Identitäts- und Zugriffsverwaltung – Häufig gestellte Fragen

Häufig gestellte Fragen – Themen

Allgemeines

Was versteht man unter Oracle Cloud Infrastructure Identity and Access Management (OCI IAM)?

OCI IAM ist ein nativer Service von OCI, der Identitäts- und Zugriffsverwaltungsfunktionen der Enterprise-Klasse wie starke, adaptive Authentifizierung, User Lifecycle Management (LCM) und Single Sign-On (SSO) für Unternehmensanwendungen bereitstellt. OCI IAM wird als Identitätsdomain(s) in OCI bereitgestellt. Mit enthaltenen Domains können Organisationen den Zugriff auf ihre Oracle Cloud-Services (Networking, Compute, Storage usw.) und Oracle SaaS-Anwendungen verwalten. Kunden können wählen, ob sie ein Upgrade durchführen oder zusätzliche Identitätsdomains erstellen möchten, um andere Anwendungsfälle zu berücksichtigen, z. B. die Verwaltung des Zugriffs von Mitarbeitern auf Nicht-Oracle Anwendungen, die Ermöglichung des Verbraucherzugriffs auf kundenorientierte Anwendungen oder die Einbettung von IAM in kundenspezifisch entwickelte Anwendungen.

Was sind Identitätsdomains?

Jede OCI IAM-Identitätsdomain ist eine eigenständige Identitäts- und Zugriffsverwaltungslösung, die für eine Vielzahl von IAM-Anwendungsfälle verwendet werden kann. Beispielsweise können Sie eine OCI IAM-Identitätsdomain verwenden, um den Zugriff für Mitarbeiter über zahlreiche Cloud- und On-Premises-Anwendungen hinweg zu verwalten und eine sichere Authentifizierung, eine einfache Verwaltung von Berechtigungen und nahtlosen Single Sign-On für Endbenutzer zu ermöglichen. Möglicherweise möchten Sie auch eine Identitätsdomain einrichten, sodass Geschäftspartner Zugriff auf Lieferketten- oder Bestellsysteme haben. Außerdem können Sie Identitätsdomains verwenden, um IAM für verbraucherorientierte Anwendungen zu aktivieren und Verbraucherbenutzern die Möglichkeit zu geben, sich selbst zu registrieren, sich bei sozialen Netzwerken anzumelden und/oder den Nutzungsbedingungen zuzustimmen. Identitätsdomains stellen eine umfassende Identity-as-a-Service-(IDaaS-)Lösung dar, die zahlreiche IAM-Anwendungsfälle und -Szenarien abdeckt.

Welche Art von Identitätsdomain sollte ich wählen?

  • Kostenlose Identitätsdomains: Jeder OCI-Mandant umfasst eine standardmäßige OCI-IAM-Identitätsdomain im kostenlosen Kontingent zum Verwalten des Zugriffs auf OCI-Ressourcen (Networking, Compute, Storage usw.). Wenn Sie nur den Zugriff auf OCI-Ressourcen verwalten möchten, können Sie die enthaltene Standarddomain verwenden. Sie bietet einen robusten Satz von IAM-Funktionen für die Verwaltung des Zugriffs auf Oracle Cloud-Ressourcen. Je nach Sicherheitsmodell und Team können Kunden diese Domain für OCI-Administratoren reservieren.
  • Oracle Apps-Identitätsdomains: Zahlreiche Oracle Cloud Applications (HCM, CRM, ERP, Branchen-Apps usw.) können die Verwendung von OCI IAM über eine Oracle Apps-Domain umfassen. Diese Domains sind für die Verwendung mit abonnierten Oracle Applications enthalten und bieten eine robuste IAM-Funktionalität für die Verwaltung des Zugriffs auf Oracle Cloud- und SaaS-Services. Kunden können alle Mitarbeiter zu dieser Domain hinzufügen, um SSO für einen Oracle Cloud Application-Service zu aktivieren, und können diese Domain verwenden, um den Zugriff auf einige oder alle ihrer OCI-Ressourcen zu verwalten.
  • Oracle Apps Premium-Identitätsdomänen: Wenn Sie eine Oracle Apps-Domain mit vollständigen Unternehmensfunktionen erweitern möchten, um den Zugriff für Oracle Applications zu verwalten, die möglicherweise nicht über SaaS bereitgestellt werden (z. B. Oracle E-Business Suite oder Oracle Databases, ob On-Premises oder in OCI gehostet), bieten Oracle Apps Premium-Domains alle OCI IAM-Features und -Funktionen zur Verwendung mit Oracle Zielen, die in Hybrid-Cloud-Umgebungen bereitgestellt werden können. Dies ist ein kostengünstiger Service mit vollem Funktionsumfang, der jedoch auf die Verwendung mit Oracle Zielen beschränkt ist.
  • Externe Identitätsdomains: Externe Identitätsdomains bieten eine vollständige Reihe von OCI IAM-Features und -Funktionen für Nicht-Mitarbeiter, wie z. B. Verbraucher, die auf eine Einzelhandelssite zugreifen, Regierungen, die Bürgern den Zugriff ermöglichen, oder Unternehmen, die Geschäftspartnern Zugriff gewähren. Es gibt keine Einschränkungen hinsichtlich der Anwendungen, auf die ausgerichtet werden kann. Bestimmte Unternehmensfunktionen, die in Szenarien ohne Mitarbeiter im Allgemeinen nicht nützlich sind, wie App Gateway und Provisioning Bridge, sind jedoch nicht enthalten. Externe Domains umfassen die Unterstützung für Social Logon, Selbstregistrierung, Zustimmung zu den Nutzungsbedingungen und Profil-/Kennwortverwaltung.
  • Premium-Identitätsdomains: Premium-Identitätsdomains bieten eine vollständige Reihe von OCI IAM-Features und -Funktionen ohne Einschränkungen hinsichtlich der Anwendungen, auf die ausgerichtet werden kann. Premium-Domains können als IAM-Service für Unternehmen verwendet werden, der den Zugriff von Mitarbeitern oder der Belegschaft über Cloud- und On-Premises-Anwendungen hinweg verwaltet und eine sichere Authentifizierung, einfache Verwaltung von Berechtigungen und den nahtlosen Single Sign-On für Endbenutzer ermöglicht.

Kann ich Mitarbeiter und Nicht-Mitarbeiter in einer einzigen Identitätsdomain mischen?

Nein. OCI IAM betrachtet diese für Lizenzierungszwecke als separate Benutzerpopulationen. Sie können jedoch denselben OCI IAM-Service verwenden, um zwei oder mehr Domains zu verwalten, die Mitarbeiter und Nicht-Mitarbeiter (Partner, verbundene Unternehmen, Verbraucher usw.) aufnehmen können. Mehrere Domains können für den Zugriff auf dieselben Anwendungen verwendet werden, aber die Regeln und Sicherheits-Policys für Nicht-Mitarbeiter unterscheiden sich normalerweise von denen, die für Mitarbeiter gelten. Jede Domain hat ihre eigenen Einstellungen, Konfigurationen und Sicherheits-Policys, die für diese Benutzerpopulation einzigartig sind. Dies ist beabsichtigt, um den stark variierenden Anforderungen gerecht zu werden, die für verschiedene Benutzerpopulationen typisch sind.

Wer hat Zugriff auf eine Identitätsdomain?

Jeder OCI-Mandant umfasst eine Administratorengruppe, die vollen Zugriff auf alle OCI-Ressourcen bietet. Es ist wichtig zu verstehen, dass alle Mitglieder der Gruppe „OCI-Administratoren“ vollen Zugriff haben, um OCI IAM-Identitätsdomains zu verwalten. Oracle empfiehlt eine sorgfältige Verwendung dieser Gruppe. Administratorrechte können innerhalb jeder Domain über Administratorrollen erteilt werden, die eine Aufgabentrennung zwischen Personengruppen ermöglichen. Weitere Einzelheiten finden Sie im Abschnitt Grundlegendes zu Administratorrollen.

Bietet OCI IAM High Availability und/oder Disaster Recovery?

Innerhalb jeder OCI-Region gibt es entweder mehrere Availability Domains (AD) oder Fault Domains (FD) (in Regionen mit einer AD). ADs und FDs dienen ähnlichen Funktionen, jedoch sind FDs physisch näher beieinander als ADs. Identitätsdomains werden mit redundanten Installationen in jeder Region (zwei über die ADs/FDs) bereitgestellt, die High Availability bieten. OCI IAM-Identitätsdomains bieten über einen Aktiv-Passiv-Ansatz, der eine leistungsstarke Datenreplikation nutzt, auch eine regionsübergreifende Disaster Recovery (DR). Dies sorgt für eine zuverlässige Datenwiederherstellung für Identitätsdomains für den unwahrscheinlichen Fall, dass eine gesamte OCI-Region nicht verfügbar ist. Diese DR wird über eine einzelne URL bereitgestellt und ist für Anwendungen transparent.

Was sind die wichtigsten Begriffe und Konzepte von Oracle Identity and Access Management?

Die wichtigsten Konzepte von IAM sind die folgenden:

  • Account oder Mandant – Wenn Sie sich für OCI anmelden, erstellt Oracle einen Mandanten für Ihr Unternehmen, bei dem es sich um eine isolierte Partition innerhalb von OCI handelt, in der Sie Ihre Cloud-Ressourcen erstellen, organisieren und verwalten können. Dies wird manchmal auch als OCI-Account bezeichnet.
  • Compartment – Ein logischer Container innerhalb eines OCI-Accounts für Oracle Cloud-Ressourcen. Administratoren können zur Organisation und Verwaltung von Ressourcen innerhalb eines OCI-Accounts ein oder mehrere Compartments erstellen. Beispielsweise können Compartments verwendet werden, um die Aufgabentrennung zwischen verschiedenen Arten von Administratoren (Networking, Compute, Storage usw.)
  • Root Compartment – Das oberste Compartment innerhalb eines OCI-Accounts. Das Root Compartment wird automatisch für Sie erstellt, wenn Ihr Account bereitgestellt wird.
  • Identitätsdomains – Eine Identitätsdomain repräsentiert eine Benutzerpopulation in OCI sowie zugehörige Konfigurationen und Sicherheitseinstellungen. Jeder Account enthält eine standardmäßige Identitätsdomain, mit der Kunden den Zugriff auf OCI-Ressourcen verwalten können. Außerdem können Kunden basierend auf ihren spezifischen Anforderungen zusätzliche Identitätsdomains erstellen. Identitätsdomains werden innerhalb eines Compartments erstellt, und der Zugriff zum Verwalten von Domains ist an Compartment-Berechtigungen gebunden. Darüber hinaus können OCI-Zugriffs-Policys geschrieben werden, um Benutzern in bestimmten Compartments/Domains den Zugriff auf Ressourcen in anderen Compartments zu ermöglichen.
  • Benutzer – Eine Entität, die authentifiziert werden kann. Ein Benutzer kann entweder ein Personen- oder ein Computerkonto sein. Jeder Benutzer hat einen eindeutigen Namen in Ihrem Account und eine global eindeutige Kennung. Benutzer können Kennwörter für den Zugriff auf die Webkonsole und Schlüssel für den Zugriff auf die Services über die APIs zugewiesen werden.
  • Gruppe – Eine Gruppe von Benutzern. Gruppen werden verwendet, um die Zugriffsverwaltung zu vereinfachen. Zum Beispiel können Softwareentwickler als Mitglieder einer „Entwickler“-Gruppe gruppiert werden, was ihnen ermöglicht, Code zu lesen und/oder zu modifizieren. Ein einzelner Benutzer kann Mitglied mehrerer Gruppen sein.
  • Policy – Ein Dokument, das festlegt, wer auf welche OCI-Ressourcen zugreifen kann und welche Berechtigungen er hat. Eine Policy besteht aus Policy-Anweisungen, die die natürliche Sprachsyntax nutzen.

Was ist das Besondere an dem Ansatz zur Identitäts- und Zugriffsverwaltung von Oracle Cloud Infrastructure?

Mit OCI IAM können Sie ein einziges Modell für die Authentifizierung und Autorisierung in allen Oracle Cloud- und Cloud Application-Services nutzen. OCI IAM erleichtert die Zugriffsverwaltung für Organisationen jeder Größe, von einer Person, die an einem einzelnen Projekt arbeitet, bis hin zu großen Unternehmen mit vielen Gruppen, die gleichzeitig an vielen Projekten arbeiten – und das alles innerhalb eines einzigen Accounts. Die Ressourcenverwaltung und -autorisierung kann auf Account- oder Compartment-Ebene erfolgen, wobei eine zentrale Prüfung und Abrechnung weiterhin möglich ist. OCI IAM ist von Grund auf so aufgebaut, dass Sie das Sicherheitsprinzip der niedrigsten Berechtigung erzwingen können – standardmäßig dürfen neue Benutzer keine Aktionen für Ressourcen ausführen. Administratoren können dann jedem Benutzer nur den Zugriff gewähren, der für den jeweiligen Benutzer geeignet ist.

Und zusätzlich zur Verwaltung von OCI-Ressourcen stellt Ihnen OCI IAM eine IDaaS-Lösung der Unternehmensklasse zur Verfügung. Mit einem Klick auf eine Schaltfläche können Sie eine robuste IAM-Lösung bereitstellen, die verwendet werden kann, um viele IAM-Anforderungen in Anwendungsfällen von Mitarbeitern/der Belegschaft, Partnern oder Verbrauchern zu erfüllen.

Wie unterstützt Oracle Cloud Infrastructure Multi-Faktor-Authentifizierung?

OCI IAM bietet umfassende Unterstützung für die Multifaktor-Authentifizierung (MFA), die eine mobile MFA-Anwendung umfasst, welche Optionen für Push oder One-Time-Passcode, Unterstützung für FIDO2-Authentifikatoren und Unterstützung für SMS, E-Mail, Telefonanrufe und mehr bietet. Darüber hinaus umfasst OCI IAM eine kontextbewusste adaptive Sicherheit, die das Risiko reduziert und für eine reibungslose Endbenutzererfahrung sorgt. Adaptive Security wertet das Gerät, das Netzwerk, den Standort und das frühere Verhalten des Benutzers aus, um eine Risikobewertung für die Sitzung des Benutzers zu erstellen. Administratoren können MFA-Policys konfigurieren, die für bestimmte Anwendungen oder für bestimmte Benutzergruppen unterschiedlich sein können.

Werden Änderungen an Benutzern, Gruppen, Compartments und Policys zu Debug- und Überwachungszwecken aufgezeichnet?

Ja. Zur Unterstützung der Unternehmensanforderungen für Auditing und Compliance werden alle Änderungen aufgezeichnet und diese Aufzeichnungen können Ihnen ohne zusätzliche Kosten zur Verfügung gestellt werden.

Wie sehen die ersten Schritte mit OCI IAM aus ?

OCI IAM wird standardmäßig ohne zusätzliche Kosten aktiviert. Der allererste Benutzer in Ihrem Account ist der Standardadministrator. Alle nachfolgenden Benutzer werden über den IAM-Dienst erstellt, wobei Sie ihnen explizit Berechtigungen für die Interaktion mit bestimmten Cloud-Ressourcen erteilen.

Sie können auf Oracle IAM über die Konsole, Rest API oder SDKs zugreifen.

Wie setze ich mein Kennwort als Oracle Cloud Infrastructure-Benutzer zurück?

Um Ihr Passwort für Oracle Cloud Infrastructure zurückzusetzen, müssen Sie zunächst sicherstellen, dass Sie Ihrem Account eine E-Mail-Adresse zugeordnet haben. Besuchen Sie die Benutzerprofilseite für Ihr Oracle Cloud Infrastructure-Account, und fügen Sie eine E-Mail-Adresse hinzu, auf die nur Sie Zugriff haben. Sie erhalten eine E-Mail, um zu bestätigen, dass Sie diese Adresse in Ihrem Account registrieren möchten. Anschließend können Sie Ihr Passwort mit Ihrem E-Mail-Account zurücksetzen, sofern es nicht von Ihrem Tenancy-Administrator deaktiviert wurde.

Compartments

Welche Probleme sollen Compartments lösen?

Ein Compartment ist ein sicherer logischer Container in Ihrem Account, der zum Hosten Ihrer Infrastrukturressourcen (z. B. Computing, Storage und Networking) zusammen mit einer Reihe von Zugriffsverwaltungs-Policys für diese Ressourcen verwendet wird. Mithilfe von Compartments können Sie Ihre Cloud-Ressourcen logisch organisieren, um eine Vielzahl von Anwendungsfällen zu unterstützen.

Im Folgenden finden Sie einige gebräuchliche Methoden zur Verwendung von Compartments:

  • Trennen Sie Ihre Softwareentwicklungsumgebungen für eine einfache Administration. Beispielsweise könnten Sie separate Compartments für Entwicklung, Test und Produktion nutzen, oder Sie verwenden separate Compartments, um Blue-Green-Bereitstellung zu unterstützen.
  • Vereinfachen Sie die Berechtigungsverwaltung. Sie können beispielsweise ein separates Compartment für Ihre Netzwerkressourcen (VCNs, Subnetze, Internetgateways usw.) erstellen und dann nur Netzwerkadministratoren den Zugriff auf dieses Fach gestatten.
  • Messen Sie die Nutzung separat für unterschiedliche Geschäftsbereiche, um diese Geschäftsbereiche ordnungsgemäß anhand des Cloud-Ressourcenverbrauchs abzurechnen.
  • Minimieren Sie die Ressourcen, die für bestimmte Benutzergruppen sichtbar sind. Beispielsweise könnten Sie ein separates Compartment für Ihr Finanzteam haben, die nur für bestimmte Mitarbeiter sichtbar ist.

Können Compartments Ressourcen in mehreren Availability-Domains enthalten?

Ja. Compartments sind logische Gruppierungen von Ressourcen, die sich von den physischen Konstrukten von Availability-Domain unterscheiden. Ein einzelnes Compartment kann Ressourcen in verschiedenen Availability-Domains enthalten.

Wie werden Compartments für die Zugriffssteuerung verwendet?

Alle Policys sind entweder dem Root Compartment oder einem Child-Compartment zugeordnet. Jede Policy besteht aus einer oder mehreren Policy-Anweisungen, die dieser grundlegenden Syntax folgen:

Allow group ... to ... in compartment ...

Mit Policy-Anweisungen können Sie Compartments verwenden, um die Berechtigungsverwaltung zu vereinfachen. Sie können beispielsweise eine Policy schreiben, mit der die Gruppe HRAdministratoren alle Ressourcen im Compartment HRCompartment verwalten kann.

Kann ich Compartments löschen?

Ja, Sie können Compartments löschen.

Kann ich ganze Compartment-Strukturen und die darin enthaltenen Ressourcen verschieben?

Ja, Sie können ganze Compartment-Strukturen und die darin enthaltenen Ressourcen in andere übergeordnete Compartments verschieben.

Kann ich Ressourcen wie eine Compute-Instanz oder ein Blockvolume von einem Compartment in ein anderes verschieben?

Ja, Sie können Ressourcen von einem Compartment in ein anderes verschieben.

Kann ich eine Compartment-Hierarchie erstellen?

Ja, Sie können eine Hierarchie von Compartments erstellen, indem Sie diese verschachteln. Mit hierarchischen oder verschachtelten Compartments kann der Systemadministrator Ressourcen organisieren und dies auch für Administratoren auf niedrigerer Ebene ermöglichen, wobei die vollständige Visibilität und die Kontrolle über die Policy erhalten bleiben.

Wie viele Ebenen tief können Sie Compartments verschachteln?

Die maximale Tiefe eines verschachtelten Compartments beträgt sechs Ebenen.

Gelten Policys für ein übergeordnetes Compartment auch für ein untergeordnetes Compartment?

Ja, Policys für übergeordnete Compartments werden von untergeordneten Compartments übernommen.

Kann ich die Kosten und die Nutzung nach Compartments verfolgen?

Ja, Sie können Kosten und Nutzung nach Compartments unter „Meine Services“ verfolgen.

Was versteht man unter einem Root Compartment?

Oracle Cloud Infrastructure erstellt für jeden Account automatisch ein übergeordnetes Compartment, das als Root Compartment bezeichnet wird. Ähnlich wie der Stamm-Ordner in einem Dateisystem verhält sich das Root Compartment bis auf einige Besonderheiten genau wie das untergeordnete Compartment:

  • Da die Berechtigungen hierarchisch sind, gelten die Gruppenberechtigungen im Root Compartment für alle untergeordneten Compartments. Wenn beispielsweise der Gruppe „NetworkAdmins“ die Berechtigung zum Verwalten von Virtual Cloud Networks (VCN) im Root Compartment erteilt wird, kann diese Gruppe VCNs in allen Compartments verwalten.
  • Derzeit werden alle Benutzer und Gruppen im Root Compartment erstellt. Policys können verwendet werden, um ihnen nur Zugriff auf bestimmte untergeordnete Compartments zu gewähren.

Hinweis: Derzeit können Sie zusätzliche Compartments nur im Root Compartment und nicht in anderen Compartments erstellen.

Wann sollte ich Ressourcen im Root Compartment erstellen und wann sollte ich sie in einem untergeordneten Compartment erstellen?

Im Allgemeinen sollten Ressourcen in einen anderen Compartment als das Root Compartment erstellt werden. Am besten entwerfen Sie Ihre Compartment-Hierarchie, bevor Sie mit der Erstellung von Compartments und Ressourcen beginnen.

Benutzer

Was kann ein Oracle Cloud Infrastructure Console-Benutzer tun?

Ein Benutzer ist jemand, der sich erfolgreich bei OCI IAM authentifizieren kann und über ausreichende Berechtigungen verfügt, um Cloud-Ressourcen in Ihrem Account zu nutzen oder zu verwalten. Administratoren können einen oder mehrere Benutzer in ihrem Account erstellen und sie Gruppen zuweisen, um ihnen Berechtigungen für Ressourcen in bestimmten Compartments zu erteilen.

Wer kann Benutzer anlegen und verwalten?

Ihr Account wird mit einem einzelnen Benutzer bereitgestellt: dem Standardadministrator, und einer einzelnen Gruppe: Administratoren, deren Mitglied der standardmäßige Administratorbenutzer ist. Diese Gruppe (Administratoren) hat vollen Zugriff auf Ihren Account. Dieser spezielle Benutzer (Standardadministrator) muss zusätzliche Benutzer erstellen oder anderen Benutzern die Berechtigung erteilen, neue Benutzer zu erstellen.

Welche Zugriffsrechte hat ein neuer Benutzer beim Erstellen?

Standardmäßig verfügt ein neuer Benutzer nicht über die Berechtigung, eine Ressource oder einen Service in Ihrem Account zu verwenden. Alle Berechtigungen müssen explizit erteilt werden. Mit diesem Ansatz können Sie das Sicherheitsprinzip der geringsten Berechtigungen einhalten, bei dem Sie jedem Benutzer nur den für diesen bestimmten Benutzer erforderlichen Zugriff gewähren. Sie müssen den Benutzer entweder explizit einer vorhandenen Gruppe hinzufügen oder eine neue Gruppe für diesen erstellen und dieser Gruppe dann über eine Policy die entsprechenden Berechtigungen zuweisen.

Kann ich den Zugriff für Benutzer aktivieren und deaktivieren?

Administratoren können einen Benutzer deaktivieren oder sperren, um seinen Zugriff vorübergehend zu deaktivieren. Darüber hinaus können Sie Benutzerkennwörter zurücksetzen oder Schlüssel entfernen.

Können wir die Ablaufzeit für Kennwörter festlegen? Wie kann ich die Anmeldeinformationen wechseln?

Ja, mit Kennwort-Policys können Sie eine Ablaufzeit für Kennwörter festlegen. Sie können auch das Zurücksetzen von Kennwörtern, Schlüsseländerungen oder Änderungen an Benutzer- und Gruppenmitgliedschaften über die REST-API und SDKs automatisieren.

Policys

Was ist eine Policy?

Eine Policy ist ein Dokument, das aus beschreibenden Policy-Anweisungen besteht, die bestimmten Benutzergruppen bestimmte Berechtigungen erteilen. Sie sind in einer leicht verständlichen SQL-ähnlichen Syntax geschrieben. Beispiel-Policys können Folgendes erzwingen:

  • Systemadministratoren können Ihre Bare Metal-Compute-Instanzen „beenden“ oder „neu starten“.
  • Netzwerkadministratoren können alle netzwerkbezogenen Infrastrukturressourcen vollständig verwalten.
  • IT-Administratoren können Benutzer erstellen und Gruppenmitgliedschaften bearbeiten.

Eine Policy ermöglicht es einer Gruppe, auf bestimmte Weise mit bestimmten Arten von Ressourcen in einem bestimmten Compartment zu arbeiten. Optional können Policys eine Bedingungsklausel („wobei ... gilt“) enthalten, die die Policy-Anweisung weiter einschränkt. Policys folgen der folgenden Syntax:

Allow group ... to ... in compartment ...

Im Folgenden finden Sie beispielsweise eine Policy-Anweisung, mit der Berechtigungen zur Verwendung von Compute-Instanzen erteilt werden:

Gruppe „Entwickler“ für „Instanzverwendung“ in Compartment „ProjectA“ zulassen

  • „group_name“ ist der Name der Gruppe, der Berechtigungen erteilt wurden.
  • „verbs“ sind Aktionen, die Sie für Ressourcen ausführen können, zum Beispiel: Inspizieren, Lesen, Verwenden oder Verwalten (inspect, read, use oder manage).
  • „resource-type“ ist die Cloud-Ressource, für die Berechtigungen erteilt werden. Beispiele für „resource-types“ sind: Instanzen, Volumes und Routingtabellen.
  • „compartment_name“ ist der Name des Compartments, in dem die Ressourcen organisiert sind.
  • „conditions“ sind weitere Spezifikationen, die den Umfang der Policy-Anweisung einschränken. Beispiele: „where request.user.id=target.user.id“ oder „where target.group_name != Administrators“.

Weitere Einzelheiten finden Sie im Abschnitt zu OCI IAM in der Oracle Cloud Infrastructure-Dokumentation.

Werden Policys für das Root Compartment von untergeordneten Compartments übernommen?

Ja. Eine Policy, die Berechtigungen im Root Compartment gewährt, gewährt automatisch die gleichen Berechtigungen für alle untergeordneten Compartments. Die folgende Policy erteilt beispielsweise allen Benutzern in der Gruppe „InstanceAdmins“ die Berechtigung, Instanzen im Root Compartment sowie in allen untergeordneten Compartments zu verwalten:

Gruppe „InstanceAdmins“ für „Instanzenverwaltung“ in der Tenancy zulassen

Können Policys auf bestimmte Compartments beschränkt werden?

Ja. Jede Policy ist an ein Compartment „angehängt“. Die Position des Anhangs legt dann fest, wer sie ändern oder löschen kann. Wenn Sie eine Policy an das Root Compartment anhängen, kann sie jeder ändern oder löschen, der Zugriff auf die Verwaltung von Policys im Root Compartment hat. Wenn Sie die Policy stattdessen an das Compartment anhängen, kann sie jeder ändern oder löschen, der Zugriff auf die Verwaltung von Policys im Compartment hat. In der Praxis bedeutet dies, dass es problemlos möglich ist, Compartment-Administratoren (d. h. einer Gruppe mit Zugriff auf die Verwaltung aller Ressourcen im Compartment) Zugriff auf die Verwaltung der Policys ihres eigenen Compartments zu gewähren, ohne ihnen einen breiteren Zugriff auf die Verwaltung der Policys zu gewähren, die sich im Account befinden.

Wo kann ich mehr über das Schreiben von Policy-Anweisungen erfahren?

Weitere Informationen zu Policys und Policy-Anweisungen finden Sie unter „Erste Schritte mit Policys“ und „Gemeinsame Policys“ in der Oracle Cloud Infrastructure-Dokumentation.

Gruppen

Was ist eine Gruppe?

Eine Gruppe ist eine Sammlung von Benutzern, die ähnliche Zugriffsrechte benötigen, um eine bestimmte Ressource in Ihrem Account zu verwenden oder zu verwalten. Benutzer können mehreren Gruppen angehören. Berechtigungen sind additiv. Wenn die Mitgliedschaft in einer Gruppe beispielsweise die Verwendung von Compute-Instanzen durch Benutzer und die Mitgliedschaft in einer zweiten Gruppe die Verwaltung von Blockvolumes durch Benutzer ermöglicht, können die Benutzer sowohl Instanzen als auch Blockvolumes verwalten.

Administratoren schreiben Policys, die Gruppen (nicht einzelne Benutzer) mit dem erforderlichen Zugriff festlegen, der für ein bestimmtes Compartment oder den Account erforderlich ist. Administratoren fügen dann Benutzer zu den entsprechenden Gruppen hinzu.

Kann ich mehrere Administratoren haben?

Ja. Ihr Account ist mit einem einzelnen Standardadministrator ausgestattet, der zu einer Administratorgruppe in Ihrem Root Compartment gehört. Diese Gruppe verfügt über die vollständigen Berechtigungen zum Erstellen und Verwalten aller Oracle Cloud Infrastructure-Ressourcen in Ihrem Account, einschließlich Benutzern, Gruppen, Policys und Compartments sowie aller anderen Cloud-Infrastrukturressourcen in Compartments. Sie können dieser Administratorengruppe weitere Benutzer hinzufügen.

Features

Wie geht OCI IAM mit den Anforderungen für den Kennwortablauf um?

Mit Kennwort-Policys können Sie eine Ablaufzeit für Kennwörter festlegen. Eine standardmäßige Kennwort-Policy legt fest, dass Kennwörter nach 120 Tagen ablaufen. Dies ist konfigurierbar und verschiedene Policys können auf Benutzer-Untergruppen angewendet werden.

Wie kann ich Aufgaben auf einer Compute-Instanz ausführen, ohne Benutzerzugangsdaten darin einzubetten?

Verwenden Sie dynamische Ressourcengruppen, um einer Gruppe einen Satz von Compute-Ressource zuzuweisen. Anschließend können Sie dieser Gruppe über eine Policy Berechtigungen zuweisen. Dadurch kann eine Compute-Instanz sicher auf andere OCI-Ressourcen zugreifen, ohne Zugangsdaten in Skripte einzubetten.

Verbund

Was ist ein Identitätsverbund in Oracle Cloud Infrastructure?

Ein Identitätsverbund ist ein Mechanismus zum Delegieren der Benutzerverwaltung für Ihre Oracle Cloud Infrastructure-Tenancy an eine andere Entität, die Identitätsanbieter oder IdP genannt wird. Dies ist hilfreich für Unternehmen, die über ein vorhandenes Identitätssystem verfügen, das sie verwenden möchten, anstatt eine neue Gruppe von Benutzern zu erstellen und zu verwalten. Für den Verbund ist eine einmalige Konfiguration zwischen Oracle Cloud Infrastructure und dem als Verbundvertrauensstellung bekannten IdP erforderlich.

Was sind Verbundnutzer?

Verbundnutzer (externe Identitäten) sind Benutzer, die Sie außerhalb von Oracle Cloud Infrastructure verwalten (z. B. in Ihrem Unternehmensverzeichnis), denen Sie jedoch Zugriff auf Ihr Oracle Cloud Infrastructure-Account gewähren. Sie unterscheiden sich von Oracle Cloud Infrastructure-Benutzern, die in Ihrem Oracle Cloud Infrastructure-Account erstellt und verwaltet werden.

Können Verbundnutzer auf die Oracle Cloud Infrastructure-Konsole zugreifen?

Ja. Verbundnutzer können auf die Oracle Cloud Infrastructure-Konsole zugreifen.

Können Verbundnutzer auf Oracle Cloud Infrastructure SDK und CLI zugreifen?

Ja. Verbundnutzer können auf die Oracle Cloud Infrastructure SDK und CLI zugreifen.

Welche Aktionen können Oracle Cloud Infrastructure-Benutzer in der Konsole ausführen, die Verbundnutzer nicht ausführen können?

Verbundnutzer können ihre Passwörter in der Oracle Cloud Infrastructure-Konsole weder ändern noch zurücksetzen.

Wie kann ich steuern, was ein Verbundnutzer tun darf, wenn er bei der Konsole angemeldet ist?

Sie verwenden dieselben Oracle Cloud Infrastructure-Policys zum Verwalten von Verbundnutzern wie für native Benutzer. Sie ordnen Rollen und Gruppen in Ihren Identitätsanbietergruppen in Oracle Cloud Infrastructure zu. Wenn sich ein Verbundnutzer anmeldet, wendet die Oracle Cloud Infrastructure-Konsole Policys an, die auf der Oracle Cloud Infrastructure-Gruppenmitgliedschaft basieren, genau wie bei nativen Benutzern. Beispiele finden Sie in der Dokumentation.

Eine einzelne Rolle oder Gruppe in Ihrem Identitätsanbieter kann mehreren Oracle Cloud Infrastructure-Gruppen zugeordnet werden. Gleichermaßen können mehrere Rollen oder Gruppen in Ihrem Identitätsanbieter einer einzelnen Oracle Cloud Infrastructure-Gruppe zugeordnet werden.

Wie vielen Verbundnutzern kann ich Zugriff auf die Oracle Cloud Infrastructure-Konsole gewähren?

Die Anzahl der Verbundnutzer, denen Zugriff auf die Konsole gewährt werden kann, ist unbegrenzt.

Welche Identitätsanbieter werden unterstützt?

OCI IAM unterstützt jeden SAML 2.0-, Open ID Connect- oder OAuth-konformen Identitätsprovider, einschließlich gängiger Lösungen wie Oracle Access Manager, Microsoft Active Directory Federation Services (AD FS) und Okta.

Multifaktor-Authentifizierung

Was versteht man unter Multifaktor-Authentifizierung (MFA), und warum ist sie wichtig?

In der Vergangenheit wurden Konten mit einem einfachen Benutzernamen und einem Passwort gesichert. Passwörter sind jedoch schwer zu merken und können mit gängigen Cyberangriffstechniken wie Netzwerk-Sniffing, Phishing und Brute-Force-Angriffen relativ leicht geknackt werden. Wenn jemand Ihre Anmeldedaten stiehlt, kann diese Person sich für Sie ausgeben und auf alle Ihre Konten und Ressourcen zugreifen.

Die Multifaktor-Authentifizierung (MFA) ist ein beliebtes Sicherheitsfeature, das dazu beiträgt, das Risiko einer Kontoübernahme zu verringern, indem es die Sicherheit erhöht, dass ein Anwendungsbenutzer derjenige ist, der er vorgibt zu sein. MFA verlangt von den Nutzern, dass sie mehr als nur einen Authentifizierungsfaktor angeben. Es gibt drei Kategorien von Authentifizierungsfaktoren: etwas, was Sie wissen (z. B. ein Passwort oder eine PIN), etwas, was Sie haben (z. B. ein Sicherheits-Token oder eine Telefonnummer) und etwas, was Sie sind (z. B. biometrische Daten wie ein Fingerabdruck oder ein Gesichtsscan). Wenn MFA aktiviert ist, kann sich ein Angreifer, selbst wenn es ihm gelingen sollte, Ihr Passwort zu erlangen, nicht als Sie authentifizieren, ohne die von der MFA geforderten zusätzlichen Nachweise zu erbringen. Das kann unbefugten Zugriff verhindern und vor der Preisgabe sensibler Informationen oder vor unangemessenen Handlungen schützen. Die Aktivierung von MFA hilft außerdem bei der Einhaltung gesetzlicher Vorschriften und Industriestandards, wie z. B. denen des National Institute of Standards and Technology (NIST).

Wer sollte MFA nutzen?

Oracle empfiehlt allen Nutzern die Aktivierung von MFA. Zumindest sollten Sie MFA für Benutzer mit administrativen Rechten aktivieren, wie z. B. die Fähigkeit zum Erstellen und Verwalten von OCI-Ressourcen. Außerdem sollten Sie MFA für den Zugriff auf alle Anwendungen verlangen, die sensible Daten enthalten oder risikoreiche Maßnahmen ermöglichen.

Wie sieht die Benutzererfahrung bei aktivierter MFA aus?

Wenn MFA zum ersten Mal von einem Administrator aktiviert wird, werden die Nutzer bei ihrer nächsten Anmeldung aufgefordert, ihre MFA zu registrieren. Nach der Erstanmeldung werden die Nutzer bei jedem weiteren Besuch während des Anmeldevorgangs zur MFA aufgefordert. Wenn der Administrator die Option „vertrauenswürdige Geräte“ aktiviert, können Benutzer „diesem Gerät vertrauen“ auswählen, wodurch die Anforderung für MFA entfällt, wenn der Benutzer mit demselben Gerät zurückkehrt.

Weitere Informationen finden Sie in der folgenden Anleitung:

Ist MFA unter allen Umständen obligatorisch?

Nein, MFA ist nicht unter allen Umständen obligatorisch. Für den Zugang zu einer öffentlichen Website ist z. B. normalerweise überhaupt keine Authentifizierung erforderlich. Wenn Sie möchten, dass sich die Nutzer beim Kauf anmelden, damit Sie wissen, welches Konto belastet werden muss und wohin die Produkte geliefert werden sollen, reichen eventuell ein Benutzername und ein Passwort aus. Wenn aber derselbe Benutzer die Zahlungsmethode oder die Lieferadresse ändern möchte oder wenn die Anwendung Maßnahmen zulässt, die sich auf Ihr Unternehmen auswirken könnten, dann ist MFA empfehlenswert.

Oracle empfiehlt dringend, MFA für alle Cloud- und Anwendungsadministratoren zu aktivieren. Letztendlich müssen Sie basierend auf den internen Sicherheitsrichtlinien und der Risikobewertung Ihres Unternehmens abwägen, ob MFA durchgesetzt werden soll. Es ist jedoch ein bewährtes Verfahren, mit einer Richtlinie zu beginnen, die besagt, dass MFA immer obligatorisch ist, und die Genehmigung der Geschäftsleitung für alle Anwendungen zu verlangen, für die Sie MFA optional machen wollen.

Welche MFA-Faktoren sind für mich verfügbar? Fallen Kosten dafür an?

Um die verfügbaren Faktoren und Kosten gänzlich zu verstehen, müssen Sie zunächst verstehen, welche Art von OCI-Tenancy Sie haben. In dieser Dokumentation erfahren Sie, ob Ihre Tenancy OCI Identity and Access Management (IAM) mit Identitätsdomains oder OCI IAM ohne Identitätsdomains umfasst.

  • Wenn Ihre Tenancy über OCI IAM mit Identitätsdomains verfügt, unterstützen alle Identitätsdomaintypen MFA ohne zusätzliche Kosten. Identitätsdomains vom Typ „Free“ können zwar keine SMS als Authentifizierungsfaktor verwenden, doch andere Faktoren sind verfügbar. Weitere Informationen dazu finden Sie in der MFA-Dokumentation OCI IAM mit Identitätsdomains.
  • Wenn Ihre Tenancy OCI IAM ohne Identitätsdomains umfasst, haben Sie zwei Optionen für die MFA:
    • Aktivieren Sie MFA für die direkte Benutzeranmeldung über den OCI IAM-Service. Diese Option bietet eine begrenzte Anzahl von Authentifizierungsfaktoren ohne zusätzliche Kosten. Weitere Informationen dazu finden Sie in der MFA-Dokumentation OCI IAM ohne Identitätsdomains.
    • Authentifizieren Sie Benutzer mit Oracle Identity Cloud Service (IDCS). Diese Option bietet weitere MFA-Funktionen und Authentifizierungsoptionen.
  • Für die Authentifizierung mit IDCS gibt es zwei Lizenztypen:
    • Die IDCS Foundation (Free-Tier) unterstützt MFA nur beim Zugriff auf die OCI-Konsole kostenlos. Sie umfasst lediglich eine begrenzte Anzahl von Authentifizierungsfaktoren, wie hier dokumentiert. Um andere Anwendungen zu schützen, müssen Sie ein Upgrade auf IDCS Standard durchführen.
    • IDCS Standard unterstützt eine breite Palette von MFA-Optionen für alle geschützten Dienste oder Anwendungen ohne zusätzliche Kosten. Umfassende Details dazu finden Sie in der MFA-Dokumentation Identity Cloud Service (IDCS).

Wo kann ich mehr über die Implementierung von MFA erfahren?

Die genauen Anweisungen zur Implementierung von MFA variieren je nach Typ der OCI-Tenancy, die Sie haben. In dieser Dokumentation wird beschrieben, ob Ihre Tenancy OCI IAM mit Identitätsdomains oder OCI IAM ohne Identitätsdomains umfasst.

Was passiert, wenn ich keine MFA einführe?

Wenn Sie keine MFA implementieren, besteht ein erhöhtes Risiko, dass ein gezielter Angriff zur Übernahme eines Kontos erfolgreich ist. Mit MFA funktionieren Ihre Tenancy und/oder andere Authentifizierungsverfahren weiterhin normal.