Documentation Oracle Cloud Infrastructure

Informations d'identification utilisateur

Vous pouvez gérer plusieurs types d'informations d'identification à l'aide d'Oracle Cloud Infrastructure Identity and Access Management (IAM) :

  • Mot de passe de console : permet de vous connecter à la console, c'est-à-dire l'interface utilisateur vous permettant d'interagir avec Oracle Cloud Infrastructure. Les utilisateurs fédérés ne peuvent pas posséder de mot de passe de console car ils se connectent via leur fournisseur d'identités. Reportez-vous à Fédération avec les fournisseurs d'identités.
  • Clé de signature d'API (au format PEM) : permet d'envoyer des demandes d'API, qui nécessitent une authentification.
  • Jeton d'authentification : jeton généré par Oracle que vous pouvez utiliser pour l'authentification auprès d'API tierces. Par exemple, utilisez un jeton d'authentification pour l'authentification auprès d'un client Swift lorsque vous utilisez Recovery Manager (RMAN) afin de sauvegarder une base de données de système Oracle Database vers Object Storage.
  • Clés secrètes client : permettent d'utiliser l'API de compatibilité Amazon S3 avec Object Storage. Reportez-vous à API de compatibilité Amazon S3.
  • Informations d'identification de client OAuth 2.0 : permettent d'interagir avec les API des services qui utilisent l'autorisation OAuth 2.0. Reportez-vous à Informations d'identification de client OAuth 2.0.
  • Informations d'identification SMTP : permettent d'utiliser le service Email Delivery.
  • Mots de passe de base de données IAM : les utilisateurs peuvent créer et gérer leur mot de passe de base de données dans leur profil utilisateur IAM, et employer ce mot de passe pour s'authentifier auprès des bases de données de leur location. Reportez-vous à Utilisation des noms utilisateur et des mots de passe de base de données IAM.
  • Noms utilisateur de base de données IAM : les utilisateurs peuvent créer et gérer leurs propres noms utilisateur pour les bases de données, et créer d'autres noms utilisateur si nécessaire. Reportez-vous à Utilisation des noms utilisateur et des mots de passe de base de données IAM.
Important

Les clés de signature d'API sont différentes des clés SSH que vous utilisez pour accéder à une instance de calcul (reportez-vous à Informations d'identification de sécurité). Pour plus d'informations sur les clés de signature d'API, reportez-vous à Clés et OCID requis. Pour plus d'informations sur les clés SSH d'instance, reportez-vous à Gestion des paires de clés.

Mot de passe utilisateur

Lorsque l'utilisateur se connecte à la console pour la première fois, il est immédiatement invité à modifier son mot de passe. Si l'utilisateur attend plus de 7 jours pour se connecter pour la première fois et modifier son mot de passe, ce dernier expire et un administrateur doit réinitialiser le mot de passe pour l'utilisateur.

Une fois que l'utilisateur s'est connecté à la console, il peut utiliser les ressources Oracle Cloud Infrastructure selon les droits d'accès qui lui ont été octroyés via les stratégies.

Remarque

Un utilisateur dispose automatiquement du droit lui permettant de modifier son mot de passe dans la console. Il n'est pas nécessaire qu'un administrateur crée une stratégie pour autoriser un utilisateur à effectuer cette opération.

Modification d'un mot de passe

Si un utilisateur veut modifier son propre mot de passe après avoir modifié son mot de passe à usage unique initial, il peut le faire dans la console. Gardez à l'esprit qu'un utilisateur dispose automatiquement du droit lui permettant de modifier son propre mot de passe ; il n'est pas nécessaire qu'un administrateur crée une stratégie l'autorisant à effectuer cette action.

Pour plus d'informations, reportez-vous à Modification de votre mot de passe de console.

Si un utilisateur a besoin d'une réinitialisation de son mot de passe de console

Si un utilisateur oublie son mot de passe de console et qu'il n'a pas accès à l'API, il peut utiliser le lien Mot de passe oublié de la console pour qu'un lien de réinitialisation de mot de passe soit envoyé à l'adresse électronique configurée pour le compte utilisateur. (Tous les profils utilisateur requièrent une adresse électronique.)

Les utilisateurs peuvent également demander à un administrateur de réinitialiser leur mot de passe. Tous les administrateurs (et tous les autres utilisateurs disposant de droits d'accès à la location) peuvent réinitialiser les mots de passe de console. Le processus de réinitialisation du mot de passe génère et envoie un courriel de réinitialisation. L'utilisateur doit modifier son mot de passe avant l'expiration du lien, pour pouvoir se reconnecter à la console.

Si vous êtes administrateur et que vous devez réinitialiser le mot de passe de console d'un utilisateur, reportez-vous à Réinitialisation du mot de passe de console d'un autre utilisateur.

Si un utilisateur ne peut plus se connecter à la console

Si un utilisateur tente de se connecter à la console avec plus d'échecs consécutifs que ne l'autorise la stratégie de mot de passe du domaine d'identité, il est automatiquement bloqué. Si le déverrouillage automatique de compte n'est pas activé par la stratégie de mot de passe pour le domaine d'identité, l'utilisateur doit contacter un administrateur afin qu'il le débloque (reportez-vous à Déblocage d'un utilisateur).

Clés de signature d'API

Un utilisateur devant effectuer des demandes d'API doit avoir ajouté une clé publique RSA au format PEM (2 048 bits au minimum) à son profil utilisateur IAM et signer les demandes d'API avec la clé privée correspondante (reportez-vous à Clés et OCID requis).

Important

Un utilisateur peut automatiquement générer et gérer ses propres clés d'API dans la console ou l'API. Un administrateur n'a pas besoin d'écrire une stratégie pour lui donner cette possibilité. N'oubliez pas qu'un utilisateur ne peut pas utiliser l'API jusqu'à ce qu'il enregistre une clé dans la console, ou qu'un administrateur ajoute une clé pour cet utilisateur dans la console ou l'API.

Si vous disposez d'un système qui doit effectuer des demandes d'API, un administrateur doit créer un utilisateur pour ce système, puis ajouter une clé publique au service IAM pour le système. Il n'est pas nécessaire de générer un mot de passe de console pour l'utilisateur.

Pour obtenir des instructions sur la génération d'une clé d'API, reportez-vous à Ajout d'une clé de signature d'API.

Nous vous recommandons d'ajouter une étiquette à la fin d'une clé privée. Par exemple : 
-----END PRIVATE KEY-----
 OCI_PRIVATE_KEY

Informations d'identification de client OAuth 2.0

Remarque

Les informations d'identification de client OAuth 2.0 ne sont pas disponibles dans United Kingdom Government Cloud (OC4).

Les informations d'identification de client OAuth 2.0 sont requises pour interagir par programmation avec les services qui utilisent le protocole d'autorisation OAuth 2.0. Les informations d'identification vous permettent d'obtenir un jeton sécurisé pour accéder à ces adresses d'API REST de service. Les actions et adresses autorisées par le jeton dépendent des portées (droits d'accès) que vous sélectionnez lors de la génération des informations d'identification. Pour plus d'informations, reportez-vous à Utilisation des informations d'identification de client OAuth 2.0.

Jetons d'authentification

Les jetons d'authentification sont générés par Oracle. Vous utilisez les jetons d'authentification pour vous authentifier auprès d'API tierces qui ne prennent pas en charge l'authentification basée sur une signature Oracle Cloud Infrastructure, comme l'API Swift. Si le service requiert un jeton d'authentification, la documentation propre au service vous indique comment en générer un et comment l'utiliser.

Mots de passe de base de données IAM

Présentation

Un mot de passe de base de données IAM est différent d'un mot de passe de console. La définition d'un mot de passe de base de données IAM permet à un utilisateur IAM autorisé de se connecter à des bases de données autonomes dans sa location.

La centralisation de la gestion des comptes utilisateur dans IAM améliore la sécurité et réduit considérablement la gestion que demandent aux administrateurs de base de données les utilisateurs qui rejoignent et quittent une organisation, ou qui évoluent dans l'organisation (gestion du cycle de vie utilisateur). Les utilisateurs peuvent définir un mot de passe de base de données dans IAM et s'en servir pour s'authentifier lors de la connexion aux bases de données Oracle configurées de façon appropriée dans leur location.

Facilité d'utilisation

Les utilisateurs finals de base de données peuvent continuer à passer par les outils et les clients de base de données pris en charge existants pour accéder à la base de données. Cependant, au lieu de leurs nom utilisateur et mot de passe de base de données locale, ils emploient leur nom utilisateur IAM et leur mot de passe de base de données IAM. Vous pouvez accéder aux mots de passe de base de données que vous gérez via votre profil OCI uniquement après authentification auprès d'OCI. Cela signifie que les administrateurs peuvent créer une couche de protection supplémentaire avant que les utilisateurs puissent accéder à leur mot de passe de base de données ou le gérer. Ils peuvent appliquer l'authentification à plusieurs facteurs sur leur mot de passe de console à l'aide, par exemple, d'un authentificateur FIDO ou de notifications push via des applications d'authentification.

Fonctions prises en charge

Les mots de passe de base de données IAM prennent en charge l'association directe d'un mot de passe de base de données à un utilisateur IAM. Une fois que vous avez défini un mot de passe de base de données dans IAM, vous pouvez l'utiliser pour vous connecter à votre base de données IAM dans votre location, si vous avez été autorisé à accéder à la base de données IAM. Vous devez être mis en correspondance avec un schéma de base de données global pour être autorisé à accéder à la base de données. Reportez-vous à Authentification et autorisation d'utilisateurs IAM pour les bases de données Oracle DBaaS dans le guide de sécurité Oracle Database pour plus d'informations sur la mise en correspondance d'utilisateurs de base de données globaux avec des utilisateurs et des groupes IAM.

Sécurité de mot de passe

Les administrateurs IAM peuvent imposer des couches de sécurité supplémentaires en activant l'autorisation à plusieurs facteurs afin qu'un utilisateur puisse accéder à un mot de passe de base de données dans IAM. Pour plus d'informations sur l'authentification des utilisateurs IAM et l'autorisation sur les bases de données OCI, reportez-vous à Authentification et autorisation d'utilisateurs IAM pour les bases de données Oracle DBaaS dans le guide de sécurité Oracle Database.

Création d'un mot de passe de base de données IAM

Vous pouvez gérer votre propre mot de passe de base de données IAM à l'aide de la console, notamment le créer, le modifier et le supprimer.

La création d'un mot de passe de base de données IAM respecte les mêmes règles que la création d'un mot de passe de console, sauf que le caractère des guillemets (") n'est pas autorisé dans le mot de passe de base de données IAM. Pour savoir comment créer des mots de passe de console, reportez-vous à A propos des règles de stratégie de mot de passe.

Pour créer votre propre mot de passe de base de données IAM, reportez-vous à Procédure de création d'un mot de passe de base de données IAM.

Modification d'un mot de passe de base de données IAM

Vous pouvez gérer votre propre mot de passe de base de données IAM à l'aide de la console, notamment le créer, le modifier et le supprimer. Pour modifier un mot de passe existant, supprimez-le et ajoutez le nouveau mot de passe. Reportez-vous à Procédure de modification d'un mot de passe de base de données IAM.

Suppression d'un mot de passe de base de données IAM

Vous pouvez gérer votre propre mot de passe de base de données IAM à l'aide de la console, notamment le créer, le modifier et le supprimer. Pour supprimer votre mot de passe de base de données IAM, reportez-vous à Procédure de suppression d'un mot de passe de base de données IAM.

Verrouillages de mot de passe de base de données IAM

Echec des tentatives de connexion

Les utilisateurs de base de données IAM et de console sont verrouillés après 10 tentatives de connexion ayant échoué consécutives (au total pour les deux mots de passe). Si vous entrez des informations d'identification incorrectes 10 fois de suite avec le mot de passe de base de données ou IAM, votre compte utilisateur est verrouillé. Seul un administrateur IAM peut déverrouiller votre compte utilisateur.

  • Si vous ne parvenez pas à vous connecter à IAM ou à la base de données après 10 tentatives consécutives (au total pour les deux), votre compte est verrouillé et vous ne pouvez vous connecter ni à la base de données ni à la console.
  • Lorsque votre compte est verrouillé, un administrateur IAM doit le déverrouiller explicitement.
  • IAM ne prend pas en charge le déverrouillage automatique.
  • Le nombre d'échecs de connexion est suivi de manière centralisée dans toutes les régions d'un domaine. Les échecs de connexion sont enregistrés dans votre région d'origine et répliqués vers les régions avec abonnement.

Utilisation des noms utilisateur de base de données IAM

Vous pouvez gérer votre propre nom utilisateur de base de données IAM à l'aide de la console, ce qui vous permet de le créer, de le modifier et de le supprimer.

Vous devrez peut-être modifier le nom utilisateur de base de données :

  • si votre nom utilisateur est trop long ou difficile à saisir,
  • pour faciliter la connexion à l'aide d'un nom utilisateur qui n'inclut pas de caractères spéciaux et peut être plus court.

Les rubriques suivantes expliquent comment gérer un nom utilisateur de base de données IAM.