Oracle Cloud Infrastructure - Dokumentation

Mandanten ohne Identitätsdomains und mit der Anmelde-Policy "Sicherheits-Policy für OCI-Konsole"

Wenn Sie die Multifaktor-Authentifizierung (MFA) in Mandanten ohne Identitätsdomains und Oracle Identity Cloud Service als automatisch föderierter Identitätsprovider (IdP) in IAM und mit der Anmelde-Policy "Sicherheits-Policy für OCI-Konsole" verwenden, wird empfohlen, MFA mit dieser Anmelde-Policy einzurichten

MFA-Aktivierungsplan

Um die Sicherheit zu verbessern, haben wir die Anmelde-Policy "Sicherheits-Policy für OCI-Konsole" in allen Mandanten vordefiniert. Sobald ein Identity Cloud Service-Stripe mit der Policy vordefiniert wurde, müssen Sie ihn aktivieren, um die Multifaktor-Authentifizierung (MFA) für Benutzer mit Administratorberechtigungen zu aktivieren.

Im folgenden Flussdiagramm wird der vollständige Prozess vom Policy-Rollout, bei dem Oracle das Seeding der Policy initiiert, bis zur Policy Enforcement-Phase beschrieben, in der Oracle die Policy aktiviert, außer unter bestimmten Umständen.

Flussdiagramm mit den Phasen des Rollouts der Sicherheits-Policy für OCI-Konsole für Identity Cloud Service-Stripes

  • Die Anmelde-Policy "Sicherheits-Policy für OCI-Konsole" wirkt sich nur auf den Zugriff auf die OCI-Konsole aus. Nachdem die Policy aktiviert wurde, müssen sich alle lokalen Benutzer mit MFA anmelden.
  • Die Policy gilt für alle Identity Cloud Service-Stripes.
Hinweis

In Mandanten mit Identity Cloud Service-Stripes wird diese Policy nach dem 24. Juli 2023 automatisch aktiviert.

Die Policy wird nicht automatisch aktiviert:

  • Wenn Sie die Standardanmelde-Policy geändert haben
  • Wenn ein aktiver externer IDP (SAML/Social oder X.509) in der IAM-Domain konfiguriert ist. Das bedeutet, dass föderierte Benutzer von den Auswirkungen dieser Policy ausgeschlossen werden.
  • Wenn Sie bereits über eine Anmelde-Policy verfügen und der OCI-Konsole explizit zugewiesen ist.
  • Wenn Sie die "Sicherheits-Policy für OCI-Konsole" mit einer API löschen, wird sie nicht neu erstellt. Informationen zum Löschen der Policy mit REST-APIs finden Sie unter Policy löschen.

Informationen zum Aktivieren der Policy in einem Identity Cloud Service-Stripe finden Sie unter Anmelde-Policys aktivieren.

Nach der Aktivierung sieht die Policy auf der Seite "Anmelde-Policys" in der Identity Cloud Service-Admin-Konsole wie folgt aus.

Sicherheits-Policy für OCI-Konsole, die in der Identity Cloud Service-Admin-Konsole auf der Seite "Anmelde-Policys" aktiviert ist

Weitere Informationen zur Policy finden Sie unter Informationen zur Anmelde-Policy "Sicherheits-Policy für OCI-Konsole".

Durchsetzungsregeln für "Sicherheits-Policy für OCI-Konsole" für Identity Cloud Service-Stripes

Status der Anmelde-Policy "Security PolicyFor OCI Console" Sie haben die Standardanmelde-Policy geändert Status der Anmelde-Policy "Sicherheits-Policy für OCI-Konsole" nach Erzwingen der Aktivierung
Aktuell und aktiviert Nicht anwendbar (Sie können keine andere aktive Anmelde-Policy für die OCI-Konsole verwenden) Keine Änderung
Aktuell und deaktiviert Keine Die Policy wird in "Präsentieren" und "Aktiviert" geändert
Aktuell und deaktiviert Ja Keine Änderung. Wir werden Ihre Richtlinie nicht überschreiben.
gelöscht Nicht anwendbar Keine Änderung

Anmelde-Policy "Sicherheits-Policy für OCI-Konsole" einrichten

So richten Sie die Anmelde-Policy "Sicherheits-Policy für OCI-Konsole" ein:

  1. Lesen Sie Voraussetzungen.
  2. Lesen Sie Informationen zur Anmelde-Policy "Sicherheits-Policy für OCI-Konsole".
  3. Optional und nur während des Rolloutzeitraums einen Administrator von der Policy ausschließen. Wenn Sie sicher sind, dass Ihre Benutzer MFA für ihre Accounts eingerichtet haben, fügen Sie diesen Account wieder der "Sicherheits-Policy für OCI-Konsole" hinzu. Siehe Administrator vorübergehend aus der Anmelde-Policy "Sicherheits-Policy für OCI-Konsole" ausschließen.
    Hinweis

    Es stellt ein Sicherheitsrisiko dar, wenn sich ein Benutzer ohne MFA anmelden kann. Wenn Sie dies also so kurz wie möglich tun möchten.
  4. Erfahren Sie, wie Sie sich mit einem App-Passcode oder einer App-Benachrichtigung bei MFA anmelden. Siehe MFA-Registrierung abschließen.

Voraussetzung

Bevor Sie beginnen: Bevor Sie MFA konfigurieren, müssen Sie die folgenden Voraussetzungen erfüllen.

  1. Prüfen Sie die MFA-Faktoren. Die für Sie verfügbaren MFA-Faktoren hängen vom Lizenztyp ab, über den Sie verfügen. Der Lizenztyp wird oben rechts in der Identity Cloud Service-Konsole angezeigt. Weitere Informationen zu MFA und Lizenztypen finden Sie unter Preisgestaltungsmodelle für Oracle Identity Cloud Service.
  2. In der Dokumentation Oracle Mobile Authenticator-App als Authentifizierungsmethode verwenden erfahren Sie, wie Sie App-Benachrichtigung und App-Passcode in der Oracle Mobile Authenticator-App verwenden.
  3. Schließen Sie optional und nur während des Rolloutzeitraums einen Identitätsdomainadministrator aus der Policy "Sicherheits-Policy für OCI-Konsole" aus. Wenn Sie also während des Rollouts Fehler machen, haben Sie sich nicht aus der Konsole ausgesperrt.

    Sobald das Rollout abgeschlossen ist und Sie sicher sind, dass Ihre Benutzer alle MFA eingerichtet haben und auf die Konsole zugreifen können, können Sie dieses Benutzerkonto entfernen.

  4. Identifizieren Sie alle Identity Cloud Service-Gruppen, die OCI-IAM-Gruppen zugeordnet sind.
  5. Registrieren Sie eine Clientanwendung mit der Rolle Identitätsdomainadministrator, um den Zugriff auf Ihre Identitätsdomain mit der REST-API zu aktivieren, falls Ihre Konfiguration der Anmelde-Policy Sie sperrt. Wenn Sie diese Clientanwendung nicht registrieren und eine Anmelde-Policy-Konfiguration den Zugriff für alle Benutzer einschränkt, werden alle Benutzer aus der Identitätsdomain ausgesperrt, bis Sie sich an Oracle Support wenden. Informationen zum Registrieren einer Clientanwendung finden Sie unter Clientanwendung registrieren in Oracle Identity Cloud Service-REST-APIs mit Postman verwenden.
  6. Erstellen Sie einen Umgehungscode, und speichern Sie diesen Code an einem sicheren Ort. Siehe Bypass-Code generieren und verwenden.

Anmelde-Policy "Sicherheits-Policy für OCI-Konsole"

Die Anmelde-Policy Sicherheits-Policy für OCI-Konsole ist standardmäßig aktiviert und mit Best Practices für die Oracle-Sicherheit vorkonfiguriert.

  • Die folgenden für diese Anmelde-Policy erforderlichen Faktoren sind bereits aktiviert: App-Passcode, App-Benachrichtigung, Code umgehen und Fast ID Online-(FIDO-)Authentikator.
  • Die Anwendung OCI-Konsole wurde der Policy hinzugefügt.
  • Die Anmelde-Policy enthält zwei aktive Anmelderegeln:

    Die Regeln in der Sicherheits-Policy für die Anmelde-Policy der OCI-Konsole in der Identity Cloud Service-Konsole

    • MFA für Administratoren: Die Regel hat die erste Priorität. Für diese vorkonfigurierte Regel müssen sich alle Benutzer in der Gruppe Administratoren und alle Benutzer mit der Administratorrolle bei MFA registrieren und bei jeder Anmeldung einen zusätzlichen Faktor angeben.
    • MFA für alle Benutzer: Die Regel ist nach Priorität an zweiter Stelle. Für diese vorkonfigurierte Regel müssen sich alle Benutzer bei MFA anmelden und bei jeder Anmeldung einen zusätzlichen Faktor angeben.

Administrator vorübergehend aus der Anmelde-Policy "Sicherheits-Policy für OCI-Konsole" ausschließen

Als Best Practice sollten Sie die Anmelde-Policy "Sicherheits-Policy für OCI-Konsole" nicht ändern. Möglicherweise möchten Sie dies jedoch beim Rollout tun. Sie können einen Administratoraccount vorübergehend ausschließen, wenn Sie Änderungen vornehmen, die Sie von der OCI-Konsole ausschließen. Nachdem das Rollout abgeschlossen ist und Benutzer MFA so konfiguriert haben, dass sie auf die OCI-Konsole zugreifen können, ändern Sie dies zurück.
  1. Entscheiden Sie, welchen Admin-Benutzer Sie vorübergehend aus der "Sicherheits-Policy für OCI-Konsole" ausschließen möchten, erstellen Sie eine neue Gruppe, und weisen Sie ihm den Benutzer zu.
  2. Erstellen Sie eine neue Regel, die MFA nicht verwendet, und weisen Sie die Gruppe ihr zu.
  3. Machen Sie diese Regel zur ersten Regel in der Policy "Sicherheits-Policy für OCI-Konsole".
Hinweis

Sobald das Rollout abgeschlossen ist, haben alle Benutzer MFA konfiguriert, und es gibt weniger Chancen, einen Fehler zu machen, der Sie aus der OCI-Konsole aussperren, diese Schritte zurücksetzen und die Policy "Sicherheits-Policy für OCI-Konsole" auf ihren unveränderten Status zurücksetzen könnte.
  1. Erstellen Sie eine neue Gruppe, und weisen Sie ihr den Benutzer zu, den Sie ausschließen möchten. Siehe Gruppen erstellen und Benutzeraccounts der Gruppe zuweisen.
  2. Erstellen Sie eine neue Regel, und fügen Sie die gerade erstellte Gruppe hinzu.
    1. Blenden Sie in der Identity Cloud Service-Konsole die Navigationsleiste ein, klicken Sie auf Sicherheit und dann auf Anmelde-Policys. Die Policy Sicherheits-Policy für OCI-Konsole wird angezeigt.
    2. Klicken Sie auf die Registerkarte Anmelderegeln.
    3. Klicken Sie auf Hinzufügen, und geben Sie der neuen Regel einen Namen.
    4. Fügen Sie die neue Gruppe zu Und Mitglied dieser Gruppen ist hinzu.
    5. Klicken Sie auf Speichern.
      Die neue Regel wird der Liste der Regeln für die Policy "Sicherheits-Policy für OCI-Konsole" hinzugefügt.
  3. Machen Sie die neue Regel zur ersten in der Policy "Sicherheits-Policy für OCI-Konsole".
    1. Klicken Sie auf der Seite mit den Policy-Details links neben der neuen Regel auf das Aktionssymbol.
    2. Ziehen Sie die neue Regel als erste Regel in der Policy.
    3. Klicken Sie auf Speichern.
Wenn sich dieser Benutzer anmeldet, wird die erste Regel angewendet, und er muss zur Authentifizierung keine MFA verwenden.

Sobald Sie sicher sind, dass alle Benutzer MFA eingerichtet haben und dass keine Möglichkeit besteht, sich versehentlich aus der OCI-Konsole zu sperren, löschen Sie die neue Regel, sodass die Policy "Sicherheits-Policy für OCI-Konsole" in ihren unveränderten Status zurückversetzt wird.

So löschen Sie die Regel:

  1. Klicken Sie auf der Seite "Anmelde-Policys" auf Sicherheits-Policy für OCI-Konsole.
  2. Klicken Sie auf das Kontrollkästchen für die neue Regel, und klicken Sie auf Entfernen.

Jetzt müssen sich alle Benutzer mit MFA bei der OCI-Konsole anmelden.

MFA-Anmeldung abschließen

Nachdem die Anmelde-Policy "Sicherheits-Policy für OCI-Konsole" aktiviert wurde, wird jeder, der sich bei der OCI-Konsole anmeldet, aufgefordert, die MFA-Registrierung mit dem Oracle Mobile Authenticator (OMA) abzuschließen.

Ihnen und allen anderen Benutzern, die sich bei der OCI-Konsole anmelden, wird ein Bildschirm wie in diesem Beispiel angezeigt.

Klicken Sie auf Sichere Verifizierung aktivieren, und befolgen Sie die Anweisungen unter Oracle Mobile Authenticator-App verwenden.

Screenshot des MFA-Registrierungsbildschirms.