Documentation sur Oracle Cloud Infrastructure

Création d'une politique d'authentification

Ajoutez une politique d'authentification à un domaine d'identité dans le service IAM.

Cette tâche ajoute une politique d'authentification à l'état désactivé. Une fois cette tâche terminée, vous devez activer la politique pour commencer à l'appliquer dans le domaine d'identité.

Vous pouvez définir les critères suivants pour les politiques d'authentification :

  • Les fournisseurs d'identités à utiliser pour authentifier l'utilisateur

  • Les groupes dont l'utilisateur est membre

  • Si l'utilisateur est un administrateur de domaine d'identité

  • Si un utilisateur doit être exclu

  • L'adresse IP dont l'utilisateur se sert pour se connecter au domaine d'identité

  • Si l'utilisateur est forcé de se reconnecter au domaine d'identité (à des fins d'authentification) ou s'il est authentifié la prochaine fois qu'il se connecte au domaine d'identité

  • Si l'utilisateur est invité à entrer un autre facteur pour se connecter au domaine d'identité

  1. Dans la page de liste Politiques d'authentification, sélectionnez Créer une politique d'authentification. Si vous avez besoin d'aide pour trouver la page de liste, voir Liste des politiques d'authentification.
  2. Entrez un nom et une description facultative pour la politique. Évitez d'entrer des informations confidentielles.
  3. Sélectionnez Créer une politique d'authentification.
  4. Dans la page de l'onglet Règles d'authentification, sélectionnez Ajouter une règle d'authentification.
  5. Ajoutez un nom pour la règle d'authentification. Évitez d'entrer des informations confidentielles.
  6. Sous Conditions, fournissez les informations suivantes :
    • Fournisseur d'identités d'authentification (Facultatif) : Entrez ou sélectionnez tous les fournisseurs d'identités utilisés pour authentifier les comptes d'utilisateur évalués par cette règle. Si vous laissez ce champ vide, les autres conditions sont utilisées pour l'authentification.
    • Appartenance à un groupe : Entrez ou sélectionnez Action, puis Ajouter pour ajouter des groupes dont vous êtes membre afin de répondre aux critères de cette règle.
    • Administrateur : Sélectionnez cette option si l'utilisateur doit être affecté à des rôles d'administrateur dans le domaine d'identité pour répondre aux critères de cette règle.

      Garder ma connexion : Sélectionnez cette option pour appliquer la règle uniquement si une session de connexion valide existe pour l'utilisateur.

      Pour utiliser cette condition, vous devez activer Garder ma connexion. Voir Modification des paramètres de session.

      La politique d'authentification remplace la session Me garder connecté. Cela signifie que même si un utilisateur est connecté à l'aide de l'option Me garder connecté, après l'expiration de la session, si la politique nécessite une réauthentification ou une authentification multifacteur, l'utilisateur est invité à s'authentifier de nouveau ou à fournir l'authentification multifacteur.

    • Exclure des utilisateurs : Entrez ou sélectionnez les utilisateurs à exclure de la règle. Vous devez entrer au moins trois caractères pour lancer une recherche d'utilisateurs.
      Important

      Veillez à exclure un administrateur de domaine d'identité de chaque politique, ce qui garantit qu'au moins un administrateur a toujours accès au domaine d'identité en cas de problème.
    • Filtrer par adresse IP de client : Sélectionnez l'une des options suivantes :

      • Partout : Les utilisateurs peuvent se connecter au domaine d'identité à l'aide de toute adresse IP.

      • Limiter aux limites de réseau suivantes : Les utilisateurs peuvent se connecter au domaine d'identité uniquement avec des adresses IP comprises dans des limites de réseau définies. Dans la zone de texte Périmètres de réseau, entrez ou sélectionnez les périmètres de réseau que vous avez définis. Pour plus d'informations, voir Création d'un périmètre de réseau.

  7. Conditions de sécurité adaptatives : Sélectionnez le niveau de risque de l'utilisateur, l'intervalle, le nom du fournisseur de notes de risque, la note de risque et la valeur de risque.
  8. Sous Actions, sélectionnez si un utilisateur est autorisé à accéder à la console si le compte d'utilisateur satisfait aux critères de cette règle.

    Si vous sélectionnez Refuser l'accès, passez à l'étape suivante.

    Si vous sélectionnez Autoriser l'accès, entrez des valeurs pour les options supplémentaires suivantes :

    • Invite de réauthentification : Activez/désactivez le commutateur pour forcer l'utilisateur à entrer de nouveau les données d'identification pour accéder à l'application affectée même s'il existe une session de domaines IAM existante.
      • Si cette option est sélectionnée, elle empêche l'authentification unique pour les applications affectées à la politique d'authentification. Par exemple, un utilisateur authentifié doit se connecter à une nouvelle application.
      • Si cette option n'est pas sélectionnée et que l'utilisateur s'est authentifié précédemment, il peut accéder à l'application à l'aide de sa session d'authentification unique existante sans avoir à entrer de données d'identification
    • Invite pour un facteur supplémentaire : Activez/désactivez le commutateur pour inviter un facteur supplémentaire à se connecter au domaine d'identité.

      Lorsque vous sélectionnez cette option, indiquez s'il faut s'inscrire à l'authentification multifacteur et à quelle fréquence ce facteur supplémentaire doit être utilisé pour la connexion.

    • Tous les facteurs ou Facteurs spécifiés seulement : Sélectionnez l'une des options suivantes :
      • Facteur au choix : Invite l'utilisateur à s'inscrire et à vérifier tout facteur activé dans les paramètres au niveau du locataire pour l'AMM.
      • Facteurs spécifiés : Invite uniquement l'utilisateur à s'inscrire et à vérifier un sous-ensemble de facteurs activés dans les paramètres au niveau du locataire pour l'AMM. Après avoir sélectionné Facteurs spécifiés, sélectionnez les facteurs qui doivent être appliqués au moyen de cette règle.
    • Fréquence : Spécifiez la fréquence à laquelle les utilisateurs sont invités à entrer un deuxième facteur :
      • Une fois par session ou appareil approuvé : Pour chaque session qu'il a ouverte à partir d'un appareil faisant autorité, l'utilisateur doit utiliser son nom d'utilisateur et son mot de passe, et un deuxième facteur.
      • À chaque fois : Chaque fois qu'un utilisateur se connecte à partir d'un appareil approuvé, il doit utiliser son nom d'utilisateur et son mot de passe, et un deuxième facteur.
      • Intervalle personnalisé : Spécifiez la fréquence à laquelle les utilisateurs doivent fournir un deuxième facteur pour se connecter. Par exemple, si vous voulez que les utilisateurs utilisent ce facteur supplémentaire toutes les deux semaines, sélectionnez 14 dans le champ Nombre et sélectionnez Jours dans le champ Intervalle. Si vous avez configuré l'AMF, ce nombre doit être inférieur ou égal au nombre de jours pendant lesquels un appareil peut être approuvé selon les paramètres d'AMF. Pour plus d'informations, voir Gestion de l'authentification multifacteur.
    • Inscription : Sélectionnez l'une des options suivantes :
      Important

      Réglez Inscription à Facultatif jusqu'à ce que vous terminiez de tester la politique d'authentification.
      • Obligatoire oblige l'utilisateur à s'inscrire à l'authentification multifacteur.
      • Sélectionnez Facultatif pour permettre aux utilisateurs d'ignorer l'inscription à l'authentification multifacteur. Les utilisateurs voient le processus de configuration de l'inscription en ligne après avoir entré leur nom d'utilisateur et leur mot de passe, mais ils peuvent sélectionner Ignorer. Les utilisateurs peuvent alors activer l'AMF plus tard à partir du paramètre Vérification en 2 étapes dans les paramètres Sécurité des paramètres de Mon profil. Les utilisateurs ne sont pas invités à configurer un facteur lors de leur prochaine connexion. Si vous réglez l'option Inscription à Obligatoire, puis à Facultatif, la modification ne touchera que les nouveaux utilisateurs. Les utilisateurs déjà inscrits à l'authentification multifacteur ne verront pas le processus d'inscription en ligne et ne pourront pas sélectionner Ignorer lors de la connexion
  9. Sélectionnez Ajouter.
  10. (Facultatif) Dans la page Ajouter des règles d'authentification, sélectionnez de nouveau Ajouter une règle d'authentification pour ajouter une autre règle d'authentification à cette politique.
    Note

    Si vous avez ajouté plusieurs règles d'authentification à cette politique, vous pouvez modifier l'ordre d'évaluation. Sélectionnez Modifier la priorité, puis utilisez les flèches pour modifier l'ordre des règles.
  11. Dans l'onglet Applications, sélectionnez Ajouter une application pour ajouter des applications à cette politique.
  12. Dans le panneau Ajouter une application, sélectionnez les applications à ajouter à la politique, puis sélectionnez Ajouter une application.
    Note

    Vous ne pouvez ajouter une application qu'à une seule politique d'authentification. Si l'application n'est affectée à aucune politique d'authentification de manière explicite, la politique d'authentification par défaut s'applique à l'application.

  13. La politique d'authentification est enregistrée à l'état Désactivée. Lorsque vous avez terminé de créer la politique, vous devez l'activer.