Documentation sur Oracle Cloud Infrastructure

Configuration des paramètres d'authentification multifacteur

Configurez les paramètres d'authentification multifacteur (AMF) et les politiques de conformité définissant les facteurs d'AMF requis pour accéder à un domaine d'identité dans IAM, puis configurez les facteurs d'AMF.

Note

Les tâches de cette section sont destinées à un administrateur qui doit configurer l'authentification multifacteur pour un domaine d'identité dans IAM. Si vous êtes un utilisateur qui doit configurer une vérification en 2 étapes pour vous-même, voir Configuration de la récupération de compte et de la vérification en 2 étapes.
Avant de commencer :
  • Créer un utilisateur de test dans un domaine d'identité de test. Utilisez ce domaine d'identité pour configurer l'authentification multifacteur pour la première fois. Voir Création d'un domaine d'identité et Création d'un utilisateur.
  • Configurez une application client pour permettre l'accès à un domaine d'identité à l'aide de l'API REST si la configuration de la politique d'authentification vous verrouille. Si vous ne configurez pas cette application client et qu'une configuration de politique d'authentification restreint l'accès à tous, tous les utilisateurs seront verrouillés hors du domaine d'identité jusqu'à ce que vous communiquiez avec Oracle Support. Pour plus d'informations sur la configuration de l'application client, voir Inscription d'une application client.

Pour définir les paramètres d'authentification multifacteur, vous devez être doté du rôle d'administrateur du domaine d'identité ou du rôle d'administrateur de la sécurité.

  1. Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines.
  2. Sélectionnez le nom du domaine d'identité dans lequel vous voulez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité.
  3. Dans la page des détails du domaine, sélectionnez Authentification.
  4. Dans la page Authentification, sélectionnez Activer ou désactiver les facteurs. Un panneau de paramètres s'ouvre.
  5. Dans le panneau des paramètres Activer ou désactiver les facteurs, sélectionnez chacun des facteurs qui doivent être requis pour accéder à un domaine d'identité.
    Pour une explication de chaque facteur, voir Configuration des facteurs d'authentification.
  6. (Facultatif) Définissez le nombre maximal de facteurs sélectionnés que les utilisateurs peuvent configurer.
  7. (Facultatif) Utilisez la section Appareils approuvés pour configurer les paramètres des appareils approuvés.
    Similaires à l'option "Se souvenir de mon ordinateur", les appareils approuvés n'ont pas besoin de fournir une authentification secondaire à chaque connexion.
  8. (Facultatif) Sous Règles d'ouverture de session, définissez le nombre maximal d'échecs d'AMF que vous voulez permettre à un utilisateur d'assurer une vérification incorrecte de l'AMF avant qu'il ne soit verrouillé.
  9. Sélectionnez Enregistrer les modifications, puis confirmez la modification.
  10. (Facultatif) Sélectionnez Modifier à côté des facteurs que vous avez sélectionnés pour les configurer individuellement.
    Pour obtenir des instructions sur chaque facteur, voir Configuration des facteurs d'authentification.
  11. Assurez-vous que les politiques d'authentification actives autorisent l'authentification en deux étapes :
    1. Sélectionnez l'onglet Politiques de domaine.
    2. Dans la page Politiques d'authentification, sélectionnez Politique d'authentification par défaut.
    3. Dans la page Politique d'authentification par défaut, sélectionnez règles d'authentification.
    4. Dans la rangée Règle d'authentification par défaut, sélectionnez le menu Actions (trois points) et sélectionnez Modifier la règle d'authentification.
    5. Dans la boîte de dialogue Modifier la règle d'authentification, sous Exclure des utilisateurs, excluez-vous vous-même ou un autre administrateur de domaine d'identité de cette règle jusqu'à ce que le test soit terminé. Cela garantit qu'au moins un administrateur a toujours accès au domaine d'identité en cas de problème.
    6. Sous Actions, sélectionnez Invite pour un facteur supplémentaire et assurez-vous que l'option Autoriser l'accès est sélectionnée.
    7. Sélectionnez enregistrer les modifications.
    8. Si d'autres politiques d'authentification ont été ajoutées, suivez les étapes précédentes pour chacune d'elles afin de vous assurer que l'AMM est activée dans toutes les conditions où vous voulez qu'elle le soit.
      Note

      Les paramètres de la règle d'authentification par défaut activent l'authentification unique globale. Les paramètres des autres règles d'authentification peuvent remplacer la règle d'authentification par défaut pour les utilisateurs et les groupes définis par des conditions pour ces règles. Voir Gestion des politiques de mot de passe.

      Important

      Assurez-vous d'exclure un administrateur de domaine d'identité de chaque politique. Cela garantit qu'au moins un administrateur a toujours accès au domaine d'identité en cas de problème.

      Réglez Inscription à Facultatif jusqu'à ce que vous terminiez de tester la politique d'authentification.

  12. (Facultatif) Activez des seuils de verrouillage distincts pour les échecs de validation de l'authentification multifacteur et les tentatives d'avis d'authentification multifacteur. Pour ce faire, assurez-vous de savoir comment effectuer des appels d'API REST.
    Note

    Le schéma d'authentification multifacteur comporte deux nouveaux attributs :
    • mfaIncorrectValidationAttempts - Suit les tentatives de validation d'authentification multifacteur incorrectes par un utilisateur.
    • mfaNotificationAttempts - Suit les tentatives d'avis d'authentification multifacteur par un utilisateur.

    Deux nouveaux attributs sont également ajoutés à AuthenticationFactorSettings :

    • maxMfaIncorrectValidationAttempts - Nombre maximal de validations d'authentification multifacteur incorrectes pouvant être tentées avant le verrouillage d'un compte. Si une valeur est définie pour cet attribut, une valeur doit également être définie pour maxMfaNotificationAttempts. Si cet attribut n'est pas défini, le comportement de verrouillage de l'authentification multifacteur est déterminé par maxIncorrectAttempts. Si mfaIncorrectValidationAttempts atteint maxMfaIncorrectValidationAttempts, l'utilisateur est verrouillé immédiatement.
    • maxMfaNotificationAttempts - Nombre maximal d'avis d'authentification multifacteur pouvant être essayés avant le verrouillage d'un compte. Si une valeur est définie pour cet attribut, une valeur doit également être définie pour maxMfaIncorrectValidationAttempts. Si cet attribut n'est pas défini, le comportement de verrouillage de l'authentification multifacteur est déterminé par maxIncorrectAttempts. Si mfaNotificationAttempts atteint maxMfaNotificationAttempts, l'utilisateur est verrouillé la prochaine fois qu'il tente de lancer un avis, pour permettre à l'utilisateur de s'authentifier à l'aide du dernier avis d'authentification multifacteur.

    Mettez à jour AuthenticationFactorSettings pour définir maxMfaIncorrectValidationAttempts et maxMfaNotificationAttempts en effectuant un appel PATCH sur le point d'extrémité <IDENTITY_DOMAIN_URL>/admin/v1/AuthenticationFactorSettings/AuthenticationFactorSettings avec les données utiles suivantes :

    
{
  "schemas": [
    "urn:ietf:params:scim:api:messages:2.0:PatchOp"
  ],
  "Operations": [
    {
      "op": "add",
      "path": "endpointRestrictions.maxMfaIncorrectValidationAttempts",
      "value": 3
    },
    {
      "op": "add",
      "path": "endpointRestrictions.maxMfaNotificationAttempts",
      "value": 3
    }
  ]
}

    La valeur des deux peut varier d'un minimum de 3 à un maximum de 10.

  13. Pour tester la configuration, déconnectez-vous de la console, puis connectez-vous en tant qu'utilisateur de test.
    Vous serez invité à entrer un deuxième facteur.