Fédération GIA

Oracle recommande d'utiliser la fédération pour gérer les connexions à la console.

• La fédération des identités prend en charge les fournisseurs d'identités conformes à la norme SAML 2.0 et peut servir à fédérer les utilisateurs et les groupes sur place vers des utilisateurs et des groupes GIA. L'administrateur de l'entreprise doit configurer une approbation de fédération entre le fournisseur d'identités sur place et GIA, en plus de créer un mappage entre les groupes sur place et les groupes GIA. Ensuite, les utilisateurs sur place peuvent se connecter à l'authentification unique (SSO) dans la console et accéder aux ressources en fonction de l'autorisation des groupes IAM auxquels ils appartiennent. Pour plus d'informations sur la fédération pour la console, voir Fédération à l'aide des fournisseurs d'identités. La fédération est particulièrement importante pour les entreprises qui utilisent des politiques personnalisées pour l'authentification des utilisateurs (par exemple, l'authentification multifacteur). Pour plus d'informations sur la gestion des utilisateurs et des groupes fédérés, voir Fédération à l'aide des fournisseurs d'identités.
• Lors de l'utilisation de la fédération, Oracle recommande de créer un groupe d'administrateurs de fédération mappé au groupe d'administrateurs du fournisseur d'identités fédéré. Le groupe d'administrateurs de fédération dispose de privilèges d'administration permettant de gérer la location du client, tout en étant régi par les mêmes politiques de sécurité que le groupe d'administrateurs du fournisseur d'identités fédéré. Dans ce scénario, il est bon d'avoir accès à l'utilisateur administrateur de location local (membre du groupe GIA d'administrateurs de location par défaut) pour les situations d'urgence (par exemple, impossibilité d'accéder aux ressources au moyen de la fédération). Cependant, vous devez empêcher toute utilisation non autorisée de cet utilisateur administrateur de location ayant des privilèges très élevés. Oracle recommande l'approche suivante pour la gestion en toute sécurité de l'administrateur de location :
  1. Créez un utilisateur local appartenant au groupe d'administrateurs de location par défaut.
  2. Créez un mot de passe ou une phrase secrète de console très complexe (18 caractères ou plus, avec au moins une minuscule, une majuscule, un chiffre et un caractère spécial) pour l'utilisateur administrateur de location local.
  3. Déposez de manière sécurisée le mot de passe d'utilisateur de l'administrateur de location local dans un emplacement sur place (par exemple, placez le mot de passe dans une enveloppe scellée dans un coffre-fort physique sur place).
  4. Créez des politiques de sécurité pour accéder au mot de passe protégé uniquement dans des situations d'urgence spécifiques.
  5. Faites en sorte que la politique de sécurité GIA empêche le groupe GIA d'administrateurs fédérés d'ajouter ou de modifier l'appartenance au groupe d'administrateurs de location par défaut pour éviter le contournement des mesures de sécurité.
  6. Dans les journaux de vérification, surveillez les accès par les administrateurs de location par défaut et les modifications au groupe d'administrateurs, afin de signaler toute action non autorisée. Pour plus de sécurité, il est possible de faire renouveler le mot de passe de l'utilisateur administrateur de location local après chaque connexion, ou périodiquement, suivant une politique de mot de passe.

Pour un exemple illustrant l'ajustement des différents composants IAM, voir Informations détaillées sur les vérifications d'état. Surveiller périodiquement les journaux de vérification pour vérifier les modifications apportées aux utilisateurs, aux groupes, aux politiques, aux compartiments et aux marqueurs IAM.