Credenciales de usuario
Existen varios tipos de credenciales que se gestionan con Oracle Cloud Infrastructure Identity and Access Management (IAM):
- Contraseña de la consola: para conectarse a la consola, la interfaz de usuario para interactuar con Oracle Cloud Infrastructure. Tenga en cuenta que los usuarios federados no pueden tener contraseñas de consola porque se conectan a través de su proveedor de identidad. Consulte Federación con proveedores de identidad.
- Clave de firma de API (en formato PEM): para enviar solicitudes de API, que necesitan autenticación.
- Token de autenticación: token generado por Oracle que puede utilizar para autenticarse con API de terceros. Por ejemplo, utilice un token de autenticación para autenticarse con un cliente Swift al utilizar Recovery Manager (RMAN) para realizar una copia de seguridad de una base de datos de sistema Oracle Database en Object Storage.
- Claves secretas de cliente: para usar la API de compatibilidad de Amazon S3 con Object Storage. Consulte API de compatibilidad de Amazon S3 .
- Credenciales de cliente OAuth 2.0: para interactuar con las API de los servicios que utilizan la autorización OAuth 2.0. Consulte Credenciales de cliente OAuth 2.0.
- Credenciales SMTP: para utilizar la visión general del servicio Email Delivery.
- Contraseña de base de datos de IAM: los usuarios pueden crear y gestionar su contraseña de base de datos en su perfil de usuario de IAM y utilizarla para autenticarse en las bases de datos de su arrendamiento. Consulte Contraseñas de base de datos de IAM.
Las claves de firma de la API son diferentes de las claves SSH que utiliza para acceder a una instancia informática (consulte Credenciales de seguridad). Para obtener más información sobre las claves de firma de API, consulte Claves y OCID necesarios. Para obtener más información sobre las claves SSH de instancia, consulte Gestión de pares de claves.
Contraseña de usuario
El administrador que crea un nuevo usuario en IAM también debe generar una contraseña de consola única para el usuario (consulte Para crear o restablecer la contraseña de consola de otro usuario). El administrador debe transmitir de forma segura la contraseña al usuario verbalmente, imprimiéndola o enviándola a través de un servicio de correo electrónico seguro.
Cuando el usuario se conecte a la consola por primera vez, se le pedirá inmediatamente que cambie la contraseña. Si el usuario tarda más de 7 días en conectarse inicialmente y cambiar la contraseña, esta caducará. En ese caso, un administrador deberá crear una nueva contraseña de un solo uso para el usuario.
Una vez que el usuario se haya conectado correctamente a la consola, podrá utilizar los recursos de Oracle Cloud Infrastructure en función de los permisos que se le hayan otorgado mediante políticas.
Un usuario tiene automáticamente la capacidad de cambiar su contraseña en la consola. No es necesario que el administrador cree una política para dotar a un usuario de esa capacidad.
Cambio de contraseña
Si un usuario desea modificar su propia contraseña en algún momento después de cambiar su contraseña inicial de un solo uso, puede hacerlo en la consola. Recuerde que un usuario puede cambiar automáticamente su propia contraseña. No es necesario que el administrador cree una política para concederle esa capacidad.
Para obtener más información, consulte Para cambiar la contraseña de consola.
Si un usuario necesita restablecer su contraseña de consola
Si un usuario olvida su contraseña de consola y no tiene acceso a la API, puede utilizar el enlace ¿Ha olvidado la contraseña? de la consola para que se le envíe una contraseña temporal. Esta opción está disponible si el usuario tiene una dirección de correo electrónico en su perfil de usuario.
Si el usuario no tiene una dirección de correo electrónico en su perfil de usuario, debe solicitar a un administrador que restablezca su contraseña. Todos los administradores (y cualquier otra persona que tenga permiso para acceder al arrendamiento) pueden restablecer las contraseñas de consola. El proceso de restablecimiento de la contraseña genera una nueva contraseña de un solo uso que el administrador debe entregar al usuario. El usuario deberá cambiar su contraseña la próxima vez que se conecte a la consola.
Si usted es un administrador que necesita restablecer la contraseña de consola de un usuario, consulte Para crear o restablecer la contraseña de consola de otro usuario.
Si un usuario ha sido bloqueado y no puede conectarse a la consola
Si un usuario intenta conectarse a la consola de forma incorrecta 10 veces seguidas, se le bloqueará automáticamente de posteriores intentos. Necesitará ponerse en contacto con un administrador para que lo desbloquee (consulte Para desbloquear un usuario ).
Claves de firma de API
Un usuario que necesite realizar solicitudes de API deberá tener una clave pública RSA en formato PEM (2048 bits como mínimo) agregada a su perfil de usuario de IAM y firmar las solicitudes de API con la clave privada correspondiente (consulte Claves y OCID necesarios).
Un usuario tiene automáticamente la capacidad de generar y gestionar sus propias claves de API en la consola o en la API. No es necesario que el administrador escriba una política para proporcionarle al usuario esta capacidad. Recuerde que el usuario no podrá utilizar la API para cambiar o suprimir sus propias credenciales hasta que guarde una clave en la consola, o bien hasta que un administrador agregue una clave para ese usuario en la consola o en la API.
Si tiene un sistema no humano que necesite realizar solicitudes de API, un administrador deberá crear un usuario para ese sistema y, a continuación, agregar una clave pública al servicio de IAM para el sistema. No es necesario generar una contraseña de consola para el usuario.
Para obtener instrucciones sobre la generación de una clave de API, consulte Para agregar una clave de firma de API.
Credenciales de cliente OAuth 2.0
Las credenciales de cliente OAuth 2.0 no están disponibles en la nube del Gobierno de Reino Unido (OC4).
Se necesitan credenciales de cliente OAuth 2.0 para interactuar programáticamente con los servicios que utilizan el protocolo de autorización OAuth 2.0. Las credenciales permiten obtener un token seguro para acceder a esos puntos finales de la API de REST de servicio. Las acciones y los puntos finales que otorga el token dependen de los ámbitos (permisos) que seleccione al generar las credenciales. Para obtener más información, consulte Trabajar con credenciales de cliente OAuth 2.0.
Tokens de autenticación
Los tokens de autenticación son elementos de autenticación generados por Oracle. Los tokens de autenticación se utilizan para autenticarse con API de terceros que no soportan la autenticación basada en firma de Oracle Cloud Infrastructure como, por ejemplo, la API de Swift. Si su servicio requiere un token de autenticación, la documentación específica del servicio le indica que genere uno y cómo utilizarlo.
Contraseñas de base de datos de IAM
Visión general
Una contraseña de base de datos de IAM es distinta de una contraseña de consola. La definición de una contraseña de base de datos de IAM permite a un usuario de IAM autorizado conectarse a una o más instancias de Autonomous Databases de su arrendamiento.
La centralización de la gestión de cuentas de usuario en IAM mejora la seguridad y minimiza considerablemente el número de administradores de base de datos que tienen que gestionar los usuarios que se unen a una organización, se mueven y salen de esta (lo que se conoce como gestión del ciclo de vida del usuario). Los usuarios pueden definir una contraseña de base de datos en IAM y utilizar esta contraseña para autenticarse al conectarse a las bases de datos de Oracle configuradas correctamente en su arrendamiento.
Fácil de utilizar
Los usuarios finales de base de datos pueden seguir utilizando los clientes y las herramientas de base de datos soportados existentes para acceder a la base de datos. Sin embargo, en lugar de utilizar su nombre de usuario y contraseña de base de datos local, utilizan su nombre de usuario de IAM y su contraseña de base de datos de IAM. Puede acceder a las contraseñas de base de datos que gestiona a través del perfil de OCI solo después de autenticarse correctamente en OCI. Esto significa que los administradores pueden crear una capa adicional de protección para que los usuarios puedan acceder o gestionar su contraseña de base de datos. Pueden aplicar la autenticación multifactor en su contraseña de consola mediante, por ejemplo, el autenticador FIDO o las notificaciones push a través de aplicaciones de autenticador.
Funciones soportadas
Las contraseñas de la base de datos de IAM soportan la asociación de una contraseña de base de datos directamente con un usuario de IAM. Después de definir una contraseña de base de datos en IAM, puede utilizarla para conectarse a su base de datos de IAM en su arrendamiento, si está autorizado para acceder a la base de datos de IAM. Debe estar asignado a un esquema de base de datos global para poder acceder a la base de datos. Consulte Autenticación y autorización de usuarios de IAM para bases de datos Oracle DBaaS en la guía de seguridad de Oracle Database para obtener más información sobre la asignación de usuarios de base de datos global a usuarios y grupos de IAM.
Seguridad de la contraseña
Los administradores de IAM pueden imponer capas de acceso de seguridad adicionales activando la autorización de varios factores para que un usuario pueda acceder a una contraseña de base de datos en IAM. Consulte Autenticación y autorización de usuarios de IAM para bases de datos Oracle DBaaS en la guía de seguridad de Oracle Database para obtener más información sobre cómo se autentican y autorizan los usuarios de IAM en las bases de datos de OCI.
Puede gestionar su propia contraseña de base de datos de IAM con la consola, lo que incluye su creación, cambio y supresión.
La creación de una contraseña de base de datos de IAM sigue las mismas reglas que la creación de una contraseña de consola, excepto que el carácter de comillas dobles (") no está permitido en la contraseña de base de datos de IAM. Consulte Acerca de las Reglas de Política de Contraseñas para conocer las reglas para crear contraseñas de consola.
Para crear su propia contraseña de base de datos de IAM, consulte Para crear una contraseña de base de datos de IAM.
Puede gestionar su propia contraseña de base de datos de IAM con la consola, lo que incluye su creación, cambio y supresión. Para cambiar una contraseña existente, suprima la contraseña existente y agregue la nueva. Consulte Para cambiar una contraseña de base de datos de IAM.
Puede gestionar su propia contraseña de base de datos de IAM con la consola, lo que incluye su creación, cambio y supresión. Para suprimir la contraseña de base de datos de IAM, consulte Para suprimir una contraseña de base de datos de IAM.
Bloqueos de contraseña de base de datos de IAM
Intentos de conexión fallidos
La base de datos de IAM y los usuarios de la consola se bloquearán tras 10 intentos de conexión fallidos consecutivos (total para ambas contraseñas). Si introduce 10 conexiones incorrectas consecutivos utilizando las contraseñas de la base de datos o de IAM, se bloqueará la cuenta de usuario. Solo un administrador de IAM puede desbloquear su cuenta de usuario.
- Si no puede conectarse a IAM o a la base de datos tras 10 intentos consecutivos (total para ambos), su cuenta se bloqueará y no podrá conectarse a la base de datos ni a la consola.
- Cuando esté bloqueado, un administrador de IAM deberá desbloquear explícitamente su cuenta.
- IAM no soporta el desbloqueo automático.
- Se realiza un seguimiento centralizado del recuento de conexiones fallidas en todas las regiones de un dominio. Las conexiones fallidas se registran en la región principal y se replican en sus regiones suscritas.
Trabajar con nombres de usuario de base de datos de IAM
Puede gestionar su propio nombre de usuario de base de datos de IAM con la consola, lo que incluye crearlo, cambiarlo y suprimirlo.
Puede que necesite cambiar el nombre de usuario de base de datos:
- Si el nombre de usuario es demasiado largo o difícil de escribir
- Para facilitar el inicio de sesión con un nombre de usuario que no incluya caracteres especiales y que sea más corto
En los siguientes temas se explica cómo gestionar un nombre de usuario de base de datos de IAM.