Documentación de Oracle Cloud Infrastructure

Configuración de valores de autenticación multifactor

Configure los valores de autenticación multifactor (MFA) y las políticas de conformidad que definen los factores de MFA necesarios para acceder a un dominio de identidad en IAM y, a continuación, configure los factores de MFA.

Nota

Las tareas de esta sección son para un administrador que necesita configurar la MFA para un dominio de identidad en IAM. Si es un usuario que necesita configurar la verificación en 2 pasos, consulte Configuración de la recuperación de cuentas y la verificación en 2 pasos.
Antes de empezar:
  • Cree un usuario de prueba en un dominio de identidad de prueba. Utilice ese dominio de identidad para configurar MFA por primera vez. Consulte Creación de un dominio de identidad y Creación de un usuario.
  • Configure una aplicación cliente para permitir el acceso a un dominio de identidad mediante la API de REST en caso de que la configuración de la política de conexión le bloquee. Si no configura esta aplicación cliente y una configuración de política de conexión restringe el acceso a todos, se bloqueará el acceso a todos los usuarios del dominio de identidad hasta que se ponga en contacto con los Servicios de Soporte Oracle. Para obtener información sobre la configuración de la aplicación cliente, consulte Registro de una aplicación cliente.

Para definir la configuración de MFA, debe tener asignado el rol de administrador de dominio de identidad o el rol de administrador de seguridad.

  1. Abra el menú de navegación y seleccione Identidad y seguridad. En Identidad, seleccione Dominios.
  2. Seleccione el nombre del dominio de identidad en el que desea trabajar. Puede que necesite cambiar el compartimento para buscar el dominio que desee.
  3. En la página de detalles del dominio, seleccione Autenticación.
  4. En la página Autenticación, seleccione Activar o desactivar factores. Se abre un panel de configuración.
  5. En el panel de configuración Activar o desactivar factores, seleccione cada uno de los factores que desea que se requieran para acceder a un dominio de identidad.
    Para obtener una explicación de cada factor, consulte Configuring Authentication Factors.
  6. (Opcional) Defina el Número máximo de factores inscritos que los usuarios pueden configurar.
  7. (Opcional) Utilice la sección Dispositivos de confianza para configurar los valores de dispositivo de confianza.
    De forma similar a "recordar mi computadora", los dispositivos de confianza no requieren que el usuario proporcione una autenticación secundaria cada vez que se conecte.
  8. (Opcional) En Reglas de conexión, defina el número máximo de intentos de MFA incorrectos que desea permitir que un usuario proporcione incorrectamente en una verificación de MFA antes de que sea bloqueado.
  9. Seleccione Guardar cambios y, a continuación, confirme el cambio.
  10. (Opcional) Seleccione Editar junto a los factores de MFA que ha seleccionado para configurarlos individualmente.
    Para obtener instrucciones sobre cada factor, consulte Configuración de factores de autenticación.
  11. Asegúrese de que todas las políticas de conexión activas permiten la autenticación de dos pasos:
    1. Seleccione el separador Políticas de dominio.
    2. En la página Políticas de conexión, seleccione Política de conexión por defecto.
    3. En la página Política de Conexión por Defecto, seleccione Reglas de Conexión.
    4. En la fila Regla de inicio de sesión por Defecto, seleccione el menú Acciones (tres puntos) y seleccione Editar regla de inicio de sesión.
    5. En el cuadro de diálogo Editar regla de conexión, en Excluir usuarios, se excluye a sí mismo o a otro administrador de dominio de identidad de esta regla hasta que se complete la prueba. Esto garantiza que al menos un administrador tenga siempre acceso al dominio de identidad en el caso de que se produzcan incidencias.
    6. En Acciones, seleccione Solicitar un factor adicional y asegúrese de que está seleccionada Permitir acceso.
    7. Seleccione Guardar cambios.
    8. Si se han agregado otras políticas de conexión, siga los pasos anteriores para cada una de esas políticas a fin de garantizar que la MFA esté activada en todas las condiciones en las que desee que esté activada.
      Nota

      La configuración de la regla de conexión por defecto activa la MFA de forma global. La configuración de otras reglas de conexión puede sustituir la regla de conexión por defecto para los usuarios y los grupos especificados por las condiciones para esas reglas. Consulte Gestión de políticas de contraseñas.

      Importante

      Asegúrese de excluir un administrador de dominio de identidad de cada política. Esto garantiza que al menos un administrador tenga siempre acceso al dominio de identidad en el caso de que se produzcan incidencias.

      Defina Inscripción como Opcional hasta que haya terminado de probar la política de conexión.

  12. (Opcional) Active umbrales de bloqueo independientes para fallos de validación de MFA e intentos de notificación de MFA. Para activarlo, asegúrese de que sabe cómo realizar llamadas a la API de REST.
    Nota

    Hay dos nuevos atributos en el esquema de MFA del usuario:
    • mfaIncorrectValidationAttempts: realiza un seguimiento de los intentos de validación de MFA incorrectos por parte de un usuario.
    • mfaNotificationAttempts: realiza un seguimiento de los intentos de notificación de MFA por parte de un usuario.

    También hay dos nuevos atributos agregados a AuthenticationFactorSettings:

    • maxMfaIncorrectValidationAttempts: número máximo de validación de MFA incorrecta que se puede intentar antes de bloquear una cuenta. Si se define un valor para este atributo, también debe haber un valor definido para maxMfaNotificationAttempts. Si este atributo no está definido, el comportamiento de bloqueo de MFA está determinado por maxIncorrectAttempts. Si mfaIncorrectValidationAttempts alcanza maxMfaIncorrectValidationAttempts, el usuario se bloquea inmediatamente.
    • maxMfaNotificationAttempts: número máximo de notificaciones de MFA que se pueden intentar antes de que se bloquee una cuenta. Si se define un valor para este atributo, también debe haber un valor definido para maxMfaIncorrectValidationAttempts. Si este atributo no está definido, el comportamiento de bloqueo de MFA está determinado por maxIncorrectAttempts. Si mfaNotificationAttempts llega a maxMfaNotificationAttempts, el usuario se bloquea la próxima vez que intente iniciar una notificación, para permitir que el usuario se autentique mediante la última notificación de MFA.

    Actualice AuthenticationFactorSettings para definir tanto maxMfaIncorrectValidationAttempts como maxMfaNotificationAttempts mediante una llamada PATCH en el punto final <IDENTITY_DOMAIN_URL>/admin/v1/AuthenticationFactorSettings/AuthenticationFactorSettings con la siguiente carga útil:

    
{
  "schemas": [
    "urn:ietf:params:scim:api:messages:2.0:PatchOp"
  ],
  "Operations": [
    {
      "op": "add",
      "path": "endpointRestrictions.maxMfaIncorrectValidationAttempts",
      "value": 3
    },
    {
      "op": "add",
      "path": "endpointRestrictions.maxMfaNotificationAttempts",
      "value": 3
    }
  ]
}

    El valor para ambos puede variar de un mínimo de 3 a un máximo de 10.

  13. Para probar la configuración, desconéctese de la consola y, a continuación, conéctese como usuario de prueba.
    Se le solicitará un segundo factor.