Tipos de Domínio de Identidades do Serviço IAM
Conheça os tipos de domínio de identidades e os recursos e limites associados a cada um.
Um domínio de identidades do serviço IAM é implantado com um dos cinco tipos de domínio de identidades. Cada tipo de domínio de identidade é associado a outro conjunto de recursos e limites de objeto. Use essas informações para decidir qual tipo de domínio é apropriado para o que você deseja fazer.
Esta seção resume:
- Os diferentes tipos de domínio de identidades. Consulte Noções Básicas de Tipos de Domínio de Identidades.
- Os recursos associados a cada tipo. Consulte Disponibilidade de Recursos para Tipos de Domínio de Identidades.
- O número de diferentes tipos de objeto para cada tipo de domínio de identidades. Consulte Limites de Objetos do Domínio de Identidades do Serviço IAM.
- Tipos de dados suportados para atributos personalizados e seus limites. Consulte Tipos de Dados para Atributos Personalizados.
- Limite de taxa para APIs de diferentes tipos de domínio de identidades. Consulte Limites de Taxa de API.
- Medidores usados para diferentes tipos de domínio de identidades. Consulte Metros para Tipos de Domínio de Identidades.
- Como alterar para outro tipo de domínio de identidades, consulte Alterando o Tipo de Domínio de Identidades.
Esta seção tem informações sobre domínios de identidades e os vários recursos e limites associados a cada tipo de domínio de identidades. Para obter informações sobre limites no nível da tenancy do serviço IAM, consulte IAM com Limites de Domínios de Identidade.
Noções Básicas de Tipos de Domínio de Identidades
O serviço IAM tem cinco tipos de domínio de identidades para atender a diferentes necessidades organizacionais. Comece aqui para entender qual se adapta melhor aos seus requisitos e qual tipo escolher ao criar um domínio de identidades.
Este é um resumo dos tipos de domínio de identidades. Decida qual oferece o melhor ajuste para seus requisitos e verifique os recursos e limites abaixo para o que você obtém com esse tipo de domínio de identidades para selecionar o tipo de domínio de identidades certo para você.
Gratuito
Ao criar uma tenancy do OCI, você recebe automaticamente um domínio de identidades Grátis. Esse tipo de domínio permite que você use o serviço IAM para gerenciar o acesso aos recursos de Infraestrutura e Plataforma do OCI. Use esse tipo de domínio para saber mais sobre o serviço IAM e gerenciar o acesso aos recursos IaaS e PaaS do OCI. Esse tipo de domínio deve incluir tudo o que você precisa para gerenciar o OCI. No entanto, caso precise de limites mais altos ou recursos adicionais, você poderá mudar para outro tipo de domínio de identidades.
Exemplo de Caso de uso: Sua organização usa o Oracle Cloud e seus administradores de nuvem precisam de acesso seguro para gerenciar os serviços inscritos do OCI.
Aplicativos Oracle
Alguns serviços Oracle PaaS e aplicativos SaaS oferecem a seus clientes um domínio de identidades dos Aplicativos Oracle que permite usar o serviço IAM para gerenciar o acesso ao serviço assinado. Na maioria dos casos, o domínio de identidades é fornecido pelo serviço no momento do provisionamento ou um domínio pré-existente se tornará automaticamente um domínio do Oracle Apps quando um serviço registrado for anexado a ele. Esse tipo de domínio deve incluir tudo o que você precisa para gerenciar o acesso ao seu serviço Oracle inscrito. No entanto, caso precise de limites mais altos ou recursos adicionais, você poderá mudar para outro tipo de domínio de identidades.
Exemplo de Caso de Uso: Sua organização se inscreve em um serviço Oracle PaaS ou SaaS que fornece um domínio de identidades do Oracle Apps com seu serviço. Você pode usar esse tipo de domínio para gerenciar o acesso aos serviços PaaS e SaaS da Oracle. Você também pode ter um ou dois aplicativos de terceiros nos quais deseja que os usuários façam sign-in facilmente sem precisar se autenticar novamente.
Aplicativos Oracle Premium
Os domínios de identidades dos Aplicativos Oracle Premium adicionam suporte a cenários do serviço IAM híbridos que estendem o serviço IAM para gerenciar o acesso a aplicativos Oracle locais ou hospedados no OCI, como Oracle E-Business Suite, PeopleSoft e Oracle Database. Embora esse tipo de domínio de identidades seja destinado principalmente para uso com aplicativos Oracle, ele também permite que você gerencie o acesso para um número limitado de aplicativos de terceiros ou personalizados.
Exemplo de Caso de Uso: Sua organização gostaria de ativar a autenticação e o sign-on único para que os usuários da força de trabalho acessem aplicativos Oracle SaaS, bem como aplicativos Oracle locais ou hospedados na nuvem, como E-Business Suite, JD Edwards, PeopleSoft, Siebel e/ou Oracle Database. Você também pode querer uma sincronização bidirecional com o Microsoft Active Directory ou outros sistemas on-premises e pode ter alguns aplicativos de terceiros ou personalizados para os quais você gostaria que os usuários se conectassem facilmente sem precisar se autenticar novamente.
Premium
Os domínios de identidade do Premium fornecem o conjunto completo de recursos do serviço IAM e os limites mais altos para casos de uso de funcionários e força de trabalho, oferecendo gerenciamento de acesso pronto para a empresa entre ambientes de TI híbridos. Inclui todos os tipos de integração suportados e aplicativos ilimitados de terceiros. Esse é o tipo de domínio ideal se você estiver padronizando no OCI IAM como seu provedor de gerenciamento de identidade e acesso empresarial.
Exemplo de Caso de Uso: Você deseja que uma solução Identity-as-a-Service (IDaaS) gerencie a autenticação da força de trabalho e o acesso a todos os seus aplicativos Oracle e de terceiros, quer sejam aplicativos SaaS, aplicativos empresariais locais ou aplicativos hospedados na nuvem. Você deseja usar recursos modernos de autenticação e autorização, como autenticação sem senha, tokens de hardware do FIDO2 e segurança adaptativa. Você também pode querer provisionamento e desprovisionamento automatizados de contas nesses sistemas.
Usuário Externo
Os domínios de identidade externos fornecem um conjunto robusto de recursos do serviço IAM para casos de uso que não são de funcionários, aplicativos voltados ao consumidor e o desenvolvimento de aplicativos personalizados. Esse tipo de domínio fornece recursos relevantes para esses cenários, como autoatendimento do usuário, acesso social e gerenciamento de consentimento.
Os domínios de identidades externos só são licenciados para contas de usuário que não são funcionários. Se suas necessidades comerciais exigirem que você tenha contas de usuário de funcionário armazenadas em um domínio de identidades Externo (por exemplo, se um aplicativo suportar apenas um provedor de identidades), isso só será permitido se essas contas de usuário também existirem em outro domínio de identidades do tipo Gratuito, Aplicativos Oracle, Aplicativos Oracle Premium ou Premium.
Exemplo de Caso de Uso: Você deseja uma solução de Identity-as-a-Service (IDaaS) completa que ajude a gerenciar a autenticação e o acesso a aplicativos personalizados ou voltados para o consumidor. A solução deve suportar o acesso social, a senha de autoatendimento do usuário e o gerenciamento de perfil, além de termos de consentimento de uso. E você pode precisar que a solução seja dimensionada para oferecer suporte a milhões de usuários.
Disponibilidade de Recursos para Tipos de Domínio de Identidades
Entenda os recursos disponíveis para os diferentes tipos de domínio de identidades.
Esta tabela mostra os recursos disponíveis para cada tipo de domínio.
Recurso | Gratuito | Aplicativos Oracle | Aplicativos Oracle Premium | Premium | Usuário Externo |
---|---|---|---|---|---|
Recursos básicos do serviço IAM | |||||
Gerenciamento de usuários e grupos | |||||
Autorregistro do usuário final | - | ||||
Gerenciamento de perfis de autoatendimento | |||||
Recuperação de conta (redefinição de senha de autoatendimento por e-mail, SMS, perguntas de segurança) | SMS não faz parte do tipo de domínio Gratuito |
||||
Política de senha padrão | |||||
Política de senha baseada em grupo | |||||
Suporte para Aplicativos Externos1 | |||||
SSO de saída para aplicativos de terceiros | Limite de 2 aplicativos externos |
Limite de 2 aplicativos externos |
Limite de 10 aplicativos externos |
Ilimitado |
Ilimitado |
Provisionamento para aplicativos de terceiros usando o Catálogo de Aplicativos | Limite de 2 aplicativos externos |
Limite de 2 aplicativos externos |
Limite de 10 aplicativos externos |
Ilimitado |
- |
Gerenciamento de OAuth/token para aplicativos de terceiros | Limite de 2 aplicativos externos |
Limite de 2 aplicativos externos |
Limite de 10 aplicativos externos |
Ilimitado |
Ilimitado |
Modelo de aplicativo SCIM genérico | Limite de 2 aplicativos externos |
Limite de 2 aplicativos externos |
Limite de 10 aplicativos externos |
Ilimitado |
Ilimitado |
Gerenciar o Acesso ao Oracle Cloud Infrastructure | |||||
Todos os recursos atuais de Infrastructure as a Service do serviço IAM | - | ||||
Gerenciar acesso a recursos do OCI | - | ||||
Grupos dinâmicos (para OCI) | - | ||||
Tipos de credenciais específicos do OCI | - | ||||
Opções de Segurança | |||||
IdPs externos e log-in social (Federação / SSO de Entrada) | 5 IdPs externo |
5 IdPs externo |
30 IdPs externo |
30 IdPs externo |
30 IdPs externo |
Políticas de roteamento de IdP flexíveis | |||||
Termos de uso | |||||
Provisionamento just-in-time | |||||
Suporte a cartões PIV/CAC | |||||
Extensões de esquema | |||||
Administração delegada | |||||
Sincronização unidirecional do Active Directory que suporta a sincronização de entrada do AD com o domínio de identidades do serviço IAM | - | ||||
Opções de Autenticação: Oracle Mobile Authenticator (MFA) e segurança adaptativa (MFA - TOTP e push, chamada telefônica, perguntas de segurança, FIDO2, DUO e-mail). | SMS não faz parte do tipo de domínio Gratuito |
||||
Autenticação sem senha | |||||
Políticas de acesso (condições - autenticadas por, grupos, administradores, exclusões, perímetro de rede, mecanismo de risco incorporado) | |||||
SDKs de Aplicativos | |||||
Oracle SaaS Integration | |||||
SSO para serviços do Oracle Cloud | |||||
Provisionamento de usuários para serviços do Oracle Cloud (com formulário de conta, atributos personalizados, filtros etc.) | - | ||||
Gerenciamento de OAuth/Token para Aplicativo Oracle e extensões SaaS2 | - | ||||
Relatórios | |||||
Auditoria e relatórios | |||||
Marca | |||||
Aparência personalizada | |||||
Acesso hospedado | - | - | |||
Recursos avançados e híbridos de gerenciamento de identidade e acesso | |||||
Serviço IAM Avançado | |||||
Sincronização bidirecional com LDAP por meio da ponte de provisionamento | - | - | - | ||
Sincronização bidirecional com a ponte do AD | - | - | - | ||
Autenticação delegada por meio da ponte do AD | - | - | - | ||
SSO para qualquer aplicativo | |||||
IAM Híbrido | |||||
Gateway de Aplicativo (para qualquer aplicativo empresarial) | - | - | Somente aplicativos Oracle empresariais |
Qualquer aplicativo empresarial |
Qualquer aplicativo empresarial |
Mecanismo de Asserção do EBS3 | - | - | |||
Proxy RADIUS (todos - Oracle DB, VPNs, dispositivos de rede etc.) | - | - | Oracle DB somente |
Todos - Oracle DB, VPNs, Dispositivos de Rede etc. |
- |
Linux PAM | - | - | - |
1 Aplicativos externos ou de terceiros são definidos como aplicativos comerciais oferecidos por um provedor diferente da Oracle ou como aplicativos desenvolvidos personalizados (incluindo, por exemplo, aplicativos criados no OCI usando o APEX). Observe que os aplicativos personalizados criados usando o Visual Builder Cloud Service não contam com o limite de aplicativos externos.
2 SaaS Extensions são aplicativos desenvolvidos personalizados que só são usados como extensões para aplicativos Oracle SaaS assinados, como HCM, ERP, SCM etc. O único propósito desses aplicativos é aumentar os aplicativos Oracle SaaS. Eles não contam contra o limite de aplicativos externos.
3 O direito de usar o Oracle E-Business Suite Asserter também inclui o direito de usar o WebLogic Server Enterprise Edition exclusivamente para fins de executar o aplicativo asserter de acordo com todos os termos e condições descritos no Oracle Fusion Middleware Licensing Information User Manual.
Limites de Objeto do Domínio de Identidades do Serviço IAM
Entenda o número de diferentes tipos de objeto permitidos em cada tipo de domínio de identidades.
Você pode criar diferentes tipos de domínio de identidades sujeitos ao limite permitido pelo seu tipo de assinatura. Para descobrir os limites do domínio de identidades de cada tipo de assinatura, consulte Serviço IAM com Limites de Domínios de Identidade.
Recurso | Gratuito | Aplicativos Oracle | Aplicativos Oracle Premium | Premium | Usuário Externo |
---|---|---|---|---|---|
Usuários | 2.000 | 1.000.000 | 1.000.000 | 1.000.000 | 100.000.000 |
Grupos | 250 | 10.000 | 100.000 | 100.000 | 100.000 |
Usuários em um grupo | 2.000 | 10.000 | 100.000 | 100.000 | 100.000 |
Grupos por usuário | 250 | 500 | 5.000 | 5.000 | 5.000 |
Políticas de senha padrão e baseadas em grupo | 10 | 10 | 10 | 10 | 10 |
Aplicativos não Oracle 1 | 2 | 2 2 | 10 2 | 5.000 | 5.000 |
Aplicativos Oracle Cloud | 2.000 | 2.000 | 2.000 | 2.000 | - |
Aplicativos empresariais | - | - | 500 (Somente aplicativos Oracle empresariais) |
500 | 500 |
Proxy RADIUS | - | - | 50 | 50 | - |
Domínios do AD (Active Directory) | 2 | 10 | 20 | 20 | - |
Pontes de domínio ativas por domínio do AD | 4 | 10 | 10 | 10 | - |
Pontes de provisionamento | 4 | 10 | 10 | 10 | - |
Gateway de Aplicativo | - | - | 20 | 20 | 20 |
Provedores de Identidade Externos e Log-in Social (IdPs)(Federação/SSO de entrada) | 5 | 5 | 30 | 30 | 30 |
Políticas do IdP | 5 | 5 | 100 | 100 | 100 |
Termos Legais de Uso | 500 | 500 | 500 | 500 | 500 |
Políticas de acesso | 5 | 5 | 200 | 200 | 200 |
Perfis de autorregistro | - | 50 | 50 | 50 | 50 |
Grupos dinâmicos | 50 | 50 | 50 | 50 | - |
Chave de API por usuário | 3 | 3 | 3 | 3 | - |
Token de autenticação por usuário | 2 | 2 | 2 | 2 | - |
Credenciais do cliente OAuth2 por usuário | 10 | 10 | 10 | 10 | - |
Credenciais SMTP | 2 | 2 | 2 | 2 | - |
Chave secreta do cliente por usuário | 2 | 2 | 2 | 2 | - |
Credenciais do banco de dados por usuário | 2 | 2 | 2 | 2 | - |
OAuth Certificado do Cliente | 20 | 200 | 200 | 20.000 | 20.000 |
OAuth Certificados do Parceiro | 20 | 20 | 100 | 100 | 100 |
Certificados do parceiro confiável | 20 | 20 | 100 | 100 | 100 |
1 Aplicativos não Oracle ou de terceiros são definidos como aplicativos comerciais oferecidos por um provedor diferente da Oracle ou como aplicativos desenvolvidos personalizados (incluindo, por exemplo, aplicativos criados no OCI usando o APEX). Observe que os aplicativos personalizados criados usando o Visual Builder Cloud Service não contam com o limite de aplicativos externos.
2 Os limites do número de aplicativos não pertencentes à Oracle ou de terceiros para os tipos de domínio Oracle Apps e Oracle Apps Premium não são aplicados temporariamente. Eles serão aplicados no futuro.
Tipos de Dados para Atributos Personalizados
Consulte os tipos de dados suportados para atributos personalizados e seus limites. Eles se aplicam a todos os tipos de domínio de identidades.
Tipos de Dados | Limite |
---|---|
String de 4K de caracteres Indexada (pesquisável) | 84 |
String de 40 caracteres Indexada (pesquisável) | 5 |
String de 4K de caracteres Não Indexada | 36 |
String de 40 caracteres Não Indexada | 15 |
Inteiro | 20 |
Limites de Taxa de API
Entenda o limite de taxa para APIs de diferentes tipos de domínio de identidades.
As APIs da Oracle estão sujeitas ao limite de taxa para proteger o uso do serviço de API para todos os clientes da Oracle. Se você atingir o limite de API para o tipo de domínio de identidades, o serviço IAM retornará um código de erro 429.
Limites de Taxa para todos os Tipos de Domínio de Identidades
Grupo de APIs | Por | Gratuito | Aplicativos Oracle | Aplicativos Oracle Premium | Premium | Usuário Externo |
---|---|---|---|---|---|---|
AuthN | segundo | 10 | 50 | 80 | 95 | 90 |
AuthN | minuto | 150 | 1000 | 2100 | 4500 | 3100 |
Gerenciamento de token | segundo | 10 | 40 | 50 | 65 | 60 |
Gerenciamento de token | minuto | 150 | 1000 | 1700 | 3400 | 2300 |
Outros | segundo | 20 | 50 | 55 | 90 | 80 |
Outros | minuto | 150 | 1500 | 1750 | 5000 | 4000 |
Em Massa | segundo | 5 | 5 | 5 | 5 | 5 |
Em Massa | minuto | 200 | 200 | 200 | 200 | 200 |
Importar e exportar | dia | 4 | 8 | 10 | 10 | 10 |
APIs em Grupos de API
Os limites da API se aplicam ao total de todas as APIs de um grupo.
/sso/v1/user/login
/sso/v1/user/secure/login
/sso/v1/user/logout
/sso/v1/sdk/authenticate
/sso/v1/sdk/session
/sso/v1/sdk/idp
/sso/v1/sdk/secure/session
/mfa/v1/requests
/mfa/v1/users/{userguid}/factors
/oauth2/v1/authorize
/oauth2/v1/userlogout
/oauth2/v1/consent
/fed/v1/user/request/login
/fed/v1/sp/sso
/fed/v1/idp/sso
/fed/v1/idp/usernametoken
/fed/v1/metadata
/fed/v1/mex
/fed/v1/sp/slo
/fed/v1/sp/initiatesso
/fed/v1/sp/ssomtls
/fed/v1/idp/slo
/fed/v1/idp/initiatesso
/fed/v1/idp/wsfed
/fed/v1/idp/wsfedsignoutreturn
/fed/v1/user/response/login
/fed/v1/user/request/logout
/fed/v1/user/response/logout
/fed/v1/user/testspstart
/fed/v1/user/testspresult
/admin/v1/SigningCert/jwk
/admin/v1/HTTPAuthenticator
/admin/v1/PasswordAuthenticator
/admin/v1/Asserter
/admin/v1/MyAuthenticationFactorInitiator
/admin/v1/MyAuthenticationFactorEnroller
/admin/v1/MyAuthenticationFactorValidator
/admin/v1/MyAuthenticationFactorsRemover
/admin/v1/TermsOfUseConsent
/admin/v1/MyTermsOfUseConsent
/admin/v1/TrustedUserAgents
/admin/v1/AuthenticationFactorInitiator
/admin/v1/AuthenticationFactorEnroller
/admin/v1/AuthenticationFactorValidator
/admin/v1/MePasswordResetter
/admin/v1/UserPasswordChanger
/admin/v1/UserLockedStateChanger
/admin/v1/AuthenticationFactorsRemover
/admin/v1/BypassCodes
/admin/v1/MyBypassCodes
/admin/v1/MyTrustedUserAgents
/admin/v1/Devices
/admin/v1/MyDevices
/admin/v1/TermsOfUses
/admin/v1/TermsOfUseStatements
/admin/v1/AuthenticationFactorSettings
/admin/v1/SsoSettings
/admin/v1/AdaptiveAccessSettings
/admin/v1/RiskProviderProfiles
/admin/v1/Threats
/admin/v1/UserDevices
/session/v1/SessionsLogoutValidator
/ui/v1/signin
/oauth2/v1/token
/oauth2/v1/introspect
/oauth2/v1/revoke
/oauth2/v1/device
/job/v1/JobSchedules?jobType=UserImport
/job/v1/JobSchedules?jobType=UserExport
/job/v1/JobSchedules?jobType=GroupImport
/job/v1/JobSchedules?jobType=GroupExport
/job/v1/JobSchedules?jobType=AppRoleImport
/job/v1/JobSchedules?jobType=AppRoleExport
/admin/v1/Bulk
/admin/v1/BulkUserPasswordChanger
/admin/v1/BulkUserPasswordResetter
/admin/v1/BulkSourceEvents
Qualquer API que não esteja em um dos outros Grupos de API está incluída no Outro Grupo de API
Outras Restrições
Essas restrições são para Em Massa, Importar e Exportar para todas as camadas:
- Tamanho do payload : 1 MB
- API em massa: limite de 50 operações por chamada
- Somente uma destas operações pode ser executada por vez:
- Importar: Para Associações de Usuários, Grupos e Atribuição de Aplicativo
- Sincronização completa dos aplicativos
- API em massa
- Exportar: Para Associações de Usuários, Grupos e Atribuição de Aplicativo
- Importação de CSV: limite de 100 K de linhas por CSV e tamanho máximo de arquivo: 10 MB
- Exportação CSV: limite de 100 K de linhas
Medidores para Tipos de Domínio de Identidades
Entenda os medidores usados para diferentes tipos de domínio de identidades.
Os tipos de domínio de identidades gratuitos e de Aplicativos Oracle não usam medidores.
Os tipos de domínio de identidades Premium, de Aplicativos Oracle Premium e de Usuário Externo usam estes medidores:
-
Usuários por Mês: O número de usuários ativos e inativos no sistema, reportados por hora. Esses medidores são agregados ao final do ciclo de faturamento.
-
SMS: O número de mensagens SMS enviadas do sistema, reportadas a cada hora. Esses medidores são agregados ao final do ciclo de faturamento.
-
Tokens: O número de tokens emitidos pelo sistema, reportados a cada hora.
-
Usuários Replicados por Mês: Se você configurar a replicação para mais regiões, esse medidor se aplicará ao número de usuários ativos e inativos em cada região replicada, reportados por hora. Esses medidores são agregados ao final do ciclo de faturamento.
Depois de provisionar seu serviço, o Oracle Cloud Infrastructure terá ferramentas para ajudar a analisar e entender os custos associados à sua conta. Consulte Verificando Despesas e Uso.
Alterando o Tipo de Domínio de Identidades
- Não é possível alterar o domínio padrão para o tipo de domínio de identidades Usuário Externo.
- Seu tipo de assinatura controla o número de domínios de identidade de cada tipo. Se a alteração exceder o número de domínios de identidade desse tipo para seu tipo de assinatura, você não poderá mudar para o novo tipo de domínio de identidades. Consulte Serviço IAM com Limites de Domínios de Identidade
- Se o número de objetos de qualquer tipo no domínio de identidades for maior que o permitido no tipo de domínio de identidades de destino, você não poderá mudar para o novo tipo de domínio de identidades. Consulte Limites de Objeto de Domínio de Identidades do Serviço IAM.
- Os recursos disponíveis no seu tipo de domínio de identidades atual são verificados. Consulte Disponibilidade de Recursos para Tipos de Domínio de Identidades. Uma mensagem de advertência aparece para lembrar você de ter cuidado ao alterar de um tipo de domínio de identidades para outro. Você poderá prosseguir após a mensagem de advertência, mas alguns dos recursos existentes talvez não funcionem mais.
- Não é possível alterar um domínio de identidades Usuário Gratuito, Premium ou Externo para um domínio de identidades dos Aplicativos Oracle.