Dominios de identidad con la política de conexión "Política de seguridad para la consola de OCI"

Si utiliza autenticación multifactor (MFA) en arrendamientos con dominios de identidad con la política de conexión "Política de seguridad para la consola de OCI", le recomendamos que configure la MFA con esta política de conexión.

Plan de activación de MFA

Para mejorar la seguridad, hemos empezado a incorporar la política de conexión "Política de seguridad para la consola de OCI" en todos los arrendamientos. Tan pronto como se haya predefinido un dominio de identidad con la política, debe activarlo para activar la autenticación multifactor (MFA) para los usuarios con privilegios administrativos.

En el siguiente diagrama de flujo se describe el proceso completo, desde la implementación de políticas, donde Oracle inicia la incorporación de la política, hasta la etapa de aplicación de políticas, durante la cual Oracle activará la política, excepto en circunstancias específicas.

diagrama de flujo que muestra las fases de despliegue de la "política de seguridad para la consola de OCI" para dominios de identidad en IAM

  • La política de conexión "Política de seguridad para la consola de OCI" solo afecta al acceso a la consola de OCI. Una vez activada la política, todos los usuarios locales deben utilizar MFA para conectarse a la consola.
  • La política se aplica al dominio predeterminado y a todos los dominios secundarios.
Nota

Comenzaremos a activar automáticamente esta política en dominios de identidad después del 17 de julio de 2023.

No activaremos automáticamente la política:

  • Si ha modificado la política de conexión por defecto
  • Si ya tiene una política de conexión y la consola de OCI está asignada explícitamente a ella.
  • Si se configura un IDP externo activo (SAML/Social o X.509) en el dominio de IAM. Esto significa que los usuarios federados están excluidos del impacto de esta política.
  • Si suprime la "política de seguridad para la consola de OCI" mediante una API, no la volveremos a crear. Para suprimir la política mediante API de REST, consulte Supresión de una política.

Para activar la política en un dominio de identidad, consulte Activación de una política de conexión.

Cuando se haya activado, se verá así en la página Políticas de conexión de la consola.

Política de seguridad para la consola de OCI activada en la página Políticas de conexión

Para obtener más información sobre la política, consulte Acerca de la política de conexión "Política de seguridad para la consola de OCI".

Reglas de aplicación para la "política de seguridad para la consola de OCI" para dominios de identidad en IAM

Estado de la política de conexión "Política de seguridad para la consola de OCI" Ha modificado la política de conexión por defecto Estado de la política de conexión "Política de seguridad para la consola de OCI" después de forzar la activación
Presente y habilitado No se aplica (no puede tener otra política de conexión activa para la consola de OCI) Sin Cambios
Presente y desactivado Número La política se cambia a Presente y Activado
Presente y desactivado Sin Cambios. No sobrescribiremos su política.
Se ha suprimido No aplicable Sin Cambios

Configuración de la política de conexión "Política de seguridad para la consola de OCI"

Para configurar la política de conexión "Política de seguridad para la consola de OCI":

  1. Lea los requisitos previos.
  2. Lea About the "Security Policy for OCI Console" Sign-On Policy.
  3. De manera opcional y solo durante el período de despliegue, excluya a un administrador de la política. Cuando esté seguro de que sus usuarios han configurado MFA para sus cuentas, vuelva a agregar esa cuenta a la "Política de seguridad para la consola de OCI". Consulte Exclusión temporal de un administrador de la política de conexión "Política de seguridad para la consola de OCI".
    Nota

    Es un riesgo para la seguridad que un usuario pueda conectarse sin MFA, por lo que si decide hacerlo, hágalo durante el menor tiempo posible.
  4. Descubra cómo inscribirse en MFA mediante un código de acceso de aplicación móvil o una notificación de aplicación móvil. Consulte Finalización de la inscripción de MFA.

Requisitos previos

Antes de comenzar: antes de configurar la MFA, complete los siguientes requisitos previos. Omita los requisitos previos que ya haya completado.

  1. Revise los factores de MFA. Los factores de MFA disponibles dependen del tipo de dominio de identidad que tenga. El tipo de dominio se muestra en la página Dominios del arrendamiento. Consulte Disponibilidad de funciones para tipos de dominio de identidad para obtener más información sobre la MFA y los tipos de dominio.
  2. Revise la documentación sobre el uso de la aplicación Oracle Mobile Authenticator para obtener información sobre cómo utilizar la notificación de aplicación móvil y el código de acceso de aplicación móvil en la aplicación Oracle Mobile Authenticator.
  3. Opcionalmente, y solo durante el período de despliegue, excluya a un administrador de dominio de identidad de la política "Política de seguridad para la consola de OCI", por lo que si comete errores durante el despliegue no se ha bloqueado fuera de la consola.

    Tan pronto como se complete el despliegue, y esté seguro de que todos los usuarios han configurado la MFA y pueden acceder a la consola, puede eliminar esta cuenta de usuario.

  4. Identifique cualquier grupo de Identity Cloud Service asignado a grupos de OCI IAM. (Nota: Solo arrendamientos migrados).
  5. Registre una aplicación cliente con un rol de administrador de dominio de identidad para permitir el acceso al dominio de identidad mediante la API de REST en caso de que la configuración de la política de conexión le bloquee. Si no registra esta aplicación cliente y una configuración de política de conexión restringe el acceso a todos, se bloqueará el acceso a todos los usuarios del dominio de identidad hasta que se ponga en contacto con los Servicios de Soporte Oracle. Para obtener información sobre el registro de una aplicación cliente, consulte Registro de una aplicación cliente.
  6. Cree un código de bypass y almacene ese código en una ubicación segura. Consulte Generación de un código de bypass.

Acerca de la política de conexión "Política de seguridad para la consola de OCI"

La política de conexión de la política de seguridad para la consola de OCI está activada por defecto y preconfigurada con las mejores prácticas de seguridad de Oracle.

Si modifica las reglas de esta política, ya no seguirá las mejores prácticas de seguridad de Oracle.

  • Los siguientes factores necesarios para esta política de conexión ya están activados: Código de acceso de aplicación móvil, Notificación de aplicación móvil, Código de bypass y Autenticador Fast ID Online (FIDO).
  • La aplicación de la consola se ha agregado a la política.
  • La política de conexión incluye dos reglas de conexión activas:

    Reglas de la política de seguridad para la política de conexión de la consola de OCI

    • MFA para administradores: la regla está en primer lugar en orden de prioridad. Esta regla preconfigurada requiere que todos los usuarios del grupo Administradores y todos los usuarios con un rol de administrador se inscriban en MFA y deben proporcionar un factor adicional cada vez que se conecten a la consola de OCI.
    • MFA para todos los usuarios: la regla es la segunda en orden de prioridad. Esta regla preconfigurada requiere que todos los usuarios se inscriban en la MFA y que proporcionen un factor adicional cada vez que se conecten a la consola.

Exclusión temporal de un administrador de la política de conexión "Política de seguridad para la consola de OCI"

Como mejor práctica, no modifique la política de conexión "Política de seguridad para la consola de OCI". Sin embargo, puede que desee hacerlo durante el despliegue. Puede excluir temporalmente una cuenta de administrador en caso de que realice cambios que lo bloqueen de la consola de OCI. Una vez finalizada la implementación, y los usuarios tengan MFA configurada para que puedan acceder a la consola de OCI, vuelva a cambiarla.
  1. Decida qué usuario administrador va a excluir temporalmente de "Política de seguridad para la consola de OCI", cree un nuevo grupo y asígnele al usuario.
  2. Cree una nueva regla que no utilice MFA y asígnele el grupo.
  3. Convierta esa regla en la primera regla de la política "Política de seguridad para la consola de OCI".
Nota

Una vez completado el despliegue, todos los usuarios han configurado MFA y hay menos posibilidades de cometer un error que podría bloquear la consola de OCI, revertir estos pasos y restaurar la política "Política de seguridad para la consola de OCI" a su estado sin modificar.
  1. Cree un nuevo grupo y asígnele el usuario que desea excluir. Consulte Creación de Grupos y Adición de Usuarios a Grupos.
  2. Cree una nueva regla de conexión.
    1. Abra el menú de navegación y seleccione Identidad y seguridad. En Identidad, seleccione Dominios.

    2. Seleccione el nombre del dominio de identidad en el que desea trabajar. Puede que necesite cambiar el compartimento para buscar el dominio que desee.
    3. En la lista de políticas de conexión, haga clic en Política de seguridad para la consola de OCI.
    4. Haga clic en Agregar regla de conexión.
    5. Asigne un nombre a la regla.
    6. En Membresía de grupo, seleccione el nuevo grupo que acaba de crear.
    7. Haga clic en Agregar regla de conexión.
      La nueva regla se agrega a la lista de reglas para la política "Política de seguridad para la consola de OCI".
  3. Convierta la nueva regla en la primera de la política "Política de seguridad para la consola de OCI".
    1. En la página de detalles de la política, haga clic en Editar prioridad.
    2. Utilice las flechas para cambiar la prioridad de las reglas de conexión.
    3. Haga clic en Guardar cambios.
Cuando este usuario se conecta, se aplica la primera regla y no tiene que utilizar MFA para autenticarse.

Tan pronto como esté seguro de que todos los usuarios han configurado MFA y de que no hay posibilidad de bloquearse accidentalmente fuera de la consola de OCI, suprima la nueva regla para que la política "Política de seguridad para la consola de OCI" vuelva a su estado sin modificar.

Para suprimir la regla:

  1. En la página Políticas de conexión, haga clic en Política de seguridad para la consola de OCI.
  2. Haga clic en la casilla de control de la nueva regla y haga clic en Eliminar regla de conexión.

Ahora, todos los usuarios deben utilizar MFA para conectarse a la consola de OCI.

Finalización de la inscripción de MFA

Después de activar la política de conexión "Política de seguridad para la consola de OCI", se pedirá a cualquier usuario que se conecte a la consola de OCI que complete la inscripción de MFA mediante Oracle Mobile Authenticator (OMA).

Usted y cualquier otro usuario que se conecte a la consola de OCI verán una pantalla similar a este ejemplo.

Haga clic en Activar Verificación Segura y siga las instrucciones de Uso de la Aplicación Oracle Mobile Authenticator.

Captura de pantalla que muestra la pantalla de inscripción de MFA.