Oracle Cloud Infrastructure - Dokumentation

Identitätsdomains mit der Anmelde-Policy "Sicherheits-Policy für OCI-Konsole"

Wenn Sie die Multifaktor-Authentifizierung (MFA) in Mandanten mit Identitätsdomains mit der Anmelde-Policy "Sicherheits-Policy für OCI-Konsole" verwenden, wird empfohlen, MFA mit dieser Anmelde-Policy einzurichten.

MFA-Aktivierungsplan

Um die Sicherheit zu verbessern, haben wir die Anmelde-Policy "Sicherheits-Policy für OCI-Konsole" in allen Mandanten vordefiniert. Sobald eine Identitätsdomain mit der Policy vordefiniert wurde, müssen Sie sie aktivieren, um die Multifaktor-Authentifizierung (MFA) für Benutzer mit Administratorberechtigungen zu aktivieren.

Im folgenden Flussdiagramm wird der vollständige Prozess vom Policy-Rollout, bei dem Oracle das Seeding der Policy initiiert, bis zur Policy Enforcement-Phase beschrieben, in der Oracle die Policy aktiviert, außer unter bestimmten Umständen.

Flussdiagramm mit den Phasen des Rollouts der "Sicherheits-Policy für OCI-Konsole" für Identitätsdomains in IAM

  • Die Anmelde-Policy "Sicherheits-Policy für OCI-Konsole" wirkt sich nur auf den Zugriff auf die OCI-Konsole aus. Nachdem die Policy aktiviert wurde, müssen sich alle lokalen Benutzer mit MFA bei der Konsole anmelden.
  • Die Policy gilt für die Standarddomain und alle sekundären Domains.
Hinweis

Nach dem 17. Juli 2023 wird diese Policy automatisch in Identitätsdomains aktiviert.

Die Policy wird nicht automatisch aktiviert:

  • Wenn Sie die Standardanmelde-Policy geändert haben
  • Wenn Sie bereits über eine Anmelde-Policy verfügen und der OCI-Konsole explizit zugewiesen ist.
  • Wenn ein aktiver externer IDP (SAML/Social oder X.509) in der IAM-Domain konfiguriert ist. Das bedeutet, dass föderierte Benutzer von den Auswirkungen dieser Policy ausgeschlossen werden.
  • Wenn Sie die "Sicherheits-Policy für OCI-Konsole" mit einer API löschen, wird sie nicht neu erstellt. Informationen zum Löschen der Policy mit REST-APIs finden Sie unter Policy löschen.

Informationen zum Aktivieren der Policy in einer Identitätsdomain finden Sie unter Anmelde-Policy aktivieren.

Wenn es aktiviert wurde, sieht es auf der Seite "Anmelde-Policys" in der Konsole so aus.

Sicherheits-Policy für OCI-Konsole, die auf der Seite "Anmelde-Policys" aktiviert ist

Weitere Informationen zur Policy finden Sie unter Informationen zur Anmelde-Policy "Sicherheits-Policy für OCI-Konsole".

Durchsetzungsregeln für "Sicherheits-Policy für OCI-Konsole" für Identitätsdomains in IAM

Status der Anmelde-Policy "Sicherheits-Policy für OCI-Konsole" Sie haben die Standardanmelde-Policy geändert Status der Anmelde-Policy "Sicherheits-Policy für OCI-Konsole" nach Erzwingen der Aktivierung
Aktuell und aktiviert Nicht anwendbar (Sie können keine andere aktive Anmelde-Policy für die OCI-Konsole verwenden) Keine Änderung
Aktuell und deaktiviert Keine Die Policy wird in "Präsentieren" und "Aktiviert" geändert
Aktuell und deaktiviert Ja Keine Änderung. Wir werden Ihre Richtlinie nicht überschreiben.
gelöscht Nicht anwendbar Keine Änderung

Anmelde-Policy "Sicherheits-Policy für OCI-Konsole" einrichten

So richten Sie die Anmelde-Policy "Sicherheits-Policy für OCI-Konsole" ein:

  1. Lesen Sie Voraussetzungen.
  2. Lesen Sie Informationen zur Anmelde-Policy "Sicherheits-Policy für OCI-Konsole".
  3. Optional und nur während des Rolloutzeitraums einen Administrator von der Policy ausschließen. Wenn Sie sicher sind, dass Ihre Benutzer MFA für ihre Accounts eingerichtet haben, fügen Sie diesen Account wieder der "Sicherheits-Policy für OCI-Konsole" hinzu. Siehe Administrator vorübergehend aus der Anmelde-Policy "Sicherheits-Policy für OCI-Konsole" ausschließen.
    Hinweis

    Es stellt ein Sicherheitsrisiko dar, wenn sich ein Benutzer ohne MFA anmelden kann. Wenn Sie dies also so kurz wie möglich tun möchten.
  4. Erfahren Sie, wie Sie sich mit einem App-Passcode oder einer App-Benachrichtigung bei MFA anmelden. Siehe MFA-Registrierung abschließen.

Voraussetzung

Bevor Sie beginnen: Bevor Sie MFA konfigurieren, müssen Sie die folgenden Voraussetzungen erfüllen. Alle bereits abgeschlossenen Voraussetzungen überspringen.

  1. Prüfen Sie die MFA-Faktoren. Die für Sie verfügbaren MFA-Faktoren hängen vom Identitätsdomaintyp ab, über den Sie verfügen. Der Domaintyp wird auf der Seite Domains des Mandanten angezeigt. Weitere Informationen zu MFA und Domaintypen finden Sie unter Featureverfügbarkeit für Identitätsdomaintypen.
  2. In der Dokumentation Oracle Mobile Authenticator-App verwenden erfahren Sie, wie Sie App-Benachrichtigung und App-Passcode in der Oracle Mobile Authenticator-App verwenden.
  3. Schließen Sie optional und nur während des Rolloutzeitraums einen Identitätsdomainadministrator aus der Policy "Sicherheits-Policy für OCI-Konsole" aus. Wenn Sie also während des Rollouts Fehler machen, haben Sie sich nicht aus der Konsole ausgesperrt.

    Sobald das Rollout abgeschlossen ist und Sie sicher sind, dass Ihre Benutzer alle MFA eingerichtet haben und auf die Konsole zugreifen können, können Sie dieses Benutzerkonto entfernen.

  4. Identifizieren Sie alle Identity Cloud Service-Gruppen, die OCI-IAM-Gruppen zugeordnet sind. (Hinweis: Nur migrierte Mandanten.)
  5. Registrieren Sie eine Clientanwendung mit der Rolle Identitätsdomainadministrator, um den Zugriff auf Ihre Identitätsdomain mit der REST-API zu aktivieren, falls Ihre Konfiguration der Anmelde-Policy Sie sperrt. Wenn Sie diese Clientanwendung nicht registrieren und eine Anmelde-Policy-Konfiguration den Zugriff für alle Benutzer einschränkt, werden alle Benutzer aus der Identitätsdomain ausgesperrt, bis Sie sich an Oracle Support wenden. Informationen zum Registrieren einer Clientanwendung finden Sie unter Clientanwendungen registrieren.
  6. Erstellen Sie einen Umgehungscode, und speichern Sie diesen Code an einem sicheren Ort. Siehe Umgehungscode generieren.

Anmelde-Policy "Sicherheits-Policy für OCI-Konsole"

Die Anmelde-Policy Sicherheits-Policy für OCI-Konsole ist standardmäßig aktiviert und mit Best Practices für die Oracle-Sicherheit vorkonfiguriert.

Wenn Sie die Regeln in dieser Policy ändern, befolgen Sie nicht mehr die Best Practices für die Oracle-Sicherheit.

  • Die folgenden für diese Anmelde-Policy erforderlichen Faktoren sind bereits aktiviert: App-Passcode, App-Benachrichtigung, Code umgehen und Fast ID Online-(FIDO-)Authentikator.
  • Die Konsolenanwendung wurde der Policy hinzugefügt.
  • Die Anmelde-Policy enthält zwei aktive Anmelderegeln:

    Die Regeln in der Sicherheits-Policy für die Anmelde-Policy der OCI-Konsole

    • MFA für Administratoren: Die Regel hat die erste Priorität. Für diese vorkonfigurierte Regel müssen sich alle Benutzer in der Gruppe Administratoren und alle Benutzer mit einer Administratorrolle bei der MFA anmelden und bei jeder Anmeldung bei der OCI-Konsole einen zusätzlichen Faktor angeben.
    • MFA für alle Benutzer: Die Regel ist nach Priorität an zweiter Stelle. Für diese vorkonfigurierte Regel müssen sich alle Benutzer bei MFA anmelden und bei jeder Anmeldung bei der Konsole einen zusätzlichen Faktor angeben.

Administrator vorübergehend aus der Anmelde-Policy "Sicherheits-Policy für OCI-Konsole" ausschließen

Als Best Practice sollten Sie die Anmelde-Policy "Sicherheits-Policy für OCI-Konsole" nicht ändern. Möglicherweise möchten Sie dies jedoch beim Rollout tun. Sie können einen Administratoraccount vorübergehend ausschließen, wenn Sie Änderungen vornehmen, die Sie von der OCI-Konsole ausschließen. Nachdem das Rollout abgeschlossen ist und Benutzer MFA so konfiguriert haben, dass sie auf die OCI-Konsole zugreifen können, ändern Sie dies zurück.
  1. Entscheiden Sie, welchen Admin-Benutzer Sie vorübergehend aus der "Sicherheits-Policy für OCI-Konsole" ausschließen möchten, erstellen Sie eine neue Gruppe, und weisen Sie ihm den Benutzer zu.
  2. Erstellen Sie eine neue Regel, die MFA nicht verwendet, und weisen Sie die Gruppe ihr zu.
  3. Machen Sie diese Regel zur ersten Regel in der Policy "Sicherheits-Policy für OCI-Konsole".
Hinweis

Sobald das Rollout abgeschlossen ist, haben alle Benutzer MFA konfiguriert, und es gibt weniger Chancen, einen Fehler zu machen, der Sie aus der OCI-Konsole aussperren, diese Schritte zurücksetzen und die Policy "Sicherheits-Policy für OCI-Konsole" auf ihren unveränderten Status zurücksetzen könnte.
  1. Erstellen Sie eine neue Gruppe, und weisen Sie ihr den Benutzer zu, den Sie ausschließen möchten. Siehe Gruppen erstellen und Benutzer zu einer Gruppe hinzufügen.
  2. Erstellen Sie eine neue Anmelderegel.
    1. Öffnen Sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Identität die Option Domains aus.

    2. Wählen Sie den Namen der Identitätsdomain aus, in der Sie arbeiten möchten. Möglicherweise müssen Sie das Compartment ändern, um die gewünschte Domain zu finden.
    3. Klicken Sie in der Liste der Anmelde-Policys auf Sicherheits-Policy für OCI-Konsole.
    4. Klicken Sie auf Registrierungsregel hinzufügen.
    5. Geben Sie der Regel einen Namen.
    6. Wählen Sie unter Gruppenmitgliedschaft die neue Gruppe aus, die Sie gerade erstellt haben.
    7. Klicken Sie auf Registrierungsregel hinzufügen.
      Die neue Regel wird der Liste der Regeln für die Policy "Sicherheits-Policy für OCI-Konsole" hinzugefügt.
  3. Machen Sie die neue Regel zur ersten in der Policy "Sicherheits-Policy für OCI-Konsole".
    1. Klicken Sie auf der Policy-Detailseite auf Priorität bearbeiten.
    2. Ändern Sie die Priorität der Anmelderegeln mit den Pfeilen.
    3. Klicken Sie auf Änderungen speichern.
Wenn sich dieser Benutzer anmeldet, wird die erste Regel angewendet, und er muss zur Authentifizierung keine MFA verwenden.

Sobald Sie sicher sind, dass alle Benutzer MFA eingerichtet haben und dass keine Möglichkeit besteht, sich versehentlich aus der OCI-Konsole zu sperren, löschen Sie die neue Regel, sodass die Policy "Sicherheits-Policy für OCI-Konsole" in ihren unveränderten Status zurückversetzt wird.

So löschen Sie die Regel:

  1. Klicken Sie auf der Seite "Anmelde-Policys" auf Sicherheits-Policy für OCI-Konsole.
  2. Klicken Sie auf das Kontrollkästchen für die neue Regel, und klicken Sie auf Anmelderegel entfernen.

Jetzt müssen sich alle Benutzer mit MFA bei der OCI-Konsole anmelden.

MFA-Anmeldung abschließen

Nachdem die Anmelde-Policy "Sicherheits-Policy für OCI-Konsole" aktiviert wurde, wird jeder, der sich bei der OCI-Konsole anmeldet, aufgefordert, die MFA-Registrierung mit dem Oracle Mobile Authenticator (OMA) abzuschließen.

Ihnen und allen anderen Benutzern, die sich bei der OCI-Konsole anmelden, wird ein Bildschirm wie in diesem Beispiel angezeigt.

Klicken Sie auf Sichere Verifizierung aktivieren, und befolgen Sie die Anweisungen unter Oracle Mobile Authenticator-App verwenden.

Screenshot des MFA-Registrierungsbildschirms.