Oracle Cloud Infrastructure - Dokumentation

Anmelde-Policy erstellen

Fügen Sie einer Identitätsdomain in IAM eine Anmelde-Policy hinzu.

Mit dieser Aufgabe wird eine Anmelde-Policy in einem deaktivierten Status hinzugefügt. Nach Abschluss dieser Aufgabe müssen Sie die Policy aktivieren, damit sie in der Identitätsdomain durchgesetzt wird.

Sie können die folgenden Kriterien für Anmelde-Policys definieren:

  • Die Identitätsprovider zur Authentifizierung des Benutzers

  • Die Gruppen, bei denen der Benutzer Mitglied ist

  • Ob der Benutzer ein Identitätsdomainadministrator ist

  • Ob ein Benutzer ausgeschlossen werden soll

  • IP-Adresse, mit der sich der Benutzer bei der Identitätsdomain anmeldet

  • Ob der Benutzer erneut zur Anmeldung bei der Identitätsdomain (zu Authentifizierungszwecken) oder bei der nächsten Anmeldung bei der Identitätsdomain erforderlich ist

  • Ob der Benutzer zur Eingabe eines anderen Faktors für die Anmeldung bei der Identitätsdomain aufgefordert wird

So fügen Sie eine Anmelde-Policy hinzu:

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Domains.
  2. Klicken Sie auf den Namen der Identitätsdomain, in der Sie arbeiten möchten. Möglicherweise müssen Sie das Compartment ändern, um die gewünschte Domain zu finden.
  3. Klicken Sie auf Sicherheit, Anmelde-Policys.
  4. Klicken Sie auf Anmelde-Policy erstellen.
  5. Geben Sie einen Namen und eine optionale Beschreibung für die Policy ein. Geben Sie keine vertraulichen Informationen ein.
  6. Klicken Sie auf Policy hinzufügen.

    Die Anmelde-Policy wird im deaktivierten Status gespeichert. Nachdem Sie die Policy erstellt haben, müssen Sie sie aktivieren, um sie zu verwenden.

  7. Klicken Sie auf der Seite Registrierungsregeln hinzufügen auf Signaturregel hinzufügen.
  8. Fügen Sie einen Namen für die Anmelderegel hinzu. Geben Sie dabei keine vertraulichen Informationen ein.
  9. Geben Sie unter Bedingungen die folgenden Informationen an:
    • Identitätsprovider authentifizieren (optional): Geben Sie alle Identitätsprovider ein, die zur Authentifizierung der von dieser Regel geprüften Benutzeraccounts verwendet werden, oder wählen Sie sie aus. Wenn Sie dieses Feld leer lassen, werden die anderen Bedingungen für die Authentifizierung verwendet.
    • Gruppenmitgliedschaft: Geben Sie die Gruppen ein, zu denen der Benutzer gehören muss, um die Kriterien dieser Regel zu erfüllen, oder wählen Sie sie aus. Sie müssen mindestens drei Zeichen eingeben, um eine Gruppensuche zu starten.
    • Administrator: Wenn der Benutzer Administratorrollen in der Identitätsdomain zugewiesen sein muss, um die Kriterien dieser Regel zu erfüllen, aktivieren Sie dieses Kontrollkästchen.

    • Anmeldung beibehalten: Wählen Sie diese Option aus, um die Regel nur anzuwenden, wenn eine gültige Anmeldesession beibehalten für den Benutzer vorhanden ist.

      Um diese Bedingung zu verwenden, müssen Sie die Option Angemeldet bleiben aktivieren. Siehe Sessioneinstellungen ändern.

      Die Anmelde-Policy setzt die Angemeldet bleiben-Session außer Kraft. Wenn die Policy eine erneute Authentifizierung oder Multifaktor-Authentifizierung (MFA) erfordert, wird der Benutzer nach Ablauf der Session aufgefordert, sich erneut zu authentifizieren, selbst wenn er mit der Option Angemeldet bleiben angemeldet ist.

    • Benutzer ausschließen: Geben Sie die Benutzer ein, die aus der Regel ausgeschlossen werden sollen, oder wählen Sie sie aus. Sie müssen mindestens drei Zeichen eingeben, um eine Benutzersuche zu starten.
      Wichtig

      Stellen Sie sicher, dass Sie einen Identitätsdomainadministrator von jeder Policy ausschließen. Dadurch wird sichergestellt, dass mindestens ein Administrator immer Zugriff auf die Identitätsdomain hat, wenn Probleme auftreten.
    • Nach Client-IP-Adresse filtern: Wählen Sie eine der folgenden Optionen aus:

      • Überall: Benutzer können sich mit einer beliebigen IP-Adresse bei der Identitätsdomain anmelden.

      • Auf die folgenden Netzwerkperimeter einschränken: Benutzer können sich bei der Identitätsdomain nur mit IP-Adressen anmelden, die in definierten Netzwerkperimetern enthalten sind. Geben Sie im Textfeld Netzwerkperimeter Netzwerkperimeter ein, oder wählen Sie sie aus. Weitere Informationen finden Sie in Netzwerkperimeter erstellen.

  10. Wählen Sie unter Aktionen aus, ob ein Benutzer auf die Konsole zugreifen darf, wenn der Benutzeraccount die Kriterien dieser Regel erfüllt.

    Wenn Sie Zugriff verweigern auswählen, fahren Sie mit dem nächsten Schritt fort.

    Wenn Sie Zugriff zulassen auswählen, geben Sie Werte für die folgenden zusätzlichen Optionen ein:

    • Prompt für erneute Authentifizierung: Aktivieren Sie dieses Kontrollkästchen, um zu erzwingen, dass der Benutzer die Zugangsdaten erneut eingibt, um auf die zugewiesene Anwendung zuzugreifen, selbst wenn eine vorhandene IAM-Domainsession vorhanden ist.
      • Wenn diese Option aktiviert ist, wird Single Sign-On für die Anwendungen verhindert, die der Anmelde-Policy zugewiesen sind. Beispiel: Ein authentifizierter Benutzer muss sich bei einer neuen Anwendung anmelden.
      • Wenn diese Option nicht aktiviert ist und der Benutzer sich zuvor authentifiziert hat, kann der Benutzer über seine vorhandene Single Sign-On-Session auf die Anwendung zugreifen, ohne Zugangsdaten eingeben zu müssen.
    • Prompt für zusätzlichen Faktor: Aktivieren Sie dieses Kontrollkästchen, um den Benutzer zur Eingabe eines zusätzlichen Faktors für die Anmeldung bei der Identitätsdomain aufzufordern.

      Wenn Sie dieses Kontrollkästchen aktivieren, müssen Sie angeben, ob der Benutzer sich für die Multifaktor-Authentifizierung (MFA) registrieren muss und wie oft dieser zusätzliche Faktor für die Anmeldung verwendet werden soll.

    • Beliebiger Faktor oder Nur angegebene Faktoren: Wählen Sie eine der folgenden Optionen aus:
      • Jeder Faktor: Fordert den Benutzer auf, sich zu registrieren, und einen beliebigen Faktor zu prüfen, der in den Einstellungen auf MFA-Mandantenebene aktiviert ist.
      • Angegebene Faktoren: Fordert den Benutzer nur auf, sich zu registrieren, und prüft eine Teilmenge der Faktoren, die in den Einstellungen auf MFA-Mandantenebene aktiviert sind. Nachdem Sie Angegebene Faktoren ausgewählt haben, wählen Sie Faktoren aus, die von dieser Regel durchgesetzt werden müssen.
    • Häufigkeit: Geben Sie an, wie oft Benutzer zur Eingabe eines zweiten Faktors aufgefordert werden:
      • Einmal pro Session oder vertrauenswürdigem Gerät: Für jede Session, die der Benutzer über ein autoritatives Gerät geöffnet hat, muss er sowohl Benutzernamen und Kennwörter als auch einen zweiten Faktor verwenden.
      • Immer: Jedes Mal, wenn sich ein Benutzer von einem vertrauenswürdigen Gerät aus anmeldet, muss er seine Benutzernamen und Kennwörter sowie einen zweiten Faktor verwenden.
      • Benutzerdefiniertes Intervall: Geben Sie an, wie oft Benutzer einen zweiten Faktor für die Anmeldung verwenden müssen. Beispiel: Wenn Benutzer diesen zusätzlichen Faktor alle zwei Wochen verwenden sollen, klicken Sie für die Zahl auf 14, und wählen Tage für Intervall aus. Wenn Sie MFA konfiguriert haben, muss diese Zahl kleiner/gleich der Anzahl der Tage sein, an denen ein Gerät gemäß den MFA-Einstellungen vertrauenswürdig sein kann. Weitere Informationen finden Sie unter Multifactor-Authentifizierung verwalten.
    • Anmeldung: Wählen Sie eine der folgenden Optionen:
      Wichtig

      Setzen Sie die Option Registrierung auf Optional, bis Sie mit dem Testen der Anmelde-Policy fertig sind.
      • Erforderlich zwingt den Benutzer, sich bei MFA anzumelden.
      • Wählen Sie Optional, damit Benutzer die Registrierung bei MFA überspringen können. Benutzern wird der Setupprozess für die Direktregistrierung angezeigt, nachdem sie ihren Benutzernamen und ihr Kennwort eingegeben haben. Sie können jedoch auf Skip klicken. Benutzer können MFA dann später über die Einstellung Verifizierung in 2 Schritten in den Sicherheitseinstellungen von "Mein Profil" aktivieren. Benutzer werden bei der nächsten Anmeldung nicht aufgefordert, einen Faktor einzurichten. Wenn Sie Registrierung auf Erforderlich setzen und später in Optional ändern, wirkt sich die Änderung nur auf neue Benutzer aus. Benutzern, die bereits für die MFA registriert sind, wird der Inline-Registrierungsprozess nicht angezeigt. Sie können bei der Anmeldung nicht auf Weiterleiten klicken
  11. Klicken Sie auf Registrierungsregeln hinzufügen.
  12. (Optional) Klicken Sie auf der Seite Anmelderegeln hinzufügen erneut auf Anmelderegel hinzufügen, um dieser Policy eine weitere Anmeleregel hinzuzufügen. Andernfalls klicken Sie auf Weiter.
    Hinweis

    Wenn Sie dieser Policy mehrere Anmelderegeln hinzugefügt haben, können Sie die Reihenfolge ändern, in der sie ausgewertet werden. Klicken Sie auf Priorität bearbeiten, und ändern Sie die Reihenfolge der Regeln mit den Pfeilen.
  13. Klicken Sie auf der Seite Anwendungen hinzufügen auf Anwendung hinzufügen, um dieser Policy Anwendungen hinzuzufügen.
  14. Aktivieren Sie im Bereich App hinzufügen das Kontrollkästchen für jede App, die Sie der Policy hinzufügen möchten. Klicken Sie anschließend auf App hinzufügen.
    Hinweis

    Sie können eine Anwendung nur einer Anmelde-Policy hinzufügen. Wenn die Anwendung keiner Anmelde-Policy explizit zugewiesen ist, gilt die Standardanmelde-Policy für die Anwendung.

  15. Klicken Sie anschließend auf Schließen. Die Detailseite für die Anmelde-Policy wird angezeigt.