Oracle Cloud Infrastructure - Dokumentation

Multifaktor-Authentifizierungseinstellungen konfigurieren

Konfigurieren Sie die Einstellungen für die Multifaktor-Authentifizierung (MFA) und Compliance-Policys, die definieren, welche MFA-Faktoren für den Zugriff auf eine Identitätsdomain in IAM erforderlich sind. Konfigurieren Sie dann die MFA-Faktoren.

Hinweis

Die Aufgaben in diesem Abschnitt beziehen sich auf einen Administrator, der MFA für eine Identitätsdomain in IAM einrichten muss. Wenn Sie ein Benutzer sind, der eine 2-stufige Verifizierung für sich selbst einrichten muss, lesen Sie Accountwiederherstellung einrichten und 2-stufige Verifizierung.
Bevor Sie beginnen:
  • Erstellen Sie einen Testbenutzer in einer Testidentitätsdomain. Mit dieser Identitätsdomain können Sie MFA zum ersten Mal einrichten. Siehe Identitätsdomain erstellen und Benutzer erstellen.
  • Richten Sie eine Clientanwendung ein, um den Zugriff auf eine Identitätsdomain mit der REST-API zu aktivieren, falls Ihre Anmelde-Policy-Konfiguration Sie aussperrt. Wenn Sie diese Clientanwendung nicht einrichten und eine Anmelde-Policy-Konfiguration den Zugriff für alle Benutzer einschränkt, werden alle Benutzer aus der Identitätsdomain ausgesperrt, bis Sie sich an Oracle Support wenden. Informationen zum Einrichten der Clientanwendung finden Sie unter Clientanwendung registrieren.

Um MFA-Einstellungen zu definieren, müssen Sie entweder der Rolle "Identitätsdomainadministrator" oder der Rolle "Sicherheitsadministrator" zugewiesen sein.

  1. Öffnen Sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Identität die Option Domains aus.
  2. Wählen Sie den Namen der Identitätsdomain aus, in der Sie arbeiten möchten. Möglicherweise müssen Sie das Compartment ändern, um die gewünschte Domain zu finden.
  3. Wählen Sie auf der Seite mit den Domaindetails die Option Authentifizierung aus.
  4. Wählen Sie auf der Seite Authentifizierung die Option Faktoren aktivieren oder deaktivieren aus. Ein Einstellungsbereich wird geöffnet.
  5. Wählen Sie im Einstellungsbereich Faktoren aktivieren oder deaktivieren jeden der Faktoren aus, die für den Zugriff auf eine Identitätsdomain erforderlich sein sollen.
    Eine Erläuterung der einzelnen Faktoren finden Sie unter Authentifizierungsfaktoren konfigurieren.
  6. (Optional) Geben Sie unter Maximale Anzahl registrierter Faktoren an, wie viele Faktoren Benutzer konfigurieren können.
  7. (Optional) Im Abschnitt Vertraute Geräte können Sie Einstellungen für vertrauenswürdige Geräte konfigurieren.
    Wie bei "Meinen Computer speichern" erfordern vertrauenswürdige Geräte nicht bei jeder Anmeldung eine sekundäre Authentifizierung.
  8. (Optional) Geben Sie unter Anmelderegeln die maximale Anzahl nicht erfolgreicher MFA-Versuche an, wie viele Benutzer falsche MFA-Angaben machen können, bevor sie gesperrt werden.
  9. Wählen Sie Änderungen speichern aus, und bestätigen Sie die Änderung.
  10. (Optional) Wählen Sie Bearbeiten neben den MFA-Faktoren, die Sie für die individuelle Konfiguration ausgewählt haben.
    Anweisungen für jeden Faktor finden Sie unter Authentifizierungsfaktoren konfigurieren.
  11. Stellen Sie sicher, dass alle aktiven Anmelde-Policys eine zweistufige Authentifizierung zulassen:
    1. Wählen Sie die Registerkarte Domain-Policys aus.
    2. Wählen Sie auf der Seite Anmelde-Policys die Option Standardanmeldung-Policy aus.
    3. Wählen Sie auf der Seite Standardanmelde-Policy die Option Anmelderegeln aus.
    4. Wählen Sie in der Zeile Standardanmelderegel das Menü Aktionen (drei Punkte) aus, und wählen Sie Anmelderegel bearbeiten aus.
    5. Schließen Sie im Dialogfeld Anmelderegel bearbeiten unter Benutzer ausschließen sich selbst oder einen anderen Identitätsdomainadministrator von dieser Regel aus, bis der Test abgeschlossen ist. Dadurch wird sichergestellt, dass mindestens ein Administrator immer Zugriff auf die Identitätsdomain hat, falls Probleme auftreten.
    6. Wählen Sie unter Aktionen die Option Prompt für zusätzlichen Faktor aus, und stellen Sie sicher, dass Zugriff zulassen ausgewählt ist.
    7. Wählen Sie Speichern aus.
    8. Wenn andere Anmelde-Policys hinzugefügt wurden, befolgen Sie die vorherigen Schritte für jede dieser Policys, um sicherzustellen, dass MFA unter allen Bedingungen aktiviert wird, unter denen sie aktiviert werden soll.
      Hinweis

      Die Einstellungen für die Standardanmeldung aktivieren MFA global. Einstellungen für andere Anmelderegeln können die Standardanmelderegel für Benutzer und Gruppen überschreiben, die durch Bedingungen für diese Regeln angegeben sind. Siehe Kennwort-Policys verwalten.

      Wichtig

      Schließen Sie einen Identitätsdomainadministrator von jeder Policy aus. Dadurch wird sichergestellt, dass mindestens ein Administrator immer Zugriff auf die Identitätsdomain hat, falls Probleme auftreten.

      Setzen Sie die Option Registrierung auf Optional, bis Sie mit dem Testen der Anmelde-Policy fertig sind.

  12. (Optional) Aktivieren Sie separate Sperrschwellenwerte für MFA-Validierungsfehler und MFA-Benachrichtigungsversuche. Um dies zu aktivieren, stellen Sie sicher, dass Sie wissen, wie REST-API-Aufrufe ausgeführt werden.
    Hinweis

    Im Benutzer-MFA-Schema gibt es zwei neue Attribute:
    • mfaIncorrectValidationAttempts: Verfolgt falsche MFA-Validierungsversuche eines Benutzers.
    • mfaNotificationAttempts: Verfolgt MFA-Benachrichtigungsversuche von einem Benutzer.

    Außerdem wurden AuthenticationFactorSettings zwei neue Attribute hinzugefügt:

    • maxMfaIncorrectValidationAttempts: Die maximale Anzahl falscher MFA-Validierungen, die versucht werden können, bevor ein Account gesperrt wird. Wenn ein Wert für dieses Attribut festgelegt ist, muss auch ein Wert für maxMfaNotificationAttempts festgelegt sein. Wenn dieses Attribut nicht festgelegt ist, wird das MFA-Sperrverhalten durch maxIncorrectAttempts bestimmt. Wenn mfaIncorrectValidationAttempts maxMfaIncorrectValidationAttempts erreicht, wird der Benutzer sofort gesperrt.
    • maxMfaNotificationAttempts: Die maximale Anzahl von MFA-Benachrichtigungen, die versucht werden können, bevor ein Account gesperrt wird. Wenn ein Wert für dieses Attribut festgelegt ist, muss auch ein Wert für maxMfaIncorrectValidationAttempts festgelegt sein. Wenn dieses Attribut nicht festgelegt ist, wird das MFA-Sperrverhalten durch maxIncorrectAttempts bestimmt. Wenn die mfaNotificationAttempts maxMfaNotificationAttempts erreicht, wird der Benutzer beim nächsten Versuch, eine Benachrichtigung zu initiieren, gesperrt, damit sich der Benutzer mit der letzten MFA-Benachrichtigung authentifizieren kann.

    Aktualisieren Sie AuthenticationFactorSettings, um sowohl maxMfaIncorrectValidationAttempts als auch maxMfaNotificationAttempts festzulegen, indem Sie einen PATCH-Aufruf am <IDENTITY_DOMAIN_URL>/admin/v1/AuthenticationFactorSettings/AuthenticationFactorSettings-Endpunkt mit der folgenden Payload ausführen:

    
{
  "schemas": [
    "urn:ietf:params:scim:api:messages:2.0:PatchOp"
  ],
  "Operations": [
    {
      "op": "add",
      "path": "endpointRestrictions.maxMfaIncorrectValidationAttempts",
      "value": 3
    },
    {
      "op": "add",
      "path": "endpointRestrictions.maxMfaNotificationAttempts",
      "value": 3
    }
  ]
}

    Der Wert für beide kann von mindestens 3 bis maximal 10 variieren.

  13. Um die Konfiguration zu testen, melden Sie sich von der Konsole ab, und melden Sie sich dann als Testbenutzer an.
    Sie werden aufgefordert, einen zweiten Faktor einzugeben.