Types de domaine d'identité IAM
Découvrez les types de domaine d'identité, ainsi que les fonctionnalités et limites associées à chacun.
Un domaine d'identité IAM est déployé dans l'un des cinq types de domaine d'identité. Chaque type de domaine d'identité est associé à un ensemble différent de fonctionnalités et de limites relatives aux objets. Utilisez les informations fournies ici pour déterminer le type de domaine approprié à ce que vous souhaitez faire.
Cette section récapitule les points suivants :
- Les différents types de domaine d'identité. Reportez-vous à Présentation des types de domaine d'identité.
- Les fonctionnalités associées à chaque type sont décrites dans la section Feature Availability for Identity Domain Types.
- Nombre de types d'objet différents pour chaque type de domaine d'identité. Reportez-vous aux limites d'objet de domaine d'identité IAM.
- Types de données pris en charge pour les attributs personnalisés et leurs limites. Reportez-vous à Types de données pour les attributs personnalisés.
- Limitation de débit pour les API de différents types de domaine d'identité. Reportez-vous à Limites de débit d'API.
- Compteurs utilisés pour les différents types de domaine d'identité. Reportez-vous à Compteurs pour les types de domaine d'identité.
- Pour modifier le type de domaine d'identité, reportez-vous à Modification du type de domaine d'identité.
Cette section contient des informations sur les domaines d'identité, ainsi que les différentes fonctionnalités et limites associées à chaque type de domaine d'identité. Pour plus d'informations sur les limites de niveau de location IAM, reportez-vous à IAM avec limites de domaines d'identité.
Présentation des types de domaine d'identité
IAM propose cinq types de domaine d'identité répondant aux différents besoins des organisations. Partez d'ici pour comprendre ce qui correspond le mieux à vos exigences, et le type à choisir lorsque vous créez un domaine d'identité.
Voici un récapitulatif des types de domaine d'identité. Déterminez celui qui répond le mieux à vos exigences et vérifiez les fonctionnalités et les limites ci-dessous relatives à ce type de domaine d'identité afin de sélectionner le type de domaine d'identité qui vous convient.
Gratuit
Lorsque vous créez une location OCI, vous êtes automatiquement provisionné avec un domaine d'identité gratuit. Ce type de domaine permet d'utiliser le service IAM pour gérer l'accès aux ressources d'infrastructure et de plate-forme OCI. Utilisez ce type de domaine pour en savoir plus sur le service IAM et pour gérer l'accès aux ressources OCI IaaS et PaaS. Ce type de domaine doit inclure tout ce dont vous avez besoin pour gérer OCI. Toutefois, si vous avez besoin de limites plus élevées ou de fonctionnalités supplémentaires, vous pouvez passer à un autre type de domaine d'identité.
Exemple de cas d'utilisation : votre organisation utilise Oracle Cloud et vos administrateurs cloud ont besoin d'un accès sécurisé pour gérer les services OCI abonnés.
Oracle Apps
Certains services Oracle PaaS et certaines applications SaaS offrent à leurs clients un domaine d'identité Oracle Apps qui permet d'utiliser le service IAM pour gérer l'accès au service avec abonnement. Dans la plupart des cas, le domaine d'identité est fourni par le service au moment du provisionnement ou un domaine existant devient automatiquement un domaine Oracle Apps lorsqu'un service inscrit lui est attaché. Ce type de domaine doit inclure tout ce dont vous avez besoin pour gérer l'accès à votre service Oracle abonné. Toutefois, si vous avez besoin de limites plus élevées ou de fonctionnalités supplémentaires, vous pouvez passer à un autre type de domaine d'identité.
Exemple de cas d'utilisation : votre organisation s'abonne à un service Oracle PaaS ou SaaS qui fournit un domaine d'identité Oracle Apps avec son service. Vous pouvez utiliser ce type de domaine pour gérer l'accès aux services Oracle PaaS et SaaS. Vous disposez peut-être également d'une ou de deux applications tierces pour lesquelles vous souhaitez que les utilisateurs puissent se connecter en toute transparence sans avoir à s'authentifier à nouveau.
Oracle Apps - Premium
Les domaines d'identité Oracle Apps Premium prennent en charge les scénarios IAM hybrides qui étendent le service IAM pour gérer l'accès pour les applications Oracle sur site ou OCI hébergées telles qu'Oracle E-Business Suite, PeopleSoft et Oracle Database. Bien que ce type de domaine d'identité soit principalement destiné à être utilisé avec des applications Oracle, il vous permet également de gérer l'accès pour un nombre limité d'applications tierces ou personnalisées.
Exemple de cas d'utilisation : votre organisation souhaite activer l'authentification et l'accès avec connexion unique pour que les utilisateurs du personnel puissent accéder aux applications Oracle SaaS ainsi qu'aux applications Oracle sur site ou hébergées sur le cloud telles qu'E-Business Suite, JD Edwards, PeopleSoft, Siebel et/ou Oracle Database. Vous pouvez également souhaiter une synchronisation bidirectionnelle avec Microsoft Active Directory ou d'autres systèmes sur site et vous pouvez disposer de quelques applications tierces ou personnalisées pour lesquelles vous souhaitez que les utilisateurs puissent se connecter de manière transparente sans avoir à se réauthentifier.
Premium
Les domaines d'identité Premium fournissent l'ensemble complet de fonctionnalités IAM et les limites les plus élevées pour les cas d'emploi liés aux employés et à la main-d'oeuvre, ce qui offre une gestion des accès adaptée à l'entreprise dans des environnements informatiques hybrides. Il inclut tous les types d'intégration pris en charge et un nombre illimité d'applications tierces. Il s'agit du type de domaine idéal si vous standardisez sur OCI IAM en tant que fournisseur de gestion des identités et des accès d'entreprise.
Exemple de cas d'utilisation : vous voulez une solution Identity-as-a-Service (IDaaS) pour gérer l'authentification du personnel et l'accès à toutes vos applications Oracle et tierces, qu'il s'agisse d'applications SaaS, d'applications d'entreprise sur site ou d'applications hébergées dans le cloud. Vous voulez utiliser des fonctionnalités d'authentification et d'autorisation modernes telles que l'authentification sans mot de passe, les jetons matériels FIDO2 et la sécurité adaptative. Vous voulez peut-être également automatiser le provisionnement et le dé-provisionnement des comptes sur l'ensemble de ces systèmes.
Utilisateur externe
Les domaines d'identité externes offrent un ensemble de fonctionnalités IAM robuste pour les cas d'emploi autres que ceux des employés, les applications destinées aux consommateurs et le développement d'applications personnalisées. Ce type de domaine fournit des fonctionnalités pertinentes pour ces scénarios, telles que le libre-service utilisateur, la connexion aux réseaux sociaux et la gestion du consentement.
Les domaines d'identité externes sont uniquement sous licence pour les comptes utilisateur non liés aux employés. Si vos besoins professionnels exigent que vous stockiez des comptes utilisateur d'employés dans un domaine d'identité externe (par exemple, si une application ne prend en charge qu'un seul fournisseur d'identités), cela n'est autorisé que si ces comptes utilisateur existent également dans un autre domaine d'identité de type Gratuit, Oracle Apps, Oracle Apps Premium ou Premium.
Exemple de cas d'utilisation : vous souhaitez une solution Identity-as-a-Service complète (IDaaS) qui vous aide à gérer l'authentification et l'accès aux applications personnalisées ou destinées aux consommateurs. Cette solution doit prendre en charge la gestion des profils et des mots de passe en libre-service des utilisateurs, ainsi que le consentement relatif aux conditions d'utilisation. Par ailleurs, cette solution doit pouvoir évoluer pour servir des millions d'utilisateurs.
Disponibilité des fonctionnalités pour les types de domaine d'identité
Découvrez les fonctionnalités disponibles pour les différents types de domaine d'identité.
Ce tableau présente les fonctionnalités disponibles pour chaque type de domaine.
Fonctionnalité | Gratuit | Oracle Apps | Oracle Apps - Premium | Premium | Utilisateur externe |
---|---|---|---|---|---|
Fonctionnalités de base d'IAM | |||||
Gestion des utilisateurs et des groupes | |||||
Auto-inscription de l'utilisateur final | - | ||||
Gestion des profils en libre-service | |||||
Récupération de compte (réinitialisation de mot de passe en libre-service par courriel, SMS, questions de sécurité) | Les SMS ne sont pas disponibles dans le type de domaine Gratuit |
||||
Stratégie de mot de passe par défaut | |||||
Stratégie de mot de passe basée sur un groupe | |||||
Prise en charge des applications externes1 | |||||
SSO sortant vers des applications tierces | Limite de 2 applications externes |
Limite de 2 applications externes |
Limite de 10 applications externes |
Illimité |
Illimité |
Provisionnement vers des applications tierces à l'aide du catalogue d'applications | Limite de 2 applications externes |
Limite de 2 applications externes |
Limite de 10 applications externes |
Illimité |
- |
Gestion des jetons/OAuth pour les applications tierces | Limite de 2 applications externes |
Limite de 2 applications externes |
Limite de 10 applications externes |
Illimité |
Illimité |
Modèle d'application SCIM générique | Limite de 2 applications externes |
Limite de 2 applications externes |
Limite de 10 applications externes |
Illimité |
Illimité |
Gestion de l'accès à Oracle Cloud Infrastructure | |||||
Toutes les fonctionnalités IAM Infrastructure as a Service en cours | - | ||||
Gestion de l'accès aux ressources OCI | - | ||||
Groupes dynamiques (pour OCI) | - | ||||
Types d'information d'identification propres à OCI | - | ||||
Options de sécurité | |||||
Fournisseurs d'identités externes et connexion par réseau social (fédération/SSO entrant) | 5 IdPs externe |
5 IdPs externe |
30 IdPs externe |
30 IdPs externe |
30 IdPs externe |
Stratégies de routage de fournisseur d'identités flexibles | |||||
Conditions d'utilisation | |||||
Provisionnement juste à temps | |||||
Prise en charge des cartes PIV/CAC | |||||
Extension de schéma | |||||
Administration déléguée | |||||
Synchronisation Active Directory unidirectionnelle qui prend en charge la synchronisation entrante d'AD vers le domaine d'identité IAM | - | ||||
Options d'authentification : Oracle Mobile Authenticator (authentification à plusieurs facteurs) et sécurité adaptative (authentification à plusieurs facteurs : TOTP et Push, appel téléphonique, questions de sécurité, FIDO2, DUO, courriel) | Les SMS ne sont pas disponibles dans le type de domaine Gratuit |
||||
Authentification sans mot de passe | |||||
Stratégies de connexion (conditions : authentifié par, groupes, administrateurs, exclusions, périmètre réseau, moteur de risque intégré) | |||||
Kits SDK d'application | |||||
Intégration Oracle SaaS | |||||
SSO pour les services Oracle Cloud | |||||
Provisionnement des utilisateurs pour les services Oracle Cloud (avec formulaire de compte, attributs personnalisés, filtres, etc.) | - | ||||
Gestion des jetons/OAuth pour les extensions d'application Oracle et SaaS2 | - | ||||
Rapports | |||||
Audits et rapports | |||||
Marque | |||||
Présentation personnalisée | |||||
Connexion hébergée | - | - | |||
Fonctionnalités avancées et hybrides de gestion des identités et des accès | |||||
IAM avancé | |||||
Synchronisation bidirectionnelle avec LDAP via un pont de provisionnement | - | - | - | ||
Synchronisation bidirectionnelle avec un pont AD | - | - | - | ||
Authentification déléguée via un pont AD | - | - | - | ||
SSO pour n'importe quelle application | |||||
IAM hybride | |||||
Passerelle d'application (pour n'importe quelle application d'entreprise) | - | - | Applications d'entreprise Oracle uniquement |
Toutes les applications d'entreprise |
Toutes les applications d'entreprise |
Assesseur EBS3 | - | - | |||
Proxy RADIUS (tout : Oracle DB, VPN, périphériques réseau, etc.) | - | - | Oracle DB uniquement |
Tout : Oracle DB, VPN, périphériques réseau, etc. |
- |
Module PAM Linux | - | - | - |
1 Les applications externes ou tierces sont définies comme les applications commerciales proposées par un fournisseur autre qu'Oracle ou comme les applications développées de manière personnalisée (y compris, par exemple, les applications créées sur OCI à l'aide d'APEX). Les applications personnalisées créées à l'aide de Visual Builder Cloud Service ne sont pas prises en compte dans la limite des applications externes.
2 Les extensions SaaS sont des applications développées de manière personnalisée qui sont uniquement utilisées comme extensions pour les applications Oracle SaaS avec abonnement comme HCM, ERP, SCM, etc. L'unique objectif de ces applications est de compléter les applications Oracle SaaS. Ils ne sont pas pris en compte dans la limite des applications externes.
3 Le droit d'utiliser l'assesseur Oracle E-Business Suite inclut également le droit d'utiliser WebLogic Server Enterprise Edition uniquement dans le but d'exécuter l'application d'assesseur conformément à toutes les conditions générales décrites dans le manuel de l'utilisateur avec informations de licence d'Oracle Fusion Middleware.
Limites d'objet de domaine d'identité IAM
Découvrez le nombre de types d'objet différents autorisés dans chaque type de domaine d'identité.
Vous pouvez créer différents types de domaine d'identité en respectant la limite autorisée par votre type d'abonnement. Pour connaître les limites de domaine d'identité associées à chaque type d'abonnement, reportez-vous à Limites d'IAM avec des domaines d'identité.
1 Les applications autres qu'Oracle ou tierces sont définies comme les applications commerciales proposées par un fournisseur autre qu'Oracle ou comme les applications développées de manière personnalisée (y compris, par exemple, les applications créées sur OCI à l'aide d'APEX). Les applications personnalisées créées à l'aide de Visual Builder Cloud Service ne sont pas prises en compte dans la limite des applications externes.
2 Les limites relatives au nombre d'applications tierces ou non Oracle pour les types de domaine Applications Oracle et Oracle Apps Premium ne sont pas appliquées temporairement. Elles seront appliquées à l'avenir.
Types de données pour les attributs personnalisés
Consultez les types de données pris en charge pour les attributs personnalisés et leurs limites. Ils s'appliquent à tous les types de domaine d'identité.
Type de données | Limite |
---|---|
Chaîne de 4 000 caractères indexée (pouvant faire l'objet d'une recherche) | 84 |
Chaîne de 40 caractères indexée (pouvant faire l'objet d'une recherche) | 5 |
Chaîne de 4 000 caractères non indexée | 36 |
Chaîne de 40 caractères non indexée | 15 |
Entier | 20 |
Limites de débit d'API
Découvrez les limites de débit des API pour les différents types de domaine d'identité.
Les API Oracle sont soumises à des limites de débit pour protéger l'utilisation du service d'API pour tous les clients d'Oracle. Si vous atteignez la limite d'API pour votre type de domaine d'identité, IAM renvoie le code d'erreur 429.
Limites de débit pour tous les types de domaine d'identité
Groupe d'API | Par | Gratuit | Oracle Apps | Oracle Apps - Premium | Premium | Utilisateur externe |
---|---|---|---|---|---|---|
AuthN | second | 10 | 50 | 80 | 95 | 90 |
AuthN | minute | 150 | 1 000 | 2 100 | 4 500 | 3 100 |
Gestion des jetons | second | 10 | 40 | 50 | 65 | 60 |
Gestion des jetons | minute | 150 | 1 000 | 1 700 | 3 400 | 2 300 |
Autres | second | 20 | 50 | 55 | 90 | 80 |
Autres | minute | 150 | 1 500 | 1 750 | 5 000 | 4 000 |
En masse | second | 5 | 5 | 5 | 5 | 5 |
En masse | minute | 200 | 200 | 200 | 200 | 200 |
Importer et exporter | jours | 4 | 8 | 10 | 10 | 10 |
API dans les groupes d'API
Les limites d'API s'appliquent au total de toutes les API d'un groupe.
/sso/v1/user/login
/sso/v1/user/secure/login
/sso/v1/user/logout
/sso/v1/sdk/authenticate
/sso/v1/sdk/session
/sso/v1/sdk/idp
/sso/v1/sdk/secure/session
/mfa/v1/requests
/mfa/v1/users/{userguid}/factors
/oauth2/v1/authorize
/oauth2/v1/userlogout
/oauth2/v1/consent
/fed/v1/user/request/login
/fed/v1/sp/sso
/fed/v1/idp/sso
/fed/v1/idp/usernametoken
/fed/v1/metadata
/fed/v1/mex
/fed/v1/sp/slo
/fed/v1/sp/initiatesso
/fed/v1/sp/ssomtls
/fed/v1/idp/slo
/fed/v1/idp/initiatesso
/fed/v1/idp/wsfed
/fed/v1/idp/wsfedsignoutreturn
/fed/v1/user/response/login
/fed/v1/user/request/logout
/fed/v1/user/response/logout
/fed/v1/user/testspstart
/fed/v1/user/testspresult
/admin/v1/SigningCert/jwk
/admin/v1/HTTPAuthenticator
/admin/v1/PasswordAuthenticator
/admin/v1/Asserter
/admin/v1/MyAuthenticationFactorInitiator
/admin/v1/MyAuthenticationFactorEnroller
/admin/v1/MyAuthenticationFactorValidator
/admin/v1/MyAuthenticationFactorsRemover
/admin/v1/TermsOfUseConsent
/admin/v1/MyTermsOfUseConsent
/admin/v1/TrustedUserAgents
/admin/v1/AuthenticationFactorInitiator
/admin/v1/AuthenticationFactorEnroller
/admin/v1/AuthenticationFactorValidator
/admin/v1/MePasswordResetter
/admin/v1/UserPasswordChanger
/admin/v1/UserLockedStateChanger
/admin/v1/AuthenticationFactorsRemover
/admin/v1/BypassCodes
/admin/v1/MyBypassCodes
/admin/v1/MyTrustedUserAgents
/admin/v1/Devices
/admin/v1/MyDevices
/admin/v1/TermsOfUses
/admin/v1/TermsOfUseStatements
/admin/v1/AuthenticationFactorSettings
/admin/v1/SsoSettings
/admin/v1/AdaptiveAccessSettings
/admin/v1/RiskProviderProfiles
/admin/v1/Threats
/admin/v1/UserDevices
/session/v1/SessionsLogoutValidator
/ui/v1/signin
/oauth2/v1/token
/oauth2/v1/introspect
/oauth2/v1/revoke
/oauth2/v1/device
/job/v1/JobSchedules?jobType=UserImport
/job/v1/JobSchedules?jobType=UserExport
/job/v1/JobSchedules?jobType=GroupImport
/job/v1/JobSchedules?jobType=GroupExport
/job/v1/JobSchedules?jobType=AppRoleImport
/job/v1/JobSchedules?jobType=AppRoleExport
/admin/v1/Bulk
/admin/v1/BulkUserPasswordChanger
/admin/v1/BulkUserPasswordResetter
/admin/v1/BulkSourceEvents
Toute API ne figurant pas dans l'un des autres groupes d'API est incluse dans l'autre groupe d'API
Autres restrictions
Les restrictions suivantes s'appliquent aux opérations en masse, aux imports et aux exports pour tous les niveaux :
- Taille de la charge utile : 1 Mo
- Opérations d'API en masse : limite de 50 opérations par appel
- Une seule des opérations suivantes peut être exécutée à la fois :
- Import : pour les utilisateurs, les groupes et les appartenances aux rôles d'application
- Synchronisation complète à partir des applications
- API en masse
- Export : pour les utilisateurs, les groupes et les appartenances aux rôles d'application
- Import CSV : limite de 100 000 lignes par fichier CSV ; taille maximale de fichier : 10 Mo
- Export CSV : limite de 100 000 lignes
Compteurs pour les types de domaine d'identité
Découvrez les compteurs utilisés pour les différents types de domaine d'identité.
Les types de domaine d'identité Gratuit et Oracle Apps n'utilisent pas de compteurs.
Les types de domaine d'identité Oracle Apps - Premium, Premium et Utilisateur externe emploient les compteurs suivants :
-
Utilisateurs par mois : nombre d'utilisateurs actifs et inactifs dans le système, par heure. Ces compteurs sont agrégés à la fin du cycle de facturation.
-
SMS : nombre de messages SMS envoyés à partir du système, rapporté toutes les heures. Ces compteurs sont agrégés à la fin du cycle de facturation.
-
Jetons : nombre de jetons émis par le système, rapporté toutes les heures.
-
Utilisateurs répliqués par mois : si vous configurez la réplication vers davantage de régions, ce compteur s'applique au nombre d'utilisateurs actifs et inactifs dans chaque région répliquée, par heure. Ces compteurs sont agrégés à la fin du cycle de facturation.
Une fois le service provisionné, Oracle Cloud Infrastructure dispose d'outils qui vous permettent d'analyser et de comprendre les coûts associés à votre compte. Reportez-vous à Vérification des dépenses et de l'utilisation.
Modification du type de domaine d'identité
- Vous ne pouvez pas remplacer le domaine par défaut par le type de domaine d'identité Utilisateur externe.
- Le type d'abonnement contrôle le nombre de domaines d'identité de chaque type. Si la modification entraîne le dépassement du nombre de domaines d'identité du type concerné pour votre type d'abonnement, vous ne pouvez pas passer au nouveau type de domaine d'identité. Reportez-vous à Limites d'IAM avec domaines d'identité.
- Si le nombre d'objets d'un type donné dans votre domaine d'identité dépasse le nombre autorisé dans le type de domaine d'identité cible, vous ne pouvez pas passer au nouveau type de domaine d'identité. Reportez-vous aux limites d'objet de domaine d'identité IAM.
- Les fonctionnalités disponibles dans le type de domaine d'identité en cours sont vérifiées. Reportez-vous à Disponibilité des fonctionnalités pour les types de domaine d'identité. Un message d'avertissement vous rappelle d'être prudent lorsque vous passez d'un type de domaine d'identité à un autre. Vous pouvez continuer après le message d'avertissement, mais certaines de vos fonctionnalités existantes risquent de ne plus être disponibles.
- Vous ne pouvez pas remplacer un domaine d'identité utilisateur gratuit, Premium ou externe par un domaine d'identité Oracle Apps.