Gerenciando Usuários
Este tópico descreve os conceitos básicos sobre como trabalhar com usuários.
Caso sua tenancy seja federada com o Oracle Identity Cloud Service, consulte Gerenciando Usuários e Grupos do Oracle Identity Cloud Service na Console do Oracle Cloud Infrastructure para gerenciar usuários.
Política do Serviço IAM Obrigatória
Se você estiver no grupo Administradores, terá o acesso necessário para gerenciar usuários.
- Você pode criar uma política que dá a alguém o poder de criar novos usuários e credenciais, mas não controlar em quais grupos esses usuários estão. Consulte Permitir que o Help Desk gerencie usuários.
Se você for novo em políticas, consulte Conceitos Básicos de Políticas e Políticas Comuns. Se quiser mais detalhes sobre como criar políticas para usuários ou outros componentes do serviço IAM, consulte Detalhes do Serviço IAM sem Domínios de Identidade.
Aplicando Tags em Recursos
Aplique tags aos seus recursos para ajudar a organizá-los de acordo com as necessidades da sua empresa. Aplique tags no momento da criação de um recurso ou atualize-o posteriormente com as tags desejadas. Para obter informações gerais sobre a aplicação de tags, consulte Tags de Recursos.
Como Trabalhar com Usuários
Ao criar um usuário, você deve fornecer um nome exclusivo e inalterável para o usuário. O nome deve ser exclusivo em todos os usuários em sua tenancy. Esse nome é o log-in do usuário na Console. Talvez você queira usar um nome que já esteja sendo usado pelo sistema de identidades da sua empresa (por exemplo, Active Directory, LDAP etc.). Você também deve fornecer ao usuário uma descrição (embora possa ser uma string vazia), que é uma descrição que não é exclusiva e que pode ser alterada para o usuário. Esse valor pode ser o nome completo, um apelido ou outras informações descritivas do usuário. A Oracle também designa ao usuário um ID exclusivo chamado OCID (Oracle Cloud ID). Para obter mais informações, consulte Identificadores de Recursos.
Se você excluir um usuário e depois criar um novo usuário com o mesmo nome, os dois serão considerados usuários distintos, porque eles terão OCIDs diferentes.
O sistema Oracle recomenda que você forneça um endereço de e-mail para recuperação de senha para o usuário. Se o usuário esquecer a senha, ele poderá solicitar que uma senha temporária seja enviada a ele usando o link Esqueceu a Senha na página de acesso. Se nenhum endereço de e-mail estiver presente para o usuário, um administrador deverá intervir para redefinir sua senha.
Um novo usuário não tem permissões até que você coloque o usuário em um ou mais grupos e haja pelo menos uma política que dê a esse grupo permissão para a tenancy ou um compartimento. Exceção: cada usuário pode gerenciar suas próprias credenciais para as quais ele foi ativado. Um administrador não precisa criar uma política para fornecer a um usuário essa capacidade. Para obter mais informações, consulte Credenciais do Usuário.
Depois de criar um novo usuário e colocá-lo em um grupo, informe a qual(is) compartimento(s) ele tem acesso.
Você também precisa fornecer ao novo usuário algumas credenciais para que ele possa acessar o Oracle Cloud Infrastructure. Um usuário pode ter uma ou ambas as credenciais a seguir, dependendo do tipo de acesso necessário: Uma senha para usar a Console e uma chave de assinatura da API para usar a API.
Sobre Recursos do Usuário
Para acessar o Oracle Cloud Infrastructure, um usuário deve ter as credenciais necessárias. Os usuários que precisam usar a Console devem ter uma senha. Os usuários que precisam de acesso por meio da API precisam de chaves de API. Alguns recursos de serviço exigem credenciais adicionais, como tokens de autenticação, credenciais SMTP e chaves de API de Compatibilidade com o Amazon S3. Para que um usuário obtenha essas credenciais, o usuário deve ter a capacidade de ter o tipo de credencial.
Os administradores gerenciam os recursos do usuário nos detalhes do Usuário. Cada usuário pode ver seus recursos, mas apenas um Administrador pode habilitá-los ou desabilitá-los. Os recursos do usuário são:
- Pode usar a senha da Console (somente para usuários nativos)
- Pode usar chaves de API
- Pode usar tokens de autenticação
- Pode usar credenciais SMTP
- Pode usar chaves secretas do cliente
Por padrão, todos esses recursos são ativados quando você cria novos usuários, permitindo que eles criem essas credenciais para si mesmos. Para obter informações sobre como trabalhar com credenciais do usuário, consulte Gerenciando Credenciais do Usuário.
Ativando a Autenticação multifator para um Usuário
Consulte Managing Multifactor Authentication para obter detalhes.
Acessando a Console
Os usuários criados por meio deste procedimento são criados no serviço IAM e, às vezes, são chamados de "usuários locais." Se a sua tenancy for federada com outro provedor de identidades (como Oracle Identity Cloud Service, Azure AD ou Okta), sua página de acesso à Console exibirá duas opções de acesso. Os usuários locais que você cria no serviço IAM usam a opção Oracle Cloud Infrastructure para acesso, conforme mostrado na seguinte imagem:
Se sua tenancy não for federada, você só terá uma opção de acesso.
Rastreando Atividade de Acesso Recente
A página da lista Usuários exibe informações para ajudar os administradores a determinar se as contas de usuário estão ativas. O campo Último acesso registrado exibe a data e a hora em que o usuário acessou o Oracle Cloud Infrastructure pela última vez usando a Console ou usando o Oracle DB integrado ao serviço IAM. Para acessos da Console, o timestamp é o último acesso à Console. Para acessos que usam o Oracle DB integrado ao serviço IAM, os timestamps podem ter um buffer de até 15 minutos desde o Último acesso registrado. Esse campo só é exibido na view em lista de todos os usuários. Ele não é exibido na página de detalhes do usuário individual.
Esse campo só rastreia os acessos da Console ou do Oracle DB integrado ao serviço IAM. Se um usuário acessar o Oracle Cloud Infrastructure por meio de outros métodos de acesso (por exemplo, por meio do SDK), esses acessos não serão rastreados.
Vinculando um Usuário a uma Conta do My Oracle Support
Para arquivar solicitações de suporte diretamente da Console, cada usuário deve vincular sua conta de usuário do serviço IAM com sua conta no MOS (My Oracle Support). Só é necessário realizar essa etapa uma vez. Para obter instruções, consulte Para vincular um usuário à conta do My Oracle Support.
Pré-requisitos
- Para que um usuário possa criar esse link, ele deve configurar uma conta no My Oracle Support. Para obter informações sobre a configuração de uma conta do My Oracle Support, consulte Criando uma Conta do Oracle Single Sign On (SSO).
- Para que um usuário possa enviar solicitações de serviço para uma tenancy, sua conta do My Oracle Support deve estar associada ao número CSI da tenancy. Consulte Registrando o CSI do Oracle Cloud Infrastructure.
Cancelando o Bloqueio de um Usuário após Tentativas de Acesso Malsucedidas
Se um usuário tentar 10 vezes seguidas acessar a Console sem sucesso, ele será bloqueado para outras tentativas de acesso. Um administrador pode desbloquear o usuário na Console (consulte Para desbloquear um usuário) ou com a operação de API UpdateUserState.
Excluindo um usuário
Você pode excluir um usuário, mas somente se o usuário não for membro de qualquer grupo.
Limites de Usuários
Para obter informações sobre o número de usuários que você pode ter, consulte Limites do Serviço.
Usando a Console
- Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Usuários. Uma lista dos usuários em sua tenancy será exibida.
- Clique em Criar Usuário.
- Informe o seguinte:
- Nome: Um nome ou endereço de e-mail exclusivo para o usuário. Para obter dicas sobre o valor a ser usado, consulte Como Trabalhar com Usuários. O nome deve ser exclusivo em todos os usuários em sua tenancy. Não é possível alterar esse valor posteriormente. O nome deve atender aos seguintes requisitos: Sem espaços. Somente letras Latim Básicas (ASCII), números, hifens, pontos, sublinhados, + e @.
- Descrição: Esse valor pode ser o nome completo do usuário, um apelido ou outras informações descritivas. Você pode alterar esse valor posteriormente.
E-mail: Informe um endereço de e-mail para o usuário. Este e-mail será usado para recuperação de senha. O endereço de e-mail deve ser exclusivo na tenancy.
Se o usuário esquecer a senha, ele poderá clicar em Esqueci a Senha na página de acesso, e uma senha temporária será gerada automaticamente e enviada para o endereço de e-mail fornecido aqui. O usuário ou um administrador também pode atualizar o endereço de e-mail posteriormente.
- Tags: Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deve ter permissões para usar o namespace da tag. Para obter mais informações sobre tags, consulte Tags de Recursos. Se você não tiver certeza se deseja aplicar tags, ignore esta opção ou pergunte a um administrador. Você pode aplicar tags posteriormente.
- Clique em Criar.
Em seguida, você precisa dar ao usuário permissões adicionando-o a pelo menos um grupo. Você também precisa fornecer ao usuário as credenciais necessárias (consulte Gerenciando Credenciais do Usuário).
- Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Usuários. Uma lista dos usuários em sua tenancy será exibida.
- Localize o usuário na lista.
- Clique no usuário. Os detalhes do usuário são exibidos.
- Clique em Grupos.
- Clique em Adicionar Usuário ao Grupo.
- Selecione o grupo na lista drop-down e, em seguida, clique em Adicionar.
Informe ao usuário a qual(is) compartimento(s) ele tem acesso.
- Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Usuários. Uma lista dos usuários em sua tenancy será exibida.
- Localize o usuário na lista.
- Clique no usuário. Os detalhes do usuário são exibidos.
- Clique em Grupos.
- Clique no menu Ações (
) e, em seguida, clique em Remover. - Confirme quando solicitado.
Pré-requisito: Para excluir um usuário, o usuário não deve estar em qualquer grupo.
- Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Usuários. Uma lista dos usuários em sua tenancy será exibida.
- No usuário que você deseja excluir, clique em Excluir.
- Confirme quando solicitado.
Se você for um administrador, poderá usar o procedimento a seguir para desbloquear um usuário que tentou 10 vezes seguidas acessar a Console sem sucesso.
- Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Usuários. Uma lista dos usuários em sua tenancy será exibida.
- Clique no usuário. Os detalhes do usuário são exibidos, incluindo o status atual.
- Clique em Desbloquear.
- Confirme quando solicitado.
- Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Usuários. Uma lista dos usuários em sua tenancy será exibida.
- Clique no usuário que deseja atualizar. Os detalhes do usuário são exibidos. A descrição é exibida embaixo do login do usuário.
- Clique no lápis ao lado da descrição.
- Edite a descrição e salve-a.
- Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Usuários. Uma lista dos usuários em sua tenancy será exibida.
- Clique no usuário que deseja atualizar. Os detalhes do usuário são exibidos.
- Em Informações do Usuário, clique no lápis ao lado doE-mail.
- Insira o endereço de e-mail e clique no ícone Salvar. O endereço de e-mail deve ser exclusivo na tenancy.
Caso seja um Administrador, você pode editar os recursos do usuário.
- Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Usuários. Uma lista dos usuários em sua tenancy será exibida.
- Clique no usuário para ver os detalhes.
- Clique em Editar Recursos do Usuário.
- Marque ou desmarque a caixa de seleção para adicionar ou remover um recurso.
- Clique em Salvar.
Importante: Certifique-se de atender aos pré-requisitos antes de vincular sua conta. Consulte Vinculando um Usuário a uma Conta do My Oracle Support.
- Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Usuários. Uma lista dos usuários em sua tenancy será exibida.
- Clique no usuário que deseja atualizar. Os detalhes do usuário são exibidos.
- Clique em Vincular Conta de Suporte. A página de acesso à conta da Oracle solicita que você informe suas credenciais do sistema Oracle.
- Digite o Nome de usuário e a Senha da conta de suporte do Suporte Técnico da Oracle que você deseja vincular a este usuário e clique em Acessar. A conta de usuário do serviço IAM está vinculada à conta do Suporte Técnico da Oracle. O endereço de e-mail associado à conta de suporte é exibido nos detalhes do usuário no campo conta do My Oracle Support.
- Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Usuários. Uma lista dos usuários em sua tenancy será exibida.
- Clique no usuário que deseja atualizar. Os detalhes do usuário são exibidos.
- Clique em Desvincular Conta de Suporte.
- No prompt de confirmação, clique em Desvincular.
Para obter informações sobre o gerenciamento de credenciais do usuário na Console, consulte Gerenciando Credenciais do Usuário.
Usando a API
Para obter informações sobre como usar a API e assinar solicitações, consulte a documentação da API REST e Credenciais de Segurança. Para obter informações sobre SDKs, consulte SDKs e a CLI.
As Atualizações Não São Imediatas em Todas as Regiões
Seus recursos do serviço IAM residem na sua região local. Para impor a política em todas as regiões, o serviço IAM replica seus recursos em cada região. Sempre que você cria ou altera uma política, um usuário ou um grupo, as alterações entram em vigor primeiro na região local e depois são propagadas para suas outras regiões. Pode levar alguns minutos para que as alterações tenham efeito em todas as regiões. Por exemplo, suponha que você tenha um grupo com permissões para iniciar instâncias na tenancy. Se você adicionar o UserA a este grupo, o UserA poderá iniciar instâncias na sua região home em um minuto. No entanto, o UserA não poderá iniciar instâncias em outras regiões até que o processo de replicação seja concluído. Esse processo pode levar alguns minutos. Se o UserA tentar iniciar uma instância antes da conclusão da replicação, será exibido um erro não autorizado.
Use estas operações de API para gerenciar usuários:
- CreateUser
- ListUsers
- GetUser
- UpdateUserState: Desbloqueia um usuário que tentou acessar 10 vezes seguidas sem sucesso.
- UpdateUser: Você pode atualizar a descrição, o e-mail e as tags do usuário.
- UpdateUserCapabilities
- DeleteUser
- ListUserGroupMemberships: Use esta operação para obter uma lista de quais usuários estão em um grupo ou em qual grupo um usuário está.
- AddUserToGroup: Esta operação resulta em um objeto
UserGroupMembershipcom seu próprio OCID. - GetUserGroupMembership
- RemoveUserFromGroup: Esta operação exclui um objeto
UserGroupMembership.
Para obter informações sobre as operações da API para gerenciar credenciais do usuário, consulte Gerenciando Credenciais do Usuário.