y el SDK tanto de IAM como de los dominios de identidad para gestionar las configuraciones de identidad.
La consola está disponible si la región principal del dominio de identidad está disponible o si la región no disponible no es la región principal del arrendamiento.
La consola no está disponible si la región principal del dominio de identidad o si la región principal del arrendamiento no está disponible.
Acceso a la región de DR
Siga estos pasos para confirmar que la red puede acceder a la región de DR.
- Busque el identificador de región de DR en la tabla Conjuntos de regiones de DR. Consulte Conjuntos de regiones de recuperación ante desastres.
- Utilice el identificador de la región de DR para buscar las direcciones IP públicas asignadas a la región. Consulte Direcciones IP públicas para las VCN y Oracle Services Network.
- Agregue esas direcciones IP públicas a los firewalls para permitir el tráfico desde esa región de DR.
Failover y dominios de identidad de solo lectura
Si se produce una interrupción de la región, OCI puede iniciar un failover de los dominios de identidad de esa región (y segmentos de IDCS) en una región de failover que restaura el acceso a esos dominios de identidad (y segmentos de IDCS) en un modo de acceso de solo lectura. Compruebe si la información de interrupción está activada o desactivada.
Si una región principal no está disponible, los usuarios no podrán acceder a la consola de OCI en ninguna región, incluso si los dominios de identidad han fallado. El acceso de CLI y SDK a regiones distintas de la región principal está disponible.
En el modo de acceso de solo lectura:
- No se pueden actualizar los recursos. No se permiten actualizaciones de ningún recurso de dominio de identidad (o segmento de IDCS). Por ejemplo, los usuarios no pueden actualizar ni suprimir la configuración de usuarios, aplicaciones, grupos o dominios. Los usuarios tienen permisos de lectura para todos los recursos.
- Los usuarios no pueden cambiar sus contraseñas. Si un usuario tiene el estado Forzar restablecimiento de contraseña, no podrá restablecer su contraseña y no tendrá acceso hasta que se mitigue la interrupción de la región.
- Los usuarios con autenticación multifactor pueden conectarse mientras el dominio de identidad está en modo de solo lectura.
- Las aplicaciones que utilizan el dominio de identidad podrán autenticarse y autorizarse. Por ejemplo, una aplicación personalizada podrá autenticar y autorizar llamadas mediante el dominio de identidad mientras esté en modo de solo lectura.
Emparejamiento de regiones de recuperación ante desastres
Utilice la siguiente tabla para buscar los emparejamientos de regiones de DR en el dominio comercial de Oracle Cloud Infrastructure:
Consulte la sección sobre regiones de Oracle Cloud: centros de datos para obtener información sobre las regiones disponibles.
| Nombre de la región | Identificador de región | Ubicación de la región | Nombre de región de recuperación ante desastres | Identificador de región de recuperación ante desastres |
|---|---|---|---|---|
| Este de Australia (Sídney) | ap-sydney-1 | Sydney, Australia | Sudeste de Australia (Melbourne) | ap-melbourne-1 |
| Sudeste de Australia (Melbourne) | ap-melbourne-1 | Melbourne, Australia | Este de Australia (Sídney) | ap-sydney-1 |
| Este de Brasil (São Paulo) | sa-saopaulo-1 | - Paulo, Brasil | Sureste de Brasil (Vinhedo) | sa-vinhedo-1 |
| Sureste de Brasil (Vinhedo) | sa-vinhedo-1 | Vinhedo, Brasil | Este de Brasil (São Paulo) | sa-saopaulo-1 |
| Sureste de Canadá (Montreal) | ca-montreal-1 | Montreal, Canadá | Sureste de Canadá (Toronto) | ca-toronto-1 |
| Sureste de Canadá (Toronto) | ca-toronto-1 | Toronto, Canadá | Sureste de Canadá (Montreal) | ca-montreal-1 |
| Alemania central (Frankfurt) | eu-frankfurt-1 | Frankfurt, Alemania | Noroeste de Países Bajos (Amsterdam) | eu-amsterdam-1 |
| Noroeste de Países Bajos (Amsterdam) | eu-amsterdam-1 | Ámsterdam, Países Bajos | Alemania central (Frankfurt) | eu-frankfurt-1 |
| Sur de India (Hyderabad) | ap-hyderabad-1 | Hyderabad, India | Oeste de India (Bumbai) | ap-mumbai-1 |
| Oeste de India (Bumbai) | ap-mumbai-1 | Mumbai, India | Sur de India (Hyderabad) | ap-hyderabad-1 |
| Italia noroccidental (Milán) | eu-milan-1 | Milán, Italia | Sur de Francia (Marsella) | eu-marseille-1 |
| Centro de Japón (Osaka) | ap-osaka-1 | Osaka, Japón | Este de Japón (Tokio) | ap-tokyo-1 |
| Este de Japón (Tokio) | ap-tokyo-1 | Tokio | Centro de Japón (Osaka) | ap-osaka-1 |
| Centro de Corea del Sur (Seúl) | ap-seoul-1 | Seúl, Corea del Sur | Norte de Corea del Sur (Chuncheon) | ap-chuncheon-1 |
| Norte de Corea del Sur (Chuncheon) | ap-chuncheon-1 | Chuncheon, Corea del Sur | Centro de Corea del Sur (Seúl) | ap-seoul-1 |
| Norte de Suiza (Zúrich) | eu-zurich-1 | Zurich, Suiza | Alemania central (Frankfurt) | eu-frankfurt-1 |
| Emiratos Árabes Unidos central (Abu Dabi) | yo-abudhabi-1 | Abu Dabi, Estados Unidos | Emiratos Árabes Unidos oriental (Dubái) | yo-dubai-1 |
| Emiratos Árabes Unidos oriental (Dubái) | yo-dubai-1 | Dubai, EE. UU. | Emiratos Árabes Unidos central (Abu Dabi) | yo-abudhabi-1 |
| Sur de Reino Unido (Londres) | uk-london-1 | Londres, Reino Unido | Oeste de Reino Unido (Newport) | uk-cardiff-1 |
| Oeste de Reino Unido (Newport) | uk-cardiff-1 | Newport, Reino Unido | Sur de Reino Unido (Londres) | uk-london-1 |
| Este de EE. UU. (Ashburn) | us-ashburn-1 | Ashburn, VA | Oeste de EE. UU. (Phoenix) | us-phoenix-1 |
| Oeste de EE. UU. (Phoenix) | us-phoenix-1 | Phoenix, AZ | Este de EE. UU. (Ashburn) | us-ashburn-1 |
| Oeste de EE. UU. (San José) | us: sanjose-1 | San José, CA | Oeste de EE. UU. (Phoenix) | us-phoenix-1 |