Documentación de Oracle Cloud Infrastructure

Arrendamientos sin dominios de identidad y con la política de conexión "Política de seguridad para la consola de OCI"

Si utiliza la autenticación multifactor (MFA) en arrendamientos sin dominios de identidad y Oracle Identity Cloud Service como proveedor de identidad federado automáticamente (IdP) en IAM y con la política de conexión "Política de seguridad para la consola de OCI", le recomendamos que configure la MFA con esta política de conexión.

Plan de activación de MFA

Para mejorar la seguridad, hemos empezado a incorporar la política de conexión "Política de seguridad para la consola de OCI" en todos los arrendamientos. Tan pronto como se haya predefinido un segmento de Identity Cloud Service con la política, debe activarlo para activar la autenticación multifactor (MFA) para usuarios con privilegios administrativos.

En el siguiente diagrama de flujo se describe el proceso completo, desde la implementación de políticas, donde Oracle inicia la incorporación de la política, hasta la etapa de aplicación de políticas, durante la cual Oracle activará la política, excepto en circunstancias específicas.

diagrama de flujo que muestra las fases de despliegue de la política de seguridad para la consola de OCI" para segmentos de Identity Cloud Service

  • La política de conexión "Política de seguridad para la consola de OCI" solo afecta al acceso a la consola de OCI. Una vez activada la política, todos los usuarios locales deben utilizar MFA para conectarse.
  • La política se aplica a todos los segmentos de Identity Cloud Service.
Nota

En arrendamientos con segmentos de Identity Cloud Service, activaremos automáticamente esta política después del 24 de julio de 2023.

No activaremos automáticamente la política:

  • Si ha modificado la política de conexión por defecto
  • Si se configura un IDP externo activo (SAML/Social o X.509) en el dominio de IAM. Esto significa que los usuarios federados están excluidos del impacto de esta política.
  • Si ya tiene una política de conexión y la consola de OCI está asignada explícitamente a ella.
  • Si suprime la "política de seguridad para la consola de OCI" mediante una API, no la volveremos a crear. Para suprimir la política mediante API de REST, consulte Supresión de una política.

Para activar la política en un segmento de Identity Cloud Service, consulte Activación de políticas de conexión.

Cuando se haya activado, la política tendrá este aspecto en la página Políticas de conexión de la consola de administración de Identity Cloud Service.

Política de seguridad para la consola de OCI activada en la consola de administración de Identity Cloud Service en la página Políticas de conexión

Para obtener más información sobre la política, consulte Acerca de la política de conexión "Política de seguridad para la consola de OCI".

Reglas de aplicación para la "política de seguridad para la consola de OCI" para segmentos de Identity Cloud Service

Estado de la política de conexión "Consola de OCI de seguridad PolicyFor" Ha modificado la política de conexión por defecto Estado de la política de conexión "Política de seguridad para la consola de OCI" después de forzar la activación
Presente y habilitado No aplicable (no puede tener otra política de conexión activa para la consola de OCI) Sin Cambios
Presente y desactivado Número La política se cambia a Presente y Activado
Presente y desactivado Sin Cambios. No sobrescribiremos su política.
Se ha suprimido No aplicable Sin Cambios

Configuración de la política de conexión "Política de seguridad para la consola de OCI"

Para configurar la política de conexión "Política de seguridad para la consola de OCI":

  1. Lea los requisitos previos.
  2. Lea About the "Security Policy for OCI Console" Sign-On Policy.
  3. De manera opcional y solo durante el período de despliegue, excluya a un administrador de la política. Cuando esté seguro de que sus usuarios han configurado MFA para sus cuentas, vuelva a agregar esa cuenta a la "Política de seguridad para la consola de OCI". Consulte Exclusión temporal de un administrador de la política de conexión "Política de seguridad para la consola de OCI".
    Nota

    Es un riesgo para la seguridad que un usuario pueda conectarse sin MFA, por lo que si decide hacerlo, hágalo durante el menor tiempo posible.
  4. Descubra cómo inscribirse en MFA mediante un código de acceso de aplicación móvil o una notificación de aplicación móvil. Consulte Finalización de la inscripción de MFA.

Requisitos previos

Antes de comenzar: antes de configurar la MFA, complete los siguientes requisitos previos.

  1. Revise los factores de MFA. Los factores de MFA disponibles dependen del tipo de licencia que tenga. El tipo de licencia se muestra en la parte superior derecha de la consola de Identity Cloud Service. Consulte Acerca de los modelos de precios de Oracle Identity Cloud Service para obtener más información sobre la MFA y los tipos de licencia.
  2. Revise la documentación de Uso de la aplicación Oracle Mobile Authenticator como método de autenticación para aprender a utilizar la notificación de aplicación móvil y el código de acceso de aplicación móvil en la aplicación Oracle Mobile Authenticator.
  3. Opcionalmente, y solo durante el período de despliegue, excluya a un administrador de dominio de identidad de la política "Política de seguridad para la consola de OCI", por lo que si comete errores durante el despliegue no se ha bloqueado fuera de la consola.

    Tan pronto como se complete el despliegue, y esté seguro de que todos los usuarios han configurado la MFA y pueden acceder a la consola, puede eliminar esta cuenta de usuario.

  4. Identifique cualquier grupo de Identity Cloud Service asignado a grupos de OCI IAM.
  5. Registre una aplicación cliente con un rol de administrador de dominio de identidad para permitir el acceso al dominio de identidad mediante la API de REST en caso de que la configuración de la política de conexión le bloquee. Si no registra esta aplicación cliente y una configuración de política de conexión restringe el acceso a todos, se bloqueará el acceso a todos los usuarios del dominio de identidad hasta que se ponga en contacto con los Servicios de Soporte Oracle. Para obtener información sobre el registro de una aplicación cliente, consulte Registro de una aplicación cliente en Uso de las API de REST de Oracle Identity Cloud Service con Postman.
  6. Cree un código de bypass y almacene ese código en una ubicación segura. Consulte Generate and Use the Bypass Code.

Acerca de la política de conexión "Política de seguridad para la consola de OCI"

La política de conexión de la política de seguridad para la consola de OCI está activada por defecto y preconfigurada con las mejores prácticas de seguridad de Oracle.

  • Los siguientes factores necesarios para esta política de conexión ya están activados: Código de acceso de aplicación móvil, Notificación de aplicación móvil, Código de bypass y Autenticador Fast ID Online (FIDO).
  • La aplicación de la consola de OCI se ha agregado a la política.
  • La política de conexión incluye dos reglas de conexión activas:

    Reglas de la política de seguridad para la política de conexión de la consola de OCI en la consola de Identity Cloud Service

    • MFA para administradores: la regla está en primer lugar en orden de prioridad. Esta regla preconfigurada requiere que todos los usuarios del grupo Administradores y todos los usuarios con un rol de administrador se inscriban en la MFA y deben proporcionar un factor adicional cada vez que inicien sesión.
    • MFA para todos los usuarios: la regla es la segunda en orden de prioridad. Esta regla preconfigurada requiere que todos los usuarios se inscriban en MFA y que proporcionen un factor adicional cada vez que inicien sesión.

Exclusión temporal de un administrador de la política de conexión "Política de seguridad para la consola de OCI"

Como mejor práctica, no modifique la política de conexión "Política de seguridad para la consola de OCI". Sin embargo, puede que desee hacerlo durante el despliegue. Puede excluir temporalmente una cuenta de administrador en caso de que realice cambios que lo bloqueen de la consola de OCI. Una vez finalizada la implementación, y los usuarios tengan MFA configurada para que puedan acceder a la consola de OCI, vuelva a cambiarla.
  1. Decida qué usuario administrador va a excluir temporalmente de "Política de seguridad para la consola de OCI", cree un nuevo grupo y asígnele al usuario.
  2. Cree una nueva regla que no utilice MFA y asígnele el grupo.
  3. Convierta esa regla en la primera regla de la política "Política de seguridad para la consola de OCI".
Nota

Una vez completado el despliegue, todos los usuarios han configurado MFA y hay menos posibilidades de cometer un error que podría bloquear la consola de OCI, revertir estos pasos y restaurar la política "Política de seguridad para la consola de OCI" a su estado sin modificar.
  1. Cree un nuevo grupo y asígnele el usuario que desea excluir. Consulte Creación de grupos y Asignación de cuentas de usuario al grupo.
  2. Cree una nueva regla y agregue el grupo que acaba de crear.
    1. En la consola de Identity Cloud Service, amplíe el Cajón de navegación, haga clic en Seguridad y, a continuación, haga clic en Políticas de conexión. Debe ver la política Política de seguridad para la consola de OCI.
    2. Haga clic en el separador Reglas de conexión.
    3. Haga clic en Agregar y asigne un nombre a la nueva regla.
    4. Agregue el nuevo grupo a Y es miembro de estos grupos.
    5. Haga clic en Guardar.
      La nueva regla se agrega a la lista de reglas para la política "Política de seguridad para la consola de OCI".
  3. Convierta la nueva regla en la primera de la política "Política de seguridad para la consola de OCI".
    1. En la página de detalles de la política, haga clic en el icono de acción situado a la izquierda de la nueva regla.
    2. Arrastre la nueva regla para que sea la primera regla de la política.
    3. Haga clic en Guardar.
Cuando este usuario se conecta, se aplica la primera regla y no tiene que utilizar MFA para autenticarse.

Tan pronto como esté seguro de que todos los usuarios han configurado MFA y de que no hay posibilidad de bloquearse accidentalmente fuera de la consola de OCI, suprima la nueva regla para que la política "Política de seguridad para la consola de OCI" vuelva a su estado sin modificar.

Para suprimir la regla:

  1. En la página Políticas de conexión, haga clic en Política de seguridad para la consola de OCI.
  2. Haga clic en la casilla de control de la nueva regla y haga clic en Eliminar.

Ahora, todos los usuarios deben utilizar MFA para conectarse a la consola de OCI.

Finalización de la inscripción de MFA

Después de activar la política de conexión "Política de seguridad para la consola de OCI", se pedirá a cualquier usuario que se conecte a la consola de OCI que complete la inscripción de MFA mediante Oracle Mobile Authenticator (OMA).

Usted y cualquier otro usuario que se conecte a la consola de OCI verán una pantalla similar a este ejemplo.

Haga clic en Activar Verificación Segura y siga las instrucciones de Uso de la Aplicación Oracle Mobile Authenticator.

Captura de pantalla que muestra la pantalla de inscripción de MFA.