Documentation sur Oracle Cloud Infrastructure

Configuration des paramètres d'authentification multifacteur

Configurer les paramètres d'authentification multifacteur et les politiques de conformité qui définissent les facteurs d'authentification multifacteur requis pour accéder à un domaine d'identité dans IAM, puis configurer les facteurs d'authentification multifacteur.

Note

Les tâches de cette section sont destinées à un administrateur qui doit configurer l'authentification multifacteur pour un domaine d'identité dans IAM. Si vous êtes un utilisateur qui doit configurer une vérification en 2 étapes pour vous-même, voir Configuration de la récupération de compte et de la vérification en 2 étapes.
Avant de commencer :
  • Créer un utilisateur de test dans un domaine d'identité de test. Utilisez ce domaine d'identité pour configurer l'authentification multifacteur pour la première fois. Voir Création d'un domaine d'identité et Création d'un utilisateur.
  • Configurez une application client pour permettre l'accès à un domaine d'identité à l'aide de l'API REST si la configuration de la politique d'authentification vous verrouille. Si vous ne configurez pas cette application client et qu'une configuration de politique d'authentification restreint l'accès à tous, tous les utilisateurs seront verrouillés hors du domaine d'identité jusqu'à ce que vous communiquiez avec Oracle Support. Pour plus d'informations sur la configuration de l'application client, voir Inscription d'une application client.

Pour définir les paramètres d'authentification multifacteur, vous devez être doté du rôle d'administrateur du domaine d'identité ou du rôle d'administrateur de la sécurité.

  1. Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines.
  2. Sélectionnez le nom du domaine d'identité dans lequel vous voulez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité.
  3. Dans la page des détails du domaine, sélectionnez Authentification.
  4. Dans la page Authentification, sélectionnez Activer ou désactiver les facteurs. Un panneau de paramètres s'ouvre.
  5. Dans le panneau des paramètres Activer ou désactiver les facteurs, sélectionnez chacun des facteurs qui doivent être requis pour accéder à un domaine d'identité.
    Pour une explication de chaque facteur, voir Configuration des facteurs d'authentification.
  6. (Facultatif) Définissez le nombre maximal de facteurs sélectionnés que les utilisateurs peuvent configurer.
  7. (Facultatif) Utilisez la section Appareils approuvés pour configurer les paramètres des appareils approuvés.
    Similaires à l'option "Se souvenir de mon ordinateur", les appareils approuvés n'exigent pas d'indiquer une deuxième méthode d'authentification à chaque connexion.
  8. (Facultatif) Sous Règles d'authentification, définissez le nombre maximal d'échecs d'authentification multifacteur que vous souhaitez autoriser un utilisateur à fournir de manière incorrecte la vérification de l'authentification multifacteur avant d'être verrouillé.
  9. Sélectionnez Enregistrer les modifications, puis confirmez la modification.
  10. (Facultatif) Sélectionnez Modifier à côté des facteurs que vous avez sélectionnés pour les configurer individuellement.
    Pour obtenir des instructions sur chaque facteur, voir Configuration des facteurs d'authentification.
  11. Assurez-vous que les politiques d'authentification actives autorisent l'authentification en deux étapes :
    1. Sélectionnez l'onglet Politiques de domaine.
    2. Dans la page Politiques d'authentification, sélectionnez Politique d'authentification par défaut.
    3. Dans la page Politique d'authentification par défaut, sélectionnez règles d'authentification.
    4. Dans la rangée Règle d'authentification par défaut, sélectionnez le menu Actions (trois points) et sélectionnez Modifier la règle d'authentification.
    5. Dans la boîte de dialogue Modifier la règle d'authentification, sous Exclure des utilisateurs, excluez-vous vous-même ou un autre administrateur de domaine d'identité de cette règle jusqu'à ce que le test soit terminé. Cela garantit qu'au moins un administrateur a toujours accès au domaine d'identité en cas de problème.
    6. Sous Actions, sélectionnez Invite pour un facteur supplémentaire et assurez-vous que l'option Autoriser l'accès est sélectionnée.
    7. Sélectionnez Enregistrer les modifications.
    8. Si d'autres politiques d'authentification ont été ajoutées, suivez les étapes précédentes pour chacune d'elles afin de vous assurer que l'AMF est activée dans toutes les conditions où vous voulez qu'elle le soit.
      Note

      Les paramètres de la règle d'authentification par défaut activent l'authentification unique globale. Les paramètres des autres règles d'authentification peuvent remplacer la règle d'authentification par défaut pour les utilisateurs et les groupes définis par des conditions pour ces règles. Voir Gestion des politiques de mot de passe.

      Important

      Vérifiez que vous excluez un administrateur de domaine d'identité de chaque politique. Cela garantit qu'au moins un administrateur a toujours accès au domaine d'identité en cas de problème.

      Réglez Inscription à Facultatif jusqu'à ce que vous ayez terminé de tester la politique d'authentification.

  12. (Facultatif) Activez des seuils de verrouillage distincts pour l'échec de validation de l'authentification multifacteur et les tentatives d'avis de l'authentification multifacteur. Pour ce faire, assurez-vous de savoir comment effectuer des appels d'API REST.
    Note

    Le schéma d'authentification multifacteur de l'utilisateur comporte deux nouveaux attributs :
    • mfaIncorrectValidationAttempts—Suivi des tentatives incorrectes de validation de l'authentification multifacteur par un utilisateur.
    • mfaNotificationAttempts—Suivi des tentatives d'avis d'authentification multifacteur par un utilisateur.

    Deux nouveaux attributs sont également ajoutés à AuthenticationFactorSettings :

    • maxMfaIncorrectValidationAttempts — Nombre maximal de validations incorrectes de l'authentification multifacteur pouvant être tentées avant qu'un compte ne soit verrouillé. Si une valeur est définie pour cet attribut, une valeur doit également être définie pour maxMfaNotificationAttempts. Si cet attribut n'est pas défini, le comportement de verrouillage de l'authentification multifacteur est déterminé par maxIncorrectAttempts. Si mfaIncorrectValidationAttempts atteint maxMfaIncorrectValidationAttempts, l'utilisateur est verrouillé immédiatement.
    • maxMfaNotificationAttempts — Nombre maximal d'avis d'authentification multifacteur pouvant être essayés avant qu'un compte ne soit verrouillé. Si une valeur est définie pour cet attribut, une valeur doit également être définie pour maxMfaIncorrectValidationAttempts. Si cet attribut n'est pas défini, le comportement de verrouillage de l'authentification multifacteur est déterminé par maxIncorrectAttempts. Si mfaNotificationAttempts atteint maxMfaNotificationAttempts, l'utilisateur est verrouillé la prochaine fois qu'il tente de lancer un avis, pour permettre à l'utilisateur de s'authentifier à l'aide du dernier avis d'authentification multifacteur.

    Mettez à jour AuthenticationFactorSettings pour définir à la fois maxMfaIncorrectValidationAttempts et maxMfaNotificationAttempts en effectuant un appel PATCH sur le point d'extrémité <IDENTITY_DOMAIN_URL>/admin/v1/AuthenticationFactorSettings/AuthenticationFactorSettings avec les données utiles suivantes :

    
{
  "schemas": [
    "urn:ietf:params:scim:api:messages:2.0:PatchOp"
  ],
  "Operations": [
    {
      "op": "add",
      "path": "endpointRestrictions.maxMfaIncorrectValidationAttempts",
      "value": 3
    },
    {
      "op": "add",
      "path": "endpointRestrictions.maxMfaNotificationAttempts",
      "value": 3
    }
  ]
}

    La valeur des deux peut varier d'un minimum de 3 à un maximum de 10.

  13. Pour tester la configuration, déconnectez-vous de la console, puis connectez-vous en tant qu'utilisateur de test.
    Vous serez invité à entrer un deuxième facteur.