Documentación de Oracle Cloud Infrastructure

Autenticación multifactor de IAM

La autenticación multifactor (MFA) es un método de autenticación que requiere el uso de más de un factor para verificar la identidad de un usuario.

Con la MFA activada, cuando un usuario inicia sesión en una aplicación, se le solicita su nombre de usuario y contraseña, que es el primer factor, algo que sabe. A continuación, el usuario debe proporcionar un segundo tipo de verificación. Los dos factores funcionan juntos para agregar una capa adicional de seguridad mediante el uso de información adicional o un segundo dispositivo para verificar la identidad del usuario y completar el proceso de conexión.

Nota

Si ha configurado la MFA en un proveedor de identidad de 3a parte (IdP), como Microsoft Azure Active Directory (Azure AD) u Okta, no necesita configurar la MFA mediante IAM u Oracle Identity Cloud Service.

Plan de activación de MFA

Para mejorar la seguridad, hemos empezado a incorporar la política de conexión "Política de seguridad para la consola de OCI" en todos los arrendamientos. Tan pronto como un dominio de identidad o un segmento de Identity Cloud Service se haya predefinido con la política, debe activarla para activar la autenticación multifactor (MFA) para usuarios con privilegios administrativos.

Nota

La política "Política de seguridad para la consola de OCI" se aplica a:

  • Arrendamientos con dominios de identidad en IAM, al dominio por defecto y a todos los dominios secundarios. Vamos a activar automáticamente esta política después del 17 de julio de 2023, a menos que cumpla una de las siguientes condiciones.
  • Todos los segmentos de Identity Cloud Service para arrendamientos que utilizan Identity Cloud Service. Vamos a activar automáticamente esta política después del 24 de julio de 2023, a menos que cumpla una de las siguientes condiciones.

Descubra su tipo de arrendamiento

Para averiguar qué tipo de arrendamiento tiene, consulte Determinación del tipo de arrendamiento.

Funcionamiento de la "política de seguridad para la consola de OCI"

La política de conexión "Política de seguridad para la consola de OCI" solo afecta al acceso a la consola de OCI.

Una vez activada la política, todos los usuarios locales deben utilizar MFA para conectarse a la consola. Los usuarios que no se conecten a la consola no se verán afectados por esta política

Cuando no activaremos automáticamente la política

No activaremos automáticamente la política:

  • Si ha modificado la política de conexión por defecto
  • Si ya tiene una política de conexión y la consola de OCI está asignada explícitamente a ella.
  • Si se configura un IDP externo activo (SAML/Social o X.509) en el dominio de IAM. Esto significa que los usuarios federados están excluidos del impacto de esta política.
  • Si suprime la "política de seguridad para la consola de OCI" mediante una API, no la volveremos a crear. Para suprimir la política mediante API de REST, consulte Supresión de una política.

Mejores prácticas para MFA de IAM

Para configurar la MFA de IAM mediante las mejores prácticas:

  1. Descubra qué tipo de arrendamiento tiene. Consulte Determining the Tenancy Type.
  2. Configure las mejores prácticas de MFA para ese tipo de arrendamiento mediante uno de los siguientes juegos de instrucciones.
    1. Dominios de identidad sin la política de conexión "Política de seguridad para la consola de OCI"

      Para los arrendamientos que utilizan dominios de identidad, pero que no se han predefinido con la política de conexión "Política de seguridad para la consola de OCI".

    2. Dominios de identidad con la política de conexión "Política de seguridad para la consola de OCI"

      Para los arrendamientos que utilizan dominios de identidad, pero que se han predefinido con la política de conexión "Política de seguridad para la consola de OCI".

    3. Arrendamientos sin dominios de identidad y sin la política de conexión "Política de seguridad para la consola de OCI"

      Para los arrendamientos que utilizan Identity Cloud Service, pero que no se han predefinido con la política de conexión "Política de seguridad para la consola de OCI".

    4. Arrendamientos sin dominios de identidad y con la política de conexión "Política de seguridad para la consola de OCI"

      Para los arrendamientos que utilizan Identity Cloud Service, pero que se han predefinido con la política de conexión "Política de seguridad para la consola de OCI".

  3. Utilice Cloud Guard para buscar usuarios que no tengan activada la MFA.