Documentación de Oracle Cloud Infrastructure

Dominios de identidad sin la política de conexión "Política de seguridad para la consola de OCI"

Si utiliza autenticación multifactor (MFA) en arrendamientos con dominios de identidad pero sin la política de conexión "Política de seguridad para la consola de OCI", le recomendamos que configure la MFA mediante las siguientes mejores prácticas de Oracle.

Para configurar MFA sin la política de conexión "Política de seguridad para la consola de OCI":

  1. Lea los Prerequisites.
  2. Activar MFA. Consulte el Paso 1: Activar MFA en dominios de identidad.
  3. Cree una política de conexión. Consulte Paso 2: Crear una nueva política de conexión.

Requisitos previos

Antes de comenzar: antes de configurar la MFA, complete los siguientes requisitos previos. Omita los requisitos previos que ya haya completado.

  1. Revise los factores de MFA. Los factores de MFA disponibles dependen del tipo de dominio de identidad que tenga. El tipo de dominio se muestra en la página Dominios del arrendamiento. Consulte Disponibilidad de funciones para tipos de dominio de identidad para obtener más información sobre la MFA y los tipos de dominio.
  2. Revise la documentación sobre el uso de la aplicación Oracle Mobile Authenticator para obtener información sobre cómo utilizar la notificación de aplicación móvil y el código de acceso de aplicación móvil en la aplicación Oracle Mobile Authenticator.
  3. Opcionalmente, y solo durante el período de despliegue, excluya a un administrador de dominio de identidad de la política "Política de seguridad para la consola de OCI", por lo que si comete errores durante el despliegue no se ha bloqueado fuera de la consola.

    Tan pronto como se complete el despliegue, y esté seguro de que todos los usuarios han configurado la MFA y pueden acceder a la consola, puede eliminar esta cuenta de usuario.

  4. Identifique cualquier grupo de Identity Cloud Service asignado a grupos de OCI IAM. (Nota: Solo arrendamientos migrados).
  5. Registre una aplicación cliente con un rol de administrador de dominio de identidad para permitir el acceso al dominio de identidad mediante la API de REST en caso de que la configuración de la política de conexión le bloquee. Si no registra esta aplicación cliente y una configuración de política de conexión restringe el acceso a todos, se bloqueará el acceso a todos los usuarios del dominio de identidad hasta que se ponga en contacto con los Servicios de Soporte Oracle. Para obtener información sobre el registro de una aplicación cliente, consulte Registro de una aplicación cliente.
  6. Cree un código de bypass y almacene ese código en una ubicación segura. Consulte Generación de un código de bypass.
Paso 1: Activar MFA en dominios de identidad

Active los valores de autenticación multifactor (MFA) y las políticas de conformidad que definen los factores de autenticación que desea permitir y, a continuación, configure los factores de MFA.

Nota

Active la MFA para el dominio de identidad por defecto, así como para cualquier dominio de identidad secundario.

  1. Conéctese a un arrendamiento con dominios de identidad con sus credenciales de administrador de dominio de identidad.
  2. Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Dominios. Localice el dominio de identidad Por defecto.
    Nota

    Si no ve el dominio de identidad Por defecto, en Compartimento, seleccione el compartimento raíz en la lista.
  3. Seleccione el dominio de identidad Por defecto, haga clic en Seguridad y, a continuación, en MFA.
  4. En la sección Información, seleccione cada uno de los factores que desee que puedan seleccionar los usuarios.
    Nota

    Los factores de MFA disponibles dependen del tipo de dominio de identidad que tenga. El tipo de dominio se muestra en la página Dominios del arrendamiento. Consulte Disponibilidad de funciones para tipos de dominio de identidad para obtener más información sobre la MFA y los tipos de dominio.

    Nota

    Le recomendamos que utilice estos autenticadores de MFA resistentes a la suplantación de identidad:

    • Código de acceso de aplicación móvil y Notificación de aplicación móvil

      Nota

      Consulte Uso de la aplicación Oracle Mobile Authenticator para obtener más información sobre cómo utilizar la notificación de aplicación móvil y el código de acceso de aplicación móvil en la aplicación Oracle Mobile Authenticator.

    • Fast ID Online (FIDO)

    Para obtener más información sobre los autenticadores de MFA, consulte Configuración de factores de autenticación.

  5. (Necesario) Active siempre Código de bypass para que los administradores puedan generar un código de acceso de un solo uso como segundo factor si los usuarios pierden su autenticador externo, como su aplicación móvil o su clave FIDO.
  6. (Opcional) Defina el Número máximo de factores inscritos que los usuarios pueden configurar.
  7. (Opcional) Utilice la sección Dispositivos de confianza para configurar los valores de dispositivo de confianza.
    Nota

    De forma similar a "recordar mi computadora", los dispositivos de confianza no requieren que el usuario proporcione una autenticación secundaria cada vez que se conecte (durante un período definido).
  8. (Opcional) En la sección Reglas de conexión, defina el Número máximo de intentos de MFA incorrectos que desea permitir que un usuario proporcione incorrectamente antes de que sea bloqueado.
  9. Haga clic en Guardar cambios y, a continuación, confirme el cambio.
  10. (Opcional) Haga clic en Configurar en los factores de MFA que ha seleccionado para configurarlos individualmente.

Qué hacer a continuación: crear una nueva política de conexión. Consulte Paso 2: Crear una nueva política de conexión.

Paso 2: Crear una nueva política de conexión

Cree una nueva política de conexión, agregue una regla para MFA, priorice esa regla para que sea la primera regla que evalúe el dominio de identidad, agregue la aplicación de la consola a la nueva política, active la política y pruebe la política.

  1. Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Dominios. Seleccione el dominio de identidad Por defecto, haga clic en Seguridad y, a continuación, en Políticas de conexión. Se muestran la Política de conexión por defecto y cualquier otra política de conexión que haya definido.
  2. Haga clic en Crear política de conexión.
  3. Introduzca la siguiente información:
    • Nombre: introduzca OCIConsole SignOn Policy.
    • Descripción: introduzca una descripción de la política.
  4. Haga clic en Agregar política.
    Nota

    Después de hacer clic en Agregar política, la política de conexión se guardará en estado desactivado. Debe activar la política para utilizarla.

  5. En la pantalla Add sign-on rules, haga clic en Add sign-on rule para agregar una regla de inicio de sesión a esta política.
  6. Utilice la siguiente tabla para configurar la nueva regla de MFA.
    Nota

    Puede crear más reglas de conexión según las necesite y, a continuación, priorizarlas para especificar qué reglas se procesan primero. La evaluación se detiene en la primera regla de coincidencia. Si no hay ninguna regla de coincidencia, se deniega el acceso.

    Campo Descripción
    Nombre de la Regla

    Introduzca un nombre. Introduzca el nombre de la regla de conexión. Por ejemplo, asígnele el nombre, MFA for OCI Console para activar la MFA para todos los usuarios. O bien, asígnele el nombre MFA for OCI Console Administrators para activar la MFA para los administradores.
    Proveedor de identidad de autenticación (opcional) Introduzca o seleccione todos los proveedores de identidad utilizados para autenticar las cuentas de usuario evaluadas por esta regla. Si deja esto vacío, se utilizan las demás condiciones para la autenticación.
    Miembros de grupo

    Active la MFA para todos los usuarios introduciendo o seleccionando los grupos de los que los usuarios deben ser miembros para cumplir los criterios de esta regla.

    Mejores prácticas. Active la MFA para todos los usuarios mediante la asociación de grupo.

    Si no puede activar la MFA para todos los usuarios en este momento, le recomendamos que active la MFA para los siguientes grupos que otorgan privilegios administrativos a los usuarios en la consola:

    • Todos los grupos a través de los cuales se otorgan permisos de OCI en una política de IAM.
    • El grupo Administradores en el dominio de identidad por defecto.
    • Cualquier grupo de Identity Cloud Service asignado a grupos de OCI IAM. (Nota: Solo arrendamientos migrados).

    Importante: si deja la opción Afiliación a grupo vacía y desmarca Administrador, todos los usuarios se incluyen en esta regla.
    Administrator

    Los usuarios asignados a los roles de administrador en el dominio de identidad se incluyen en esta regla.

    Mejores prácticas. Utilice Afiliación a grupos para activar la MFA para todos los usuarios o, al menos, para todos los administradores. Si no puede activar la MFA para todos los usuarios o administradores en este momento mediante la pertenencia a un grupo, seleccione Administrador para incluir administradores en esta regla.

    Importante: si crea una regla solo para administradores, debe crear una segunda regla sin MFA para que los no administradores se conecten. Si no se crea la segunda regla, se bloquea el acceso a la consola para los no administradores.
    Excluir usuarios

    Mejores prácticas. La mejor práctica es no excluir a ningún usuario. Sin embargo, al configurar MFA, puede excluir temporalmente una cuenta de administrador en caso de que realice cambios que lo bloqueen de la consola de OCI. Una vez finalizada la implementación, y los usuarios tengan MFA configurada para que puedan acceder a la consola de OCI, vuelva a cambiarla para que no se excluya a ningún usuario de la regla.

    Consulte Dominios de identidad sin la política de conexión "Política de seguridad para la consola de OCI" para obtener una lista de requisitos.
    Filtrar por dirección IP del cliente Hay dos opciones asociadas a este campo: Donde y Restringir a los siguientes perímetros de red.

    • Si selecciona Cualquier ubicación, los usuarios podrán conectarse al dominio de identidad mediante cualquier dirección IP.

    • Si selecciona Restringir a los siguientes perímetros de red, aparecerá el cuadro de texto Perímetros de red. En este cuadro de texto, introduzca o seleccione perímetros de red que haya definido. Para obtener más información, consulte Creación de un perímetro de red. Los usuarios solo podrán conectarse al dominio de identidad utilizando las direcciones IP incluidas en los perímetros de red definidos.
    Permitir acceso o Denegar acceso

    Seleccione si se permitirá a un usuario acceder a la consola si la cuenta de usuario cumple los criterios de esta regla. Al seleccionar Permitir acceso, se mostrarán las siguientes opciones adicionales.

    Mejores prácticas. Seleccione Permitir acceso.
    Solicitar una nueva autenticación

    Seleccione esta casilla de control para forzar al usuario a volver a introducir las credenciales para acceder a la aplicación asignada incluso cuando haya una sesión de dominio de identidad existente.

    Si se selecciona, esta opción impide el inicio de sesión único para las aplicaciones asignadas a la política de inicio de sesión. Por ejemplo, un usuario autenticado debe iniciar sesión en una nueva aplicación.

    Si no se selecciona, y el usuario se ha autenticado previamente, puede acceder a la aplicación mediante su sesión de inicio de sesión único existente sin necesidad de introducir credenciales.

    Mejores prácticas. Desactive Petición de datos para reautenticación.
    Solicitar un factor adicional

    Seleccione esta casilla de control para solicitar al usuario un factor adicional para conectarse al dominio de identidad.

    Si selecciona esta casilla de control, debe especificar si el usuario debe inscribirse en la autenticación multifactor (MFA) y con qué frecuencia se debe utilizar este factor adicional para conectarse.

    Seleccione Cualquier factor para solicitar al usuario que se inscriba y verifique cualquier factor activado en la configuración de nivel de inquilino de MFA.

    Seleccione Solo factores especificados para solicitar al usuario que se inscriba y verificar un subjuego de factores activados en la configuración de nivel de inquilino de MFA. Después de seleccionar Solo factores especificados, puede seleccionar los factores que debe aplicar esta regla.

    Mejores prácticas. Seleccione Solo factores especificados y, a continuación, elija cualquier factor excepto Correo electrónico o Llamada telefónica.

    Active siempre Código de bypass.
    Frecuencia

    Mejores prácticas. Seleccione Cada vez.

    • Seleccione Una vez por sesión o dispositivo de confianza de modo que, para cada sesión que el usuario haya abierto desde un dispositivo autorizado, utilice su nombre de usuario y contraseña, y un segundo factor.

    • Seleccione Cada vez para que cada vez que el usuario se conecte desde un dispositivo de confianza, utilicen su nombre de usuario y contraseña, y un segundo factor. Mejores prácticas. Seleccione Cada vez.

    • Seleccione Intervalo personalizado y, a continuación, especifique la frecuencia con la que los usuarios deben proporcionar un segundo factor para conectarse. Por ejemplo, si desea que los usuarios utilicen este factor adicional cada dos semanas, haga clic en Número, introduzca 14 en el campo de texto y, a continuación, haga clic en el menú desplegable Intervalo para seleccionar Días. Si ha configurado la autenticación multifactor (MFA), este número debe ser menor o igual que el número de días que un dispositivo puede ser de confianza según la configuración de MFA. Para obtener más información, consulte Managing Multifactor Authentication.
    Inscripción

    Este menú contiene dos opciones: Necesario y Opcional.

    • Seleccione Necesario para forzar al usuario a inscribirse en MFA.

    • Seleccione Opcional para ofrecer al usuario la opción de omitir la inscripción en MFA. Los usuarios verán el proceso de configuración de inscripción en línea después de introducir su nombre de usuario y contraseña, pero pueden hacer clic en Omitar. Los usuarios pueden activar MFA más adelante en el valor Verificación en 2 pasos en la configuración de Seguridad de Mi perfil. No se solicitará al usuario que configure un factor la siguiente vez que se conecte.

      Nota: Si define Inscripción en Necesario y, posteriormente, cambia a Opcional, el cambio solo afectará a los nuevos usuarios. Los usuarios que ya estén inscritos en MFA no verán el proceso de inscripción en línea y no podrán hacer clic en Saltar al conectarse.
  7. Haga clic en Agregar regla de conexión.
    Nota

    Si crea una regla de MFA solo para administradores, debe crear una segunda regla sin MFA para que los no administradores se conecten. Si no se crea la segunda regla, se bloquea el acceso a la consola para los no administradores.
  8. Agregue la aplicación de la consola a la política OCIConsole SignOn Policy. Importante: para asegurarse de que la política se aplica solo al acceso a la consola y que no se aplica a ninguna otra aplicación, solo agregue la aplicación de la consola.
    1. En la página de detalles de la política de conexión, haga clic en Apps. Aparecerá la lista de aplicaciones ya agregadas a la política.
    2. Haga clic en Agregar aplicación.
    3. En la ventana Agregar aplicación, busque la aplicación Consola y seleccione la casilla de control de la aplicación. A continuación, haga clic en Agregar aplicación.
      Nota

      Si no ve la aplicación Consola, ya está asignada a una política.
    1. Active la política de conexión y la MFA esté activada. Se pedirá a los usuarios que se inscriban en la MFA la próxima vez que se conecten.
      1. En la página Políticas de conexión, haga clic en OCIConsole SignOn Política.
      2. Haga clic en Activar política de conexión.
  10. Desconéctese de los dominios de identidad.
  11. Conéctese a dominios de identidad. Se le solicitará la inscripción de MFA. Complete la inscripción de MFA con Oracle Mobile Authenticator (OMA). Consulte Uso de la aplicación Oracle Mobile Authenticator.