Documentation sur Oracle Cloud Infrastructure

Domaines d'identité avec la politique d'authentification "Politique de sécurité pour la console OCI"

Si vous utilisez l'authentification multifacteur dans des locations avec des domaines d'identité avec la politique d'authentification "Politique de sécurité pour la console OCI", nous vous recommandons de configurer l'authentification multifacteur à l'aide de cette politique d'authentification.

Plan d'activation de l'authentification multifacteur

Pour améliorer la sécurité, nous avons commencé à prédéfinir la politique d'authentification "Politique de sécurité pour la console OCI" dans toutes les locations. Dès qu'un domaine d'identité a été prédéfini avec la politique, vous devez l'activer pour activer l'authentification multifacteur pour les utilisateurs disposant de privilèges d'administration.

L'organigramme suivant décrit le processus complet du déploiement de la politique, où Oracle initie la prédéfinition de la politique, jusqu'à l'étape d'application de la politique, au cours de laquelle Oracle activera la politique, sauf dans des circonstances particulières.

organigramme présentant les phases de déploiement de la "politique de sécurité pour la console OCI" pour les domaines d'identité dans IAM

  • La politique d'authentification "Politique de sécurité pour la console OCI" affecte uniquement l'accès à la console OCI. Une fois la politique activée, tous les utilisateurs locaux doivent utiliser l'authentification multifacteur pour se connecter à la console.
  • La politique s'applique au domaine par défaut et à tous les domaines secondaires.

Nous n'activerons pas automatiquement la politique :

  • Si vous avez modifié la politique d'authentification par défaut
  • Si vous disposez déjà d'une politique d'authentification et que la console OCI lui est affectée explicitement.
  • Si un fournisseur d'identités externe actif (SAML/Social ou X.509) est configuré dans le domaine IAM. Cela signifie que les utilisateurs fédérés sont exclus de l'incidence de cette politique.
  • Si vous supprimez la politique de sécurité pour la console OCI à l'aide d'une API, nous ne la recréerons pas. Pour supprimer la politique à l'aide des API REST, voir Supprimer une politique.

Pour activer la politique dans un domaine d'identité, voir Activation d'une politique d'authentification.

Une fois activé, il ressemblera à ceci dans la page Politiques d'authentification de la console.

Politique de sécurité pour la console OCI activée dans la page Politiques d'authentification

Pour en savoir plus sur la politique, voir À propos de la politique d'authentification "Politique de sécurité pour la console OCI".

Règles d'application pour la " politique de sécurité pour la console OCI " pour les domaines d'identité dans IAM

Statut "Politique de sécurité pour la console OCI" de la politique d'authentification Vous avez modifié la politique d'authentification par défaut Statut "Politique de sécurité pour la console OCI" de la politique d'authentification après activation forcée
Présent et activé Sans objet (vous ne pouvez pas avoir une autre politique d'authentification active pour la console OCI) Aucune modification
Présent et désactivé Nombre La politique devient Présent et activée
Présent et désactivé Oui Aucune modification. Nous ne remplacerons pas votre politique.
Supprimée Non applicable Aucune modification

Configuration de la politique d'authentification "Politique de sécurité pour la console OCI"

Pour configurer la politique d'authentification "Politique de sécurité pour la console OCI" :

  1. Lire les préalables.
  2. Lisez À propos de la politique d'authentification "Politique de sécurité pour la console OCI".
  3. Facultativement et uniquement pendant la période de déploiement, excluez un administrateur de la politique. Lorsque vous êtes sûr que vos utilisateurs ont configuré l'authentification multifacteur pour leurs comptes, ajoutez-le de nouveau à la "politique de sécurité pour la console OCI". Voir Exclure temporairement un administrateur de la politique d'authentification "Politique de sécurité pour la console OCI".
    Note

    Il existe un risque pour la sécurité qu'un utilisateur puisse se connecter sans l'authentification multifacteur. Par conséquent, si vous choisissez de le faire aussi rapidement que possible.
  4. Voyez comment vous inscrire à l'authentification multifacteur à l'aide d'un code secret d'application mobile ou d'un avis d'application mobile. Voir Fin d'inscription à l'authentification multifacteur.

Préalables

Avant de commencer : Avant de configurer l'authentification multifacteur, effectuez les préalables suivants. Ignorez tous les préalables que vous avez déjà terminés.

  1. Vérifiez les facteurs d'authentification multifacteur. Les facteurs d'authentification multifacteur disponibles dépendent du type de domaine d'identité que vous avez. Le type de domaine s'affiche dans la page Domaines de la location. Voir Disponibilité des fonctions pour les types de domaine d'identité pour plus d'informations sur l'authentification multifacteur et les types de domaine.
  2. Consultez la documentation sur l'utilisation de l'application Oracle Mobile Authenticator pour savoir comment utiliser l'avis par application mobile et le code secret de l'application mobile dans l'application Oracle Mobile Authenticator.
  3. Facultativement, et uniquement pendant la période de déploiement, excluez un administrateur de domaine d'identité de la politique "Politique de sécurité pour la console OCI". Par conséquent, si vous faites des erreurs lors du déploiement, vous ne vous êtes pas verrouillé de la console.

    Une fois le déploiement terminé, et que vous êtes certain que tous vos utilisateurs ont configuré l'authentification multifacteur et peuvent accéder à la console, vous pouvez supprimer ce compte d'utilisateur.

  4. Identifier tous les groupes Identity Cloud Service mappés aux groupes OCI IAM. (Note : Locations migrées uniquement.)
  5. Enregistrez une application client avec un rôle d'administrateur de domaine d'identité pour permettre l'accès à votre domaine d'identité à l'aide de l'API REST au cas où la configuration de votre politique d'authentification vous verrouillerait. Si vous n'enregistrez pas cette application client et qu'une configuration de politique d'authentification restreint l'accès à tous, tous les utilisateurs seront verrouillés hors du domaine d'identité jusqu'à ce que vous communiquiez avec Oracle Support. Pour plus d'informations sur l'enregistrement d'une application client, voir Inscription d'une application client.
  6. Créez un code de contournement et stockez-le dans un emplacement sécurisé. Voir Création d'un code de contournement.

À propos de la politique d'authentification "Politique de sécurité pour la console OCI"

La politique d'authentification Politique de sécurité pour la console OCI est activée par défaut et préconfigurée avec les meilleures pratiques de sécurité Oracle.

Si vous modifiez les règles de cette politique, vous ne suivez plus les meilleures pratiques de sécurité d'Oracle.

  • Les facteurs suivants requis pour cette politique d'authentification sont déjà activés : Code secret pour application mobile, Avis pour application mobile, Ignorer le code et Authentificateur FIDO (Fast ID Online).
  • L'application de la console a été ajoutée à la politique.
  • La politique d'authentification comprend deux règles d'authentification actives :

    Règles de la politique de sécurité pour la politique d'authentification de la console OCI

    • AMF pour les administrateurs : La règle est en premier dans l'ordre de priorité. Cette règle préconfigurée nécessite que tous les utilisateurs du groupe Administrateurs et tous les utilisateurs dotés d'un rôle d'administrateur s'inscrivent à l'authentification multifacteur et doivent fournir un facteur supplémentaire chaque fois qu'ils se connectent à la console OCI.
    • AMF pour tous les utilisateurs : La règle est classée deuxième dans l'ordre de priorité. Cette règle préconfigurée nécessite que tous les utilisateurs s'inscrivent à l'authentification multifacteur et qu'ils fournissent un facteur supplémentaire chaque fois qu'ils se connectent à la console.

Exclure temporairement un administrateur de la politique d'authentification "Politique de sécurité pour la console OCI"

À titre de meilleure pratique, ne modifiez pas la politique d'authentification "Politique de sécurité pour la console OCI". Toutefois, vous pouvez effectuer cette opération lors du déploiement. Vous pouvez exclure temporairement un compte d'administrateur si vous apportez des modifications qui vous verrouillent hors de la console OCI. Une fois le déploiement terminé et que l'authentification multifacteur est configurée pour permettre aux utilisateurs d'accéder à la console OCI, rétablissez-la.
  1. Décidez de l'utilisateur administrateur que vous allez exclure temporairement de "Politique de sécurité pour la console OCI", créez un nouveau groupe et affectez-lui l'utilisateur.
  2. Créez une règle qui n'utilise pas l'authentification multifacteur et affectez-lui le groupe.
  3. Définissez cette règle comme première règle dans la politique "Politique de sécurité pour la console OCI".
Note

Une fois le déploiement terminé, tous les utilisateurs ont configuré l'authentification multifacteur et il y a moins de chances de faire une erreur qui pourrait vous verrouiller hors de la console OCI, rétablissez ces étapes et restaurez la politique "Politique de sécurité pour la console OCI" à son état non modifié.
  1. Créez un nouveau groupe et affectez l'utilisateur à exclure. Voir Création d'un groupe et Ajout d'utilisateurs à un groupe.
  2. Créer une nouvelle règle d'authentification.
    1. Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines.

    2. Sélectionnez le nom du domaine d'identité dans lequel vous voulez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité.
    3. Dans la liste des politiques d'authentification, cliquez sur Politique de sécurité pour la console OCI.
    4. Cliquez sur Ajouter la règle d'authentification.
    5. Donnez un nom à la règle.
    6. Pour Appartenance à un groupe, sélectionnez le nouveau groupe que vous venez de créer.
    7. Cliquez sur Ajouter la règle d'authentification.
      La nouvelle règle est ajoutée à la liste des règles de la politique "Politique de sécurité pour la console OCI".
  3. Faites de la nouvelle règle la première dans la politique "Politique de sécurité pour la console OCI".
    1. Dans la page des détails de la politique, cliquez sur Modifier la priorité.
    2. Utilisez les flèches pour modifier la priorité des règles de fournisseur d'authentification.
    3. Cliquez sur Enregistrer les modifications.
Lorsque cet utilisateur se connecte, la première règle est appliquée et il n'est pas nécessaire d'utiliser l'authentification multifacteur pour s'authentifier.

Dès que vous êtes sûr que tous les utilisateurs ont configuré l'authentification multifacteur et qu'il n'y a aucune chance de vous verrouiller accidentellement hors de la console OCI, supprimez la nouvelle règle afin que la politique "Politique de sécurité pour la console OCI" retrouve son état non modifié.

Pour supprimer la règle :

  1. Dans la page Politiques d'authentification, cliquez sur Politique de sécurité pour la console OCI.
  2. Cochez la case de la nouvelle règle et cliquez sur Supprimer la règle d'authentification.

Désormais, tous les utilisateurs doivent utiliser l'authentification multifacteur pour se connecter à la console OCI.

Achèvement de l'inscription à l'authentification multifacteur

Une fois la politique d'authentification "Politique de sécurité pour la console OCI" activée, toute personne se connectant à la console OCI sera invitée à terminer l'inscription à l'authentification multifacteur à l'aide d'Oracle Mobile Authenticator (OMA).

Vous, ainsi que tous les autres utilisateurs qui se connectent à la console OCI, verrez un écran similaire à cet exemple.

Cliquez sur Activer la vérification sécurisée et suivez les instructions sous Utilisation de l'application Oracle Mobile Authenticator.

Capture d'écran montrant l'écran d'inscription à l'authentification multifacteur.