Documentation sur Oracle Cloud Infrastructure

Locations sans domaines d'identité et sans la politique d'authentification "Politique de sécurité pour la console OCI"

Si vous utilisez l'authentification multifacteur dans des locations sans domaines d'identité et sans politique d'authentification "Politique de sécurité pour la console OCI" et Oracle Identity Cloud Service en tant que fournisseur d'identités fédérées automatiquement (IdP) dans IAM, nous vous recommandons de configurer l'authentification multifacteur à l'aide des meilleures pratiques Oracle suivantes.

Pour configurer l'authentification multifacteur sans domaines d'identité :

  1. Lire les préalables.
  2. Activer l'authentification multifacteur. Voir Étape 1 : Activer l'authentification multifacteur sans domaines d'identité.
  3. Créer une politique d'authentification. Voir Étape 2 : Créer une nouvelle politique d'authentification.

Préalables

Avant de commencer : Avant de configurer l'authentification multifacteur, effectuez les préalables suivants.

  1. Vérifiez les facteurs d'authentification multifacteur. Les facteurs d'authentification multifacteur disponibles dépendent du type de licence dont vous disposez. Le type de licence s'affiche en haut à droite de la console Identity Cloud Service. Pour plus d'informations sur l'authentification multifacteur et les types de licence, voir À propos des modèles de tarification d'Oracle Identity Cloud Service.
  2. Consultez la documentation sur l'utilisation de l'application Oracle Mobile Authenticator comme méthode d'authentification pour savoir comment utiliser l'avis par application mobile et le code secret de l'application mobile dans l'application Oracle Mobile Authenticator.
  3. Facultativement, et uniquement pendant la période de déploiement, excluez un administrateur de domaine d'identité de la politique "Politique de sécurité pour la console OCI". Par conséquent, si vous faites des erreurs lors du déploiement, vous ne vous êtes pas verrouillé de la console.

    Une fois le déploiement terminé, et que vous êtes certain que tous vos utilisateurs ont configuré l'authentification multifacteur et peuvent accéder à la console, vous pouvez supprimer ce compte d'utilisateur.

  4. Identifier tous les groupes Identity Cloud Service mappés aux groupes OCI IAM.
  5. Enregistrez une application client avec un rôle Administrateur de domaine d'identité pour permettre l'accès à votre domaine d'identité à l'aide de l'API REST au cas où la configuration de votre politique d'authentification vous verrouillerait. Si vous n'enregistrez pas cette application client et qu'une configuration de politique d'authentification restreint l'accès à tous, tous les utilisateurs seront verrouillés hors du domaine d'identité jusqu'à ce que vous communiquiez avec Oracle Support. Pour plus d'informations sur l'enregistrement d'une application client, voir Enregistrer une application client dans Utilisation des API REST d'Oracle Identity Cloud Service avec Postman.
  6. Créez un code de contournement et stockez-le dans un emplacement sécurisé. Voir Générer et utiliser le code de contournement.
Étape 1 : Activer l'authentification multifacteur sans domaines d'identité

Activez les paramètres d'authentification multifacteur (AMF) et les politiques de conformité définissant les facteurs d'authentification que vous souhaitez autoriser, puis configurez les facteurs d'authentification multifacteur.

Note

Activez l'authentification multifacteur pour tous les segments Identity Cloud Service configurés en tant que fournisseur d'identités (IdP) dans OCI IAM. Vous n'avez pas besoin d'activer l'authentification multifacteur pour les segments Identity Cloud Service qui ne sont pas configurés en tant que IdP dans OCI IAM.

  1. Connectez-vous à la console dans une location sans domaines d'identité à l'aide de vos données d'identification d'administrateur de domaine d'identité.
    Note

    Pour la plupart des locations, le fournisseur d'identités (IdP) est nommé OracleIdentityCloudService. Si vous avez configuré un IdP 3ème partie différent tel que Microsoft Azure Active Directory (Azure AD) ou Okta, choisissez celui-ci.
  2. Dans la console, ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Fédération. Une liste de tous les IdPs externes configurés pour OCI IAM s'affiche.
  3. Cliquez sur le nom de votre fédération Oracle Identity Cloud Service IdP, par exemple OracleIdentityCloudService. La page des détails du fournisseur d'identités s'affiche.
  4. Cliquez sur l'URL de la console Oracle Identity Cloud Service. La console Oracle Identity Cloud Service s'affiche.
  5. Dans la console Oracle Identity Cloud Service, développez le tiroir de navigation, cliquez sur Sécurité, puis sur AMF.
  6. (Obligatoire) Sous Sélectionner les facteurs que vous voulez activer, sélectionnez chacun des facteurs que les utilisateurs doivent pouvoir sélectionner.
    Note

    Les facteurs d'authentification multifacteur disponibles dépendent du type de licence dont vous disposez. Le type de licence s'affiche en haut à droite de la console Identity Cloud Service. Pour plus d'informations sur l'authentification multifacteur et les types de licence, voir À propos des modèles de tarification d'Oracle Identity Cloud Service.

    Note

    Nous vous recommandons d'utiliser ces authentificateurs d'authentification multifacteur résistants à l'hameçonnage :

    • Code secret pour application mobile et avis sur l'application mobile (inclus dans le niveau de tarification de la fondation)

    • Fast ID Online (FIDO) (inclus dans le niveau de tarification Standard)

    Voir Utiliser l'application Oracle Mobile Authenticator comme méthode d'authentification pour savoir comment utiliser l'avis par application mobile et le code secret de l'application mobile dans l'application Oracle Mobile Authenticator.

    Pour plus d'informations sur les authentificateurs d'authentification multifacteur, voir Configurer les facteurs d'authentification.

  7. (Obligatoire) Activez toujours l'option Ignorer le code afin que les administrateurs puissent générer un code secret à usage unique en tant que deuxième facteur si les utilisateurs perdent leur authentificateur externe, tel que leur application mobile ou leur clé FIDO.
  8. (Facultatif) Utilisez la section Appareil(s) approuvé(s) pour configurer les paramètres d'appareil approuvé.
    Note

    Similaires à l'option "Mémoriser mon ordinateur", les appareils approuvés n'exigent pas de fournir une authentification secondaire à chaque connexion (pour une période définie).
  9. (Facultatif) Dans la section Facteurs, définissez le nombre maximal de facteurs inscrits que les utilisateurs peuvent configurer.
  10. (Facultatif) Dans la section Règles de connexion, définissez le paramètre Nombre maximal d'échecs d'authentification multifacteur pour permettre à un utilisateur de fournir de manière incorrecte la vérification de l'authentification multifacteur avant d'être verrouillé.
  11. Cliquez sur Enregistrer, puis sur OK dans la fenêtre Confirmation.
  12. (Facultatif) Cliquez sur Configurer pour les facteurs d'authentification multifacteur que vous avez sélectionnés afin de les configurer individuellement.

Que faire ensuite : Créez une politique d'authentification. Voir Étape 2 : Créer une politique d'authentification

Étape 2 : Créer une nouvelle politique d'authentification

Créez une nouvelle politique d'authentification, ajoutez une règle pour l'authentification multifacteur, hiérarchisez cette règle en tant que première règle évaluée par le domaine d'identité, ajoutez l'application OCI -V2-App-<TenancyName> à la nouvelle politique, activez la politique et testez la politique.

  1. Dans la console Identity Cloud Service, développez le tiroir de navigation, cliquez sur Sécurité, puis sur Politiques d'authentification. La politique d'authentification par défaut et toutes les autres politiques d'authentification que vous avez définies sont répertoriées.
  2. Cliquez sur Ajouter.
  3. Ajoutez un nom de politique et une description. Pour Nom, entrez Protect OCI Console Access.
  4. Cliquez sur Suivant. Maintenant, ajoutez des règles d'authentification à cette politique.
  5. Dans le volet Règles d'authentification de l'assistant, cliquez sur Ajouter pour ajouter une règle d'authentification à cette politique.
  6. Utilisez le tableau suivant pour configurer la nouvelle règle d'authentification multifacteur.
    Note

    Vous pouvez créer d'autres règles d'authentification selon vos besoins, puis les hiérarchiser pour spécifier les règles qui sont traitées en premier. L'évaluation s'arrête à la première règle de correspondance. En l'absence de règle de correspondance, l'accès est refusé.
    Champ Description
    Nom de la règle Entrez un nom. Entrez le nom de la règle d'authentification. Par exemple, nommez-le Protect OCI Console Access pour activer l'authentification multifacteur pour tous les utilisateurs. Ou nommez-le Enable MFA for Administrators pour activer l'authentification multifacteur pour les administrateurs.
    Si l'utilisateur est authentifié par Entrez ou sélectionnez tous les fournisseurs d'identités qui seront utilisés pour authentifier les comptes d'utilisateur évalués par cette règle.
    Et est membre de ces groupes

    Activez l'authentification multifacteur pour tous les utilisateurs en entrant ou en sélectionnant les groupes dont les utilisateurs doivent être membres pour répondre aux critères de cette règle.

    Si vous ne pouvez pas activer l'authentification multifacteur pour tous les utilisateurs pour le moment, nous vous recommandons d'activer l'authentification multifacteur pour tous les groupes Identity Cloud Service mappés aux groupes OCI IAM.

    Note : Si vous laissez And is a member of these groups vide et décochez And is an administrateur, tous les utilisateurs sont inclus dans cette règle.
    Et est un administrateur

    Les utilisateurs affectés aux rôles d'administrateur dans le domaine d'identité sont inclus dans cette règle.

    Meilleure pratique. Utilisez Et est membre de ces groupes pour activer l'authentification multifacteur pour tous les utilisateurs ou, du moins, pour tous les administrateurs. Si vous ne pouvez pas activer l'authentification multifacteur pour tous les utilisateurs ou administrateurs en ce moment à l'aide de l'appartenance à un groupe, sélectionnez Et est un administrateur pour inclure les administrateurs dans cette règle.

    Important : Si vous créez une règle pour les administrateurs uniquement, vous devez créer une deuxième règle sans authentification multifacteur pour que les non-administrateurs puissent se connecter. Si la deuxième règle n'est pas créée, l'accès à la console est bloqué pour les non-administrateurs.
    Et n'est pas un de ces utilisateurs

    Meilleure pratique. La meilleure pratique consiste à ne pas exclure d'utilisateurs. Toutefois, lorsque vous configurez l'authentification multifacteur, vous pouvez exclure temporairement un compte d'administrateur si vous apportez des modifications qui vous verrouillent hors de la console OCI. Une fois le déploiement terminé et que l'authentification multifacteur est configurée pour permettre à vos utilisateurs d'accéder à la console OCI, rétablissez-la afin qu'aucun utilisateur ne soit exclu de la règle.

    Pour obtenir la liste des préalables, voir Locations sans domaines d'identité et avec la politique d'authentification "Politique de sécurité pour la console OCI.
    Et l'adresse IP du client de l'utilisateur est Deux options sont associées à ce champ : N'importe où et Restreindre aux limites de réseau suivantes.

    • Si vous sélectionnez Partout, les utilisateurs peuvent se connecter au domaine d'identité à l'aide de toute adresse IP.

    • Si vous sélectionnez Restreindre aux périmètres de réseau suivants, la zone de texte Périmètres de réseau s'affiche. Dans cette zone de texte, entrez ou sélectionnez les périmètres de réseau que vous avez définis. Les utilisateurs peuvent se connecter au domaine d'identité uniquement avec des adresses IP comprises dans les périmètres de réseau définis.
    L'accès est

    Indiquez si un utilisateur sera autorisé à accéder à la console si le compte satisfait aux critères de cette règle.

    Meilleure pratique. Sélectionnez Autorisé.
    Invite de réauthentification

    Cochez cette case pour forcer l'utilisateur à entrer de nouveau les données d'identification pour accéder à l'application affectée même s'il existe une session de domaine d'identité.

    Lorsque cette option est sélectionnée, elle empêche l'authentification unique pour les applications affectées à la politique d'authentification. Par exemple, un utilisateur authentifié doit se connecter à une nouvelle application.

    Si cette option n'est pas sélectionnée et que l'utilisateur s'est authentifié précédemment, il peut accéder à l'application à l'aide de sa session d'authentification unique existante sans avoir à entrer de données d'identification.

    Meilleure pratique. Désactivez l'option Invite de réauthentification.
    Invite pour un facteur supplémentaire

    Cochez cette case pour inviter l'utilisateur à entrer un facteur supplémentaire pour se connecter au domaine d'identité.

    Si vous cochez cette case, vous devez spécifier si l'utilisateur doit s'inscrire à l'authentification multifacteur et à quelle fréquence ce facteur supplémentaire doit être utilisé pour se connecter.

    Sélectionnez N'importe quel facteur pour inviter l'utilisateur à s'inscrire et à vérifier n'importe quel facteur activé dans les paramètres au niveau du locataire pour l'AMF.

    Sélectionnez Facteur spécifique pour inviter l'utilisateur à s'inscrire et à vérifier un sous-ensemble de facteurs activés dans les paramètres au niveau du locataire pour l'authentification multifacteur. Après avoir sélectionné Facteur spécifique, vous pouvez sélectionner les facteurs qui doivent être appliqués au moyen de cette règle.

    Meilleure pratique. Sélectionnez Facteur spécifique, puis sélectionnez tous les facteurs sauf Courriel ou Appel téléphonique.

    Toujours activer le code de contournement.
    Fréquence

    Meilleure pratique. Sélectionnez Chaque fois.

    • Sélectionnez Une fois par session ou appareil approuvé de sorte que, pour chaque session qu'il a ouverte à partir d'un appareil faisant autorité, l'utilisateur doive utiliser son nom d'utilisateur et son mot de passe, et un deuxième facteur.

    • Sélectionnez Chaque fois de sorte que chaque fois qu'ils se connectent à partir d'un appareil approuvé, les utilisateurs soient tenus d'utiliser leur nom d'utilisateur et leur mot de passe, et un deuxième facteur. Meilleure pratique. Sélectionnez Chaque fois.

    • Sélectionnez intervalle personnalisé, puis spécifiez la fréquence à laquelle les utilisateurs doivent fournir un deuxième facteur pour se connecter. Par exemple, si vous voulez que les utilisateurs utilisent ce facteur supplémentaire toutes les deux semaines, cliquez sur Numéro, entrez 14 dans le champ texte, puis cliquez sur le menu déroulant Intervalle pour sélectionner Jours. Si vous avez configuré l'authentification multifacteur, ce nombre doit être inférieur ou égal au nombre de jours pendant lesquels un appareil peut être approuvé selon les paramètres d'authentification multifacteur. .
    Inscription

    Ce menu contient deux options : Obligatoire et Facultatif.

    • Sélectionnez Obligatoire pour obliger l'utilisateur à s'inscrire à l'authentification multifacteur.

    • Sélectionnez Facultatif pour permettre aux utilisateurs d'ignorer l'inscription à l'authentification multifacteur. Les utilisateurs voient le processus de configuration de l'inscription en ligne après avoir entré leur nom d'utilisateur et leur mot de passe, mais peuvent cliquer sur Omettre. Les utilisateurs peuvent alors activer l'authentification multifacteur plus tard à partir du paramètre Vérification en étapes dans les paramètres Sécurité de l'option Mon profil. Les utilisateurs ne sont pas invités à configurer un facteur lors de leur prochaine connexion.

    • Note : Si vous réglez l'inscription à Requis, puis à Facultatif, la modification n'affecte que les nouveaux utilisateurs. Les utilisateurs déjà inscrits à l'authentification multifacteur ne verront pas le processus d'inscription en ligne et ne pourront pas cliquer sur Ignorer lors de leur connexion.
  7. Cliquez sur enregistrer.
    Note

    Si vous créez une règle d'authentification multifacteur pour les administrateurs uniquement, vous devez créer une deuxième règle sans authentification multifacteur pour que les non-administrateurs puissent se connecter. Si la deuxième règle n'est pas créée, l'accès à la console est bloqué pour les non-administrateurs.
  8. Cliquez sur Suivant.
  9. Ajoutez l'application OCI -V2-App-<TenancyName> à la politique Protéger l'accès à la console OCI. Important : Pour vous assurer que votre politique s'applique uniquement à l'accès à la console et qu'elle ne s'applique à aucune autre application, ajoutez uniquement l'application OCI -V2-App-<TenancyName> .
    1. Cliquez sur Affecter. La liste des applications pouvant être ajoutées à la politique s'affiche.
    2. Localisez et sélectionnez OCI -V2-App-<TenancyName> .
    3. Cliquez sur OK.
    4. Cliquez sur Terminer.
  10. Activez la politique d'authentification et l'authentification multifacteur est activée. Les utilisateurs seront invités à s'inscrire à l'authentification multifacteur lors de leur prochaine connexion.
    1. Dans la page Politiques d'authentification, cliquez sur Protéger l'accès à la console OCI.
    2. Cliquez sur Activer.
  11. Déconnectez-vous d'Identity Cloud Service.
  12. Connectez-vous à Identity Cloud Service. Vous devez être invité à entrer une inscription à l'authentification multifacteur. Terminer l'inscription à l'authentification multifacteur à l'aide d'Oracle Mobile Authenticator (OMA). Voir Utilisation et gestion de l'application Oracle Mobile Authenticator.