Oracle Cloud Infrastructure - Dokumentation

Anmelde-Policys verwalten

In diesem Thema werden das Erstellen, Aktivieren, Aktualisieren, Deaktivieren und Löschen von Anmelde-Policys für eine Identitätsdomain beschrieben.

Anmelde-Policys und -regeln

Eine Anmelde-Policy verwendet Anmelderegeln, um Kriterien zu definieren, die bestimmen, ob ein Benutzer sich bei einer Identitätsdomain oder einer Anwendung anmelden darf.

Alle Identitätsdomains verfügen über eine Standardanmelde-Policy. Wenn Ihre Identitätsdomain mit der Anmelde-Policy Sicherheits-Policy für OCI-Konsole vorkonfiguriert wurde, wird empfohlen, diese Policy zu verwenden. Sie können nach Bedarf zusätzliche Anmelde-Policys hinzufügen. Priorisieren Sie Anmelderegeln für eine Anmelde-Policy, um die Reihenfolge anzugeben, in der die Regeln ausgewertet werden sollen.

Die "Standard"-Anmelde-Policy

Alle Identitätsdomains umfassen eine aktive Standardanmeldung-Policy, die eine Standardanmeldung-Regel enthält.

Diese Standardanmelderegel ermöglicht standardmäßig allen Benutzern die Anmeldung bei der Identitätsdomain mit einem Benutzernamen und einem Kennwort. Sie können dieser Policy weitere Anmelderegeln hinzufügen. Durch Hinzufügen dieser Regeln können Sie einige Benutzer daran hindern, sich bei der Identitätsdomain anzumelden. Sie können auch zulassen, dass sie sich anmelden, sie aber zur Eingabe eines zusätzlichen Faktors auffordern, um auf Ressourcen zuzugreifen, die durch die Identitätsdomain geschützt sind, wie die Oracle Cloud Infrastructure-Konsole.

Sie können zum Beispiel zwei Anmelderegeln für die Standardanmelde-Policy erstellen. Die erste Regel verhindert, dass Benutzer sich bei der Identitätsdomain anmelden, wenn sie eine IP-Adresse verwenden, die innerhalb eines Bereichs von einem Netzwerkperimeter liegt, den Sie mit dem Namen Abgelehnte Netzwerkperimeter definiert haben. Für die zweite Regel müssen Benutzer, die zu einer bestimmten Gruppe gehören (z.B. die UA-Entwicklergruppe), im Rahmen des 2-Schritt-Verifizierungsprozesses namens UA-Entwicklergruppe zur Eingabe eines zweiten Faktors aufgefordert werden. Alle anderen Benutzer können sich anmelden, ohne zur Eingabe eines zweiten Faktors aufgefordert zu werden.

Wichtig

Legen Sie für die Standardanmeldungsregel nie fest, dass allen Benutzern der Zugriff abgelehnt werden soll. Wenn Benutzer die Kriterien anderer von Ihnen definierter Regeln, mit denen sie sich bei der Identitätsdomain anmelden können, nicht erfüllen, wird der Zugriff auf die durch die Identitätsdomain geschützten Ressourcen verhindert. Konfigurieren Sie außerdem die Identitätsdomain so, dass diese Anmelderegel zuletzt ausgewertet wird, weil sie standardmäßig allen Benutzern erlaubt, sich bei der Identitätsdomain anzumelden.

Die Anmelde-Policy "Sicherheits-Policy für OCI-Konsole"

Die Anmelde-Policy der Sicherheits-Policy für OCI-Konsole ist standardmäßig aktiviert und mit Best Practices für die Sicherheit von Oracle vorkonfiguriert.

  • Die folgenden Faktoren, die für diese Anmelde-Policy erforderlich sind, sind bereits aktiviert: App-Passcode, App-Benachrichtigung, Umgehungscode und Fast ID Online-(FIDO-)Authentikator.
  • Die OCI-Konsole wurde der Policy hinzugefügt.
  • Die Anmelde-Policy enthält zwei aktive Anmelderegeln:

    Die Regeln in der Sicherheits-Policy für die Anmelde-Policy der OCI-Konsole

    • MFA für Administratoren: Die Regel hat die erste Priorität. Für diese vorkonfigurierte Regel müssen sich alle Benutzer in der Gruppe Administratoren und alle Benutzer mit einer Administratorrolle bei MFA registrieren und bei jeder Anmeldung einen zusätzlichen Faktor angeben.
      Hinweis

      Sie können diese Regel entfernen und die Regel MFA für alle Benutzer verwenden, um alle Benutzer (einschließlich Administratoren) zur Anmeldung bei MFA zu verpflichten. Sie können diese Regel auch beibehalten, und alle Benutzer (einschließlich Administratoren) müssen sich weiterhin für MFA registrieren, wenn die Regel MFA für alle Benutzer ausgewertet wird.
    • MFA für alle Benutzer: Die Regel ist nach Priorität an zweiter Stelle. Diese vorkonfigurierte Regel erfordert, dass alle Benutzer sich bei MFA registrieren müssen und bei jeder Anmeldung einen zusätzlichen Faktor angeben müssen.
      Hinweis

      Wenn Sie derzeit keine MFA für alle Benutzer benötigen, können Sie diese Regel als optional festlegen, und Benutzer können sich für die MFA registrieren. Sie können diese Regel auch entfernen und die MFA für Administratoren beibehalten, sodass sich nur Administratoren für MFA anmelden müssen.
Wichtig

Unabhängig davon, welche Regel Sie beibehalten möchten, schließen Sie mindestens einen Administrator von der Regel aus. Wenn Sie beide Regeln beibehalten, nehmen Sie die Änderung an beiden Regeln vor. Informationen zum Ausschließen von Benutzern aus einer Anmelderegel finden Sie unter Anmelde-Policy erstellen.

Zum Einrichten von MFA mit der Anmelde-Policy Sicherheits-Policy für OCI-Konsole finden Sie die Best Practices unter Identitätsdomains mit der Anmelde-Policy "Sicherheits-Policy für OCI-Konsole".

Zusätzliche Anmelde-Policys

Sie können Anmelde-Policys erstellen und mit bestimmten Anwendungen verknüpfen. Wenn ein Benutzer eine dieser Anwendungen verwendet, um sich bei der Identitätsdomain anzumelden, prüft die Identitätsdomain, ob mit der Anwendung Anmelde-Policys verknüpft sind. Wenn ja, wertet die Identitätsdomain die Kriterien der Anmelderegeln aus, die der Policy zugewiesen sind. Wenn keine Anmelderichtlinien für die Anwendung vorhanden sind, wird die Standardanmeldung-Policy ausgewertet.

Priorität von Anmelderegeln für eine Policy

Da Sie mehrere Anmelderegeln für eine Anmelde-Policy definieren können, muss die Identitätsdomain die Reihenfolge kennen, in der die Regeln ausgewertet werden. Dazu können Sie die Priorität der Regeln festlegen.

Mit den Anmelderegeln aus dem obigen Beispiel für die Standardanmelde-Policy können Sie die Anmelderegel Abgelehnte Netzwerkperimeter zuerst auswerten lassen und als Nächstes die Anmelderegel UA-Entwicklergruppe auswerten. Wenn ein Benutzer die Kriterien der Anmelderegel Abgelehnte Netzwerkperimeter erfüllt (das heißt, die IP-Adresse, mit der versucht wird, sich bei der Identitätsdomain anzumelden, fällt in den IP-Bereich, den Sie im Netzwerkperimeter definiert haben), kann der Benutzer nicht auf durch die Identitätsdomain geschützte Ressourcen zugreifen. Wenn der Benutzer die Kriterien für diese Regel nicht erfüllt, wird die Regel mit der nächsten höchsten Priorität ausgewertet. In diesem Beispiel ist dies die Regel UA Developers Group. Wenn der Benutzer Mitglied der UA Developers Group ist, wird er zur Eingabe eines zusätzlichen Faktors aufgefordert, um sich bei der Identitätsdomain anmelden zu können. Wenn der Benutzer kein Mitglied der UA Developers Group ist, wird die Regel mit der nächsten höchsten Priorität ausgewertet. In diesem Beispiel ist die Standardanmeldungsregel. Da sich nach dieser Regel standardmäßig alle Benutzer bei der Identitätsdomain anmelden können, kann sich der Benutzer anmelden, ohne zur Eingabe eines zweiten Faktors aufgefordert zu werden.

Erforderliche Policy oder Rolle

Erforderliche Policy oder Rolle.

Um Anmelde-Policys verwalten zu können, benötigen Sie eine der folgenden Zugriffsberechtigungen:
  • Berechtigung als Mitglied der Administratorengruppe
  • Berechtigung der Rolle des Identitätsdomainadministrators, Sicherheitsadministrators oder Anwendungsadministrators
  • Berechtigung als Mitglied einer Gruppe, der die Berechtigung manage identity-domains erteilt wurde

Weitere Informationen zu Policys und Rollen finden Sie unter Administratorengruppe, Policy und Administratorrollen, Administratorrollen und Policys.