Documentación de Oracle Cloud Infrastructure

Visión general de IAM

Oracle Cloud Infrastructure Identity and Access Management (IAM) proporciona funciones de gestión de identidad y acceso como autenticación, conexión única (SSO) y gestión del ciclo de vida de identidad para Oracle Cloud, así como aplicaciones de Oracle y no de Oracle, ya sean SaaS, alojadas en la nube o locales. Los empleados, los partners y los clientes pueden acceder a las aplicaciones en cualquier momento, desde cualquier lugar y en cualquier dispositivo de forma segura.

IAM se integra con los almacenes de identidades, los proveedores de identidades externos y las aplicaciones existentes en la nube y en las ubicaciones locales para facilitar el acceso a los usuarios finales. Proporciona la plataforma de seguridad para Oracle Cloud, que permite a los usuarios acceder, desarrollar y desplegar de forma segura y sencilla aplicaciones empresariales como Oracle Human Capital Management (HCM) y Oracle Sales Cloud, así como servicios de plataforma como Oracle Java Cloud Service, Oracle Business Intelligence (BI) y Cloud Service, entre otros.

Los administradores y los usuarios pueden utilizar IAM para ayudarles a crear, gestionar y utilizar de forma eficaz y segura un entorno de gestión de identidad basado en la nube sin tener que preocuparse de configurar ningún detalle de la infraestructura o la plataforma.

Consejo

Vea una introducción en vídeo al servicio.

Responsabilidad del cliente

Es su responsabilidad:

  • Comprender las políticas, las configuraciones y los artefactos de Oracle Cloud Infrastructure Identity and Access Management (IAM).
  • Implantar sus propias políticas, configuraciones y artefactos para todas las funciones de IAM.
  • Crear y administrar usuarios, políticas, configuraciones y artefactos mediante IAM.
  • Cumplir todos los requisitos y directrices de NIST 800-63, incluidos IAL3, AAL3 y FAL3.

Para todas las funciones de IAM, debe utilizar sus propios valores de configuración y configurar sus propios artefactos.

Componentes de IAM

IAM utiliza los componentes descritos en esta sección. Para comprender mejor cómo encajan los componentes entre sí, consulte Escenario de ejemplo.

COMPARTIMENTO
Recopilación de recursos relacionados. Los compartimentos son un componente fundamental de Oracle Cloud Infrastructure para organizar y aislar sus recursos en la nube. Se utilizan para separar recursos claramente con la finalidad de medir el uso y la facturación, el acceso (mediante políticas) y el aislamiento (separando los recursos dedicados a un proyecto o unidad de negocio de otros). Un enfoque común es crear un compartimento para cada parte principal de su organización. Para obtener más información, consulte Aprender las mejores prácticas para configurar el arrendamiento.
GRUPOS DINÁMICOS
Tipo especial de grupo que contiene recursos (como instancias informáticas) que coinciden con las reglas que defina (por lo tanto, la afiliación puede cambiar de forma dinámica a medida que se crean o suprimen recursos coincidentes). Estas instancias actúan como actores "principales" y pueden realizar llamadas de API a servicios según las políticas que escriba para el grupo dinámico.
FEDERACIÓN
Relación que un administrador configura entre un proveedor de identidad y un proveedor de servicios. Al federar Oracle Cloud Infrastructure con un proveedor de identidad, gestiona los usuarios y los grupos en el proveedor de identidad. La autorización se gestiona en el servicio IAM de Oracle Cloud Infrastructure.
GRUPO
Colección de usuarios que comparten un conjunto similar de privilegios de acceso. Los administradores pueden otorgar políticas de acceso que autorizan a un grupo a usar o gestionar recursos en un arrendamiento. Todos los usuarios de un grupo heredan el mismo conjunto de privilegios.
REGIÓN PRINCIPAL
Región en la que residen sus recursos de IAM. Todos los recursos de IAM son globales y están disponibles en todas las regiones, pero el juego maestro de definiciones reside en una sola región, la región principal. Debe realizar cambios en sus recursos de IAM en la región principal. Los cambios se propagarán automáticamente a todas las regiones. Para obtener más información, consulte "Gestión de regiones".
IDENTITY DOMAIN

Un dominio de identidad es un contenedor para gestionar usuarios y roles, federar y aprovisionar usuarios, y proteger la integración de aplicaciones mediante la configuración de Oracle Single Sign-On (SSO) y la administración de OAuth. Representa a un grupo de usuarios de Oracle Cloud Infrastructure y sus configuraciones y valores de seguridad asociados (como MFA).

PROVEEDOR DE IDENTIDAD
Relación de confianza con un proveedor de identidad federado. Los usuarios federados que intentan autenticarse en la consola de Oracle Cloud Infrastructure se redirigen al proveedor de identidad configurado. Después de autenticarse correctamente, los usuarios federados pueden gestionar los recursos de Oracle Cloud Infrastructure en la consola al igual que un usuario nativo de IAM.
MFA
La autenticación multifactor (MFA) es un método de autenticación que requiere el uso de más de un factor para verificar la identidad de un usuario.
ORIGEN DE RED
Grupo de direcciones IP que tiene permitido acceder a los recursos del arrendamiento. Las direcciones IP pueden ser públicas o de una VCN de su arrendamiento. Después de crear el origen de red, utilice la política para restringir el acceso solo a solicitudes que procedan de las IP del origen de red.
RECURSO
Objeto en la nube que crea y utiliza al interactuar con los servicios de Oracle Cloud Infrastructure. Por ejemplo, las instancias informáticas, los volúmenes de almacenamiento de bloques, las redes virtuales en la nube (VCNs ), las subredes, las bases de datos, las aplicaciones de terceros, las aplicaciones de software como servicio (SaaS), el software local y las aplicaciones web minoristas.
ROLE
Juego de privilegios administrativos que se pueden asignar a un usuario en un dominio de identidad.
POLÍTICA DE SEGURIDAD
Documento que especifica quién puede acceder a recursos determinados y cómo. Puede escribir políticas para controlar el acceso a todos los servicios de Oracle Cloud Infrastructure. El acceso se concede en el nivel de grupo y compartimento, lo que significa que puede escribir una política que proporcione a un grupo un tipo específico de acceso dentro de un compartimento específico, o acceso al arrendamiento en sí. Si otorga a un grupo acceso al arrendamiento, el grupo obtiene automáticamente el mismo tipo de acceso a todos los compartimentos del arrendamiento. La palabra "política" se utiliza de distintas formas: para indicar una sentencia individual escrita en el lenguaje de la política; para indicar una recopilación de sentencias en un documento de "política" con nombre (que tiene un Oracle Cloud ID [OCID] asignado), y para hacer referencia al cuerpo general de políticas que utiliza la organización para controlar el acceso a los recursos.
Cuando aplica una política, puede haber un ligero retraso antes de que la política sea efectiva.
POLÍTICA DE CONEXIÓN
Una política de conexión permite a los administradores de dominios de identidad, a los administradores de seguridad y a los administradores de aplicaciones definir criterios que determinen si un usuario puede conectarse a un dominio de identidad.
ETIQUETAS
Las etiquetas permiten organizar recursos en varios compartimentos para la generación de informes o para realizar acciones masivas.
ARRENDAMIENTO
Compartimento raíz que contiene todos los recursos de Oracle Cloud Infrastructure de su organización. Oracle crea automáticamente el arrendamiento de su compañía. Sus entidades de IAM están directamente en el arrendamiento (usuarios, grupos, compartimentos y algunas políticas). También puede colocar políticas en compartimentos dentro del arrendamiento. Puede colocar los otros tipos de recursos de nube (por ejemplo, instancias, redes virtuales, volúmenes de almacenamiento de bloques, etc.) dentro de los compartimentos que cree.
Los administradores de arrendamiento pueden crear usuarios y grupos, así como asignarlos a recursos con menos privilegios particionados en compartimentos.
USUARIO
Empleado individual o sistema que necesita gestionar o utilizar los recursos de Oracle Cloud Infrastructure de su compañía. Es posible que los usuarios necesiten iniciar instancias, gestionar discos remotos, trabajar con su red virtual en la nube, etc. Los usuarios finales de la aplicación normalmente no son usuarios de IAM. Los usuarios tienen una o más credenciales de IAM (consulte Credenciales de usuario).

Activación y desactivación de componentes

Hay una serie de componentes que deben activarse para utilizarlos. También puede desactivarlos cuando sea necesario.

Obtenga más información sobre el componente con el que está trabajando:

Grupo de administradores, política y roles de administrador

Cuando su compañía se registra para una cuenta de Oracle y un dominio de identidad, Oracle configura un administrador por defecto para la cuenta. Esta persona será el primer usuario de IAM para su compañía y será responsable de la configuración inicial de administradores adicionales. Su arrendamiento incluye un grupo denominado Administradores y el administrador por defecto pertenece automáticamente a este grupo. No puede suprimir este grupo y siempre debe haber al menos un usuario en él.

Su arrendamiento también tiene automáticamente una política que proporciona al grupo Administradores acceso a todas las operaciones de la API de Oracle Cloud Infrastructure y todos los recursos en la nube de dicho arrendamiento. No puede cambiar ni suprimir esta política. Cualquier otro usuario que coloque en el grupo Administradores tendrá acceso completo a todos los servicios. Esto significa que pueden crear y gestionar recursos de IAM, como grupos, políticas y compartimentos. También pueden crear y gestionar los recursos en la nube, como redes virtuales en la nube (VCN), instancias, volúmenes de almacenamiento de bloques y cualquier otro tipo nuevo de recurso de Oracle Cloud Infrastructure que esté disponible en el futuro.

Además del administrador por defecto y de la política por defecto, puede asignar cuentas de usuario a roles de administrador predefinidos para delegar responsabilidades administrativas. Los roles de administrador existen en los dominios de identidad. Puede asignar cualquier cuenta de usuario de un dominio de identidad a uno o más roles de administrador en ese dominio de identidad. Mientras que las políticas proporcionan acceso a los compartimentos y a los recursos de esos compartimentos, si utiliza roles de administrador, puede otorgar acceso a los recursos sin tener que aprender el lenguaje de la política ni escribir y mantener políticas.

Nota

Al otorgar a usuarios o grupos el rol de administrador del dominio de identidad para dominios que no sean el dominio por defecto, se les otorgan permisos de administrador completos solo para ese dominio (no para el arrendamiento). Se debe otorgar al menos a un administrador del dominio de identidad el rol de administrador de dominio de identidad directamente. Este se añade a los roles de administrador de dominio de identidad otorgados por la pertenencia a grupo. Para obtener más información, consulte Understanding Administrator Roles.

IAM evalúa las políticas y los roles de administrador juntos al determinar si un usuario tiene acceso a recursos y qué puede hacer ese usuario con esos recursos. Si el arrendamiento ya está basado en políticas, puede seguir usándolas. Puede incluso escribir políticas para otorgar acceso a dominios de identidad específicos. Sin embargo, Oracle le recomienda que empiece a utilizar roles de administrador para otorgar a los usuarios acceso a los recursos de los dominios de identidad en el futuro.

Formas de acceder a Oracle Cloud Infrastructure

Puede acceder a Oracle Cloud Infrastructure mediante la consola (interfaz basada en explorador) o la API de REST. En los temas de esta guía se incluyen instrucciones para la consola. Para obtener una lista de los SDK disponibles, consulte Software development kits e interfaz de línea de comandos.

Para acceder a la consola, debe utilizar un explorador soportado. Para ir a la página de conexión de la consola, abra el menú de navegación en la parte superior de esta página y haga clic en Consola de Infrastructure. Se le solicitará que introduzca el inquilino en la nube, el nombre de usuario y la contraseña.

Para ver la referencia de API de REST para la API de IAM, consulte API del servicio Identity and Access Management. Para ver la referencia de API de REST de la API de dominios de identidad de IAM, consulte la sección sobre la API de dominios de identidad de IAM. Para obtener información general sobre el uso de la API, consulte API de REST.

Documentación necesaria para la identidad en la nube

Para ayudarle a administrar la identidad en Oracle Cloud Infrastructure (OCI), necesita la documentación correcta.

La documentación que elija dependerá de los siguientes factores:

  • Si su arrendamiento de OCI se ha actualizado para que utilice los dominios de identidad de Oracle Cloud Infrastructure Identity and Access Management (IAM)
  • Si se han migrado los segmentos de Oracle Identity Cloud Service (IDCS) a los dominios de identidad de IAM

Lea las siguientes secciones para encontrar la documentación correcta.

¿Tiene acceso a dominios de identidad?

  1. Conéctese a la consola de Oracle Cloud. ¿Necesita ayuda para conectarse? Consulte Conexión a la consola.
  2. En el menú de navegación, haga clic en Identidad y seguridad. En Identidad, compruebe si hay Dominios. Si aparece Dominios, su cuenta en la nube se ha actualizado.
Si se conecta y aparece la consola de administración de IDCS en lugar de la consola de Oracle Cloud, como se muestra en la siguiente imagen, quiere decir que los segmentos no se han migrado a IAM. No tiene acceso a los dominios de identidad.

¿Qué documentación necesita?

Después de determinar si el arrendamiento se ha actualizado o si los segmentos de IDCS se han migrado, seleccione la documentación correcta.

¿Se ha actualizado el arrendamiento? Utilice esta documentación.
Se muestran Dominios en la consola. Se ha actualizado mi arrendamiento.
Al utilizar la consola:
Al utilizar la API:
  • Para gestionar dominios de identidad (por ejemplo, crear o suprimir un dominio), consulte API de IAM.
  • Para gestionar recursos (por ejemplo, usuarios y grupos) en los dominios de identidad, consulte la sección sobre la API de dominios de identidad de IAM.
Si el arrendamiento se ha actualizado recientemente, para obtener información sobre lo que se debe esperar después de la actualización:
No se muestran Dominios en la consola. Mi arrendamiento no se ha actualizado.

Para utilizar la consola para administrar IAM en arrendamientos sin dominios de identidad, consulte Visión general de Identity and Access Management.

Para utilizar la API para administrar IAM en arrendamientos sin dominios de identidad, consulte API de IAM.

Para obtener información sobre qué se debe esperar cuando se produce la actualización, consulte Dominios de identidad de OCI IAM: qué deben saber los clientes de OCI IAM.

Se muestra la consola de administración de IDCS. Mis segmentos no se han migrado a los dominios de identidad.
Al utilizar la consola:

Para utilizar la API para administrar segmentos en IDCS, consulte API de REST de Oracle Identity Cloud Service.

Para obtener información sobre qué se debe esperar cuando se produce la migración, consulte Dominios de identidad de OCI IAM: qué deben saber los clientes de Oracle IDCS.