Introducción

Obtenga información sobre el dominio de identidad por defecto, cómo utilizar varios dominios, recuperación ante desastres y dominios, entre otros.

La introducción contiene los siguientes temas:

Dominio de identidad por defecto

Cada arrendamiento incluye un dominio de identidad por defecto en el compartimento raíz.

Un dominio de identidad por defecto:

  • No se puede desactivar ni suprimir. (Vive con el ciclo de vida del arrendamiento).
  • No se puede ocultar en la página de conexión.

El dominio de identidad por defecto contiene el usuario administrador de inquilino inicial y el grupo Administradores, así como una política por defecto que permite a los administradores gestionar cualquier recurso del arrendamiento. La política Administradores y el grupo Administradores no se pueden suprimir y debe haber al menos un usuario en el grupo Administradores. También puede asignar cuentas de usuario a roles de administrador predefinidos para delegar responsabilidades administrativas en el dominio por defecto.

Nota

Al otorgar a usuarios o grupos el rol de administrador del dominio de identidad para dominios que no sean el dominio por defecto, se les otorgan permisos de administrador completos solo para ese dominio (no para el arrendamiento). Se debe otorgar al menos a un administrador del dominio de identidad el rol de administrador de dominio de identidad directamente. Este se añade a los roles de administrador de dominio de identidad otorgados por la pertenencia a grupo. Para obtener más información, consulte Understanding Administrator Roles.

Puede actualizar un dominio cambiando el tipo de dominio. Cada tipo de dominio de identidad está asociado a un juego diferente de funciones y límites de objetos. Para obtener información que le ayude a decidir qué tipo de dominio es adecuado para lo que desea hacer, consulte Tipos de dominio de identidad de IAM.

Uso de varios dominios de identidad

Cree y gestione varios dominios de identidad (por ejemplo, un dominio para desarrollo y otro para producción), cada uno con diferentes requisitos de identidad y seguridad para proteger sus aplicaciones y servicios de Oracle Cloud.

El uso de varios dominios de identidad puede ayudarle a mantener el aislamiento del control administrativo en cada dominio de identidad. Esto es necesario, por ejemplo, si los estándares de seguridad impiden que existan identificadores de usuario de desarrollo en el entorno de producción o requieren que los distintos administradores controlen los distintos entornos.

Cada arrendamiento contiene un dominio de identidad por defecto, el dominio de identidad que se incluye con su arrendamiento. Los administradores pueden crear tantos dominios de identidad adicionales como les permitan sus licencias. Los administradores pueden:

  • Crear dominios de identidad adicionales y ser su administrador de dominio de identidad o asignar otro usuario para que sea el administrador.
  • Crear dominios de identidad adicionales y, como parte del proceso de creación del dominio de identidad, asignar usuarios para que sean administradores de dominio de identidad de los dominios de identidad.
  • Delegar la creación de dominios de identidad adicionales a otros administradores.

Durante la creación del dominio de identidad se asigna un administrador de dominio de identidad a un dominio de identidad. Aunque la identidad del administrador de dominio de identidad puede tener el mismo nombre de usuario que un usuario del dominio de identidad por defecto, son usuarios diferentes que pueden tener privilegios diferentes en cada dominio de identidad y tendrán contraseñas independientes.

El administrador de dominio de identidad puede utilizar el juego de funciones completo del dominio de identidad. En un dominio de identidad, el administrador de dominio de identidad puede:

  • Gestionar usuarios, grupos, aplicaciones, la configuración del sistema y la configuración de seguridad.
  • Realizar la administración delegada asignando usuarios a diferentes roles administrativos.
  • Activación y desactivación de la autenticación multifactor (MFA), configuración de los valores de MFA y configuración de los factores de autenticación.
  • Crear perfiles de autorregistro para gestionar diferentes juegos de usuarios, políticas de aprobación y aplicaciones.

Límites de los dominios de identidad

Cada tipo de dominio de identidad está asociado a un juego diferente de funciones y límites de objetos.

Consulte Tipos de dominio de identidad de IAM para conocer los límites de objetos, los límites de frecuencia y los medidores de cada tipo de dominio de identidad.

Para obtener una lista de límites aplicables e instrucciones para solicitar un aumento del límite, consulte Límites de servicio. Para definir límites específicos de compartimentos en un recurso o familia de recursos, los administradores pueden utilizar cuotas de compartimento.

Dominios de identidad y recuperación ante desastres

Un desastre puede ser cualquier evento que ponga en riesgo las aplicaciones, por ejemplo, los fallos causados por desastres naturales. En las regiones con la recuperación ante desastres (DR) entre regiones activada, los dominios de identidad tienen una DR entre regiones integrada para minimizar la pérdida de datos. Los datos de una región se replican en una región cercana en caso de desastre. Si toda una región de OCI deja de estar disponible, el tráfico se enruta a la región de recuperación ante desastres para acelerar la recuperación del servicio y retener la mayor cantidad de datos posible. Oracle se encarga de emparejar las regiones con regiones de recuperación ante desastres (DR) en su lugar.

Consulte Obtenga más información sobre cómo proteger la topología de la nube frente a desastres para obtener más información sobre la DR en Oracle Cloud Infrastructure.

Si se produce una interrupción de región, el dominio de identidad experimentará una breve interrupción y, a continuación, se recuperará. Después de recuperarse en la región de DR:

  • Los usuarios del dominio de identidad se podrán autenticar y autorizar de la forma habitual.
  • Las URL del dominio de identidad no cambian. No se necesita realizar ningún cambio para ninguna aplicación.
  • Los dominios de identidad fallidos no se replican en regiones replicadas.
  • Es posible que los dominios de identidad replicados en otras regiones no estén sincronizados con la región de DR. Por ejemplo, cualquier cambio en la configuración de usuarios, grupos y dominios podría no reflejarse en la región de DR. Las incoherencias se resuelven cuando se produce un failback en el dominio de identidad.

Acceso a la región de DR

Siga estos pasos para confirmar que la red puede acceder a la región de DR.

  1. Busque el identificador de región de recuperación ante desastres en la tabla Pares de regiones de recuperación ante desastres. Consulte Parados de regiones de recuperación ante desastres.
  2. Utilice el identificador de la región de DR para buscar las direcciones IP públicas asignadas a la región. Consulte Direcciones IP públicas para las VCN y Oracle Services Network.
  3. Agregue esas direcciones IP públicas a los firewalls para permitir el tráfico desde esa región de DR.

Failover de solo lectura y dominios de identidad

Si se produce una interrupción de la región, OCI podría iniciar un failover de los dominios de identidad de esa región (y segmentos de IDCS) en una región de failover que restaura el acceso a esos dominios de identidad (y segmentos de IDCS) en un modo de acceso de solo lectura. Compruebe la información de interrupción cuando el estado de interrupción de la región esté activado y desactivado.

Si una región principal no está disponible, los usuarios no pueden acceder a la consola de OCI en ninguna región, incluso si los dominios de identidad han realizado un failover. El acceso de CLI y SDK a regiones distintas de la región principal está disponible.

En el modo de acceso de solo lectura:

  1. No se pueden actualizar los recursos. No se permiten actualizaciones de ningún recurso de dominio de identidad (o segmento de IDCS). Por ejemplo, los usuarios no pueden actualizar ni suprimir la configuración de usuarios, aplicaciones, grupos o dominios. Los usuarios tienen permisos de lectura para todos los recursos.
  2. Los usuarios no pueden cambiar sus contraseñas. Si un usuario tiene el estado Forzar restablecimiento de contraseña, no puede restablecer su contraseña y no tiene acceso hasta que se haya mitigado la interrupción de la región.
  3. Los usuarios con autenticación multifactor pueden conectarse mientras el dominio de identidad está en modo de solo lectura.
  4. Las aplicaciones que utilizan el dominio de identidad pueden autenticarse y autorizar. Por ejemplo, una aplicación personalizada puede autenticar y autorizar llamadas mediante el dominio de identidad mientras está en modo de solo lectura.

Emparejamiento de regiones de recuperación ante desastres

Utilice la siguiente tabla para buscar los emparejamientos de regiones de DR en el dominio comercial de Oracle Cloud Infrastructure:

Consulte la sección sobre regiones de Oracle Cloud: centros de datos para obtener información sobre las regiones disponibles.

Nombre de región Identificador de región Ubicación de la región Nombre de región de recuperación ante desastres Identificador de región de recuperación ante desastres
Este de Australia (Sídney) ap-sydney-1 Sydney, Australia Sureste de Australia (Melbourne) ap-melbourne- 1
Sureste de Australia (Melbourne) ap-melbourne- 1 Melbourne (Australia) Este de Australia (Sídney) ap-sydney-1
Este de Brasil (São Paulo) sa-saopaulo-1 São Paulo, Brasil Sudeste de Brasil (Vinhedo) sa-vinhedo-1
Sudeste de Brasil (Vinhedo) sa-vinhedo-1 Vinhedo, Brasil Este de Brasil (São Paulo) sa-saopaulo-1
Sudeste de Canadá (Montreal) ca-montreal-1 Montreal, Canadá Sudeste de Canadá (Toronto) ca-toronto-1
Sureste de Canadá (Toronto) ca-toronto-1 Toronto, Canadá Sureste de Canadá (Montreal) ca-montreal-1
Centro de Alemania (Frankfurt) eu-frankfurt-1 Frankfurt, Alemania Noroeste de Países Bajos (Amsterdam) eu-amsterdam-1
Noroeste de Países Bajos (Amsterdam) eu-amsterdam-1 Ámsterdam, Países Bajos Centro de Alemania (Frankfurt) eu-frankfurt-1
Sur de India (Hyderabad) ap-hyderabad-1 Hyderabad, India Oeste de India (Mumbai) ap-mumbai-1
Oeste de India (Mumbai) ap-mumbai-1 Bombay, India Sur de India (Hyderabad) ap-hyderabad-1
Italia noroccidental (Milán) eu-milan-1 Milán, Italia Sur de Francia (Marsella) eu-marseille-1
Central de Japón (Osaka) ap-osaka-1 Osaka, Japón Este de Japón (Tokio) ap-tokyo-1
Este de Japón (Tokio) ap-tokyo-1 Tokio, Japón Centro de Japón (Osaka) ap-osaka-1
Centro de Corea del Sur (Seúl) ap-seoul-1 Seúl, Corea del Sur Norte de Corea del Sur (Chuncheon) ap-chuncheon-1
Norte de Corea del Sur (Chuncheon) ap-chuncheon-1 Chuncheon, Corea del Sur Centro de Corea del Sur (Seúl) ap-seoul-1
Norte de Suiza (Zúrich) eu-zurich-1 Zurich, Suiza Centro de Alemania (Fráncfort) eu-frankfurt-1
Emiratos Árabes Unidos central (Abu Dabi) me-abudhabi-1 Abu Dhabi, Emiratos Árabes Unidos Este de EAU (Dubái) me-dubai-1
Este de EAU (Dubái) me-dubai-1 Dubai (EAU) Emiratos Árabes Unidos central (Abu Dabi) me-abudhabi-1
Sur del Reino Unido (Londres) uk-london-1 Londres, Reino Unido Oeste de Reino Unido (Newport) uk-cardiff-1
Oeste de Reino Unido (Newport) uk-cardiff-1 Newport, Reino Unido Sur de Reino Unido (Londres) uk-london-1
Este de EE. UU. (Ashburn) us-ashburn-1 Ashburn, VA Oeste de Estados Unidos (Phoenix) us-phoenix-1
Oeste de Estados Unidos (Phoenix) us-phoenix-1 Phoenix, AZ Este de EE. UU. (Ashburn) us-ashburn-1
Oeste de EE. UU. (San José) us-sanjose-1 San José, CA Oeste de Estados Unidos (Phoenix) us-phoenix-1

Gestión de Alta Disponibilidad para Conexión a la Consola

Maximice la alta disponibilidad de la consola replicando los dominios de identidad en otras regiones. La replicación de dominios de identidad permite a los usuarios conectarse a la consola cuando la región principal no está disponible.

El sistema detecta si la región principal no está disponible y redirige la solicitud de conexión a una región replicada. Los usuarios que se conectan a través de una región replicada solo tienen acceso de lectura a los recursos de identidad, pero pueden gestionar todas las cargas de trabajo de esa región. Por ejemplo:

  • Los usuarios pueden ver o mostrar recursos de IAM globales, como políticas.
  • Los usuarios pueden ver o mostrar recursos de dominio, como usuarios, grupos, aplicaciones, etc.
  • Los usuarios no pueden cambiar, actualizar ni crear recursos de dominio de identidad hasta que la región principal esté disponible.
  • Los usuarios pueden gestionar su recurso de OCI en la región suscrita, como crear instancias informáticas, acceder a cubos de objetos, etc.

Cuando la región principal se recupera, la consola notifica al usuario con un mensaje. Los usuarios pueden continuar utilizando la sesión existente o pueden desconectarse y, a continuación, conectarse a la consola para obtener acceso completo en OCI.

Para activar la alta disponibilidad para la consola, recomendamos que se suscriba a más de una región para un dominio de identidad.

La conexión a la consola de alta disponibilidad se activa automáticamente cuando:

Nota

Los arrendamientos creados después del 15 de agosto de 2024 admiten alta disponibilidad para el inicio de sesión en la consola. Para el resto de arrendamientos, la implementación planificada para esta capacidad se realizará por fases a partir del 1 de diciembre de 2024.