Gestión de autenticación multifactor

En este tema, se describe cómo los usuarios pueden gestionar la autenticación multifactor (MFA) en Oracle Cloud Infrastructure.

Política de IAM necesaria

Solo el usuario puede activar la autenticación multifactor (MFA) para su propia cuenta. Los usuarios también pueden desactivar MFA para sus propias cuentas. Los miembros del grupo Administradores pueden desactivar MFA para otros usuarios, pero no pueden activarla para otro usuario.

Acerca de la autenticación multifactor

La autentificación multifactor es un método de autentificación que requiere el uso de más de un factor para verificar la identidad de un usuario.

Con la MFA activada en el servicio IAM, cuando un usuario se conecta a Oracle Cloud Infrastructure, se le solicita su nombre de usuario y contraseña, que es el primer factor (algo que conoce). A continuación, se le pide al usuario que proporcione un segundo código de verificación de un dispositivo MFA registrado, que es el segundo factor (algo que posee). Los dos factores funcionan conjuntamente, lo que requiere una capa adicional de seguridad para verificar la identidad del usuario y completar el proceso de conexión.

En general, MFA puede incluir dos elementos cualquiera de los siguientes:

Algo que conoce, como una contraseña.
Algo que posee, como un dispositivo.
Algo que forma parte de usted, como su huella dactilar.

El servicio IAM soporta la autenticación de dos factores mediante una contraseña (primer factor) y un dispositivo que puede generar una contraseña de un solo uso basada en tiempo (TOTP) (segundo factor).

Conceptos generales

A continuación, se muestra una lista de los conceptos básicos con los que necesita estar familiarizado.

AUTENTICACIÓN MULTIFACTOR (MFA): La autenticación multifactor (MFA) es un método de autenticación que requiere el uso de más de un factor para verificar la identidad de un usuario. Algunos ejemplos de factores de autenticación son una contraseña (algo que conoce) y un dispositivo (algo que posee).
APLICACIÓN DE AUTENTICACIÓN: Una aplicación que instala en su dispositivo móvil, que puede proporcionar tokens seguros basados en software para la verificación de la identidad. Algunos ejemplos de aplicaciones de autenticador son Oracle Mobile Authenticator y Google Authenticator. Para activar MFA para el servicio IAM, necesitará un dispositivo con una aplicación de autenticador instalada. Utilizará la aplicación para registrar su dispositivo y, a continuación, la misma aplicación (en el mismo dispositivo) para generar una contraseña de un solo uso basada en tiempo cada vez que se conecte.
DISPOSITIVO MÓVIL REGISTRADO: La autenticación multifactor está activada para un usuario específico y para un dispositivo específico. El procedimiento para activar MFA para un usuario incluye el registro del dispositivo móvil. Se debe utilizar este mismo dispositivo para generar la contraseña de un solo uso basada en tiempo cada vez que el usuario se conecte. Si el dispositivo móvil registrado deja de estar disponible, un administrador debe desactivar MFA para el usuario, de modo que se pueda volver a activar con un nuevo dispositivo.
CONTRASEÑA DE UN SOLO USO BASADA EN EL TIEMPO (TOTP): TOTP es una contraseña (o código de acceso) generada por un algoritmo que calcula una contraseña de un solo uso a partir de una clave secreta compartida y la hora actual, como se define en RFC 6238. La aplicación de autenticador en el dispositivo móvil registrado genera la TOTP que debe introducir cada vez que se conecta a Oracle Cloud Infrastructure.

Aplicaciones de autenticación soportadas

Las siguientes aplicaciones de autenticador se han probado con el servicio IAM de Oracle Cloud Infrastructure:

Oracle Mobile Authenticator
Google Authenticator

Puede encontrar estas aplicaciones en la tienda de aplicaciones de su dispositivo móvil. Debe instalar una de estas aplicaciones en su dispositivo móvil para poder activar MFA.

Trabajar con autenticación multifactor

Tenga en cuenta lo siguiente cuando active la autenticación multifactor:

Debe instalar una aplicación de autenticador soportada en el dispositivo móvil que desea registrar para MFA.
Cada usuario debe activar MFA para sí mismo mediante un dispositivo al que tendrá acceso cada vez que se conecte. Un administrador no puede activar MFA para otro usuario.
Para activar MFA, utilice la aplicación de autenticador del dispositivo móvil para escanear un código QR generado por el servicio IAM y que se muestra en la consola. El código QR comparte una clave secreta con la aplicación para permitir que esta genere las TOTP que el servicio IAM pueda verificar.
Un usuario puede registrar solo un dispositivo para su uso con MFA.
Después de agregar su cuenta de Oracle Cloud Infrastructure a la aplicación de autenticador, el nombre de cuenta se muestra en dicha aplicación como Oracle <tenancy_name> - <username>.

Restricción del acceso a los usuarios verificados con MFA

Puede restringir el acceso a los recursos exclusivamente a los usuarios autenticados a través de la autenticación de contraseña de un solo uso basada en tiempo del servicio IAM. Esta restricción se configura en la política que permite el acceso al recurso.

Para restringir el acceso otorgado a través de una política a los usuarios verificados con MFA, agregue where clause a la política:

where request.user.mfaTotpVerified='true'

Por ejemplo, supongamos que su compañía tiene esta política para permitir a GroupA gestionar instancias:

allow group GroupA to manage instance-family in tenancy

Para mejorar la seguridad, desea asegurarse de que solo los usuarios que se han verificado mediante MFA puedan gestionar instancias. Para restringir el acceso a estos usuarios, modifique la sentencia de la política de la siguiente manera:

allow group GroupA to manage instance-family in tenancy where request.user.mfaTotpVerified='true'

Con esta política, solo los miembros de GroupA que se han conectado correctamente introduciendo tanto su contraseña como la contraseña de un solo uso basada en tiempo generada por su dispositivo móvil registrado pueden acceder a instancias y gestionarlas. Los usuarios que no hayan activado MFA y que se conecten utilizando solo su contraseña, no podrán acceder a la gestión de instancias.

Para obtener más información sobre la escritura de políticas, consulte Sintaxis de políticas.

Proceso de conexión después de activar MFA

Una vez que ha activado MFA, utilice uno de los siguientes procedimientos para conectarse a Oracle Cloud Infrastructure:

Para conectarse mediante la consola

Navegue a la página de conexión de la consola.
Introduzca su Nombre de usuario y Contraseña de Oracle Cloud Infrastructure y, a continuación, haga clic en Conectar.

Una vez autenticados el nombre de usuario y la contraseña, habrá proporcionado correctamente el primer factor para la autenticación. Se muestra la página de autenticación secundaria y le solicita que introduzca un código de acceso de un solo uso, como se muestra en la siguiente captura de pantalla.
Abra la aplicación de autenticador en el dispositivo móvil registrado y, a continuación, abra la cuenta de su arrendamiento de Oracle Cloud Infrastructure. En la siguiente captura de pantalla, se muestra un ejemplo de Oracle Mobile Authenticator.
Introduzca el código de acceso que muestra la aplicación de autenticador (por ejemplo, 219604) y, a continuación, haga clic en Conectar.

Importante: La aplicación de autenticador genera una nueva contraseña de un solo uso basada en tiempo cada 30 segundos. Debe introducir un código mientras este sigue siendo válido. Si supera el plazo de validez de un código de acceso, puede introducir el siguiente que se genera. Asegúrese de introducir el código que la aplicación muestra en ese momento.

Para conectarse mediante la interfaz de línea de comandos (CLI)

Para conectarse mediante la CLI, ejecute el siguiente comando:
```
oci session authenticate --region US East (Ashburn)
```
Se abre una ventana del explorador y aparece una petición de datos que le indica que utilice el explorador para conectarse.
```
Please switch to newly opened browser window to log in!
```
En la ventana del explorador, introduzca el Nombre de usuario y la Contraseña de Oracle Cloud Infrastructure y, a continuación, haga clic en Conectar.

Una vez autenticados el nombre de usuario y la contraseña, habrá proporcionado correctamente el primer factor para la autenticación. Se muestra la página de autenticación secundaria y le solicita que introduzca un código de acceso de un solo uso, como se muestra en la siguiente captura de pantalla.
Abra la aplicación de autenticador en el dispositivo móvil registrado y, a continuación, abra la cuenta de su arrendamiento de Oracle Cloud Infrastructure. En la siguiente captura de pantalla, se muestra un ejemplo de Oracle Mobile Authenticator.
Introduzca el código de acceso que muestra la aplicación de autenticador (por ejemplo, 219604) y, a continuación, haga clic en Conectar.

Importante: La aplicación de autenticador genera una nueva contraseña de un solo uso basada en tiempo cada 30 segundos. Debe introducir un código mientras este sigue siendo válido. Si supera el plazo de validez de un código de acceso, puede introducir el siguiente que se genera. Asegúrese de introducir el código que la aplicación muestra en ese momento.

Después de la autenticación, las peticiones de datos le indican que vuelva a la CLI e introduzca el nombre de un perfil.
En la CLI, escriba un nombre para el perfil.

Consejo

Para obtener más información sobre cómo trabajar con la CLI, consulte Inicio rápido e Introducción a la interfaz de línea de comandos.

Qué hacer si pierde su dispositivo móvil registrado

Si pierde su dispositivo móvil registrado, no podrá autenticarse en Oracle Cloud Infrastructure mediante la consola. Póngase en contacto con el administrador para desactivar la autenticación multifactor en su cuenta. A continuación, puede repetir el proceso para activar la autenticación multifactor con un nuevo dispositivo móvil.

Desbloqueo de un usuario después de intentos de conexión incorrectos

Si un usuario intenta conectarse a la consola de forma incorrecta 10 veces seguidas, se le bloqueará automáticamente para futuros intentos de conexión. Un administrador puede desbloquear al usuario en la consola (consulte Para desbloquear a un usuario) o con la operación de API UpdateUserState.

Desactivación de MFA

Cualquier usuario puede desactivar su propia MFA. Un administrador puede además desactivar MFA para otro usuario.

Atención

No desactive MFA a menos que el administrador se lo indique.

Supresión de dispositivos de autenticación multifactor TOTP inactivos

No puede buscar ni suprimir dispositivos de autenticación multifactor TOTP inactivos desde la consola, pero puede utilizar los comandos de la CLI de OCI con Cloud Shell para buscarlos y suprimirlos.

Un dispositivo TOTP de MFA inactivo puede producirse cuando la MFA está activada para un usuario y el usuario ha hecho clic en Activar autenticación multifactor, pero no ha podido autenticar el dispositivo.

Utilice los comandos mfa-totp-device list y delete de la CLI de OCI para identificar los dispositivos de autenticación multifactor TOTP de un usuario y, a continuación, suprimir el dispositivo inactivo.

Si más de un usuario tiene dispositivos de autenticación multifactor TOTP inactivos, realice esta tarea para cada usuario.

Consulte Cloud Shell.
Consulte mfa-totp-device commands en la referencia de comandos de la CLI de OCI.

En primer lugar, obtenga el OCID del usuario:
1. Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Usuarios.
2. Haga clic en la cuenta de usuario y, en el separador Información de usuario, haga clic en Copiar junto a OCID. Se copiará el OCID del usuario en el portapapeles.
Inicie Cloud Shell desde la consola. Consulte Uso de Cloud Shell.
Utilice el comando mfa-totp-device list e introduzca el OCID del usuario como parámetro --user-id. Por ejemplo:
```
oci iam mfa-totp-device list 
--user-id ocid1.user.oc1..aaaaaaaaltrya5y7o6wo3takzongrlii6voxqghfso73pamsgksao6jboaya
```
Se mostrarán todos los dispositivos de autenticación multifactor TOTP asociados al usuario. Si el usuario no tiene ningún dispositivo de autenticación multifactor TOTP, no se devuelve nada.
Un dispositivo que no se ha activado muestra "is-activated": false.
Anote el OCID del dispositivo y el OCID del usuario para utilizarlos como parámetros en el siguiente paso.
- El OCID del dispositivo inactivo es el valor de id.
- El OCID del usuario es el valor de user-id.

Utilice el comando mfa-totp-device delete e introduzca el OCID del dispositivo inactivo como parámetro --mfa-totp-device-id, y el OCID del usuario como parámetro --user-id. Por ejemplo:

oci iam mfa-totp-device delete 
--mfa-totp-device-id ocid1.credential.oc1..aaaaaaaaqv36sq6usjin5wefohpthsf4shnzh3snvioe3ezr57ce5ctoahcq
--user-id ocid1.user.oc1..aaaaaaaaltrya5y7o6wo3takzongrlii6voxqghfso73pamsgksao6jboaya

Confirme que desea suprimir el recurso.

Uso de la consola

Utilice los siguientes procedimientos para gestionar MFA en la consola.

Para activar MFA para su cuenta de usuario

Requisito: debe instalar una aplicación de autenticador soportada en el dispositivo móvil que desea registrar para MFA.

En la esquina superior derecha de la consola, abra el menú Perfil y seleccione Configuración de usuario. Se muestran sus detalles de usuario.
Haga clic en Activar autenticación multifactor.
Escanee el código QR que se muestra en el cuadro de diálogo con la aplicación de autenticador del dispositivo móvil.

Nota: Si cierra el explorador o si este se bloquea antes de introducir el código de verificación, debe generar un nuevo código QR y volver a escanearlo con la aplicación. Para generar un nuevo código QR, vuelva a hacer clic en el botón Activar autenticación multifactor.
En el campo Código de verificación, introduzca el código que se muestra en la aplicación de autenticador.
Haga clic en Activar.

Su dispositivo móvil está ahora registrado en el servicio IAM y su cuenta está activada para MFA. Cada vez que se conecte, se le pedirá primero el nombre de usuario y la contraseña. Después de proporcionar las credenciales correctas, se le solicitará un código TOTP generado por la aplicación de autenticador en su dispositivo móvil registrado. Debe tener el dispositivo móvil registrado disponible cada vez que se vaya a conectar a Oracle Cloud Infrastructure.

Para desactivar MFA para su cuenta de usuario

En la esquina superior derecha de la consola, abra el menú Perfil y seleccione Configuración de usuario. Se muestran sus detalles de usuario.
Haga clic en Desactivar autenticación multifactor.
Confirme cuando se le solicite.

Para desactivar MFA para otro usuario

Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Usuarios. Se mostrará una lista de los usuarios de su arrendamiento.
Haga clic en el usuario que desea actualizar. Se mostrarán los detalles del usuario.
Haga clic en Desactivar autenticación multifactor.
Confirme cuando se le solicite.

Uso de la API

Para obtener más información sobre el uso de la API y la firma de solicitudes, consulte la documentación de la API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Los SDK y la CLI.

Nota

Las actualizaciones no son inmediatas en todas las regiones

Sus recursos de IAM residen en su región principal. Para aplicar la política en todas las regiones, el servicio IAM replica sus recursos en cada región. Cuando se crea o se cambia una política, un usuario o un grupo, los cambios se aplican en primer lugar en la región principal y después se propagan a las demás regiones. Pueden pasar varios minutos antes de que los cambios surtan efecto en todas las regiones.

Utilice estas operaciones de API para gestionar dispositivos de autenticación multifactor:

Documentación de Oracle Cloud Infrastructure