Documentación de Oracle Cloud Infrastructure

Aplicación de autenticación multifactor (MFA)

Para reforzar la protección de la cuenta, reducir el riesgo relacionado con las credenciales y ayudar a cumplir los requisitos de conformidad, Oracle comenzará a aplicar la autenticación multifactor (MFA) para los entornos de Fusion Applications.

Cuando se aplica la MFA, los usuarios de Fusion Applications tendrán a su disposición los siguientes factores como métodos de autenticación adicionales:

  • Correo electrónico
  • SMS
  • Código de acceso de Oracle Mobile Authenticator
  • Notificación de Oracle Mobile Authenticator
  • Autenticador de clave de Paso Fast ID Online (FIDO)
  • Código de bypass

La lista anterior es un subjuego de los factores de autenticación que ofrece Oracle IAM. Para obtener más información, consulte Managing Multifactor Authentication y Configuring Authentication Factors.

Importante

La MFA es un control de seguridad obligatorio tanto para entornos de producción como de no producción y no se puede desactivar después de que Oracle lo aplique. Puede solicitar una exención temporal, pero las exenciones son raras, tienen un límite temporal, requieren la aprobación del liderazgo del producto de Oracle y no están disponibles como exclusión general para todos los entornos.

¿Quién se ve afectado?

Esta aplicación de MFA afecta a los entornos existentes de Fusion Applications que se han actualizado para utilizar nuevos dominios de identidad y que se encuentran en la versión 26A o posterior. Una vez que se cumplan estas dos condiciones, Oracle le notificará cuándo se aplicará la aplicación de la MFA. Normalmente, la aplicación se realizará con la próxima actualización trimestral, pero podría ser posterior.

(Los entornos de Fusion Applications que se aprovisionaron recientemente en nuevas familias de entornos de Fusion Applications después de la versión 25D ya se aplican por defecto la MFA).

Nota

Esta aplicación de MFA de Oracle no afecta a los usuarios que se conectan a sus entornos de Fusion Applications mediante Single Sign-On (SSO).

¿Cuándo ocurre esto?

Oracle comenzará a aplicar la MFA desde la versión 26B para los entornos elegibles y enviará una notificación inicial sobre la próxima aplicación de la MFA aproximadamente con tres meses de antelación. Los entornos elegibles son entornos que se han actualizado para utilizar dominios de identidad y se encuentran en la versión 26A o posterior.

Durante el período de notificación de tres meses, puede aplicar la MFA usted mismo. Puede que desee hacerlo usted mismo para validar la experiencia del usuario y los procesos de soporte.

Después de la notificación inicial sobre la próxima aplicación de MFA, también recibirá estas notificaciones:

  • Recibirás notificaciones 30 días y luego 7 días antes de la próxima actualización trimestral.
  • El día de la actualización trimestral, se le notificará una vez que la actualización trimestral, incluida la aplicación de la MFA, haya comenzado.
  • Una vez finalizado el mantenimiento, se enviará una notificación de finalización.

Si aplica la MFA usted mismo durante el período de notificación de tres meses, seguirá recibiendo notificaciones de Oracle sobre la aplicación de la MFA, pero sus entornos no se verán afectados.

A continuación, se muestra una visión general de la línea de tiempo de aplicación:

Versión 25D

La MFA se aplica por defecto para todas las familias de entornos recién aprovisionadas.

Versión 26A

Por defecto, los siguientes seis factores están disponibles para los usuarios como métodos de autenticación adicionales:

  • Correo electrónico
  • SMS
  • Código de acceso de Oracle Mobile Authenticator
  • Notificación de Oracle Mobile Authenticator
  • Autenticador de clave de Paso Fast ID Online (FIDO)
  • Código de bypass

Puede seleccionar los factores de autenticación que funcionan para su negocio en la consola de seguridad. Para obtener más información, consulte Determine the Authentication Factors Available to Users.

Versión 26B

A partir de la versión 26B o posterior, se notificará a los clientes elegibles con 90 días de antelación de que comenzará la aplicación de la MFA de Oracle.

Nota

Dado que los entornos que no son de producción se actualizan dos semanas antes de los entornos de producción, habrá una diferencia de dos semanas entre los entornos que no son de producción y de producción en términos de aplicación de MFA.

Tiempo de inactividad y restricciones

La aplicación de MFA se incluirá en la misma ventana de tiempo de inactividad de actualización trimestral. No es necesario un tiempo de inactividad independiente.

¿Qué debe hacer?

  1. Informe a sus usuarios sobre lo que sucederá después de que la MFA entre en vigor:

    • Se pedirá a los usuarios que realicen un proceso de inscripción de MFA única durante el inicio de sesión.
    • Después de la inscripción, los usuarios deberán completar el proceso de autenticación multifactor cada vez que se conecten a su entorno de Fusion Applications.
    Nota

    Esta aplicación de MFA de Oracle no afecta a los usuarios que se conectan a sus entornos de Fusion Applications mediante Single Sign-On (SSO).

  2. Para las cuentas de usuario creadas para la automatización en entornos que no son de producción solo, puede configurarlas opcionalmente para omitir la aplicación de MFA.

    Para obtener más información, consulte ¿Cómo puede la MFA no aplicarse a los usuarios de automatización?

  3. Cuando se aplica la MFA, los siguientes factores estarán disponibles para los usuarios como métodos de autenticación adicionales:

    • Correo electrónico
    • SMS
    • Código de acceso de Oracle Mobile Authenticator
    • Notificación de Oracle Mobile Authenticator
    • Autenticador de clave de Paso Fast ID Online (FIDO)
    • Código de bypass

    Puede seleccionar los factores de autenticación que funcionan para su negocio en la consola de seguridad. Para obtener más información, consulte Determine the Authentication Factors Available to Users.

  4. Si aplica la MFA usted mismo durante el período de notificación de tres meses, seguirá recibiendo notificaciones de Oracle sobre la aplicación de la MFA, pero puede ignorarlas. Sus entornos no se verán afectados.

¿Qué sucede después de que se aplica la MFA?

Esto es lo que sucede después de que se aplica la MFA:

  • Impacto para los usuarios:

    • Las cuentas de usuario no federadas (locales) en el entorno de Fusion Applications deben pasar por la inscripción de MFA.
    • Los usuarios autenticados por su proveedor de identidad corporativa (IdP) con MFA seguirán la experiencia de MFA de su IdP.

      En este caso, la MFA de Oracle no se aplica a los usuarios federados cuando se conectan a sus entornos de Fusion Applications mediante Single Sign-On (SSO).

  • Refrescamientos de entorno:

    • Se conservan los valores de aplicación y configuración de MFA en el entorno de destino.
    • Se permiten refrescamientos de entorno entre entornos con diferentes posturas de MFA. El destino de entorno mantiene su postura existente (no se sobrescribirá).

  • Entornos de desarrollo/pruebas adicionales (ATE) aprovisionados recientemente:

    • Los entornos que no son de producción se actualizan dos semanas antes de los entornos de producción. Esto significa que habrá una brecha de dos semanas entre los entornos de producción y no producción en términos de cumplimiento de MFA.

      Durante este tiempo, los ATE recién aprovisionados en una familia de entornos existente se aplicarán a la MFA.

Nota

Si ya aplica la MFA para sus entornos de Fusion Applications, la aplicación de la MFA programada no hará nada y no tendrá ningún impacto en sus entornos.

Visualización del programa de aplicación de MFA

Cuando se programa la aplicación de MFA para sus entornos, puede encontrar los siguientes detalles en la consola de Oracle Cloud:

  • El elemento de mantenimiento de actualización trimestral muestra la aplicación de MFA en sus detalles.
  • Las páginas de entorno mostrarán un banner que indica la próxima aplicación de MFA, a partir de 30 días antes de la aplicación de MFA programada.

    El banner se eliminará una vez que finalice la actualización trimestral.

  • Si Oracle realiza una aplicación independiente, aparece como una entrada de mantenimiento de excepciones.

    (No se requiere tiempo de inactividad adicional si la aplicación de MFA se realiza de forma independiente).

Soporte

Si tiene alguna pregunta, póngase en contacto con los Servicios de Soporte Oracle abriendo una solicitud de soporte (SR). Seleccione estas opciones para describir el problema:

  • Gravedad: problemas técnicos
  • Grupo de servicios: Oracle Cloud Applications
  • Servicio: cualquier producto de Fusion
  • Categoría de servicio: Servicios de consola SaaS (interrupción, aprovisionamiento, P2T/T2T, cambio de tamaño, gestión del entorno y usuarios)
  • Subcategoría: Autenticación multifactora

Preguntas frecuentes

¿La aplicación de MFA requiere tiempo de inactividad?

No, la aplicación de MFA no requiere tiempo de inactividad. La aplicación se aplica durante la ventana de actualización trimestral estándar.

¿Se aplicará la autenticación multifactor tanto en entornos de producción como de no producción? ¿Cómo ocurre esto?

Sí, la MFA se aplicará tanto en entornos de producción como de no producción.

Los entornos que no son de producción se actualizan dos semanas antes de los entornos de producción. Esto significa que habrá una brecha de dos semanas entre los entornos de producción y no producción en términos de cumplimiento de MFA.

Ya utilizamos SSO federado con nuestra propia MFA. ¿Los usuarios verán la MFA de Oracle?

No, los usuarios federados siguen la MFA de su proveedor de identidad. La MFA de Oracle solo se aplica a usuarios locales (no federados).

Sin embargo, tenga en cuenta que Oracle programará la aplicación de MFA, pero no afectará a los usuarios. Seguirán conectándose a sus entornos de Fusion Applications mediante Single Sign-On (SSO).

¿Podemos activar la MFA antes de la ventana de mantenimiento?

Sí, puede autoaplicarse con anticipación en la consola de seguridad a partir de la versión 26A. Puede que desee hacerlo para validar la experiencia del usuario y los procesos de soporte.

¿Qué factores están soportados?

Cuando se aplique la MFA, los siguientes factores estarán disponibles para los usuarios:

  • Correo electrónico
  • SMS
  • Código de acceso de Oracle Mobile Authenticator
  • Notificación de Oracle Mobile Authenticator
  • Autenticador de clave de Paso Fast ID Online (FIDO)
  • Código de bypass
¿Podemos seleccionar qué factores de MFA están permitidos?

Sí. A partir de la versión 26A y posteriores, puede activar o desactivar los factores admitidos en la consola de seguridad y aplicar el ámbito por categoría de usuario.

Consulte Determine the Authentication Factors Available to Users.

¿Qué pasa con las cuentas de automatización o integración?

Puede excluir a los usuarios de automatización recién creados de la aplicación de MFA en entornos que no sean de producción. Consulte Cómo no aplicar la MFA a los usuarios de automatización

Para otros escenarios, póngase en contacto con los Servicios de Soporte Oracle para analizar las opciones y los patrones recomendados.

¿La configuración de MFA sobrevive a un refrescamiento del entorno?

Sí, los valores de aplicación y configuración de MFA se conservan en el entorno de destino durante el refrescamiento.

¿Cómo podemos confirmar que se ha aplicado la MFA?

Recibirá notificaciones de actualización trimestrales.

Además, la consola de Cloud muestra los detalles de mantenimiento, que incluyen la aplicación de MFA, y la consola de seguridad muestra el estado de la política de MFA.

¿Podemos excluirnos?

No, la exclusión de autoservicio del cliente no está disponible.

Las exenciones temporales requieren una solicitud de soporte (SR) y la aprobación de los líderes de Oracle. Las exenciones de exclusión abiertas para todos los entornos no están disponibles.