Oracle Cloud Infrastructure - Dokumentation

IAM-Multifaktor-Authentifizierung

Die Multifaktor-Authentifizierung (MFA) ist eine Authentifizierungsmethode, bei der mehrere Faktoren zur Verifizierung der Benutzeridentität verwendet werden müssen.

Wenn ein Benutzer sich bei einer Anwendung anmeldet und MFA aktiviert ist, wird er aufgefordert, seinen Benutzernamen und sein Kennwort einzugeben. Dies ist der erste Faktor, den er kennt. Benutzer müssen dann eine zweite Art der Verifizierung angeben. Die beiden Faktoren fügen zusammen eine zusätzliche Sicherheitsebene hinzu. Dabei wird die Benutzeridentität anhand zusätzlicher Informationen oder eines zweiten Geräts verifiziert, um den Anmeldeprozess abzuschließen.

Hinweis

Wenn Sie MFA in einem Identitätsprovider von 3rd-Party (IdP) wie Microsoft Azure Active Directory (Azure AD) oder Okta konfiguriert haben, müssen Sie MFA nicht mit IAM oder Oracle Identity Cloud Service konfigurieren.

MFA-Aktivierungsplan

Um die Sicherheit zu verbessern, haben wir die Anmelde-Policy "Sicherheits-Policy für OCI-Konsole" in allen Mandanten vordefiniert. Sobald eine Identitätsdomain oder ein Identity Cloud Service-Stripe mit der Policy vordefiniert wurde, müssen Sie sie aktivieren, um die Multifaktor-Authentifizierung (MFA) für Benutzer mit Administratorberechtigungen zu aktivieren.

Hinweis

Die Policy "Sicherheits-Policy für OCI-Konsole" gilt für:

  • Mandanten mit Identitätsdomains in IAM, zur Standarddomain und zu allen sekundären Domains. Wir aktivieren diese Richtlinie automatisch nach dem 17. Juli 2023, es sei denn, Sie erfüllen eine der folgenden Bedingungen.
  • Alle Identity Cloud Service-Stripes für Mandanten, die Identity Cloud Service verwenden. Wir aktivieren diese Richtlinie automatisch nach dem 24. Juli 2023, es sei denn, Sie erfüllen eine der folgenden Bedingungen.

Mandantenart ermitteln

Informationen zum Mandantentyp finden Sie unter Mandantentyp bestimmen.

Was die "Sicherheits-Policy für OCI-Konsole" bewirkt

Die Anmelde-Policy "Sicherheits-Policy für OCI-Konsole" wirkt sich nur auf den Zugriff auf die OCI-Konsole aus.

Nachdem die Policy aktiviert wurde, müssen sich alle lokalen Benutzer mit MFA bei der Konsole anmelden. Benutzer, die sich nicht bei der Konsole anmelden, sind von dieser Policy nicht betroffen

Wenn wir die Richtlinie nicht automatisch aktivieren

Die Policy wird nicht automatisch aktiviert:

  • Wenn Sie die Standardanmelde-Policy geändert haben
  • Wenn Sie bereits über eine Anmelde-Policy verfügen und der OCI-Konsole explizit zugewiesen ist.
  • Wenn ein aktiver externer IDP (SAML/Social oder X.509) in der IAM-Domain konfiguriert ist. Das bedeutet, dass föderierte Benutzer von den Auswirkungen dieser Policy ausgeschlossen werden.
  • Wenn Sie die "Sicherheits-Policy für OCI-Konsole" mit einer API löschen, wird sie nicht neu erstellt. Informationen zum Löschen der Policy mit REST-APIs finden Sie unter Policy löschen.

Best Practices für IAM MFA

So konfigurieren Sie IAM MFA mit Best Practices:

  1. Finden Sie heraus, welchen Mandantentyp Sie haben. Siehe Mandantenart bestimmen.
  2. Konfigurieren Sie MFA-Best Practices für diesen Mandantentyp mit einer der folgenden Anweisungen.
    1. Identitätsdomains ohne die Anmelde-Policy "Sicherheits-Policy für OCI-Konsole"

      Für Mandanten, die Identitätsdomains verwenden, die jedoch nicht mit der Anmelde-Policy "Sicherheits-Policy für OCI-Konsole" vordefiniert wurden.

    2. Identitätsdomains mit der Anmelde-Policy "Sicherheits-Policy für OCI-Konsole"

      Für Mandanten, die Identitätsdomains verwenden, die jedoch mit der Anmelde-Policy "Sicherheits-Policy für OCI-Konsole" vordefiniert wurden.

    3. Mandanten ohne Identitätsdomains und ohne die Anmelde-Policy "Sicherheits-Policy für OCI-Konsole"

      Für Mandanten, die Identity Cloud Service verwenden, die jedoch nicht mit der Anmelde-Policy "Sicherheits-Policy für OCI-Konsole" vordefiniert wurden.

    4. Mandanten ohne Identitätsdomains und mit der Anmelde-Policy "Sicherheits-Policy für OCI-Konsole"

      Für Mandanten, die Identity Cloud Service verwenden, jedoch mit der Anmelde-Policy "Sicherheits-Policy für OCI-Konsole" vordefiniert wurden.

  3. Mit Cloud Guard können Sie Benutzer suchen, für die MFA nicht aktiviert ist.