Documentation Oracle Cloud Infrastructure

Présentation d'IAM

Oracle Cloud Infrastructure Identity and Access Management (IAM) fournit des fonctionnalités de gestion des identités et des accès, telles que l'authentification, l'accès avec connexion unique (SSO) et la gestion du cycle de vie des identités, pour Oracle Cloud ainsi que pour les applications Oracle et autres, qu'elles soient de type SaaS, hébergées sur le cloud ou sur site. Les employés, les partenaires et les clients peuvent accéder aux applications à tout moment, où qu'ils soient et sur n'importe quel appareil, de manière sécurisée.

IAM s'intègre aux banques d'identités existantes, à des fournisseurs d'identités externes et à des applications sur le cloud et sur site afin de faciliter l'accès pour les utilisateurs finals. Il fournit la plate-forme de sécurité d'Oracle Cloud qui permet aux utilisateurs d'accéder aux applications métier telles qu'Oracle Human Capital Management (HCM) et Oracle Sales Cloud, et aux services de plate-forme tels qu'Oracle Java Cloud Service, Oracle Business Intelligence (BI) Cloud Service et bien d'autres, ainsi que de les développer et de les déployer, le tout facilement et en toute sécurité.

Les administrateurs et les utilisateurs peuvent passer par IAM pour créer, gérer et utiliser efficacement et en toute sécurité un environnement de gestion des identités cloud, sans se soucier de la configuration des détails d'infrastructure ou de plate-forme.

Conseil

Regardez une présentation vidéo du service.

Responsabilités du client

Vos responsabilités sont les suivantes :

  • Comprendre les configurations, les artefacts et les stratégies Oracle Cloud Infrastructure Identity and Access Management (IAM)
  • Implémenter vos propres stratégies, configurations et artefacts pour toutes les fonctionnalités IAM
  • Créer et administrer des utilisateurs, des stratégies, des configurations et des artefacts à l'aide d'IAM
  • Respecter toutes les exigences et directives des normes NIST 800-63, y compris IAL3, AAL3 et FAL3

Pour toutes les fonctionnalités IAM, vous devez utiliser vos propres valeurs de configuration et configurer vos propres artefacts.

Composants d'IAM

IAM utilise les composants décrits dans cette section. Pour mieux comprendre la façon dont ils interagissent ensemble, reportez-vous à Exemple de scénario.

Compartiment
Ensemble de ressources associées. Les compartiments sont un composant fondamental d'Oracle Cloud Infrastructure pour l'organisation et l'isolement de vos ressources cloud. Vous les utilisez pour séparer clairement les ressources dans le but de mesurer l'utilisation et la facturation, l'accès (par le biais de stratégies) et l'isolement (en séparant les ressources d'un projet ou d'une unité métier des autres). Une approche courante consiste à créer un compartiment pour chaque partie principale de l'organisation. Pour plus d'informations, reportez-vous à En savoir plus sur les meilleures pratiques pour configurer votre location.
GROUPES DYNAMIQUES
Type spécial de groupe contenant des ressources (telles que des instances de calcul) qui correspondent aux règles que vous définissez (de cette façon, l'appartenance peut changer de façon dynamique lors de la création ou de la suppression de ressources correspondantes). Ces instances agissent comme des acteurs "principaux" et peuvent effectuer des appels d'API vers des services en fonction des stratégies que vous écrivez pour le groupe dynamique.
Fédération
Relation qu'un administrateur configure entre un fournisseur d'identités et un fournisseur de services. Lorsque vous fédérez Oracle Cloud Infrastructure avec un fournisseur d'identités, vous gérez les utilisateurs et les groupes dans le fournisseur d'identités. Vous gérez l'autorisation dans Oracle Cloud Infrastructure, dans le service IAM.
Groupe
Collection d'utilisateurs qui partagent un ensemble similaire de privilèges d'accès. Les administrateurs peuvent accorder des stratégies d'accès qui autorisent un groupe à utiliser ou à gérer des ressources dans une location. Tous les utilisateurs d'un groupe héritent du même ensemble de privilèges.
Région d'origine
Région dans laquelle résident vos ressources IAM. Toutes les ressources IAM sont globales et disponibles dans toutes les régions, mais l'ensemble maître de définitions réside dans une région unique, la région d'origine. Vous devez modifier vos ressources IAM dans votre région d'origine. Les modifications seront propagées automatiquement à toutes les régions. Pour plus d'informations, reportez-vous à Gestion des régions.
Domaine d'identité

Un domaine d'identité est un conteneur destiné à la gestion des utilisateurs et des rôles, à la fédération et au provisionnement des utilisateurs, à l'intégration sécurisée d'applications via la configuration de l'accès avec connexion unique Oracle (SSO), ainsi qu'à l'administration OAuth. Il représente une population d'utilisateurs dans Oracle Cloud Infrastructure, ainsi que les configurations et paramètres de sécurité associés (comme l'authentification à plusieurs facteurs).

FOURNISSEUR D'IDENTITÉS
Relation sécurisée avec un fournisseur d'identités fédérées. Les utilisateurs fédérés qui tentent de s'authentifier auprès de la console Oracle Cloud Infrastructure sont redirigés vers le fournisseur d'identités configuré. Une fois authentifiés, les utilisateurs fédérés peuvent gérer les ressources Oracle Cloud Infrastructure dans la console comme un utilisateur IAM natif.
MFA
L'authentification à plusieurs facteurs est une méthode d'authentification qui exige l'utilisation de plusieurs facteurs pour vérifier l'identité d'un utilisateur.
Source réseau
Groupe d'adresses IP autorisées à accéder à des ressources de la location. Les adresses IP peuvent être publiques ou issues d'un réseau cloud virtuel de la location. Après avoir créé la source réseau, vous utilisez une stratégie pour restreindre l'accès aux seules demandes qui proviennent des adresses IP de la source réseau.
Ressource
Objet cloud que vous créez et utilisez lors de l'interaction avec les services Oracle Cloud Infrastructure. Par exemple, calculez des instances , des volumes de stockage de blocs, des réseaux cloud virtuels (VCN ), des sous-réseaux, des bases de données, des applications tierces, des applications Software-as-a-Service (SaaS), des logiciels sur site et des applications Web de vente au détail.
RÔLE
Ensemble de privilèges d'administration pouvant être affectés à un utilisateur dans un domaine d'identité.
STRATÉGIE DE SÉCURITÉ
Document indiquant quels utilisateurs peuvent accéder à quelles ressources et de quelle manière. Vous pouvez écrire des stratégies pour contrôler l'accès à tous les services au sein d'Oracle Cloud Infrastructure. L'accès est accordé au niveau du groupe et du compartiment, ce qui signifie que vous pouvez écrire une stratégie qui offre à un groupe un type d'accès spécifique dans un compartiment spécifique ou un accès à la location elle-même. Si vous octroyez à un groupe l'accès à la location, celui-ci obtient automatiquement le même type d'accès à tous les compartiments contenus dans la location. Pour plus d'informations, reportez-vous à Exemple de scénario et à Fonctionnement des stratégies. Le mot "stratégie" est utilisé de différentes manières : pour représenter une instruction individuelle écrite dans le langage de la stratégie, pour désigner un ensemble d'instructions dans un document unique nommé "stratégie" (auquel est affecté un OCID [ID Oracle Cloud]) et pour désigner le corps global des stratégies utilisées par l'organisation en vue de contrôler l'accès aux ressources.
Lorsque vous appliquez une stratégie, il peut y avoir un léger délai avant que celle-ci soit efficace.
STRATÉGIE DE CONNEXION
Une stratégie de connexion permet aux administrateurs de domaine d'identité, aux administrateurs de sécurité et aux administrateurs d'application de définir des critères qui déterminent si un utilisateur doit être autorisé à se connecter à un domaine d'identité.
Balises
Les balises permettent d'organiser les ressources entre plusieurs compartiments afin de générer des rapports ou d'effectuer des actions globales.
Location
Compartiment racine contenant toutes les ressources Oracle Cloud Infrastructure de votre organisation. Oracle crée automatiquement la location de votre société. Vos entités IAM (utilisateurs, groupes, compartiments et certaines stratégies ; vous pouvez également placer des stratégies dans des compartiments à l'intérieur de la location) se trouvent directement dans la location. Vous placez les autres types de ressource cloud (par exemple, des instances, des réseaux virtuels, des volumes de stockage de blocs, etc.) à l'intérieur des compartiments que vous créez.
Les administrateurs de location peuvent créer des utilisateurs et des groupes, et les affecter aux ressources partitionnées dans des compartiments.
Utilisateur
Employé ou système individuel devant gérer ou utiliser les ressources Oracle Cloud Infrastructure de votre société. Il peut être nécessaire de lancer des instances, de gérer des disques distants, d'utiliser votre réseau cloud virtuel, etc. Les utilisateurs finaux de votre application ne sont généralement pas des utilisateurs d'IAM. Les utilisateurs disposent d'informations d'identification IAM (reportez-vous à Informations d'identification utilisateur).

Activation et désactivation de composants

Plusieurs composants doivent être activés pour pouvoir être utilisés. Vous pouvez également les désactiver si nécessaire.

Pour plus d'informations sur le composant que vous utilisez :

Groupe d'administrateurs, stratégie et rôles d'administrateur

Lorsque votre société s'inscrit pour obtenir un domaine d'identité et un compte Oracle, Oracle configure un administrateur par défaut pour le compte. Il s'agit du premier utilisateur IAM de votre société, qui sera responsable de la configuration initiale des autres administrateurs. Votre location est fournie avec un groupe nommé Administrators et l'administrateur par défaut appartient automatiquement à ce groupe. Vous ne pouvez pas supprimer ce groupe, et il doit toujours comporter au moins un utilisateur.

Votre location dispose également automatiquement d'une stratégie qui permet au groupe Administrators d'accéder à toutes les opérations d'API Oracle Cloud Infrastructure et à l'ensemble des ressources cloud qu'elle contient. Vous ne pouvez ni modifier ni supprimer cette stratégie. Tout autre utilisateur placé dans le groupe Administrators bénéficiera d'un accès complet à tous les services. Cela signifie qu'il peut créer et gérer des ressources IAM telles que des groupes, des stratégies et des compartiments. Il peut également créer et gérer des ressources cloud telles que les réseaux cloud virtuels, les instances, les volumes de stockage de blocs et tout autre nouveau type de ressource Oracle Cloud Infrastructure qui sera disponible ultérieurement.

Outre l'administrateur par défaut et la stratégie par défaut, vous pouvez affecter des comptes utilisateur à des rôles d'administrateur prédéfinis afin de déléguer des responsabilités d'administration. Des rôles d'administrateur existent dans les domaines d'identité. Vous pouvez affecter n'importe quel compte utilisateur d'un domaine d'identité à des rôles d'administrateur de ce domaine d'identité. Alors que les stratégies donnent accès aux compartiments et aux ressources qu'ils contiennent, si vous utilisez des rôles d'administrateur, vous pouvez octroyer l'accès aux ressources sans avoir à apprendre le langage de stratégie, ni à écrire et à tenir à jour des stratégies.

Remarque

L'octroi aux utilisateurs ou aux groupes du rôle d'administrateur de domaine d'identité pour des domaines autres que le domaine par défaut leur accorde des droits d'accès administrateur complets uniquement pour ce domaine (et non pour la location). Au moins un administrateur du domaine d'identité doit disposer directement du rôle d'administrateur de domaine d'identité. Ce rôle s'ajoute aux rôles d'administrateur de domaine d'identité accordés du fait de l'appartenance à un groupe. Pour plus d'informations, reportez-vous à Présentation des rôles d'administrateur.

IAM évalue ensemble les stratégies et les rôles d'administrateur pour déterminer si un utilisateur a accès aux ressources et ce que l'utilisateur peut faire avec ces ressources. Si la location repose déjà sur des stratégies, vous pouvez continuer à les utiliser. Vous pouvez même écrire des stratégies pour octroyer l'accès à des domaines d'identité spécifiques. Cependant, Oracle vous recommande de commencer par utiliser les rôles d'administrateur afin d'octroyer aux utilisateurs l'accès aux ressources des domaines d'identité.

Méthodes d'accès à Oracle Cloud Infrastructure

Vous pouvez accéder à Oracle Cloud Infrastructure via la console (une interface basée sur un navigateur) ou l'API REST. Les instructions concernant la console sont incluses dans les rubriques de ce guide. Pour obtenir la liste des kits SDK disponibles, reportez-vous à Kits SDK et interface de ligne de commande.

Pour accéder à la console, vous devez utiliser un navigateur pris en charge. Pour accéder à la page de connexion à la console, ouvrez le menu de navigation en haut de cette page et cliquez sur la console Infrastructure. Vous êtes invité à saisir votre locataire cloud, votre nom utilisateur et votre mot de passe.

Afin d'obtenir la référence d'API REST pour l'API IAM, reportez-vous à API du service Identity and Access Management. Afin d'obtenir la référence d'API REST pour l'API des domaines d'identité IAM, reportez-vous à API des domaines d'identité IAM. Pour obtenir des informations générales sur l'utilisation de l'API, reportez-vous à API REST.

Documentation à utiliser pour les identités cloud

Pour vous aider à administrer l'identité dans Oracle Cloud Infrastructure (OCI), vous avez besoin de la documentation appropriée.

La documentation que vous choisissez dépend des facteurs suivants :

  • Si votre location OCI a été mise à jour pour utiliser les domaines d'identité Oracle Cloud Infrastructure Identity and Access Management (IAM)
  • Si vos partitions Oracle Identity Cloud Service (IDCS) ont été migrées vers des domaines d'identité IAM

Consultez les sections suivantes pour trouver la documentation qui vous convient.

Avez-vous accès aux domaines d'identité ?

  1. Connectez-vous à la console Oracle Cloud. Besoin d'aide pour vous connecter ? Reportez-vous à Connexion à la console.
  2. Dans le menu de navigation, cliquez sur Identité et sécurité. Sous Identité, recherchez l'option Domaines. Si vous voyez Domaines, votre compte cloud a été mis à jour.
Si vous vous connectez et que vous obtenez la console d'administration IDCS au lieu de la console Oracle Cloud, comme dans l'image suivante, vos partitions n'ont pas été migrées vers IAM. Vous n'avez pas accès aux domaines d'identité.

Quelle documentation avez-vous besoin ?

Après avoir déterminé si votre location a été mise à jour ou si vos rayures IDCS ont été migrées, choisissez la documentation appropriée pour vous.

Votre location a-t-elle été mise à jour ? Documentation à utiliser
Je vois l'option Domaines dans la console. Ma location a été mise à jour.
Lors de l'utilisation de la console :
Lors de l'utilisation de l'API :
  • Pour gérer les domaines d'identité (par exemple, créer et supprimer un domaine), reportez-vous à API IAM.
  • Pour gérer les ressources (par exemple, utilisateurs et groupes) au sein des domaines d'identité, reportez-vous à API des domaines d'identité IAM.
Si votre location a été mise à jour récemment, pour plus d'informations sur les éléments à prévoir lors de la post-mise à jour, reportez-vous aux sections suivantes :
Je ne vois pas l'option Domaines dans la console. Ma location n'a pas été mise à jour.

Pour utiliser la console afin d'administrer IAM dans des locations sans domaine d'identité, reportez-vous à Présentation d'Identity and Access Management.

Pour utiliser l'API afin d'administrer IAM dans des locations sans domaine d'identité, reportez-vous à API IAM.

Pour plus d'informations sur le déroulement de la mise à jour, reportez-vous à Domaines d'identité OCI IAM : ce que les clients OCI IAM doivent savoir.

La console d'administration IDCS apparaît. Mes partitions n'ont pas été migrées vers des domaines d'identité.
Lors de l'utilisation de la console :

Pour utiliser l'API afin d'administrer les partitions dans IDCS, reportez-vous à API REST pour Oracle Identity Cloud Service.

Pour plus d'informations sur le déroulement de la migration, reportez-vous à Domaines d'identité OCI IAM : ce que les clients Oracle IDCS doivent savoir.