Gestión de capacidades de usuario para usuarios federados
En este tema, se describe la gestión de capacidades de usuario para usuarios federados cuando el arrendamiento está federado y configurado para el aprovisionamiento de usuarios con un proveedor de identidad soportado.
Acerca de las capacidades de usuario
Para acceder a Oracle Cloud Infrastructure, un usuario debe tener las credenciales necesarias. Los usuarios que necesitan utilizar la consola deben tener una contraseña. Los usuarios que necesitan acceder a través de la API necesitan claves de API. Algunas funciones de servicio necesitan credenciales adicionales, como tokens de autenticación, credenciales SMTP y claves de API de compatibilidad de Amazon S3. Para que un usuario pueda obtener estas credenciales, se le debe otorgar la capacidad para tener el tipo de credencial.
Las capacidades de usuario las gestiona un administrador en los detalles del usuario. Cada usuario puede ver sus capacidades, pero solo un administrador puede activarlas o desactivarlas. Las capacidades de usuario disponibles para los usuarios federados son las siguientes:
- Claves de API
- Tokens de autenticación
- Credenciales SMTP
- Claves secretas de cliente
- Credenciales de cliente de OAuth 2.0
Por defecto, estas capacidades están activadas al aprovisionar nuevos usuarios, lo que permite a los usuarios crear dichas credenciales para ellos mismos. Para obtener más información sobre estas credenciales de usuario, consulte Gestión de credenciales de usuario.
La capacidad "contraseña de consola" no está disponible para los usuarios federados. Los usuarios federados se autentican en la consola a través de su IdP, donde se gestionan sus contraseñas de conexión.
Política de IAM necesaria
Si está en el grupo Administradores, tendrá el acceso necesario para gestionar capacidades de usuario. Un usuario no puede activar ni desactivar las capacidades de usuario para sí mismo (excepto los Administradores). Sin embargo, un usuario puede gestionar las propias credenciales que se les haya activado.
Requisitos
La gestión de las capacidades de usuario para usuarios federados solo está soportada para federaciones Oracle Identity Cloud Service y Okta.
-
Federaciones de Oracle Identity Cloud Service:
Si su arrendamiento se ha creado el 21 de diciembre de 2018 o una fecha posterior, está configurado automáticamente para gestionar las capacidades de usuario. No hay requisitos previos.
Si el arrendamiento se ha creado antes del 21 de diciembre de 2018, debe realizar una actualización única. Consulte Activación del aprovisionamiento de usuarios.
- Si su arrendamiento está federado con Okta, consulte Aprovisionamiento de usuarios para usuarios federados.
Visualización de usuarios federados aprovisionados en la consola
Una vez cumplidos los requisitos, puede ver los usuarios que ha creado en su IdP que pertenecen a grupos asignados a grupos de Oracle Cloud Infrastructure. Cada vez que agregue un usuario a un grupo asignado a un grupo de Oracle Cloud Infrastructure, el usuario aparece automáticamente en la consola.
Para mostrar usuarios en la consola:
Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Usuarios.
Tenga en cuenta que puede filtrar la lista por tipo de usuario para incluir solo los usuarios que pertenecen a un proveedor de identidad especificado. Los usuarios locales son usuarios creados en el servicio IAM de Oracle Cloud Infrastructure. La lista de filtros incluye todos los proveedores de identidad que ha configurado.
Uso de la consola
Si es administrador, puede editar las capacidades del usuario.
- Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Usuarios. Se mostrará una lista de los usuarios de su arrendamiento.
- Haga clic en el usuario para ver sus detalles.
- Haga clic en Editar funciones de usuario.
- Active o desactive la casilla de control para agregar o eliminar una capacidad.
- Haga clic en Guardar.
- Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Usuarios. Se mostrará una lista de los usuarios de su arrendamiento.
- Haga clic en el usuario que desea actualizar. Se mostrarán los detalles del usuario. La descripción se muestra debajo de la conexión del usuario.
- Haga clic en el lápiz situado junto a la descripción.
- Edite la descripción y guárdela. Esta descripción se mantiene en Oracle Cloud Infrastructure y no se vuelve a sincronizar con su proveedor de identidad.
- Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Usuarios. Se mostrará una lista de los usuarios de su arrendamiento.
- Busque el usuario que desea suprimir y haga clic en el .
- Haga clic en Suprimir.
Importante: La supresión de un usuario aquí no suprime el usuario en su IdP. Si, posteriormente, desea que el usuario federado tenga un usuario aprovisionado en Oracle Cloud Infrastructure, debe eliminar el usuario de todos los grupos asignados a OCI de Oracle Identity Cloud Service y volver a agregarlo.
Para obtener información sobre la gestión de credenciales de usuario en la consola, consulte Gestión de credenciales de usuario.
Uso de la API
Para obtener más información sobre el uso de la API y la firma de solicitudes, consulte la documentación de la API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Los SDK y la CLI.
Utilice estas operaciones de API para gestionar las capacidades de usuario:
- ListUsers
- GetUser
- UpdateUser: puede actualizar las capacidades y la descripción del usuario.
- UpdateUserCapabilities
- DeleteUser: esta operación suprime el usuario aprovisionado en Oracle Cloud Infrastructure, pero no el usuario del proveedor de identidad.
Para obtener más información sobre las operaciones de API para gestionar credenciales de usuario, consulte Gestión de credenciales de usuario.
Las siguientes operaciones no están soportadas para usuarios federados: