Oracle Cloud Infrastructure - Dokumentation

Multifaktor-Authentifizierungseinstellungen konfigurieren

Konfigurieren Sie die Einstellungen für die Multifaktor-Authentifizierung (MFA) und Compliance-Policys, die definieren, welche MFA-Faktoren für den Zugriff auf eine Identitätsdomain in IAM erforderlich sind. Konfigurieren Sie dann die MFA-Faktoren.

Hinweis

Die Aufgaben in diesem Abschnitt sind für einen Administrator bestimmt, der MFA für eine Identitätsdomain in IAM einrichten muss. Wenn Sie ein Benutzer sind, der die 2-Schritt-Verifizierung für sich selbst einrichten muss, lesen Sie Kontowiederherstellung und 2-Schritt-Verifizierung einrichten.
Bevor Sie beginnen:
  • Erstellen Sie einen Testbenutzer in einer Testidentitätsdomain. Mit dieser Identitätsdomain können Sie MFA zum ersten Mal einrichten. Siehe Identitätsdomain erstellen und Benutzer erstellen.
  • Richten Sie eine Clientanwendung ein, um den Zugriff auf eine Identitätsdomain mit der REST-API für den Fall zu ermöglichen, dass Ihre Anmelde-Policy-Konfiguration Sie aussperrt. Wenn Sie diese Clientanwendung nicht einrichten und eine Anmelde-Policy-Konfiguration den Zugriff für alle Benutzer einschränkt, werden alle Benutzer aus der Identitätsdomain ausgesperrt, bis Sie sich an Oracle Support wenden. Informationen zum Einrichten der Clientanwendung finden Sie unter Clientanwendung registrieren.

Um MFA-Einstellungen zu definieren, müssen Sie entweder der Rolle "Identitätsdomainadministrator" oder der Rolle "Sicherheitsadministrator" zugewiesen sein.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identitätssicherheit. Klicken Sie unter Identität auf Domains.
  2. Klicken Sie auf den Namen der Identitätsdomain, in der Sie arbeiten möchten. Möglicherweise müssen Sie das Compartment ändern, um die gewünschte Domain zu finden.
  3. Klicken Sie auf der Seite mit den Domaindetails auf Sicherheit.
  4. Klicken Sie auf der Seite Sicherheit auf MFA.
  5. Wählen Sie unter Faktoren jeden der Faktoren aus, die für den Zugriff auf eine Identitätsdomain erforderlich sein sollen.
    Eine Erläuterung der einzelnen Faktoren finden Sie unter Authentifizierungsfaktoren konfigurieren.
  6. (Optional) Klicken Sie für die ausgewählten MFA-Faktoren auf Konfigurieren, um sie einzeln zu konfigurieren.
    Anweisungen für jeden Faktor finden Sie unter Authentifizierungsfaktoren konfigurieren.
  7. (Optional) Geben Sie unter Maximale Anzahl registrierter Faktoren an, wie viele Faktoren Benutzer konfigurieren können.
  8. (Optional) Im Abschnitt Vertraute Geräte können Sie Einstellungen für vertrauenswürdige Geräte konfigurieren.
    Wie bei "Meinen Computer speichern" erfordern vertrauenswürdige Geräte nicht bei jeder Anmeldung eine sekundäre Authentifizierung.
  9. (Optional) Geben Sie unter Anmelderegeln die maximale Anzahl nicht erfolgreicher MFA-Versuche an, wie viele Benutzer falsche MFA-Angaben machen können, bevor sie gesperrt werden.
  10. Klicken Sie auf Änderungen speichern, und bestätigen Sie die Änderung.
  11. Stellen Sie sicher, dass alle aktiven Anmelde-Policys eine zweistufige Authentifizierung zulassen:
    1. Klicken Sie auf der Seite Sicherheit für die Domain auf Anmelde-Policys.
    2. Klicken Sie auf der Seite Anmelde-Policys auf Standard-Anmelde-Policy.
    3. Klicken Sie auf der Seite Standardanmeldungs-Policy unter Ressourcen auf Anmeldungsregeln.
    4. Klicken Sie in der Zeile Standardanmeldungsregel auf das Menü Aktionen (Menü "Aktionen"), und wählen Sie Anmeldungsregel bearbeiten aus.
    5. Schließen Sie im Dialogfeld Anmelderegel bearbeiten unter Benutzer ausschließen sich selbst oder einen anderen Identitätsdomainadministrator von dieser Regel aus, bis der Test abgeschlossen ist. Dadurch wird sichergestellt, dass mindestens ein Administrator immer Zugriff auf die Identitätsdomain hat, falls Probleme auftreten.
    6. Wählen Sie unter Aktionen die Option Zugriff zulassen und dann Prompt für zusätzlichen Faktor aus.
    7. Klicken Sie auf Änderungen speichern.
    8. Wenn andere Anmelde-Policys hinzugefügt wurden, befolgen Sie die vorherigen Schritte für jede dieser Policys, um sicherzustellen, dass MFA unter allen Bedingungen aktiviert wird, unter denen sie aktiviert werden soll.
      Hinweis

      Die Einstellungen für die Standardanmelderegel aktivieren MFA global. Einstellungen für andere Anmelderegeln können die Standardanmelderegel für Benutzer und Gruppen überschreiben, die durch Bedingungen für diese Regeln angegeben sind. Siehe Kennwort-Policys verwalten.

      Wichtig

      Schließen Sie einen Identitätsdomainadministrator von jeder Policy aus. Dadurch wird sichergestellt, dass mindestens ein Administrator immer Zugriff auf die Identitätsdomain hat, falls Probleme auftreten.

      Setzen Sie die Option Registrierung auf Optional, bis Sie mit dem Testen der Anmelde-Policy fertig sind.

  12. Um die Konfiguration zu testen, melden Sie sich von der Konsole ab, und melden Sie sich dann als Testbenutzer an.
    Sie werden zur Eingabe eines zweiten Faktors aufgefordert.