Documentação do Oracle Cloud Infrastructure

Credenciais do Usuário

Há vários tipos de credenciais que você gerencia com o Oracle Cloud Infrastructure Identity and Access Management (IAM):

  • Senha da Console: para acessar a Console, a interface do usuário para interagir com o Oracle Cloud Infrastructure. Observe que os usuários federados não podem ter senhas da Console porque eles acessam por meio do provedor de identidades. Consulte Federando com Provedores de Identidades.
  • Chave de assinatura da API (no formato PEM): Para enviar solicitações de API, que exigem autenticação.
  • Token de autenticação: Um token gerado pelo Oracle que você pode usar para autenticação com APIs de terceiros. Por exemplo, use um token de autenticação para autenticar com um cliente Swift ao usar o Recovery Manager (RMAN) para fazer backup de um banco de dados do Oracle Database System (Sistema de BD) para o serviço Object Storage.
  • Chaves Secretas do Cliente: Para usar a API de Compatibilidade com Amazon S3 com o serviço Object Storage. Consulte API de Compatibilidade com Amazon S3.
  • Credenciais do Cliente OAuth 2.0: Para interagir com as APIs dos serviços que usam a autorização OAuth 2.0. Consulte Credenciais do Cliente OAuth 2.0.
  • Credenciais SMTP: Para usar a Visão Geral do Serviço Email Delivery.
  • Senha de Banco de Dados do IAM: Os usuários podem criar e gerenciar suas senhas de banco de dados em seus perfis de usuário do serviço IAM e usar a senha para autenticação nos bancos de dados da tenancy. Consulte Senhas de Banco de Dados do IAM.
Importante:

As chaves de assinatura são distintas das chaves SSH que você usa para acessar uma instância de computação (consulte Credenciais de Segurança). Para obter mais informações sobre chaves de assinatura de API, consulte Chaves Necessárias e OCIDs. Para obter mais informações sobre chaves SSH da instância, consulte Gerenciando Pares de Chaves.

Senha do Usuário

O administrador que cria um novo usuário no serviço IAM também precisa gerar uma senha da Console única para o usuário (consulte Para criar ou redefinir a senha da Console de outro usuário). O administrador precisa entregar com segurança a senha ao usuário, fornecendo-a verbalmente, imprimindo-a ou enviando-a por meio de um serviço de e-mail seguro.

Quando o usuário acessar a Console pela primeira vez, ele será imediatamente solicitado a alterar a senha. Se o usuário esperar mais de 7 dias para entrar inicialmente e alterar a senha, ela expirará e um administrador precisará criar uma nova senha única para o usuário.

Quando o usuário acessar com sucesso a Console, ele poderá usar os recursos do Oracle Cloud Infrastructure de acordo com as permissões que ele recebeu por meio de políticas.

Nota

Um usuário automaticamente tem a capacidade de alterar a senha na Console. Um administrador não precisa criar uma política para fornecer a um usuário essa capacidade.

Alterando uma Senha

Se um usuário quiser alterar sua própria senha um pouco após alterar sua senha inicial única, ele poderá fazer isso na Console. Lembre-se de que um usuário pode alterar automaticamente sua própria senha; um administrador não precisa criar uma política para conceder a ele essa capacidade.

Para obter mais informações, consulte Para alterar sua senha da Console.

Se um Usuário Precisar Redefinir sua Senha da Console

Se um usuário esquecer a senha da Console e também não tiver acesso à API, ele poderá usar o link Esqueceu a Senha da Console para que uma senha temporária seja enviada para ele. Esta opção estará disponível se o usuário tiver um endereço de e-mail em seu perfil de usuário.

Se o usuário não tiver um endereço de e-mail em seu perfil de usuário, ele precisará solicitar que um administrador redefina sua senha para eles. Todos os administradores (e qualquer pessoa que tenha permissão para a tenancy) podem redefinir senhas da Console. O processo de redefinição da senha gera uma nova senha única que o administrador precisa entregar ao usuário. O usuário precisará alterar sua senha da próxima vez que acessar a Console.

Se você for um administrador que precisa redefinir a senha da Console de um usuário, consulte Para criar ou redefinir a senha da Console de outro usuário.

Se um Usuário Estiver Impedido de se Conectar à Console

Se um usuário tentar 10 vezes consecutivas acessar a Console sem sucesso, ele será bloqueado automaticamente, e não poderá fazer outras tentativas. Será necessário entrar em contato com um administrador para obter o desbloqueio (consulte Para desbloquear um usuário).

Chaves de Assinatura da API

Um usuário que precisa fazer solicitações de API deve ter uma chave pública RSA no formato PEM (no mínimo 2048 bits) adicionada ao perfil de usuário do serviço IAM e assinar as solicitações de API com a chave privada correspondente (consulte Chaves e OCIDs Obrigatórios).

Importante

Um usuário tem automaticamente a capacidade de gerar e gerenciar suas próprias chaves de API na Console ou na API. Um administrador não precisa gravar uma política para fornecer ao usuário essa capacidade. Lembre-se de que um usuário não pode usar a API para alterar ou excluir suas próprias credenciais até que ele próprio salve uma chave na Console ou que um administrador adicione uma chave para esse usuário na Console ou na API.

Se você tiver um sistema não humano que precise fazer solicitações de API, um administrador precisará criar um usuário para esse sistema e depois adicionar uma chave pública ao serviço IAM do sistema. Não há necessidade de gerar uma senha de Console para o usuário.

Para obter instruções sobre como gerar uma chave de API, consulte Para adicionar uma chave de assinatura de API.

Credenciais do Cliente OAuth 2.0

Observação

As Credenciais do Cliente OAuth 2.0 não estão disponíveis na Nuvem do Setor Governamental do Reino Unido (OC4).

As credenciais do cliente OAuth 2.0 são necessárias para interagir programaticamente com os serviços que usam o protocolo de autorização OAuth 2.0. As credenciais permitem obter um token seguro para acessar esses pontos finais de API REST de serviço. As ações e os pontos finais permitidos concedidos pelo token dependem dos escopos (permissões) que você seleciona quando gera as credenciais. Para obter mais informações, consulte Como Trabalhar com Credenciais do Cliente OAuth 2.0.

Tokens de Autenticação

Tokens de autenticação são tokens de autenticação gerados pelo Oracle. Você usa tokens de autenticação para autenticar com APIs de terceiros que não suportam a autenticação baseada em assinatura do Oracle Cloud Infrastructure, por exemplo, a API Swift. Se seu serviço exigir um token de autenticação, a documentação específica do serviço instruirá você a gerar um e a usá-lo.

Senhas de Banco de Dados do Serviço IAM

Visão geral

Uma senha de banco de dados do serviço IAM é diferente de uma senha da Console. A definição de uma senha de banco de dados do serviço IAM permite que um usuário autorizado do IAM acesse um ou mais Autonomous Databases na tenancy do usuário em questão.

A centralização do gerenciamento de contas de usuário no serviço IAM melhora a segurança e minimiza consideravelmente a necessidade dos administradores de banco de dados de gerenciar as entradas, movimentações e saídas de usuários que ocorrem em uma organização (também conhecido como gerenciamento do ciclo de vida do usuário). Os usuários podem definir uma senha de banco de dados no IAM e usar essa senha para autenticação ao fazer log-in em bancos de dados Oracle configurados de forma apropriada na tenancy.

Fácil de usar

Os usuários finais do banco de dados podem continuar a usar clientes e ferramentas de banco de dados suportados existentes para acessar o banco de dados. No entanto, em vez de usar o nome de usuário e a senha do banco de dados local, eles usam o nome de usuário e a senha do banco de dados do serviço IAM. Você só poderá acessar senhas de banco de dados que gerencia por meio do seu perfil do OCI após a autenticação bem-sucedida no OCI. Isso significa que os administradores podem criar uma camada extra de proteção para que os usuários possam acessar ou gerenciar suas senhas de banco de dados. Eles podem impor a autenticação multifator na senha da Console usando, por exemplo, autenticador FIDO ou notificações push por meio de aplicativos autenticadores.

Funções Suportadas

As senhas de banco de dados do serviço IAM suportam a associação de uma senha de banco de dados diretamente a um usuário do serviço IAM. Depois de definir uma senha de banco de dados no IAM, você poderá usá-la para acessar seu banco de dados IAM em sua tenancy, se tiver sido autorizado a acessar o banco de dados IAM. Você deve estar mapeado para um esquema de banco de dados global para ser autorizado a acessar o banco de dados. Consulte Authenticating and Authorizing IAM Users for Oracle DBaaS Databases no Oracle Database Security Guide para obter mais informações sobre o mapeamento de usuários de banco de dados global para usuários e grupos do serviço IAM.

Segurança de Senha

Os administradores do serviço IAM podem impor camadas extras de acesso de segurança habilitando a autorização multifator para que um usuário possa acessar uma senha de banco de dados no IAM. Consulte Authenticating and Authorizing IAM Users for Oracle DBaaS Databases no Oracle Database Security Guide para obter mais informações sobre como os usuários do serviço IAM são autenticados e autorizados nos bancos de dados do OCI.

Criando uma senha de banco de dados do serviço IAM

Você pode gerenciar sua própria senha de banco de dados do IAM com a Console, inclusive criá-la, alterá-la e excluí-la.

A criação de uma senha de banco de dados do serviço IAM segue as mesmas regras da criação de uma senha da Console, exceto que o caractere de aspas duplas (") não é permitido na senha do banco de dados do IAM. Consulte Sobre as Regras de Política de Senha para obter as regras para criar as senhas da Console.

Para criar sua própria senha do banco de dados do serviço IAM, consulte Para criar uma Senha de Banco de Dados do Serviço IAM.

Alterando uma senha de banco de dados do serviço IAM

Você pode gerenciar sua própria senha de banco de dados do IAM com a Console, inclusive criá-la, alterá-la e excluí-la. Para alterar uma senha existente, exclua-a e adicione a nova senha. Consulte Para alterar uma Senha de Banco de Dados do Serviço IAM.

Excluindo uma senha de banco de dados do serviço IAM

Você pode gerenciar sua própria senha de banco de dados do IAM com a Console, inclusive criá-la, alterá-la e excluí-la. Para excluir sua senha de banco de dados do serviço IAM, consulte Para Excluir uma Senha de Banco de Dados do Serviço IAM.

Bloqueios de Senha de Banco de Dados do Serviço IAM

Tentativas de log-in com falha

Os usuários do banco de dados do serviço IAM e da Console são bloqueados após 10 tentativas consecutivas de log-in com falha (total de ambas as senhas). Se você digitar 10 log-ins incorretos consecutivos usando o banco de dados ou as senhas do serviço IAM, sua conta de usuário será bloqueada. Somente um administrador do serviço IAM pode desbloquear sua conta de usuário.

  • Se você não conseguir acessar o serviço IAM ou o banco de dados após 10 tentativas consecutivas (total de ambas), sua conta será bloqueada e você não poderá acessar o banco de dados nem a Console.
  • Quando você for bloqueado, um administrador do serviço IAM deverá desbloquear explicitamente sua conta.
  • O serviço IAM não suporta desbloqueio automático.
  • Uma contagem de log-ins com falha é rastreada centralmente em todas as regiões de um realm. Os log-ins com falha são registrados em sua região home e replicados nas regiões assinadas.

Trabalhando com Nomes de Usuários do Banco de Dados do Serviço IAM

Você pode gerenciar seu próprio nome de usuário de banco de dados do IAM com a Console, inclusive criá-lo, alterá-lo e excluí-lo.

Talvez seja necessário alterar o nome do usuário do banco de dados:

  • Se o seu nome de usuário for muito longo ou difícil de digitar
  • Facilitar o log-in com um nome de usuário que não inclua caracteres especiais e possa ser menor

Os tópicos a seguir explicam como gerenciar um nome de usuário de banco de dados do serviço IAM.