Gestión de credenciales de usuario
En este tema, se describen los aspectos básicos del trabajo con las credenciales de usuario de Oracle Cloud Infrastructure Identity and Access Management (IAM). Si aún no está familiarizado con las credenciales disponibles, consulte Credenciales de usuario.
Trabajar con contraseñas de consola y claves de API
Es posible que los usuarios federados necesiten crear una política para modificar claves de API. Por ejemplo, usuarios aprovisionados mediante SCIM.
Para gestionar las credenciales de usuarios aparte de usted mismo, debe estar en el grupo Administradores o cualquier otro grupo que tenga permiso para trabajar con el arrendamiento. No es suficiente tener permiso para trabajar con un compartimento dentro del arrendamiento. Para obtener más información, consulte Política y grupo administradores.
Los administradores de IAM (o cualquier usuario con permiso para acceder al arrendamiento) pueden utilizar la consola o la API para gestionar todos los aspectos de ambos tipos de credenciales, para ellos mismos y para los demás usuarios. Esto incluye la creación de una contraseña de un solo uso inicial para un nuevo usuario, el restablecimiento de una contraseña, la carga de claves de API y la supresión de claves de API.
Los usuarios que no son administradores pueden gestionar sus propias credenciales. En la consola, los usuarios pueden:
- Cambiar o restablecer su propia contraseña.
- Cargar una clave de API en la consola para su propio uso (y también suprimir sus propias claves de API).
Y con la API, los usuarios pueden:
- Restablecer su propia contraseña con CreateOrResetUIPassword.
- Cargar una clave de API adicional en el servicio IAM para uso propio con UploadApiKey (y también suprimir sus propias claves de API con DeleteApiKey). Recuerde que el usuario no puede utilizar la API para cambiar o suprimir sus propias credenciales hasta que cargue una clave en la consola, o bien hasta que un administrador cargue una clave para ese usuario en la consola o la API.
Un usuario puede tener como máximo tres claves de API a la vez.
Trabajar con tokens de autenticación
Los "tokens de autenticación" se denominaban previamente "contraseñas de Swift". Cualquier contraseña de Swift que haya creado aparecerá ahora en la consola como token de autenticación. Puede seguir utilizando las contraseñas existentes.
Los tokens de autenticación son cadenas de tokens generadas por Oracle que puede utilizar para autenticarse con API de terceros que no soporten la autenticación basada en firma de Oracle Cloud Infrastructure. Cada usuario creado en el servicio IAM tiene la capacidad de crear, actualizar y suprimir sus propios tokens de autenticación en la consola o la API. Un administrador no necesita crear una política para proporcionarle esas capacidades a un usuario. Los administradores (o cualquier persona con permiso para el arrendamiento) también tienen la capacidad de gestionar tokens de autenticación para otros usuarios.
Tenga en cuenta que no puede cambiar el token de autenticación por una cadena de su elección. El token siempre es una cadena generada por Oracle.
Los tokens de autenticación no caducan. Cada usuario puede tener hasta dos tokens de autenticación a la vez. Para obtener un token de autenticación en la consola, consulte Para crear un token de autenticación.
Uso de un token de autenticación con Swift
Swift es el servicio de almacén de objetos de OpenStack. Si ya tiene un cliente Swift existente, puede utilizarlo con Recovery Manager (RMAN) para realizar una copia de seguridad de una base de datos de sistema Oracle Database en Object Storage. Tendrá que obtener un token de autenticación para utilizarlo como su contraseña de Swift. Cuando se conecte al cliente Swift, debe proporcionar lo siguiente:
- Su conexión de usuario a la consola de Oracle Cloud Infrastructure
- Su token de autenticación específico de Swift, proporcionado por Oracle
- Nombre de arrendatario de Oracle de su organización
Cualquier usuario de un cliente Swift que se integra con Object Storage necesita permiso para trabajar con el servicio. Si no está seguro de si tiene permiso, póngase en contacto con el administrador. Para obtener más información sobre las políticas, consulte Cómo funcionan las políticas. Para conocer las políticas básicas que permiten el uso de Object Storage, consulte Políticas comunes.
Trabajar con claves secretas de cliente
Las "claves secretas de cliente" se denominaban previamente "claves deAPI de compatibilidad de Amazon S3". Todas las claves que haya creado aparecen ahora en la consola como claves secretas de cliente. Puede seguir usando las claves existentes.
Object Storage proporciona una API para activar la interoperabilidad con Amazon S3. Para utilizar esta API de compatibilidad de Amazon S3, debe generar la clave de firma necesaria para autenticarse con Amazon S3. Esta clave de firma especial es un par de clave de acceso/clave secreta. Oracle proporciona la clave de acceso asociada a su conexión de usuario de la consola. Usted o su administrador generan la clave secreta de cliente que se emparejará con la clave de acceso.
Cada usuario creado en el servicio IAM tiene automáticamente la capacidad de crear, actualizar y suprimir sus propias claves secretas de cliente en la consola o la API. Un administrador no necesita crear una política para proporcionarle esas capacidades a un usuario. Los administradores (o cualquier persona con permiso para el arrendamiento) también pueden gestionar claves secretas de cliente para otros usuarios.
Cualquier usuario de la API de compatibilidad de Amazon S3 con Object Storage necesita permiso para trabajar con el servicio. Si no está seguro de si tiene permiso, póngase en contacto con el administrador. Para obtener más información sobre las políticas, consulte Cómo funcionan las políticas. Para conocer las políticas básicas que permiten el uso de Object Storage, consulte Políticas comunes.
Las claves secretas de cliente no caducan. Cada usuario puede tener hasta dos claves secretas de cliente a la vez. Para crear claves mediante la consola, consulte Para crear una clave secreta de cliente.
Trabajar con credenciales de cliente OAuth 2.0
Las credenciales de cliente OAuth 2.0 no están disponibles en la nube del Gobierno de Reino Unido (OC4).
- Oracle Analytics Cloud
- Oracle Integration Generation 2
Un token de acceso de OAuth 2.0 es válido durante 3600 segundos (1 hora).
Para crear las credenciales, debe conocer el recurso y el ámbito del servicio. Normalmente, puede seleccionarlas en una lista desplegable. Sin embargo, si la información no está disponible en la lista, puede introducir manualmente el recurso y el ámbito. El ámbito define los permisos permitidos para el token, por lo que debe asegurarse de definir el ámbito en el nivel mínimo de acceso necesario.
Un usuario puede crear las credenciales para sí mismo o un administrador puede crear las credenciales para otro usuario. Las listas de recursos y ámbitos disponibles solo muestran los recursos y los niveles de permiso para los que se ha otorgado acceso al usuario.
Límites de credenciales de cliente OAuth 2.0
Cada usuario puede tener hasta 10 credenciales de cliente OAuth 2.0. Puede aumentar este límite solicitando un aumento del límite de servicio.
Cada credencial de cliente OAuth 2.0 puede tener hasta 10 ámbitos.
Obtención de un token de acceso OAuth 2.0
Para obtener el token, utilice las credenciales de una solicitud en el punto final del servicio de tokens de OAuth2 de la siguiente manera:
- Cree las credenciales de cliente OAuth 2.0. Consulte Para crear credenciales de cliente OAuth 2.0.
Después de crear la credencial de cliente OAuth 2.0, tenga en cuenta la siguiente información:
- El secreto generado
- El OCID de la credencial de cliente OAuth 2.0
- El ámbito y el público (ámbito de aplicación totalmente cualificado)
- Con la información del paso anterior, realice una solicitud en el punto final
/oauth2/token
para obtener un token de la siguiente manera:curl -k -X POST -H "Content-Type: application/x-www-form-urlencoded;charset=UTF-8" --user '<Oauth 2.0 client credential OCID>:<credential secret>' https://auth.<oci_region>.oraclecloud.com/oauth2/token -d 'grant_type=client_credentials&scope=<audience>-<scope>'
Donde:
- <OCID de credencial de cliente Oauth 2.0>:<secreto de credencial> es el OCID de la credencial de cliente OAuth 2.0 que ha creado unido por dos puntos (:) al secreto generado para la credencial. Tenga en cuenta que este secreto solo se muestra en el momento en el que se genera y que debe copiarse inmediatamente. Puede recuperar el OCID de los detalles de la credencial en cualquier momento.
https://auth.<oci_region>.oraclecloud.com/oauth2/token
es el punto final de autorización OAuth 2.0 de de Oracle Cloud Infrastructure en el que <OCI_region> es una región a la que está suscrito su arrendamiento. Por ejemplo,us-ashburn-1
.- <ámbito>:<público> es el ámbito totalmente cualificado, es decir, el ámbito y el público unidos por un guion (-). El ámbito y el público están disponibles en la página de detalles de la credencial.
Solicitud de ejemplo:
curl -k -X POST -H "Content-Type: application/x-www-form-urlencoded;charset=UTF-8" --user 'ocid1.credential.region1..aaaaaaexamplestringaapgpedxq:{SAMplESeCreta5y' https://auth.us-ashburn-1.oraclecloud.com/oauth2/token -d 'grant_type=client_credentials&scope=https://2aexampley3uytc.analytics.ocp.oraclecloud.com-urn:opc:resource:consumer::all'
La respuesta incluirá el token. Respuesta de ejemplo:
{
"access_token" : "eyJraWQiOiJhcDVfwqKdi...8lTILrzc4cof2A",
"token_type" : "Bearer",
"expires_in" : "3600"
}
La cadena de token se trunca en la respuesta de ejemplo. Copie toda la cadena access_token
(entre las comillas) como se muestra en la respuesta.
Uso del token OAuth 2.0 en una solicitud
Después de obtener un token de acceso OAuth 2.0, proporcione el token en una cabecera de token de portador de la solicitud de API de REST.
Por ejemplo:
curl -i -X GET -H "Authorization: Bearer <token-string>" "https://<audience>/<rest-endpoint-path>"
Qué hacer cuando caduque el token
El token caduca en 3600 segundos (1 hora). Cuando caduque el token, solicite uno nuevo siguiendo las instrucciones de Obtención de un token de acceso OAuth 2.0.
Adición de ámbitos
Puede agregar ámbitos a una credencial de cliente de OAuth 2.0 existente para agregar acceso a más servicios con la misma credencial. Después de agregar ámbitos, no es necesario volver a generar el secreto.
Para solicitar un token para varios ámbitos, puede incluir ámbitos adicionales en una solicitud de token agregando
&scope=<scope>-<<audience>
y especificando en el argumento final de la solicitud el ámbito y el público del ámbito que desea agregar.
Trabajar con credenciales SMTP
Las credenciales del protocolo simple de transferencia de correo (SMTP) son necesarias para enviar correo electrónico a través del servicio Email Delivery. Cada usuario está limitado a un máximo de dos credenciales SMTP. Si se necesitan más de dos, se deben generar en otros usuarios existentes o deben crearse usuarios adicionales.
No puede cambiar el nombre de usuario o la contraseña SMTP por una cadena de su elección. Las credenciales son siempre cadenas generadas por Oracle.
Cada usuario creado en el servicio IAM tiene automáticamente la capacidad de crear y suprimir sus propias credenciales SMTP en la consola o en la API. Un administrador no necesita crear una política para proporcionarle esas capacidades a un usuario. Los administradores (o cualquier persona con permiso para el arrendamiento) también tienen la capacidad de gestionar credenciales SMTP para otros usuarios.
Aunque cada usuario puede crear y suprimir sus propias credenciales, las mejores prácticas de seguridad sugieren crear un nuevo usuario y generar credenciales SMTP en este usuario, en lugar de generar credenciales SMTP en el usuario de la consola que ya tiene permisos asignados.
Las credenciales SMTP no caducan. Cada usuario puede tener hasta dos credenciales a la vez. Para obtener credenciales SMTP en la consola, consulte Para generar credenciales SMTP.
Para obtener más información sobre el uso del servicio Email Delivery, consulte Visión general del servicio Email Delivery.
Trabajar con nombres de usuario y contraseñas de base de datos de IAM
Más fáciles de usar
Los usuarios finales de la base de datos pueden utilizar fácilmente las contraseñas de base de datos IAM ya que pueden seguir utilizando un método de autenticación conocido para acceder a la base de datos. Puede acceder a las contraseñas de base de datos que gestiona a través del perfil de OCI después de autenticarse correctamente en OCI.
Para que los usuarios puedan acceder a su contraseña de base de datos y gestionarla, los administradores de IAM pueden crear una capa adicional de protección forzando la autenticación multifactor mediante Gestión de la autenticación multifactor. Por ejemplo, puede ser un autenticador FIDO o mediante el envío de notificaciones a través de aplicaciones de autenticador.
Seguridad de contraseña de base de datos de IAM
El uso de nombres de usuario de IAM y contraseñas de base de datos de IAM para acceder a las bases de datos mejora la seguridad, ya que permite a los administradores de IAM gestionar de forma centralizada los usuarios y el acceso de los usuarios a las contraseñas de base de datos en IAM en lugar de hacerlo localmente en cada base de datos. Cuando un usuario abandona una organización, la cuenta de IAM se suspende y, por tanto, su acceso a todas las bases de datos se suspende automáticamente. Este método elimina la posibilidad de que las cuentas no autorizadas se queden en los servidores de base de datos después de que un usuario se haya marchado. Para obtener más información, consulte Contraseñas de base de datos de IAM. Consulte el capítulo 7 de Oracle Security Guide para obtener información sobre cómo se autentican y autorizan los usuarios de IAM en las bases de datos de OCI.
Nombres de usuario de base de datos de IAM
Si el nombre de usuario de la base de datos de OCI IAM tiene más de 128 bytes, debe definir un nombre de usuario de base de datos diferente y una contraseña de base de datos con menos de 128 bytes. IAM aplica la unicidad de los nombres de usuario de base de datos en un arrendamiento. El nombre de usuario de base de datos no es sensible a mayúsculas/minúsculas y tiene los mismos caracteres permitidos que el nombre de usuario de IAM (letras ASCII, números, guiones, puntos, guiones bajos, + y @). Es más restrictivo que los nombres de usuario de la base de datos local, que se rigen por el juego de caracteres de la base de datos. Consulte la sección sobre nombres y cualificadores de objeto de base de datos para obtener más información.
Para crear, cambiar y suprimir nombres de usuario de base de datos de IAM, consulte Trabajar con nombres de usuario de base de datos de IAM.
Nombres de usuario de base de datos de IAM alternativos
Puede crear un nombre de usuario de base de datos IAM alternativo que solo contenga letras y números, que no incluya caracteres especiales y que pueda ser más corto que los nombres de usuario de base de datos de IAM normales.
Puede crear un nombre de usuario de base de datos de IAM alternativo:
- Si el nombre de usuario es demasiado largo o difícil de escribir
- Para facilitar la conexión con un nombre de usuario que no incluya caracteres especiales
Especificaciones de contraseña de base de datos de IAM
La complejidad de la contraseña de base de datos de IAM utiliza casi las mismas reglas soportadas en IAM para las contraseñas de consola (sin comillas dobles ["] en las contraseñas de IAM). Para obtener más información, consulte Creación de una contraseña de base de datos IAM.
Bloqueos de conexión fallida
Para obtener información sobre las conexiones fallidas, consulte Bloqueos de contraseña de base de datos de IAM.
Renovaciones de contraseña
Las aplicaciones tienen una contraseña en una cartera o en otro mecanismo seguro y en la base de datos. Al cambiar una contraseña de base de datos, también debe cambiar la contraseña en la cartera de la aplicación. Normalmente esto se realiza durante el tiempo de inactividad de la aplicación. Sin embargo, tener una segunda contraseña le permite cambiar contraseñas sin tiempo de inactividad de la aplicación. Puesto que se pueden utilizar ambas contraseñas, el administrador de la aplicación puede intercambiar las contraseñas en los archivos de cartera de la aplicación cuando lo desee y puede eliminar la contraseña antigua de IAM más adelante. Esto es independiente del estado de renovación gradual de la contraseña de base de datos en la base de datos. La base de datos sigue reflejando el estado abierto, es decir, no abierto y en renovación.
Uso de la consola
Se le solicitará que cambie su contraseña inicial de un solo uso la primera vez que se conecte a la consola. El siguiente procedimiento es para volver a cambiar la contraseña más tarde.
Para usuarios federados
Si la compañía utiliza un proveedor de identidad (que no sea Oracle Identity Cloud Service) para gestionar las conexiones y contraseñas de usuario, no puede utilizar la consola para actualizar la contraseña. Debe realizar ese procedimiento con su proveedor de identidad.
- Conéctese a la consola utilizando el nombre de usuario y la contraseña de Oracle Cloud Infrastructure.
-
Después de conectarse, seleccione el menú Perfil (), que se encuentra en la parte superior derecha de la barra de navegación en la parte superior de la página y, a continuación, haga clic en Cambiar contraseña.
- Introduzca la Contraseña Actual.
- Introduzca la nueva contraseña en los campos New Password (Nueva contraseña) y Confirm New Password (Confirmar nueva contraseña) y, a continuación, haga clic en Save New Password (Guardar nueva contraseña).
Si es administrador, puede utilizar el siguiente procedimiento para crear o restablecer la contraseña de un usuario. El procedimiento genera una nueva contraseña de un solo uso que el usuario debe cambiar la próxima vez que se conecte a la consola.
- Consulte los detalles del usuario: haga clic en el nombre del dominio de identidad en el que desea trabajar. Puede que necesite cambiar el compartimento para buscar el dominio que desee. A continuación, haga clic en Usuarios. Localice al usuario en la lista y, a continuación, haga clic en el nombre de usuario para ver los detalles.
-
Haga clic en Crear/Restablecer contraseña.
Aparecerá la nueva contraseña de un solo uso. Si es un administrador que realiza la tarea para otro usuario, debe entregar de forma segura la nueva contraseña al usuario. Se le pedirá al usuario que cambie su contraseña la próxima vez que se conecte a la consola. Si este no la cambia en un plazo de 7 días, la contraseña caducará y tendrá que crear una nueva contraseña única para el usuario.
Si tiene una dirección de correo electrónico en el perfil de usuario, puede utilizar el enlace ¿Ha olvidado la contraseña? de la página de conexión para que le envíen una contraseña temporal. Si no tiene una dirección de correo electrónico en su perfil de usuario, debe solicitar a un administrador que restablezca la contraseña.
Si es administrador, puede desbloquear a un usuario que haya intentado conectarse 10 veces seguidas a la consola de forma incorrecta. Consulte Para desbloquear a un usuario.
Puede utilizar la consola para generar su par de claves privada/pública. Si ya tiene un par de claves, puede elegir cargar la clave pública. Al utilizar la consola para agregar el par de claves, dicha consola también le genera un fragmento de vista previa del archivo de configuración.
Los siguientes procedimientos funcionan para un usuario normal o un administrador. Los administradores pueden gestionar claves de API para otro usuario o para ellos mismos.
Acerca del fragmento del archivo de configuración
Cuando se utiliza la consola para agregar el par de claves de firma de API, se genera un fragmento de vista previa del archivo de configuración con la siguiente información:
user
: OCID del usuario para el que se agrega el par de claves.fingerprint
: huella de la clave que se acaba de agregar.tenancy
: OCID de su arrendamiento.region
: región seleccionada actualmente en la consola.key_file
: ruta de acceso al archivo de clave privada descargado. Debe actualizar este valor con la ruta de acceso de su sistema de archivos donde guardó el archivo de clave privada.
Si el archivo de configuración ya tiene un perfil DEFAULT, deberá realizar una de las siguientes acciones:
- Sustituir el perfil existente y su contenido.
- Cambiar el nombre del perfil existente.
- Cambiar el nombre de este perfil a uno diferente después de pegarlo en el archivo de configuración.
Puede copiar este fragmento en el archivo de configuración para ayudarle a empezar. Si aún no tiene un archivo de configuración, consulte Archivo de configuración de SDK y CLI para obtener más información sobre cómo crear uno. También puede recuperar el fragmento del archivo de configuración de una clave de firma de API más tarde, cuando lo necesite. Consulte: Para obtener el fragmento del archivo de configuración de una clave de firma de API.
Requisito: antes de generar un par de claves, cree el directorio .oci
en el directorio raíz para almacenar las credenciales. Consulte Archivo de configuración de SDK y CLI para obtener más información.
- Vea los detalles del usuario:
- Si va a agregar una clave de API para usted mismo: seleccione el menú Perfil (), que se encuentra en la parte superior derecha de la barra de navegación en la parte superior de la página y, a continuación, haga clic en Configuración de usuario o en el nombre de su cuenta.
- Si es un administrador que va a agregar una clave de API para otro usuario: abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Usuarios. Localice al usuario en la lista y, a continuación, haga clic en el nombre de usuario para ver los detalles.
- Haga clic en Agregar clave de API.
- En el cuadro de diálogo, seleccione Generar par de claves de API.
-
Haga clic en Descargar clave privada y guarde la clave en el directorio
.oci
. En la mayoría de los casos, no es necesario que descargue la clave pública.Nota: si su explorador descarga la clave privada en un directorio diferente, asegúrese de moverla al directorio
.oci
. - Haga clic en Agregar.
Se agrega la clave y se muestra la Vista previa del archivo de configuración. El fragmento de archivo incluye los parámetros y valores necesarios para crear el archivo de configuración. Copie y pegue el fragmento del archivo de configuración del cuadro de texto en el archivo
~/.oci/config
. (Si aún no ha creado este archivo, consulte Archivo de configuración de SDK y CLI para obtener más información sobre cómo crear uno).Después de pegar el contenido del archivo, tendrá que actualizar el parámetro
key_file
con la ubicación en la que guardó el archivo de clave privada.Si el archivo de configuración ya tiene un perfil DEFAULT, deberá realizar una de las siguientes acciones:- Sustituir el perfil existente y su contenido.
- Cambiar el nombre del perfil existente.
- Cambiar el nombre de este perfil a uno diferente después de pegarlo en el archivo de configuración.
- Actualice los permisos del archivo de clave privada descargado para que solo pueda verlo usted:
- Vaya al directorio
.oci
donde colocó el archivo de clave privada. - Utilice el comando
chmod go-rwx ~/.oci/<oci_api_keyfile>.pem
para definir los permisos en el archivo.
- Vaya al directorio
Requisito: ha generado una clave RSA pública en formato PEM (mínimo 2048 bits). El formato PEM tiene un aspecto similar al siguiente:
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAoTFqF...
...
-----END PUBLIC KEY——
OCI_PRIVATE_KEY
Le recomendamos que incluya una etiqueta al final de la clave. Por ejemplo, OCI_PRIVATE_KEY
.
- Vea los detalles del usuario:
- Si va a agregar una clave de API para usted mismo: seleccione el menú Perfil (), que se encuentra en la parte superior derecha de la barra de navegación en la parte superior de la página y, a continuación, haga clic en Configuración de usuario o en el nombre de su cuenta.
- Si es un administrador que va a agregar una clave de API para otro usuario: abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Usuarios. Localice al usuario en la lista y, a continuación, haga clic en el nombre de usuario para ver los detalles.
- Haga clic en Agregar clave de API.
- En el cuadro de diálogo, seleccione Seleccionar archivo de clave pública para cargar el archivo o Pegar clave pública si prefiere pegarla en un cuadro de texto.
- Haga clic en Agregar.
Se agrega la clave y se muestra la Vista previa del archivo de configuración. El fragmento de archivo incluye los parámetros y valores necesarios para crear el archivo de configuración. Copie y pegue el fragmento del archivo de configuración del cuadro de texto en el archivo
~/.oci/config
. (Si aún no ha creado este archivo, consulte Archivo de configuración de SDK y CLI para obtener más información sobre cómo crear uno).Después de pegar el contenido del archivo, tendrá que actualizar el parámetro
key_file
con la ubicación en la que guardó el archivo de clave privada.Si el archivo de configuración ya tiene un perfil DEFAULT, deberá realizar una de las siguientes acciones:
- Sustituir el perfil existente y su contenido.
- Cambiar el nombre del perfil existente.
- Cambiar el nombre de este perfil a uno diferente después de pegarlo en el archivo de configuración.
- Vea los detalles del usuario:
- Si obtiene un fragmento de archivo de configuración de clave de API para usted mismo: seleccione el menú Perfil (), que se encuentra en la parte superior derecha de la barra de navegación en la parte superior de la página y, a continuación, haga clic en Configuración de usuario o en el nombre de su cuenta.
- Si es un administrador que va a obtener un fragmento del archivo de configuración de clave de API para otro usuario: abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Usuarios. Localice al usuario en la lista y, a continuación, haga clic en el nombre de usuario para ver los detalles.
- En la parte izquierda de la página, haga clic en Claves de API. Se muestra la lista de huellas de claves de API.
- Haga clic en el
Aparece la Vista previa del archivo de configuración. El fragmento de archivo incluye los parámetros y valores necesarios para crear el archivo de configuración. Copie y pegue el fragmento del archivo de configuración del cuadro de texto en el archivo
~/.oci/config
. (Si aún no ha creado este archivo, consulte Archivo de configuración de SDK y CLI para obtener más información sobre cómo crear uno). Después de pegar el contenido del archivo, tendrá que actualizar el parámetrokey_file
con la ubicación en la que guardó el archivo de clave privada.Si el archivo de configuración ya tiene un perfil DEFAULT, deberá realizar una de las siguientes acciones:- Sustituir el perfil existente y su contenido.
- Cambiar el nombre del perfil existente.
- Cambiar el nombre de este perfil a uno diferente después de pegarlo en el archivo de configuración.
de la huella y seleccione Ver archivo de configuración.
- Vea los detalles del usuario:
- Si va a suprimir una clave de API para usted mismo: seleccione el menú Perfil (), que se encuentra en la parte superior derecha de la barra de navegación en la parte superior de la página y, a continuación, haga clic en Configuración de usuario o en el nombre de su cuenta.
- Si es un administrador que va a suprimir una clave de API para otro usuario: abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Usuarios. Localice al usuario en la lista y, a continuación, haga clic en el nombre de usuario para ver los detalles.
- Haga clic en Claves de API.
- Haga clic en el de la clave de API que desea suprimir y, a continuación, seleccione Suprimir.
- Confirme cuando se le solicite.
- Vea los detalles del usuario:
- Si va a crear un token de autenticación para usted mismo: seleccione el menú Perfil (), que se encuentra en la parte superior derecha de la barra de navegación en la parte superior de la página y, a continuación, haga clic en Configuración de usuario o en el nombre de su cuenta.
- Si es un administrador que va a crear un token de autenticación para otro usuario: abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Usuarios. Localice al usuario en la lista y, a continuación, haga clic en el nombre de usuario para ver los detalles.
- En la parte izquierda de la página, haga clic en Tokens de autenticación.
- Haga clic en Generar token.
- Introduzca una descripción que indique la finalidad del token, por ejemplo, "Token de contraseña Swift".
-
Haga clic en Generar token.
Se mostrará la nueva cadena de token.
- Copie la cadena de token inmediatamente, porque no podrá recuperarla después de cerrar el cuadro de diálogo.
Si es un administrador que crea un token de autenticación para otro usuario, debe entregarlo de forma segura al usuario, ya sea verbalmente, imprimiéndolo o enviándoselo a través de un servicio de correo electrónico seguro.
El siguiente procedimiento funciona para un usuario normal o un administrador. Los administradores pueden suprimir un token de autenticación para otro usuario o para ellos mismos.
- Vea los detalles del usuario:
- Si va a suprimir un token de autenticación para usted mismo: seleccione el menú Perfil (), que se encuentra en la parte superior derecha de la barra de navegación en la parte superior de la página y, a continuación, haga clic en Configuración de usuario o en el nombre de su cuenta.
- Si es un administrador que va a suprimir un token de autenticación de otro usuario: abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Usuarios. Localice al usuario en la lista y, a continuación, haga clic en el nombre de usuario para ver los detalles.
- En la parte izquierda de la página, haga clic en Tokens de autenticación.
- Para el token de autenticación que desea suprimir, haga clic en Suprimir.
- Confirme cuando se le solicite.
El token de autenticación ya no es válido para acceder a ninguna API de terceros.
- Vea los detalles del usuario:
- Si va a crear una clave secreta de cliente para usted: seleccione el menú Perfil (), que se encuentra en la parte superior derecha de la barra de navegación en la parte superior de la página y, a continuación, haga clic en Configuración de usuario o en el nombre de su cuenta.
- Si es un administrador que va a crear una clave secreta de cliente para otro usuario: abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Usuarios. Localice al usuario en la lista y, a continuación, haga clic en el nombre de usuario para ver los detalles.
-
En la parte izquierda de la página, haga clic en Claves secretas de cliente.
Una clave secreta de cliente consta de un par de clave de acceso/clave secreta. Oracle genera automáticamente la clave de acceso cuando usted o el administrador generan la clave secreta para crear la clave secreta de cliente.
- Haga clic en Generar clave secreta.
-
Introduzca una descripción fácil de recordar para la clave y haga clic en Generar clave secreta.
La clave secreta generada se muestra en el cuadro de diálogo Generar clave secreta. A la vez, Oracle genera la clave de acceso que está emparejada con la clave secreta. La clave secreta de cliente recién generada se agrega a la lista de claves secretas de cliente.
-
Copie la clave secreta inmediatamente, porque, por motivos de seguridad, no podrá recuperar la clave secreta después de cerrar el cuadro de diálogo.
Si es un administrador que crea una clave secreta para otro usuario, debe entregarla de forma segura al usuario, ya sea verbalmente, imprimiéndola o enviándosela a través de un servicio de correo electrónico seguro.
- Haga clic en Cerrar.
- Para mostrar o copiar la Clave de acceso, haga clic en la acción Mostrar o Copiar a la izquierda del Nombre de una clave secreta de cliente concreta.
El siguiente procedimiento funciona para un usuario normal o un administrador. Los administradores pueden suprimir una clave secreta de cliente para otro usuario o para ellos mismos.
- Vea los detalles del usuario:
- Si va a suprimir una clave secreta de cliente para usted mismo: seleccione el menú Perfil (), que se encuentra en la parte superior derecha de la barra de navegación en la parte superior de la página y, a continuación, haga clic en Configuración de usuario o en el nombre de su cuenta.
- Si es un administrador que va a suprimir una clave secreta de cliente de otro usuario: abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Usuarios. Localice al usuario en la lista y, a continuación, haga clic en el nombre de usuario para ver los detalles.
- En la parte izquierda de la página, haga clic en Claves secretas de cliente.
- Para la clave secreta de cliente que desea suprimir, haga clic en Suprimir.
- Confirme cuando se le solicite.
La clave secreta de cliente deja de estar disponible para su uso con la API de compatibilidad de Amazon S3.
Las credenciales de cliente de OAuth 2.0 no están disponibles en los siguientes dominios:
- el dominio comercial (OC1)
- la nube del Gobierno de Reino Unido (OC4)
- Vea los detalles del usuario:
- Si va a crear una credencial de cliente OAuth 2.0 para usted mismo: seleccione el menú Perfil (), que se encuentra en la parte superior derecha de la barra de navegación en la parte superior de la página y, a continuación, haga clic en Configuración de usuario o en el nombre de su cuenta.
- Si es un administrador que va a crear una credencial de cliente de OAuth 2.0 para otro usuario: abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Usuarios. Localice al usuario en la lista y, a continuación, haga clic en el nombre de usuario para ver los detalles.
-
En el lado izquierdo de la página, haga clic en Credenciales de cliente OAuth 2.0.
- Haga clic en Generar credencial de cliente OAuth 2.0.
-
Haga clic en Nombre y, a continuación, introduzca un nombre para esta credencial.
-
Haga clic en Título y, a continuación, introduzca una descripción para esta credencial.
-
Agregue el URI para los servicios OAuth 2.0 a los que esta credencial proporcionará acceso.
Para seleccionar un par público-ámbito:- En Público, introduzca el URI de los servicios de OAuth 2.0.
- A continuación, seleccione el Ámbito para esta credencial. Seleccione siempre los privilegios mínimos necesarios.
- Para agregar más permisos a esta credencial, haga clic en + Otro ámbito y siga las instrucciones del paso anterior.
- Haga clic en Generar. Se generará la nueva cadena de secreto.
Copie la cadena de token inmediatamente, porque no podrá recuperarla después de cerrar el cuadro de diálogo..
Si es un administrador que va a crear una clave secreta para otro usuario, debe entregarla de forma segura al usuario.
Necesitará la siguiente información de la credencial para la solicitud de token:
- El secreto generado
- El OCID de la credencial de cliente OAuth 2.0
- El ámbito y el público (ámbito de aplicación totalmente cualificado)
- Vea los detalles del usuario:
- Si va a crear una credencial de cliente OAuth 2.0 para usted mismo: seleccione el menú Perfil (), que se encuentra en la parte superior derecha de la barra de navegación en la parte superior de la página y, a continuación, haga clic en Configuración de usuario o en el nombre de su cuenta.
- Si es un administrador que va a crear una credencial de cliente de OAuth 2.0 para otro usuario: abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Usuarios. Localice al usuario en la lista y, a continuación, haga clic en el nombre de usuario para ver los detalles.
-
En el lado izquierdo de la página, haga clic en Credenciales de cliente OAuth 2.0.
- Haga clic en el nombre de la credencial a la que desea agregar ámbitos.
- Haga clic en Agregar ámbitos.
-
Agregue el URI para los servicios OAuth 2.0 a los que desea agregar acceso.
Para Seleccionar un par recurso-ámbito- Seleccione la opción Seleccionar un par recurso-ámbito.
- La lista Recurso muestra los recursos para los que dispone de permiso de visualización. Seleccione el recurso para el que desee agregar credenciales. Después de seleccionar el recurso, el campo Público se rellena automáticamente.
- A continuación, seleccione el Ámbito para esta credencial. Seleccione siempre los privilegios mínimos necesarios.
Para Introducir ámbito completo:- Seleccione la opción Introducir ámbito completo.
- Introduzca el Público y el Ámbito para esta credencial.
- Para agregar más permisos a esta credencial, haga clic en + Otro Ámbito y siga las instrucciones del paso anterior.
- Haga clic en Guardar cambios.
IMPORTANTE: Al volver a generar el secreto para una credencial, se denegará el acceso a los ámbitos de destino a las solicitudes realizadas con el secreto anterior.
- Vea los detalles del usuario:
- Si va a crear una credencial de cliente OAuth 2.0 para usted mismo: seleccione el menú Perfil (), que se encuentra en la parte superior derecha de la barra de navegación en la parte superior de la página y, a continuación, haga clic en Configuración de usuario o en el nombre de su cuenta.
- Si es un administrador que va a crear una credencial de cliente de OAuth 2.0 para otro usuario: abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Usuarios. Localice al usuario en la lista y, a continuación, haga clic en el nombre de usuario para ver los detalles.
-
En el lado izquierdo de la página, haga clic en Credenciales de cliente OAuth 2.0.
- Haga clic en el nombre de la credencial para la que desea volver a generar el secreto.
- Haga clic en Agregar ámbitos.
- Haga clic en Volver a generar secreto.
- Confirme el cuadro de diálogo de advertencia y haga clic en Volver a generar secreto.
- Copie la cadena de token inmediatamente, porque no podrá recuperarla después de cerrar el cuadro de diálogo.
Asegúrese de actualizar las solicitudes de token existentes con la nueva cadena de secreto.
El siguiente procedimiento funciona para un usuario normal o un administrador. Los administradores pueden suprimir un token de autenticación para otro usuario o para ellos mismos.
- Vea los detalles del usuario:
- Si va a suprimir una credencial de cliente OAuth 2.0 para usted mismo: seleccione el menú Perfil (), que se encuentra en la parte superior derecha de la barra de navegación en la parte superior de la página y, a continuación, haga clic en Configuración de usuario o en el nombre de su cuenta.
- Si es un administrador que va a suprimir un token de autenticación de otro usuario: abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Usuarios. Localice al usuario en la lista y, a continuación, haga clic en el nombre de usuario para ver los detalles.
- En el lado izquierdo de la página, haga clic en Credenciales de cliente OAuth 2.0.
- En la credencial de cliente de OAuth 2.0 que desea suprimir, haga clic en Suprimir.
- Confirme cuando se le solicite.
La credencial de cliente de OAuth 2.0 ya no estará disponible para su uso.
- Vea los detalles del usuario:
- Si está generando credenciales SMTP para usted mismo: seleccione el menú Perfil (), que se encuentra en la parte superior derecha de la barra de navegación en la parte superior de la página y, a continuación, haga clic en Configuración de usuario o en el nombre de su cuenta.
- Si es un administrador que va a generar credenciales SMTP para otro usuario: abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Usuarios. Localice al usuario en la lista y, a continuación, haga clic en el nombre de usuario para ver los detalles.
- Haga clic en Credenciales de SMTP.
-
Haga clic en Generar credenciales de SMTP.
- Introduzca una Descripción de las credenciales SMTP en el cuadro de diálogo.
- Haga clic en Generar credenciales de SMTP. Se muestra un nombre de usuario y una contraseña.
-
Copie el nombre de usuario y la contraseña para su referencia y haga clic en Cerrar. Copie las credenciales inmediatamente, ya que, por motivos de seguridad, no podrá volver a recuperar la contraseña después de cerrar el cuadro de diálogo.
Si es un administrador que crea el juego de credenciales para otro usuario, deberá entregarlo de forma segura al usuario, ya sea verbalmente, imprimiéndolo o enviándoselo a través de un servicio de correo electrónico seguro.
El siguiente procedimiento funciona para un usuario normal o un administrador. Los administradores pueden suprimir credenciales SMTP para otro usuario o para ellos mismos.
- Vea los detalles del usuario:
- Si va a suprimir credenciales SMTP para usted mismo: seleccione el menú Perfil (), que se encuentra en la parte superior derecha de la barra de navegación en la parte superior de la página y, a continuación, haga clic en Configuración de usuario o en el nombre de su cuenta.
- Si es un administrador que va a suprimir las credenciales SMTP de otro usuario: abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Usuarios. Localice al usuario en la lista y, a continuación, haga clic en el nombre de usuario para ver los detalles.
- En el lado izquierdo de la página, haga clic en Credenciales de SMTP.
- Para las credenciales SMTP que desea suprimir, haga clic en Suprimir.
- Confirme cuando se le solicite.
Las credenciales SMTP ya no están disponibles para su uso con el servicio Email Delivery.
Puede crear una contraseña de base de datos de IAM para cumplir las directrices de creación de contraseñas de Oracle Database. Consulte Creación de una contraseña de base de datos de IAM para conocer las especificaciones de contraseñas de la base de datos de IAM.
- Conéctese a la consola de OCI IAM.
- En la esquina superior derecha de la ventana, haga clic en el icono de perfil para mostrar la página de su perfil de usuario.
- En la página de su perfil de usuario, haga clic en su nombre de usuario.
- En Recursos, haga clic en Contraseñas de base de datos.
- En la sección Contraseñas de base de datos, haga clic en Crear contraseña de base de datos.
Aparecerá el cuadro de diálogo Crear contraseña de base de datos.
- Introduzca una descripción de la contraseña.
- Tenga en cuenta las directrices y las restricciones de contraseña que se muestran en la página. Consulte Creación de una contraseña de base de datos de IAM para obtener más información sobre las reglas de contraseña.
- Haga clic en Crear contraseña de base de datos.
Se cerrará el cuadro de diálogo y se mostrará la descripción para la que ha creado una contraseña se muestra en la sección Contraseñas de base de datos.
Para cambiar su contraseña de base de datos de IAM, suprima la contraseña actual y, a continuación, cree una nueva. Consulte Para suprimir una contraseña de base de datos de IAM y Para crear una contraseña de base de datos de IAM.
Puede suprimir su propia contraseña de base de datos de IAM.
- Conéctese a la consola de OCI IAM.
- En la esquina superior derecha de la ventana, haga clic en el icono de perfil para mostrar la página de su perfil de usuario.
- En la página de su perfil de usuario, haga clic en su nombre de usuario.
- En Recursos, haga clic en Contraseñas de base de datos.
- Su nombre de usuario se mostrará en la sección Contraseñas de base de datos.
- En el extremo derecho de la fila que tiene su nombre de usuario, haga clic en el menú de tres puntos y, a continuación, en Suprimir.
Para cambiar su nombre de usuario de base de datos de IAM:
- Conéctese a la consola de OCI IAM.
- Haga clic en Identidad e identidad.
- En Identidad, haga clic en Usuarios.
- En la tabla de usuarios de base de datos, haga clic en Crear usuario.
- En el campo Nombre, introduzca el nombre de usuario de base de datos. Introduzca solo letras, números, guiones, puntos, caracteres de subrayado, + y @. No se pueden utilizar espacios en el nombre.
- Si lo desea, en el campo Descripción, introduzca el nombre de la base de datos a la que corresponde este nombre de usuario o cualquier otra información relevante.
- Opcionalmente, haga clic en Opciones avanzadas para mostrar el cuadro de diálogo Etiquetas.
- En los campos Espacio de nombres de etiqueta, Clave de etiqueta y Valor, introduzca un nombre de etiqueta
- Haga clic en Guardar cambios.
Para cambiar su nombre de usuario de base de datos de IAM:
- Conéctese a la consola de OCI IAM.
- Haga clic en Identidad e identidad.
- En Identidad, haga clic en Usuarios.
- En la tabla de usuarios de base de datos, busque su nombre de usuario de base de datos y haga clic en él con el botón izquierdo.
Aparecerá la página de su nombre de usuario.
- Haga clic en Editar usuario.
- En el campo Descripción, edite el nombre de usuario de base de datos y haga clic en Guardar cambios.
Para cambiar su nombre de usuario de base de datos de IAM:
- Conéctese a la consola de OCI IAM.
- Haga clic en Identidad e identidad.
- En Identidad, haga clic en Usuarios.
- En la tabla de usuarios de base de datos, busque su nombre de usuario de base de datos y haga clic en él con el botón izquierdo.
Aparecerá la página de su nombre de usuario.
- En el extremo derecho de la fila que contiene su nombre de usuario, haga clic en el menú de tres puntos y, a continuación, en Suprimir.
Uso de la API
Para obtener más información sobre el uso de la API y la firma de solicitudes, consulte la documentación de la API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Los SDK y la CLI.
Utilice esta operación de API para gestionar las contraseñas y el acceso a la consola:
- CreateOrResetUIPassword: genera una nueva contraseña de consola única para el usuario. La próxima vez que el usuario se conecte a la consola, se le pedirá que cambie la contraseña.
- UpdateUserState: anula el bloqueo de un usuario que ha intentado conectarse incorrectamente 10 veces seguidas.
Utilice estas operaciones de API para gestionar las claves de firma de API:
Utilice estas operaciones de API para gestionar tokens de autenticación:
- CreateAuthToken
- UpdateAuthToken: solo puede actualizar la descripción del token de autenticación, no cambiar la cadena del token en sí.
- ListAuthTokens
- DeleteAuthToken
Utilice estas operaciones de API para gestionar claves secretas de cliente:
- CreateCustomerSecretKey
- UpdateCustomerSecretKey: solo puede actualizar la descripción de la clave secreta, no cambiar la clave en sí misma.
- ListCustomerSecretKeys
- DeleteCustomerSecretKey
Utilice estas operaciones de API para gestionar credenciales de cliente OAuth 2.0:
- CreateOAuthClientCredential
- UpdateOAuthClientCredential
- ListOAuthClientCredentials
- DeleteOAuthClientCredential
Utilice estas operaciones de API para gestionar las credenciales SMTP:
- CreateSmtpCredential
- UpdateSmtpCredential: solo puede actualizar la descripción.
- ListSmtpCredentials
- DeleteSmtpCredential