Credenciais do Usuário
Você pode gerenciar vários tipos de credenciais com o serviço Oracle Cloud Infrastructure Identity and Access Management (IAM):
- Senha da Console: para acessar a Console, a interface do usuário para interagir com o Oracle Cloud Infrastructure. Observe que os usuários federados não podem ter senhas da Console porque eles acessam por meio do provedor de identidades. Consulte Federando com Provedores de Identidades.
- Chave de assinatura da API (no formato PEM): Para enviar solicitações de API, que exigem autenticação.
- Token de autenticação: Um token gerado pelo Oracle que você pode usar para autenticação com APIs de terceiros. Por exemplo, use um token de autenticação para autenticar com um cliente Swift ao usar o Recovery Manager (RMAN) para fazer backup de um banco de dados do Oracle Database System (Sistema de BD) para o serviço Object Storage.
- Chaves Secretas do Cliente: Para usar a API de Compatibilidade com Amazon S3 com o serviço Object Storage. Consulte API de Compatibilidade com Amazon S3.
- Credenciais do Cliente OAuth 2.0: Para interagir com as APIs dos serviços que usam a autorização OAuth 2.0. Consulte Credenciais do Cliente OAuth 2.0.
- Credenciais SMTP: Para usar o serviço de Entrega de E-mail.
- Senhas de Banco de Dados do Serviço IAM: Os usuários podem criar e gerenciar suas senhas de banco de dados em seus perfis de usuário do serviço IAM e usar essa senha para autenticação em bancos de dados de suas respectivas tenancies. Consulte Como Trabalhar com Nomes de Usuário e Senhas do Banco de Dados do Serviço IAM.
- Nomes de Usuário do Banco de Dados do Serviço IAM: Para que os usuários criem e gerenciem seus próprios nomes de usuário de bancos de dados e criem nomes de usuário alternativos, conforme necessário. Consulte Como Trabalhar com Nomes de Usuário e Senhas do Banco de Dados do Serviço IAM.
As chaves de assinatura são distintas das chaves SSH que você usa para acessar uma instância de computação (consulte Credenciais de Segurança). Para obter mais informações sobre chaves de assinatura de API, consulte Chaves Necessárias e OCIDs. Para obter mais informações sobre chaves SSH da instância, consulte Gerenciando Pares de Chaves.
Senha do Usuário
Quando o usuário acessar a Console pela primeira vez, ele será imediatamente solicitado a alterar a senha. Se o usuário esperar mais de 7 dias para entrar inicialmente e alterar a senha, ela vai expirar e um administrador vai precisar redefinir a senha para o usuário.
Depois que o usuário acessar com sucesso a Console, ele poderá usar os recursos do Oracle Cloud Infrastructure de acordo com as permissões que ele recebeu por meio de políticas.
Um usuário automaticamente tem a capacidade de alterar a senha na Console. Um administrador não precisa criar uma política para fornecer a um usuário essa capacidade.
Alterando uma Senha
Se um usuário quiser alterar sua própria senha um pouco após alterar sua senha inicial única, ele poderá fazer isso na Console. Lembre-se de que um usuário pode alterar automaticamente sua própria senha; um administrador não precisa criar uma política para conceder a ele essa capacidade.
Para obter mais informações, consulte Alterando a Senha da Console.
Se um Usuário Precisar Redefinir sua Senha da Console
Se um usuário esquecer a senha da Console e também não tiver acesso à API, ele poderá usar o link Esqueceu a Senha da Console para receber um link de redefinição de senha enviado ao endereço de e-mail configurado para a conta do usuário. (Todos os perfis de usuário exigem um endereço de e-mail.)
Os usuários também podem solicitar que um administrador redefina a senha. Todos os administradores (e qualquer pessoa que tenha permissão para a tenancy) podem redefinir senhas da Console. O processo de redefinir a senha gera e envia um e-mail de redefinição de senha. O usuário precisará alterara senha antes que o link expire para que ele possa acessar a Console novamente.
Se você for um administrador que precisa redefinir a senha da Console de um usuário, consulte Redefinindo a Senha da Console de Outro Usuário.
Se um Usuário Estiver Impedido de se Conectar à Console
Se um usuário tentar acessar a Console e não tiver sucesso mais vezes em uma linha do que o permitido pela política de senha do domínio de identidades, ele será automaticamente bloqueado para outras tentativas. Se o desbloqueio automático da conta não estiver ativado para o domínio de identidades pela política de senha, o usuário deverá entrar em contato com um administrador para ser desbloqueado (consulte Desbloqueando um Usuário).
Chaves de Assinatura da API
Um usuário que precisa fazer solicitações de API deve ter uma chave pública RSA no formato PEM (no mínimo 2048 bits) adicionada ao perfil de usuário do serviço IAM e assinar as solicitações de API com a chave privada correspondente (consulte Chaves e OCIDs Obrigatórios).
Um usuário pode gerar e gerenciar automaticamente suas próprias chaves de API na Console ou API. Um administrador não precisa gravar uma política para fornecer ao usuário essa capacidade. Lembre-se de que um usuário não pode usar a API para alterar ou excluir suas próprias credenciais até que ele salve uma chave na Console ou que um administrador adicione uma chave para esse usuário na Console ou na API.
Se você tiver um sistema que precise fazer solicitações de API, um administrador precisará criar um usuário para esse sistema e depois adicionar uma chave pública ao serviço IAM do sistema. Não há necessidade de gerar uma senha de Console para o usuário.
Para obter instruções sobre como gerar uma chave de API, consulte Adicionando uma Chave de Assinatura de API.
-----END PRIVATE KEY-----
OCI_PRIVATE_KEYCredenciais do Cliente OAuth 2.0
As Credenciais do Cliente OAuth 2.0 não estão disponíveis na Nuvem do Setor Governamental do Reino Unido (OC4).
As credenciais do cliente OAuth 2.0 são necessárias para interagir programaticamente com os serviços que usam o protocolo de autorização OAuth 2.0. As credenciais permitem obter um token seguro para acessar esses pontos finais de API REST de serviço. As ações e os pontos finais permitidos concedidos pelo token dependem dos escopos (permissões) que você seleciona quando gera as credenciais. Para obter mais informações, consulte Como Trabalhar com Credenciais do Cliente OAuth 2.0.
Tokens de Autenticação
Tokens de autenticação são tokens de autenticação gerados pelo Oracle. Você usa tokens de autenticação para autenticar com APIs de terceiros que não suportam a autenticação baseada em assinatura do Oracle Cloud Infrastructure, por exemplo, a API Swift. Se seu serviço exigir um token de autenticação, a documentação específica do serviço instruirá você a gerar um e a usá-lo.
Senhas de Banco de Dados do Serviço IAM
Visão geral
Uma senha de banco de dados do serviço IAM é diferente de uma senha da Console. A definição de uma senha de banco de dados do serviço IAM permite que um usuário autorizado do IAM acesse um ou mais Autonomous Databases na tenancy do usuário em questão.
A centralização do gerenciamento de contas de usuário no serviço IAM melhora a segurança e minimiza consideravelmente a necessidade dos administradores de banco de dados de gerenciar as entradas, movimentações e saídas de usuários que ocorrem em uma organização (também conhecido como gerenciamento do ciclo de vida do usuário). Os usuários podem definir uma senha de banco de dados no IAM e usar essa senha para autenticação ao fazer log-in em bancos de dados Oracle configurados de forma apropriada na tenancy.
Fácil de usar
Os usuários finais do banco de dados podem continuar a usar clientes e ferramentas de banco de dados suportados existentes para acessar o banco de dados. No entanto, em vez de usar o nome de usuário e a senha do banco de dados local, eles usam o nome de usuário e a senha do banco de dados do serviço IAM. Você só poderá acessar senhas de banco de dados que gerencia por meio do seu perfil do OCI após a autenticação bem-sucedida no OCI. Isso significa que os administradores podem criar uma camada extra de proteção para que os usuários possam acessar ou gerenciar suas senhas de banco de dados. Eles podem impor a autenticação multifator na senha da Console usando, por exemplo, autenticador FIDO ou notificações push por meio de aplicativos autenticadores.
Funções Suportadas
As senhas de banco de dados do serviço IAM suportam a associação de uma senha de banco de dados diretamente a um usuário do serviço IAM. Depois de definir uma senha de banco de dados no IAM, você poderá usá-la para acessar seu banco de dados IAM em sua tenancy, se tiver sido autorizado a acessar o banco de dados IAM. Você deve estar mapeado para um esquema de banco de dados global para ser autorizado a acessar o banco de dados. Consulte Authenticating and Authorizing IAM Users for Oracle DBaaS Databases no Oracle Database Security Guide para obter mais informações sobre o mapeamento de usuários de banco de dados global para usuários e grupos do serviço IAM.
Segurança de Senha
Os administradores do serviço IAM podem impor camadas extras de acesso de segurança habilitando a autorização multifator para que um usuário possa acessar uma senha de banco de dados no IAM. Consulte Authenticating and Authorizing IAM Users for Oracle DBaaS Databases no Oracle Database Security Guide para obter mais informações sobre como os usuários do serviço IAM são autenticados e autorizados nos bancos de dados do OCI.
Você pode gerenciar sua própria senha de banco de dados do IAM com a Console, inclusive criá-la, alterá-la e excluí-la.
A criação de uma senha de banco de dados do serviço IAM segue as mesmas regras da criação de uma senha da Console, exceto que o caractere de aspas duplas (") não é permitido na senha do banco de dados do IAM. Consulte Sobre as Regras de Política de Senha para obter as regras para criar as senhas da Console.
Para criar sua própria senha do banco de dados do serviço IAM, consulte Para criar uma Senha de Banco de Dados do Serviço IAM.
Você pode gerenciar sua própria senha de banco de dados do IAM com a Console, inclusive criá-la, alterá-la e excluí-la. Para alterar uma senha existente, exclua-a e adicione a nova senha. Consulte Para alterar uma Senha de Banco de Dados do Serviço IAM.
Você pode gerenciar sua própria senha de banco de dados do IAM com a Console, inclusive criá-la, alterá-la e excluí-la. Para excluir sua senha de banco de dados do serviço IAM, consulte Para Excluir uma Senha de Banco de Dados do Serviço IAM.
Bloqueios de Senha de Banco de Dados do Serviço IAM
Tentativas de log-in com falha
Os usuários do banco de dados do serviço IAM e da Console são bloqueados após 10 tentativas consecutivas de log-in com falha (total de ambas as senhas). Se você digitar 10 log-ins incorretos consecutivos usando o banco de dados ou as senhas do serviço IAM, sua conta de usuário será bloqueada. Somente um administrador do serviço IAM pode desbloquear sua conta de usuário.
- Se você não conseguir acessar o serviço IAM ou o banco de dados após 10 tentativas consecutivas (total de ambas), sua conta será bloqueada e você não poderá acessar o banco de dados nem a Console.
- Quando você for bloqueado, um administrador do serviço IAM deverá desbloquear explicitamente sua conta.
- O serviço IAM não suporta desbloqueio automático.
- Uma contagem de log-ins com falha é rastreada centralmente em todas as regiões de um realm. Os log-ins com falha são registrados em sua região home e replicados nas regiões assinadas.
Trabalhando com Nomes de Usuários do Banco de Dados do Serviço IAM
Você pode gerenciar seu próprio nome de usuário de banco de dados do IAM com a Console, inclusive criá-lo, alterá-lo e excluí-lo.
Talvez seja necessário alterar o nome do usuário do banco de dados:
- Se o seu nome de usuário for muito longo ou difícil de digitar
- Facilitar o log-in com um nome de usuário que não inclua caracteres especiais e possa ser menor
Os tópicos a seguir explicam como gerenciar um nome de usuário de banco de dados do serviço IAM.