云上身份管理：甲骨文云Oracle身份域的全面指南

1 身份域介绍：云服务中的安全和管理核心

在Oracle云基础设施（OCI）中，身份域充当用户和角色管理的中心。它不仅是管理团队的枢纽，也是保障数据安全的关键。通过Oracle单点登录（SSO）和基于SAML/OAuth的身份提供者管理，身份域简化了安全应用程序集成的过程。这一特性在OCI中显得尤为重要，因为它代表了整个云基础设施的用户群及其相关的配置和安全设置，例如多因素认证（MFA）。

Domain 除了在根区间(又叫区间, compartment ) 创建外, 也可以在其他某个子区间内创建. 客户建立的 Domain 也可以将来再灵活移动到其他区间或移回 根区间.

2 身份域的灵活管理

身份域的管理就像处理OCI的其他资源一样直观。作为管理员，您不仅可以创建和删除身份域，还可以轻松地移动和标记它们。您可以编写访问策略，使特定域中的用户能够访问其他域的资源。此外，您还可以将用户账户分配给预定义的管理员角色，从而高效地委派管理职责。

3 默认身份域：始终可靠的安全基础

每个OCI租户在根区间都包含一个默认身份域。这个域是您云服务安全的基石，包含初始租户管理员用户和组，以及允许管理员管理租户中任何资源的默认策略。这个默认域存在于租赁的整个生命周期中，提供了一个始终可用的安全保障。

每个租户在根区间中都包含一个 Default-默认身份域。默认身份域：

? 无法停用或删除。（与租约的生命周期一致。）

? 无法从登录页面隐藏。

默认身份域包含初始租户管理员用户和管理员组以及允许管理员管理租户中任何资源的默认策略。管理员策略和管理员组不得删除，管理员组中必须至少有一个用户。您还可以将用户帐户分配给预定义的管理员角色，以将管理职责委派给默认域。

授予用户或组在 Default 域中的 Identity 域管理员角色等同于授予他们对租赁的完全管理员权限。此行为仅适用于默认域。为用户或组授予默认域以外的域的身份域管理员角色，仅授予他们对该域的完全管理员权限。

4 创建身份域：增强定制化的安全和管理

创建身份域的过程既简单又直观。管理员只需要确定所需的身份域类型、创建位置以及新身份域管理员的登录凭据。这为您提供了创建符合您特定需求的域的灵活性，无论是为单个云服务配置环境，还是为应用程序配置不同的安全策略。每个身份域可以有自己的密码和登录策略，增强了安全性。

创建和管理多个身份域（例如，一个用于开发的域和一个用于生产的域），每个域具有不同的身份和安全要求，以保护您的应用程序和 Oracle 云服务。

使用多个身份域有几个好处。通过拥有单独的身份域，在一个身份域中工作的用户不会影响另一个身份域中用户的工作。使用多个身份域可以帮助您保持对每个身份域的管理控制的隔离。例如，如果您的安全标准阻止开发用户 ID 存在于生产环境中，或者要求不同的管理员控制不同的环境，则这是必要的。

每个 Cloud 账号(tenant)都包含一个默认身份域，即随租约一起提供的身份域。管理员可以在其许可证允许的范围内创建尽可能多的附加身份域。

管理员可以：

? 创建其他身份域并成为他们的身份域管理员或分配另一个用户作为管理员。

? 创建其他身份域，并且作为身份域创建过程的一部分，将用户分配为身份域的身份域管理员。

? 将其他身份域的创建委托给其他管理员。

身份域管理员在创建身份域期间被分配到身份域。尽管身份域管理员身份可能与默认身份域中的用户具有相同的用户名，但他们是不同的用户，在每个身份域中可能具有不同的权限，并且将具有不同的密码。

身份域管理员可以使用身份域的整个功能集。在身份域中，身份域管理员可以：

? 管理用户、组、应用程序、系统配置和安全设置。

? 通过将用户分配到不同的管理角色来执行委派管理。

? 启用和禁用多重身份验证 (MFA)、配置 MFA 设置和配置身份验证因素。

? 创建自助注册配置文件以管理不同的用户集、批准策略和应用程序。

5 多域管理：提高效率与安全性

管理多个身份域，每个域针对不同的身份和安全要求，这不仅保护了您的应用程序和Oracle云服务，还提高了管理的效率。每个云账户都包含一个默认身份域，但管理员可以在其许可范围内创建尽可能多的附加身份域，每个域都可独立配置和管理。

6 基于域和区间的权限控制

通过设置特定域的组对特定区间的全部权限，您可以精确控制谁可以在某个区间内创建其他域。这种灵活性使得管理变得更加细致和安全。

7 用户和组的高效管理

用户和组的创建与管理完全基于身份域，这意味着您可以在特定域中高效地组织和控制用户和组。每个域默认包含两个组：管理员组和所有域用户组。您可以根据需要创建更多组，以实现基于区间和组的精准授权。

8 用户的密码策略：加强安全性

您可以控制和调整每个域中所有用户的密码策略，包括密码的复杂性和过期策略，进一步加强安全性。