Documentación de Oracle Cloud Infrastructure

Configuración de Valores de Autenticación Multifactor

Configure los valores de autenticación multifactor (MFA) y las políticas de conformidad que definen qué factores de MFA se necesitan para acceder a un dominio de identidad en IAM y, a continuación, configure los factores de MFA.

Nota

Las tareas de esta sección son para un administrador que necesita configurar la MFA para un dominio de identidad en IAM. Si es un usuario que necesita configurar la verificación en 2 pasos para usted mismo, consulte Configuración de la recuperación de cuentas y la verificación en 2 pasos.
Antes de empezar:
  • Cree un usuario de prueba en un dominio de identidad de prueba. Utilice ese dominio de identidad para configurar la MFA por primera vez. Consulte Creating an Identity Domain y Creating a User.
  • Configure una aplicación cliente para activar el acceso a un dominio que utilice la API de REST en caso de que se bloquee la configuración de política de conexión. Si usted no configura esta aplicación cliente y una configuración de política de inicio de sesión restringe los accesos a todos, se bloqueará a todos los usuarios del dominio del identidad hasta que se pongan en contacto con los Servicios Oracle Support. Para obtener información sobre cómo configurar la aplicación de cliente, consulte Registro en una aplicación cliente.

Para definir la configuración de MFA, debe tener asignado el rol de administrador de dominio de identidad o el rol de administrador de seguridad.

  1. Abra el menú de navegación y seleccione Identidad y seguridad. En Identidad, seleccione Dominios.
  2. Seleccione el nombre del dominio de identidad en el que desea trabajar. Puede que necesite cambiar el compartimento para buscar el dominio que desee.
  3. En la página de detalles del dominio, seleccione Autenticación.
  4. En la página Autenticación, seleccione Activar o desactivar factores. Se abre un panel de configuración.
  5. En el panel de configuración Activar o desactivar factores, seleccione cada uno de los factores que desea que se requieran para acceder a un dominio de identidad.
    Para obtener una explicación de cada factor, consulte Configuring Authentication Factors.
  6. (Opcional) Defina el Número máximo de factores inscritos que pueden configurar los usuarios.
  7. (Opcional) Utilice la sección Dispositivos de confianza para configurar los valores del dispositivo de confianza.
    De una forma similar a "recordar mi computadora", los dispositivos en los que se confía no necesitan que el usuario proporcione una autenticación secundaria cada vez que se conecte.
  8. (Opcional) En Reglas de inicio de sesión, defina el número máximo de intentos no correctos de MFA que desea permitir que un usuario proporcione incorrectamente en un control de MFA antes de de que sea bloqueado.
  9. Seleccione Guardar cambios y, a continuación, confirme el cambio.
  10. (Opcional) Seleccione Editar junto a los factores de MFA que ha seleccionado para configurarlos individualmente.
    Para obtener instrucciones sobre cada factor, consulte Configuring Authentication Factors.
  11. Asegúrese de que todas las políticas de conexión activas permiten la autenticación de dos pasos:
    1. Seleccione el separador Políticas de dominio.
    2. En la página Políticas de Conexión, seleccione Política de Conexión por Defecto.
    3. En la página Política de Conexión por Defecto, seleccione Reglas de Conexión.
    4. En la fila Regla de inicio de sesión por Defecto, seleccione el menú Acciones (tres puntos) y seleccione Editar regla de inicio de sesión.
    5. En el recuadro de diálogo Editar regla de conexión, en Excluir usuarios, exclúyase en sí mismo o en otro Administrador de dominio de identidades de esta regla hasta que se complete la prueba. Esto garantiza que al menos un administrador tenga siempre acceso al dominio de identidad en el caso de que se produzcan incidencias.
    6. En Acciones, seleccione Solicitar un factor adicional y asegúrese de que está seleccionada Permitir acceso.
    7. Seleccione Guardar cambios.
    8. Si se han agregado otras políticas de conexión, siga los pasos anteriores para cada uno de esas políticas a fin para garantizar que el MFA esté activado en todas las condiciones en las cuales desee.
      Nota

      La configuración de la regla de conexión por defecto activa el MFA a nivel global. Los valores de otras reglas de conexión pueden sustituir la regla de conexión por defecto para usuarios y grupos especificados por condiciones para esas reglas. Consulte Gestión de políticas de contraseñas.

      Importante

      Asegúrese de excluir un administrador de dominio de identidades de cada política. Esto garantiza que al menos un administrador tenga siempre acceso al dominio de identidad en el caso de que se produzcan incidencias.

      Defina Inscripción como Opcional hasta que haya terminado de probar la política de conexión.

  12. (Opcional) Active umbrales de bloqueo independientes para fallos de validación de MFA e intentos de notificación de MFA. Para activar esto, asegúrese de saber cómo realizar llamadas a la API de REST.
    Nota

    Hay dos nuevos atributos en el esquema de MFA del usuario:
    • mfaIncorrectValidationAttempts: realiza un seguimiento de los intentos incorrectos de validación de MFA por parte de un usuario.
    • mfaNotificationAttempts: realiza un seguimiento de los intentos de notificación de MFA de un usuario.

    También se han agregado dos nuevos atributos a AuthenticationFactorSettings:

    • maxMfaIncorrectValidationAttempts: número máximo de validaciones de MFA incorrectas que se pueden intentar antes de que se bloquee una cuenta. Si se define un valor para este atributo, también debe haber un valor definido para maxMfaNotificationAttempts. Si no se define este atributo, el comportamiento de bloqueo de MFA se determina mediante maxIncorrectAttempts. Si mfaIncorrectValidationAttempts alcanza maxMfaIncorrectValidationAttempts, el usuario se bloquea inmediatamente.
    • maxMfaNotificationAttempts: número máximo de notificaciones de MFA que se pueden intentar antes de que se bloquee una cuenta. Si se define un valor para este atributo, también debe haber un valor definido para maxMfaIncorrectValidationAttempts. Si no se define este atributo, el comportamiento de bloqueo de MFA se determina mediante maxIncorrectAttempts. Si mfaNotificationAttempts llega a maxMfaNotificationAttempts, el usuario se bloquea la próxima vez que intente iniciar una notificación, para permitir que el usuario se autentique mediante la última notificación de MFA.

    Actualice AuthenticationFactorSettings para definir maxMfaIncorrectValidationAttempts y maxMfaNotificationAttempts mediante una llamada PATCH en el punto final <IDENTITY_DOMAIN_URL>/admin/v1/AuthenticationFactorSettings/AuthenticationFactorSettings con la siguiente carga útil:

    
{
  "schemas": [
    "urn:ietf:params:scim:api:messages:2.0:PatchOp"
  ],
  "Operations": [
    {
      "op": "add",
      "path": "endpointRestrictions.maxMfaIncorrectValidationAttempts",
      "value": 3
    },
    {
      "op": "add",
      "path": "endpointRestrictions.maxMfaNotificationAttempts",
      "value": 3
    }
  ]
}

    El valor para ambos puede variar de un mínimo de 3 a un máximo de 10.

  13. Para probar la configuración, cierre sesión en la consola y, a continuación, inicie sesión como usuario de prueba.
    Se le solicitará un segundo factor.