Documentation sur Oracle Cloud Infrastructure

Création d'une politique d'authentification

Ajoutez une politique d'authentification à un domaine d'identité dans IAM.

Cette tâche ajoute une politique d'authentification à l'état désactivé. Une fois cette tâche terminée, vous devez activer la politique pour commencer à l'appliquer dans le domaine d'identité.

Vous pouvez définir les critères suivants pour les politiques d'authentification :

  • Les fournisseurs d'identités à utiliser pour authentifier l'utilisateur

  • Les groupes dont l'utilisateur est membre

  • Si l'utilisateur est un administrateur de domaine d'identité

  • Si un utilisateur doit être exclu

  • L'adresse IP dont l'utilisateur se sert pour se connecter au domaine d'identité

  • Si l'utilisateur est forcé de se connecter à nouveau au domaine d'identité (à des fins d'authentification) ou s'il est authentifié lors de sa prochaine connexion au domaine d'identité

  • Si l'utilisateur est invité à entrer un autre facteur pour se connecter au domaine d'identité

  1. Dans la page de liste Politiques d'authentification, sélectionnez Créer une politique d'authentification. Si vous avez besoin d'aide pour trouver la page de liste, voir Liste des politiques d'authentification.
  2. Entrez le nom de la politique et une description facultative. Évitez d'entrer des informations confidentielles.
  3. Sélectionnez Créer une politique d'authentification.
  4. Dans la page de l'onglet Règles d'authentification, sélectionnez Ajouter une règle d'authentification.
  5. Ajoutez un nom pour la règle d'authentification. Évitez d'entrer des informations confidentielles.
  6. Sous Conditions, fournissez les informations suivantes :
    • Authentification du fournisseur d'identités (Facultatif) : Entrez ou sélectionnez tous les fournisseurs d'identités utilisés pour authentifier les comptes d'utilisateur évalués par cette règle. Si vous laissez ce champ vide, les autres conditions sont utilisées pour l'authentification.
    • Appartenance à un groupe : Entrez ou sélectionnez Action, puis Ajouter pour ajouter des groupes dont vous êtes membre afin de répondre aux critères de cette règle.
    • Administrateur : Sélectionnez cette option si l'utilisateur doit être affecté à des rôles d'administrateur dans le domaine d'identité pour répondre aux critères de cette règle.

      Me garder connecté : Sélectionnez cette option pour appliquer la règle uniquement si une session Me garder connecté valide existe pour l'utilisateur.

      Pour utiliser cette condition, vous devez activer Garder ma connexion. Voir Modification des paramètres de session.

      La politique d'authentification remplace la session Me garder connecté. Cela signifie que même si un utilisateur est connecté à l'aide de l'option Me garder connecté, après l'expiration de la session, si la politique nécessite une réauthentification ou une authentification multifacteur, l'utilisateur est invité à s'authentifier de nouveau ou à fournir l'authentification multifacteur.

    • Exclure les utilisateurs : Entrez ou sélectionnez les utilisateurs à exclure de la règle. Vous devez entrer au moins trois caractères pour lancer une recherche d'utilisateurs.
      Important

      Assurez-vous d'exclure un administrateur de domaine d'identité de chaque politique, ce qui garantit qu'au moins un administrateur a toujours accès au domaine d'identité en cas de problème.
    • Filtrer par adresse IP de client : Sélectionnez l'une des options suivantes :

      • N'importe où : Les utilisateurs peuvent se connecter au domaine d'identité à l'aide de n'importe quelle adresse IP.

      • Limiter aux limites de réseau suivantes : Les utilisateurs peuvent se connecter au domaine d'identité uniquement avec des adresses IP comprises dans des limites de réseau définies. Dans la zone de texte Périmètres de réseau, entrez ou sélectionnez les périmètres de réseau que vous avez définis. Pour plus d'informations, voir Création d'un périmètre de réseau.

  7. Conditions de sécurité adaptatives : Sélectionnez le niveau de risque de l'utilisateur, l'intervalle, le nom du fournisseur de notes de risque, la note de risque et la valeur de risque.
  8. Sous Actions, sélectionnez si un utilisateur est autorisé à accéder à la console si le compte d'utilisateur satisfait aux critères de cette règle.

    Si vous sélectionnez Refuser l'accès, passez à l'étape suivante.

    Si vous sélectionnez Autoriser l'accès, entrez des valeurs pour les options supplémentaires suivantes :

    • Invite de réauthentification : Activez/désactivez le commutateur pour forcer l'utilisateur à entrer de nouveau les données d'identification pour accéder à l'application affectée même s'il existe une session de domaines IAM existante.
      • Si cette option est sélectionnée, elle empêche l'authentification unique pour les applications affectées à la politique d'authentification. Par exemple, un utilisateur authentifié doit se connecter à une nouvelle application.
      • Si cette option n'est pas sélectionnée et que l'utilisateur s'est authentifié précédemment, il peut accéder à l'application à l'aide de sa session d'authentification unique existante sans avoir à entrer de données d'identification.
    • Invite pour un facteur supplémentaire : Activez/désactivez le commutateur pour inviter un facteur supplémentaire à se connecter au domaine d'identité.

      Lorsque vous sélectionnez cette option, indiquez s'il faut s'inscrire à l'authentification multifacteur et à quelle fréquence ce facteur supplémentaire doit être utilisé pour la connexion.

    • Tous les facteurs ou Facteurs spécifiés uniquement : Sélectionnez l'une des options suivantes :
      • N'importe quel facteur : Invite l'utilisateur à s'inscrire et à vérifier n'importe quel facteur activé dans les paramètres au niveau du locataire pour l'AMF.
      • Facteurs spécifiés : Invite uniquement l'utilisateur à s'inscrire et à vérifier un sous-ensemble de facteurs activés dans les paramètres au niveau du locataire pour l'authentification multifacteur. Après avoir sélectionné Facteurs spécifiés, sélectionnez les facteurs qui doivent être appliqués au moyen de cette règle.
    • Fréquence : Spécifiez la fréquence à laquelle les utilisateurs sont invités à entrer un deuxième facteur :
      • Une fois par session ou appareil approuvé : Pour chaque session que l'utilisateur a ouverte à partir d'un appareil faisant autorité, il doit utiliser son nom d'utilisateur et ses mots de passe, et un deuxième facteur.
      • Chaque fois : Chaque fois qu'un utilisateur se connecte à partir d'un appareil approuvé, il doit utiliser ses noms d'utilisateur et mots de passe, ainsi qu'un deuxième facteur.
      • Intervalle personnalisé : Spécifiez la fréquence à laquelle les utilisateurs doivent fournir un deuxième facteur pour se connecter. Par exemple, si vous voulez que les utilisateurs utilisent ce facteur supplémentaire toutes les deux semaines, sélectionnez 14 dans le champ Nombre et sélectionnez Jours dans le champ Intervalle. Si vous avez configuré l'AMF, ce nombre doit être inférieur ou égal au nombre de jours pendant lesquels un appareil peut être approuvé selon les paramètres d'AMF. Pour plus d'informations, voir Gestion de l'authentification multifacteur.
    • Inscription : Sélectionnez une des options suivantes :
      Important

      Réglez l'inscription à Facultatif jusqu'à ce que vous ayez terminé de tester la politique d'authentification.
      • Obligatoire oblige l'utilisateur à s'inscrire à l'authentification multifacteur.
      • Sélectionnez Facultatif pour donner aux utilisateurs la possibilité d'ignorer l'inscription à l'authentification multifacteur. Les utilisateurs voient le processus de configuration de l'inscription en ligne après avoir entré leur nom d'utilisateur et leur mot de passe, mais ils peuvent sélectionner Omettre. Les utilisateurs peuvent alors activer l'authentification multifacteur plus tard à partir du paramètre Vérification en 2 étapes dans les paramètres Sécurité de l'option Mon profil. Les utilisateurs ne sont pas invités à configurer un facteur lors de leur prochaine connexion. Si vous réglez l'option Inscription à Requis, puis à Facultatif, la modification n'affecte que les nouveaux utilisateurs. Les utilisateurs déjà inscrits à l'authentification multifacteur ne verront pas le processus d'inscription en ligne et ne pourront pas sélectionner Ignorer lors de la connexion
  9. Sélectionnez Ajouter.
  10. (Facultatif) Dans la page Ajouter des règles d'authentification, sélectionnez à nouveau Ajouter une règle d'authentification pour ajouter une autre règle d'authentification à cette politique.
    Note

    Si vous avez ajouté plusieurs règles d'authentification à cette politique, vous pouvez modifier l'ordre dans lequel elles seront évaluées. Sélectionnez Modifier la priorité, puis utilisez les flèches pour modifier l'ordre des règles.
  11. Dans l'onglet Applications, sélectionnez Ajouter une application pour ajouter des applications à cette politique.
  12. Dans le panneau Ajouter une application, sélectionnez les applications à ajouter à la politique, puis sélectionnez Ajouter une application.
    Note

    Vous ne pouvez ajouter une application qu'à une seule politique d'authentification. Si l'application n'est affectée à aucune politique d'authentification de manière explicite, la politique d'authentification par défaut s'applique à l'application.

  13. La politique d'authentification est enregistrée à l'état Désactivée. Lorsque vous avez terminé de créer la politique, vous devez l'activer.