Konfigurieren Sie die Einstellungen für die Multifaktor-Authentifizierung (MFA) und Compliance-Policys, die definieren, welche MFA-Faktoren für den Zugriff auf eine Identitätsdomain in IAM erforderlich sind. Konfigurieren Sie dann die MFA-Faktoren.
Um MFA-Einstellungen zu definieren, müssen Sie entweder der Rolle "Identitätsdomainadministrator" oder der Rolle "Sicherheitsadministrator" zugewiesen sein.
-
Öffnen Sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Identität die Option Domains aus.
-
Wählen Sie den Namen der Identitätsdomain aus, in der Sie arbeiten möchten. Möglicherweise müssen Sie das Compartment ändern, um die gewünschte Domain zu finden.
-
Wählen Sie auf der Seite mit den Domaindetails die Option Authentifizierung aus.
-
Wählen Sie auf der Seite Authentifizierung die Option Faktoren aktivieren oder deaktivieren aus. Ein Einstellungsbereich wird geöffnet.
-
Wählen Sie im Einstellungsbereich Faktoren aktivieren oder deaktivieren jeden der Faktoren aus, die für den Zugriff auf eine Identitätsdomain erforderlich sein sollen.
- (Optional) Geben Sie unter Maximale Anzahl registrierter Faktoren an, wie viele Faktoren Benutzer konfigurieren können.
- (Optional) Im Abschnitt Vertraute Geräte können Sie Einstellungen für vertrauenswürdige Geräte konfigurieren.
Wie bei "Meinen Computer speichern" erfordern vertrauenswürdige Geräte nicht bei jeder Anmeldung eine sekundäre Authentifizierung.
- (Optional) Geben Sie unter Anmelderegeln die maximale Anzahl nicht erfolgreicher MFA-Versuche an, wie viele Benutzer falsche MFA-Angaben machen können, bevor sie gesperrt werden.
-
Wählen Sie Änderungen speichern aus, und bestätigen Sie die Änderung.
- (Optional) Wählen Sie Bearbeiten neben den MFA-Faktoren, die Sie für die individuelle Konfiguration ausgewählt haben.
-
Stellen Sie sicher, dass alle aktiven Anmelde-Policys eine zweistufige Authentifizierung zulassen:
-
Wählen Sie die Registerkarte Domain-Policys aus.
-
Wählen Sie auf der Seite Anmelde-Policys die Option Standardanmeldung-Policy aus.
-
Wählen Sie auf der Seite Standardanmelde-Policy die Option Anmelderegeln aus.
-
Wählen Sie in der Zeile Standardanmelderegel das Menü aus, und wählen Sie Anmelderegel bearbeiten aus.
-
Schließen Sie im Dialogfeld Anmelderegel bearbeiten unter Benutzer ausschließen sich selbst oder einen anderen Identitätsdomainadministrator von dieser Regel aus, bis der Test abgeschlossen ist. Dadurch wird sichergestellt, dass mindestens ein Administrator immer Zugriff auf die Identitätsdomain hat, falls Probleme auftreten.
-
Wählen Sie unter Aktionen die Option Prompt für zusätzlichen Faktor aus, und stellen Sie sicher, dass Zugriff zulassen ausgewählt ist.
-
Wählen Sie Speichern aus.
-
Wenn andere Anmelde-Policys hinzugefügt wurden, befolgen Sie die vorherigen Schritte für jede dieser Policys, um sicherzustellen, dass MFA unter allen Bedingungen aktiviert wird, unter denen sie aktiviert werden soll.
Hinweis
Die Einstellungen für die Standardanmeldung aktivieren MFA global. Einstellungen für andere Anmelderegeln können die Standardanmelderegel für Benutzer und Gruppen überschreiben, die durch Bedingungen für diese Regeln angegeben sind. Siehe Kennwort-Policys verwalten.
Wichtig
Schließen Sie einen Identitätsdomainadministrator von jeder Policy aus. Dadurch wird sichergestellt, dass mindestens ein Administrator immer Zugriff auf die Identitätsdomain hat, falls Probleme auftreten.
Setzen Sie die Option Registrierung auf Optional, bis Sie mit dem Testen der Anmelde-Policy fertig sind.
-
(Optional) Aktivieren Sie separate Sperrschwellenwerte für MFA-Validierungsfehler und MFA-Benachrichtigungsversuche. Um dies zu aktivieren, stellen Sie sicher, dass Sie wissen, wie REST-API-Aufrufe ausgeführt werden.
Hinweis Im Benutzer-MFA-Schema gibt es zwei neue Attribute:
- mfaIncorrectValidationAttempts: Verfolgt falsche MFA-Validierungsversuche eines Benutzers.
- mfaNotificationAttempts: Verfolgt MFA-Benachrichtigungsversuche von einem Benutzer.
Außerdem wurden AuthenticationFactorSettings zwei neue Attribute hinzugefügt:
- maxMfaIncorrectValidationAttempts: Die maximale Anzahl falscher MFA-Validierungen, die versucht werden können, bevor ein Account gesperrt wird. Wenn ein Wert für dieses Attribut festgelegt ist, muss auch ein Wert für maxMfaNotificationAttempts festgelegt sein. Wenn dieses Attribut nicht festgelegt ist, wird das MFA-Sperrverhalten durch maxIncorrectAttempts bestimmt. Wenn mfaIncorrectValidationAttempts maxMfaIncorrectValidationAttempts erreicht, wird der Benutzer sofort gesperrt.
- maxMfaNotificationAttempts: Die maximale Anzahl von MFA-Benachrichtigungen, die versucht werden können, bevor ein Account gesperrt wird. Wenn ein Wert für dieses Attribut festgelegt ist, muss auch ein Wert für maxMfaIncorrectValidationAttempts festgelegt sein. Wenn dieses Attribut nicht festgelegt ist, wird das MFA-Sperrverhalten durch maxIncorrectAttempts bestimmt. Wenn die mfaNotificationAttempts maxMfaNotificationAttempts erreicht, wird der Benutzer beim nächsten Versuch, eine Benachrichtigung zu initiieren, gesperrt, damit sich der Benutzer mit der letzten MFA-Benachrichtigung authentifizieren kann.
Aktualisieren Sie AuthenticationFactorSettings, um sowohl maxMfaIncorrectValidationAttempts
als auch maxMfaNotificationAttempts
festzulegen, indem Sie einen PATCH
-Aufruf am <IDENTITY_DOMAIN_URL>/admin/v1/AuthenticationFactorSettings/AuthenticationFactorSettings
-Endpunkt mit der folgenden Payload ausführen:
{
"schemas": [
"urn:ietf:params:scim:api:messages:2.0:PatchOp"
],
"Operations": [
{
"op": "add",
"path": "endpointRestrictions.maxMfaIncorrectValidationAttempts",
"value": 3
},
{
"op": "add",
"path": "endpointRestrictions.maxMfaNotificationAttempts",
"value": 3
}
]
}
Der Wert für beide kann von mindestens 3 bis maximal 10 variieren.
-
Um die Konfiguration zu testen, melden Sie sich von der Konsole ab, und melden Sie sich dann als Testbenutzer an.
Sie werden aufgefordert, einen zweiten Faktor einzugeben.