Gestion des utilisateurs
Cette rubrique décrit les notions de base de l'emploi des utilisateurs.
Si votre location est fédérée avec Oracle Identity Cloud Service, reportez-vous à Gestion des utilisateurs et des groupes Oracle Identity Cloud Service dans la console Oracle Cloud Infrastructure pour gérer des utilisateurs.
Stratégie IAM requise
Si vous appartenez au groupe d'administrateurs, vous disposez de l'accès requis pour gérer les utilisateurs.
- Vous pouvez créer une stratégie qui permet de créer des utilisateurs et des informations d'identification mais pas de contrôler les groupes dans lesquels se trouvent ces utilisateurs. Reportez-vous à Autoriser le support technique à gérer des utilisateurs.
Si vous ne connaissez pas les stratégies, reportez-vous à Introduction aux stratégies et à Stratégies courantes. Si vous souhaitez en savoir plus sur l'écriture de stratégies pour les utilisateurs ou d'autres composants IAM, reportez-vous à Détails relatifs à IAM sans domaine d'identité.
Balisage des ressources
Appliquez des balises à vos ressources afin de les organiser selon les besoins de votre entreprise. Appliquer des balises lors de la création d'une ressource ou mettre à jour la ressource ultérieurement avec les balises souhaitées. Pour obtenir des informations générales sur l'application de balises, reportez-vous à Balises de ressource.
Emploi des utilisateurs
Lorsque vous créez un utilisateur, vous devez lui donner un nom unique, qui ne peut pas être modifié. Le nom doit être unique parmi tous les utilisateurs de votre location. Nom de connexion de l'utilisateur à la console. Vous pouvez utiliser un nom déjà employé par le système d'identité de votre société (par exemple, Active Directory, LDAP, etc.). Vous devez également fournir à l'utilisateur une description (bien qu'il puisse s'agir d'une chaîne vide). Cette description n'est pas nécessairement unique et peut être modifiée. Il peut s'agir du nom complet de l'utilisateur, d'un pseudonyme ou d'autres informations descriptives. Oracle affecte également à l'utilisateur un ID unique, appelé OCID (Oracle Cloud ID). Pour plus d'informations, reportez-vous à Identificateurs de ressource.
Si vous supprimez un utilisateur, puis en créez un autre avec le même nom, ils seront considérés comme des utilisateurs distincts car ils auront des OCID différents.
Oracle recommande de fournir une adresse électronique de récupération de mot de passe pour l'utilisateur. Si l'utilisateur oublie son mot de passe, il peut demander qu'un mot de passe temporaire lui soit envoyé à l'aide du lien Mot de passe oublié sur la page de connexion. Si aucune adresse électronique n'est indiquée pour l'utilisateur, un administrateur doit intervenir pour réinitialiser son mot de passe.
Un nouvel utilisateur ne dispose d'aucun droit d'accès tant que vous ne l'avez pas placé dans des groupes et qu'il n'existe pas au moins une stratégie lui permettant d'accéder à la location ou à un compartiment. Exception : chaque utilisateur peut gérer ses propres informations d'identification. Il n'est pas nécessaire qu'un administrateur crée une stratégie pour autoriser un utilisateur à effectuer cette opération. Pour plus d'informations, reportez-vous à Informations d'identification utilisateur.
Après avoir créé un utilisateur et l'avoir placé dans un groupe, veillez à lui indiquer les compartiments auxquels il a accès.
Vous devez également donner au nouvel utilisateur des informations d'identification pour qu'il puisse accéder à Oracle Cloud Infrastructure. Un utilisateur peut disposer de l'une des informations d'identification suivantes ou les deux, selon le type d'accès dont il a besoin : un mot de passe pour utiliser la console et une clé de signature d'API pour utiliser l'API.
A propos des fonctionnalités utilisateur
Pour accéder à Oracle Cloud Infrastructure, un utilisateur doit disposer des informations d'identification requises. Les utilisateurs qui ont besoin d'utiliser la console doivent disposer d'un mot de passe. Les utilisateurs qui ont besoin d'un accès par le biais de l'API ont besoin de clés d'API. Certaines fonctionnalités de service exigent des informations d'identification supplémentaires, comme des jetons d'authentification, des informations d'identification SMTP et des clés d'API de compatibilité Amazon S3. Pour qu'un utilisateur puisse obtenir ces informations d'identification, il doit être autorisé à disposer du type d'informations d'identification correspondant.
Les administrateurs gèrent les fonctionnalités utilisateur dans les détails de l'utilisateur. Chaque utilisateur peut voir ses fonctionnalités, mais seul un administrateur peut les activer ou les désactiver. Les fonctionnalités utilisateur sont les suivantes :
- Peut utiliser le mot de passe de console (utilisateurs natifs uniquement)
- Peut utiliser des clés d'API
- Peut utiliser des jetons d'authentification
- Peut utiliser des informations d'identification SMTP
- Peut utiliser des clés secrètes client
Par défaut, toutes ces fonctionnalités sont activées lorsque vous créez des utilisateurs, ce qui permet aux utilisateurs de créer des informations d'identification pour eux-mêmes. Pour plus d'informations sur l'utilisation des informations d'identification utilisateur, reportez-vous à Gestion des informations d'identification utilisateur.
Activation de l'authentification à plusieurs facteurs pour un utilisateur
Pour plus d'informations, reportez-vous à Gestion de l'authentification à plusieurs facteurs.
Connexion à la console
Les utilisateurs créés au cours de cette procédure sont créés dans IAM et sont parfois appelés "utilisateurs locaux". Si votre location est fédérée avec un autre fournisseur d'identités (comme Oracle Identity Cloud Service, Azure AD ou Okta), la page de connexion à la console affiche deux options de connexion. Les utilisateurs locaux que vous créez dans IAM utilisent l'option Oracle Cloud Infrastructure pour se connecter, comme indiqué dans l'image suivante :
Si votre location n'est pas fédérée, une seule option est disponible.
Suivi de l'activité de connexion récente
La page de liste des utilisateurs affiche des informations pour aider les administrateurs à déterminer si les comptes utilisateur sont actifs. Le champ Dernière connexion enregistrée affiche la date et l'heure de la dernière connexion de l'utilisateur à Oracle Cloud Infrastructure à l'aide de la console ou à l'aide d'Oracle DB intégré à IAM. Pour les connexions via la console, l'horodatage correspond à la dernière connexion à la console. Pour les connexions via Oracle DB intégré à IAM, les horodatages peuvent présenter un tampon de 15 minutes au maximum à partir de la dernière connexion enregistrée. Ce champ est affiché uniquement dans la vue de liste de tous les utilisateurs, et pas dans la page de détails de chaque utilisateur.
Ce champ suit uniquement les connexions à partir de la console ou d'Oracle DB intégré à IAM. Si un utilisateur accède à Oracle Cloud Infrastructure via d'autres méthodes (par exemple, via le kit SDK), ces connexions ne sont pas suivies.
Liaison d'un utilisateur à un compte My Oracle Support
Pour soumettre des demandes de support directement à partir de la console, chaque utilisateur doit lier son compte utilisateur IAM à son compte My Oracle Support (MOS). Vous n'avez besoin d'effectuer cette étape qu'une seule fois. Pour obtenir des instructions, reportez-vous à Procédure de liaison d'un utilisateur à son compte My Oracle Support.
Prérequis
- Pour qu'un utilisateur puisse créer ce lien, il doit configurer un compte dans My Oracle Support. Pour plus d'informations sur la configuration d'un compte My Oracle Support, reportez-vous à Création d'un compte SSO (Oracle Single Sign-On).
- Pour qu'un utilisateur puisse soumettre des demandes de service relatives à une location, son compte My Oracle Support doit être associé au numéro CSI de sa location. Reportez-vous à Enregistrement de votre numéro CSI pour Oracle Cloud Infrastructure.
Déblocage d'un utilisateur après l'échec de plusieurs tentatives de connexion
Si un utilisateur ne parvient pas à se connecter à la console après 10 tentatives successives, ses nouvelles tentatives de connexion sont automatiquement bloquées. Un administrateur peut débloquer l'utilisateur dans la console (reportez-vous à Procédure de déblocage d'un utilisateur) ou avec l'opération d'API UpdateUserState.
Suppression d'un utilisateur
Vous ne pouvez supprimer un utilisateur que s'il n'appartient à aucun groupe.
Limites relatives aux utilisateurs
Pour plus d'informations sur le nombre d'utilisateurs dont vous pouvez disposer, reportez-vous à Limites de service.
Utilisation de la console
- Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Utilisateurs. La liste des utilisateurs de votre location s'affiche.
- Cliquez sur Créer un utilisateur.
- Entrez les informations suivantes :
- Nom : nom unique ou adresse électronique de l'utilisateur. Pour obtenir des conseils sur la valeur à utiliser, reportez-vous à Emploi des utilisateurs. Le nom doit être unique parmi tous les utilisateurs de votre location. Vous ne pouvez pas modifier cette valeur ultérieurement. Le nom doit répondre aux exigences suivantes : aucun espace. Il peut contenir uniquement des lettres latines de base (ASCII), des chiffres, des traits d'union, des points, des traits de soulignement, le signe + et le signe @.
- Description : il peut s'agir du nom complet de l'utilisateur, d'un pseudonyme ou d'autres informations descriptives. Vous pouvez modifier cette valeur ultérieurement.
Adresse électronique : saisissez l'adresse électronique de l'utilisateur. Elle est utilisée pour la récupération du mot de passe. L'adresse électronique doit être unique dans la location.
Si l'utilisateur oublie son mot de passe, il peut cliquer sur Mot de passe oublié sur la page de connexion. Un mot de passe temporaire est généré et envoyé à l'adresse électronique indiquée à cet emplacement. L'utilisateur ou un administrateur peut également mettre à jour l'adresse électronique ultérieurement.
- Balises : si vous êtes autorisé à créer une ressource, vous disposez également des droits d'accès nécessaires pour lui appliquer des balises à format libre. Pour appliquer une balise définie, vous devez disposer de droits d'accès permettant d'utiliser l'espace de noms de balise. Pour plus d'informations sur le balisage, reportez-vous à Balises de ressource. Si vous n'êtes pas certain d'appliquer des balises, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des balises ultérieurement.
- Cliquez sur Créer.
Vous devez ensuite accorder des droits d'accès à l'utilisateur en l'ajoutant à au moins un groupe. Vous devez également lui fournir les informations d'identification dont il a besoin (reportez-vous à Gestion des informations d'identification utilisateur).
- Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Utilisateurs. La liste des utilisateurs de votre location s'affiche.
- Recherchez l'utilisateur dans la liste.
- Cliquez sur l'utilisateur. Les détails de l'utilisateur sont affichés.
- Cliquez sur Groupes.
- Cliquez sur Ajouter un utilisateur à un groupe.
- Sélectionnez le groupe dans la liste déroulante, puis cliquez sur Ajouter.
Indiquez à l'utilisateur les compartiments auxquels il a accès.
- Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Utilisateurs. La liste des utilisateurs de votre location s'affiche.
- Recherchez l'utilisateur dans la liste.
- Cliquez sur l'utilisateur. Les détails de l'utilisateur sont affichés.
- Cliquez sur Groupes.
- Cliquez sur le menu Actions (
), puis sur Enlever. - Confirmez l'opération lorsque vous y êtes invité.
Prérequis : pour supprimer un utilisateur, celui-ci ne doit se trouver dans aucun groupe.
- Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Utilisateurs. La liste des utilisateurs de votre location s'affiche.
- Cliquez sur l'option Supprimer correspondant à l'utilisateur à supprimer.
- Confirmez l'opération lorsque vous y êtes invité.
Si vous êtes administrateur, vous pouvez utiliser la procédure suivante pour débloquer un utilisateur qui a tenté de se connecter à la console 10 fois d'affilée sans succès.
- Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Utilisateurs. La liste des utilisateurs de votre location s'affiche.
- Cliquez sur l'utilisateur. Ses détails apparaissent, y compris le statut en cours.
- Cliquez sur Débloquer.
- Confirmez l'opération lorsque vous y êtes invité.
- Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Utilisateurs. La liste des utilisateurs de votre location s'affiche.
- Cliquez sur l'utilisateur à mettre à jour. Les détails de l'utilisateur sont affichés. La description s'affiche sous le nom de connexion de l'utilisateur.
- Cliquez sur le crayon en regard de la description.
- Modifiez la description et enregistrez-la.
- Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Utilisateurs. La liste des utilisateurs de votre location s'affiche.
- Cliquez sur l'utilisateur à mettre à jour. Les détails de l'utilisateur sont affichés.
- Sous Informations sur l'utilisateur, cliquez sur le crayon en regard du champ Adresse électronique.
- Saisissez l'adresse électronique et cliquez sur l'icône d'enregistrement. L'adresse électronique doit être unique dans la location.
Si vous êtes administrateur, vous pouvez modifier les fonctionnalités utilisateur.
- Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Utilisateurs. La liste des utilisateurs de votre location s'affiche.
- Cliquez sur l'utilisateur pour voir ses détails.
- Cliquez sur Modifier les fonctionnalités utilisateur.
- Cochez ou décochez la case pour ajouter ou supprimer une fonctionnalité.
- Cliquez sur Enregistrer.
Important : veillez à respecter les prérequis avant de lier votre compte. Reportez-vous à Liaison d'un utilisateur à un compte My Oracle Support.
- Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Utilisateurs. La liste des utilisateurs de votre location s'affiche.
- Cliquez sur l'utilisateur à mettre à jour. Les détails de l'utilisateur sont affichés.
- Cliquez sur Créer un lien vers le compte de support technique. La page de connexion au compte Oracle vous invite à saisir vos informations d'identification Oracle.
- Entrez le nom utilisateur et le mot de passe du compte de support technique Oracle que vous voulez lier à cet utilisateur, puis cliquez sur Connexion. Le compte utilisateur IAM est lié au compte de support technique Oracle. L'adresse électronique associée au compte de support technique est affichée dans les détails utilisateur du champ Compte My Oracle Support.
- Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Utilisateurs. La liste des utilisateurs de votre location s'affiche.
- Cliquez sur l'utilisateur à mettre à jour. Les détails de l'utilisateur sont affichés.
- Cliquez sur Annuler la création du lien vers le compte de support technique.
- Dans l'invite de confirmation, cliquez sur Annuler la création du lien.
Pour plus d'informations sur la gestion des informations d'identification utilisateur dans la console, reportez-vous à Gestion des informations d'identification utilisateur.
Utilisation de l'API
Pour plus d'informations sur l'utilisation de l'API et la signature des demandes, reportez-vous à la documentation relative à l'API REST et à Informations d'identification de sécurité. Pour plus d'informations sur les kits SDK, reportez-vous à Kits SDK et interface de ligne de commande.
Les mises à jour ne sont pas immédiates dans toutes les régions
Vos ressources IAM résident dans votre région d'origine. Pour appliquer une stratégie à l'ensemble des régions, le service IAM réplique vos ressources dans chaque région. Chaque fois que vous créez ou modifiez une stratégie, un utilisateur ou un groupe, les modifications sont d'abord appliquées dans la région d'origine, puis propagées vers les autres régions. L'application des modifications à toutes les régions peut prendre plusieurs minutes. Par exemple, supposons que vous disposez d'un groupe doté de droits d'accès permettant de lancer des instances dans la location. Si vous ajoutez UserA à ce groupe, UserA peut lancer des instances dans votre région d'origine dans la minute qui suit. Toutefois, UserA ne peut pas lancer d'instances dans d'autres régions tant que le processus de réplication n'est pas terminé. Ce processus peut prendre plusieurs minutes. Si UserA tente de lancer une instance avant la fin de la réplication, une erreur indiquant que l'opération n'est pas autorisée est générée.
Utilisez ces opérations d'API pour gérer les utilisateurs :
- CreateUser
- ListUsers
- GetUser
- UpdateUserState : débloque un utilisateur qui a tenté de se connecter 10 fois d'affilée sans succès.
- UpdateUser : vous pouvez mettre à jour la description, l'adresse électronique et les balises de l'utilisateur.
- UpdateUserCapabilities
- DeleteUser
- ListUserGroupMemberships : utilisez cette opération pour obtenir la liste des utilisateurs se trouvant dans un groupe ou la liste des groupes auxquels appartient un utilisateur.
- AddUserToGroup : cette opération génère un objet
UserGroupMembershipavec son propre OCID. - GetUserGroupMembership
- RemoveUserFromGroup : cette opération supprime un objet
UserGroupMembership.
Pour plus d'informations sur les opérations d'API permettant de gérer les informations d'identification utilisateur, reportez-vous à Gestion des informations d'identification utilisateur.