Sécurité

Chaque location OCI inclut un compte d'administrateur qui est, par défaut, membre du groupe Administrateurs de la location. Le groupe Administrateurs accorde un accès complet à l'ensemble de la location. Pour cette raison, il est recommandé de ne pas utiliser le compte d'administrateur pour l'administration quotidienne de la location.

La meilleure pratique consiste à réserver le groupe Administrateurs pour les scénarios d'urgence. Les administrateurs individuels peuvent être autorisés à gérer leurs zones respectives sans qu'une seule personne ait un accès complet à l'ensemble de la location.

À mesure que les instances Identity Cloud Service deviennent une partie native d'OCI, les membres du groupe Administrateurs disposent d'un accès complet pour gérer les domaines d'identité IAM. Cela ne signifie pas que les administrateurs actuels d'Identity Cloud Service disposent de privilèges d'administration sur les comptes OCI.

Vérifiez que l'utilisation du groupe Administrateurs est conforme aux politiques de sécurité de votre organisation.

Dans certains cas, un groupe nommé OCI_Administrators est ajouté à l'instance IDCS qui a été fournie lors de la création de la location (généralement appelée IdentityCloudService). Ce groupe est mappé au groupe Administrateurs du domaine d'identité par défaut, auquel aucun utilisateur n'est affecté lors de la création. Si vous voulez que les utilisateurs aient un accès complet à l'ensemble de la location, vous pouvez les ajouter au groupe OCI_Administrators dans IdentityCloudServicedomain.

Tout utilisateur doté du rôle d'administrateur de domaine d'identité dispose de privilèges d'administration pour ce domaine d'identité. Il est recommandé pour l'administrateur du domaine d'identité de créer d'autres administrateurs (par exemple, un administrateur utilisateur) avec le jeu minimal de responsabilités d'administration dont ils ont besoin pour effectuer leurs tâches. Voir Présentation des rôles d'administrateur.

Les rôles d'administrateur portent sur un domaine d'identité spécifique. Par exemple, un administrateur d'utilisateur pour DomainB peut uniquement gérer les utilisateurs dans DomainB et ne peut pas gérer les utilisateurs dans DomainA.

Contrairement aux rôles d'administrateur, les politiques s'appliquent aux compartiments de la location. Par exemple, si un utilisateur du groupe foo dans DomainA reçoit une politique telle que :

allow group DomainA/foo to manage users in tenancy

L'utilisateur dispose ainsi de ces privilèges sur l'ensemble de la location.

Dans les domaines d'identité, les paramètres d'authentification IAM utilisés pour définir des règles de mot de passe font maintenant partie des politiques de mot de passe. Vous pouvez définir plusieurs politiques de mot de passe et les affecter à différents groupes. Voir Gestion des politiques d'authentification.

Si vous avez utilisé des sources de réseau pour spécifier un jeu autorisé d'adresses IP à partir duquel les utilisateurs peuvent effectuer certaines actions, telles que se connecter à la console, avec des domaines d'identité, vous pouvez utiliser des périmètres de réseau pour faire de même. Voir Gestion des périmètres de réseau.

1. Avant la migration de votre service Identity Cloud Service, notez les sources de réseau que vous utilisez, par exemple my-allow-list 140.160.240.0/24.
2. Une fois votre location migrée, créez des périmètres de réseau à l'aide des mêmes adresses IP. Voir Création d'un périmètre de réseau.
3. Créez des politiques qui référencent les nouveaux périmètres de réseau, telles qu'une politique d'authentification ou une politique de fournisseur d'identités.

Si vous avez utilisé la politique d'authentification par défaut pour protéger la console Identity Cloud Service, cette politique continue d'appliquer des règles après la migration.

Après la migration, la console OCI est activée pour votre compte et elle est protégée par une nouvelle politique d'authentification appelée Politique de sécurité pour la console OCI.

Pour plus d'informations sur les politiques d'authentification, voir À propos des politiques d'authentification et des règles d'authentification.