Oracle Cloud Infrastructure - Dokumentation

Multifaktor-Authentifizierungseinstellungen konfigurieren

Konfigurieren Sie Einstellungen für die Multifaktor-Authentifizierung (MFA) und Compliance-Policys, die definieren, welche MFA-Faktoren für den Zugriff auf eine Identitätsdomain in IAM erforderlich sind, und konfigurieren Sie dann die MFA-Faktoren.

Hinweis

Die Aufgaben in diesem Abschnitt sind für einen Administrator bestimmt, der MFA für eine Identitätsdomain in IAM einrichten muss. Wenn Sie ein Benutzer sind, der eine 2-Schritt-Verifizierung für sich selbst einrichten muss, lesen Sie Accountwiederherstellung und 2-Schritt-Verifizierung einrichten.
Bevor Sie beginnen:
  • Erstellen Sie einen Testbenutzer in einer Testidentitätsdomain. Verwenden Sie diese Identitätsdomain, um MFA zum ersten Mal einzurichten. Siehe Identitätsdomain erstellen und Benutzer erstellen.
  • Richten Sie eine Clientanwendung ein, um den Zugriff auf eine Identitätsdomain über die REST-API zu ermöglichen, falls Ihre Anmelde-Policy-Konfiguration Sie aussperrt. Wenn Sie diese Clientanwendung noch nicht einrichten und eine Anmelde-Policys-Konfiguration den Zugriff für alle einschränkt, werden alle Benutzer aus der Identitätsdomain ausgesperrt, bis Sie sich an Oracle Support wenden. Informationen zum Einrichten der Client-Anwendung finden Sie unter Client-Anwendung registrieren.

Um MFA-Einstellungen zu definieren, müssen Sie entweder der Rolle "Identitätsdomainadministrator" oder der Rolle "Sicherheitsadministrator" zugewiesen sein.

  1. Öffnen Sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Identität die Option Domains aus.
  2. Wählen Sie den Namen der Identitätsdomain aus, in der Sie arbeiten möchten. Möglicherweise müssen Sie das Compartment ändern, um die gewünschte Domain zu finden.
  3. Wählen Sie auf der Seite mit den Domaindetails die Option Authentifizierung aus.
  4. Wählen Sie auf der Seite Authentifizierung die Option Faktoren aktivieren oder deaktivieren aus. Ein Einstellungsbereich wird geöffnet.
  5. Wählen Sie im Einstellungsbereich Faktoren aktivieren oder deaktivieren jeden der Faktoren aus, die für den Zugriff auf eine Identitätsdomain erforderlich sein sollen.
    Eine Erläuterung der einzelnen Faktoren finden Sie unter Authentifizierungsfaktoren konfigurieren.
  6. (Optional) Legen Sie unter Maximale Anzahl registrierter Faktoren fest, wie viele Benutzer konfigurieren können.
  7. (Optional) Verwenden Sie den Abschnitt Vertrauenswürdige Geräte, um Einstellungen für vertrauenswürdige Geräte zu konfigurieren.
    Ähnlich wie bei "Meinen Computer speichern" erfordern vertrauenswürdige Geräte nicht bei jeder Anmeldung die sekundäre Authentifizierung.
  8. (Optional) Legen Sie unter Anmelderegeln die maximale Anzahl nicht erfolgreicher MFA-Angaben fest, wie oft Benutzer falsche MFA-Angaben machen können, bevor sie gesperrt werden.
  9. Wählen Sie Änderungen speichern, und bestätigen Sie die Änderung.
  10. (Optional) Wählen Sie Bearbeiten neben den MFA-Faktoren, die Sie für die individuelle Konfiguration ausgewählt haben.
    Anweisungen für jeden Faktor finden Sie unter Authentifizierungsfaktoren konfigurieren.
  11. Stellen Sie sicher, dass alle aktiven Anmelde-Policys eine zweistufige Authentifizierung zulassen:
    1. Wählen Sie die Registerkarte Domain-Policys aus.
    2. Wählen Sie auf der Seite Anmelde-Policys die Option Standard-Anmelde-Policy.
    3. Wählen Sie auf der Seite Standardanmelde-Policy die Option Anmelderegeln aus.
    4. Wählen Sie in der Zeile Standardanmelderegel das Menü Aktionen (drei Punkte) aus, und wählen Sie Anmelderegel bearbeiten aus.
    5. Schließen sie im Dialogfeld Anmelderegel bearbeiten unter Benutzer ausschließen sich selbst oder einen anderen Identitätsdomainverwalter von dieser Regel aus, bis die Tests abgeschlossen sind. Dadurch wird sichergestellt, dass mindestens ein Administrator immer Zugriff auf die Identitätsdomain hat, falls Probleme auftreten.
    6. Wählen Sie unter Aktionen die Option Prompt für zusätzlichen Faktor aus, und stellen Sie sicher, dass Zugriff zulassen ausgewählt ist.
    7. Wählen Sie Änderungen speichern aus.
    8. Wenn weitere Anmelde-Policys hinzugefügt wurden, befolgen Sie die Schritte c-d für jede dieser Policys, um sicherzustellen, dass MFA unter allen Bedingungen aktiviert wird, in denen sie aktiviert werden soll.
      Hinweis

      Die Einstellungen für die Standardanmelderegel aktivieren MFA global. Einstellungen für andere Anmelderegeln haben möglicherweise die Standardanmelderegel für Benutzer und Gruppen außer Kraft gesetzt, die durch Bedingungen für diese Regeln angegeben werden. Siehe Kennwort-Policys verwalten.

      Wichtig

      Schließen Sie einen Identitätsdomainadministrator von jeder Policy aus. Dadurch wird sichergestellt, dass mindestens ein Administrator immer Zugriff auf die Identitätsdomain hat, falls Probleme auftreten.

      Legen Sie Anmeldung als Optional fest, bis Sie die Anmelde-Policy getestet haben.

  12. (Optional) Aktivieren Sie separate Sperrschwellenwerte für MFA-Validierungsfehler und MFA-Benachrichtigungsversuche. Um dies zu aktivieren, stellen Sie sicher, dass Sie wissen, wie Sie REST-API-Aufrufe tätigen.
    Hinweis

    Das MFA-Schema des Benutzers enthält zwei neue Attribute:
    • mfaIncorrectValidationAttempts - Verfolgt falsche MFA-Validierungsversuche durch einen Benutzer.
    • mfaNotificationAttempts - Verfolgt MFA-Benachrichtigungsversuche durch einen Benutzer.

    Außerdem wurden zwei neue Attribute zu AuthenticationFactorSettings hinzugefügt:

    • maxMfaIncorrectValidationAttempts - Die maximale Anzahl falscher MFA-Validierungen, die versucht werden können, bevor ein Account gesperrt wird. Wenn ein Wert für dieses Attribut festgelegt ist, muss auch ein Werteset für maxMfaNotificationAttempts vorhanden sein. Wenn dieses Attribut nicht festgelegt ist, wird das MFA-Sperrverhalten durch maxIncorrectAttempts bestimmt. Wenn mfaIncorrectValidationAttempts maxMfaIncorrectValidationAttempts erreicht, wird der Benutzer sofort gesperrt.
    • maxMfaNotificationAttempts - Die maximale Anzahl von MFA-Benachrichtigungen, die versucht werden können, bevor ein Account gesperrt wird. Wenn ein Wert für dieses Attribut festgelegt ist, muss auch ein Werteset für maxMfaIncorrectValidationAttempts vorhanden sein. Wenn dieses Attribut nicht festgelegt ist, wird das MFA-Sperrverhalten durch maxIncorrectAttempts bestimmt. Wenn mfaNotificationAttempts maxMfaNotificationAttempts erreicht, wird der Benutzer gesperrt, wenn er das nächste Mal versucht, eine Benachrichtigung zu initiieren, damit er sich mit der letzten MFA-Benachrichtigung authentifizieren kann.

    Aktualisieren Sie AuthenticationFactorSettings, um sowohl maxMfaIncorrectValidationAttempts als auch maxMfaNotificationAttempts festzulegen, indem Sie einen PATCH-Aufruf am <IDENTITY_DOMAIN_URL>/admin/v1/AuthenticationFactorSettings/AuthenticationFactorSettings-Endpunkt mit der folgenden Payload ausführen:

    
{
  "schemas": [
    "urn:ietf:params:scim:api:messages:2.0:PatchOp"
  ],
  "Operations": [
    {
      "op": "add",
      "path": "endpointRestrictions.maxMfaIncorrectValidationAttempts",
      "value": 3
    },
    {
      "op": "add",
      "path": "endpointRestrictions.maxMfaNotificationAttempts",
      "value": 3
    }
  ]
}

    Der Wert für beide kann von mindestens 3 bis maximal 10 variieren.

  13. Um die Konfiguration zu testen, melden Sie sich von der Konsole ab und dann als Testbenutzer an.
    Sie werden zur Eingabe eines zweiten Faktors aufgefordert.