Sécurité

Chaque location OCI inclut un compte d'administrateur qui est, par défaut, membre du groupe d'administrateurs de location. Le groupe Administrateurs accorde un accès complet à l'ensemble de la location. Pour cette raison, il est recommandé de ne pas utiliser le compte Administrateur pour l'administration quotidienne de la location.

La meilleure pratique consiste à réserver le groupe Administrateurs pour les scénarios d'urgence. Les administrateurs individuels peuvent disposer de droits d'accès permettant de gérer leurs zones respectives sans qu'une seule personne ait un accès complet à l'ensemble de la location.

Lorsque les instances Identity Cloud Service deviennent une partie native d'OCI, les membres du groupe Administrateurs disposent d'un accès complet pour gérer les domaines d'identité IAM. Cela ne signifie pas que les administrateurs Identity Cloud Service en cours disposent de privilèges d'administration sur les comptes OCI.

Vérifiez que l'utilisation du groupe Administrators est cohérente avec les stratégies de sécurité de votre organisation.

Dans certains cas, un groupe nommé OCI_Administrators est ajouté à l'instance IDCS fournie lors de la création de la location (généralement appelée IdentityCloudService). Ce groupe est mis en correspondance avec le groupe d'administrateurs du domaine d'identité par défaut, auquel aucun utilisateur n'est affecté au moment de la création. Si vous voulez que les utilisateurs disposent d'un accès complet à l'ensemble de la location, vous pouvez les ajouter au groupe OCI_Administrators dans IdentityCloudServicedomain.

Tout utilisateur doté du rôle d'administrateur de domaine d'identité dispose de privilèges d'administration pour ce domaine d'identité. Il est recommandé à l'administrateur de domaine d'identité de créer d'autres administrateurs (ou, par exemple, un administrateur utilisateur) avec l'ensemble minimal de responsabilités d'administration dont ils ont besoin pour effectuer leurs tâches. Reportez-vous à Présentation des rôles d'administrateur.

Les rôles d'administrateur sont ciblés sur un domaine d'identité spécifique. Par exemple, un administrateur utilisateur pour DomainB peut uniquement gérer les utilisateurs dans DomainB et ne peut pas gérer les utilisateurs dans DomainA.

Contrairement aux rôles d'administrateur, les stratégies s'appliquent aux compartiments de la location. Par exemple, si un utilisateur du groupe foo dans DomainA reçoit une stratégie telle que :

allow group DomainA/foo to manage users in tenancy

L'utilisateur dispose ainsi de ces privilèges sur l'ensemble de la location.

Dans les domaines d'identité, les paramètres d'authentification IAM utilisés pour définir les règles de mot de passe font désormais partie des stratégies de mot de passe. Vous pouvez définir plusieurs stratégies de mot de passe et les affecter à différents groupes. Reportez-vous à Gestion des stratégies de connexion.

Si vous avez utilisé des sources réseau pour spécifier un ensemble autorisé d'adresses IP à partir duquel les utilisateurs peuvent effectuer certaines actions, telles que la connexion à la console, avec des domaines d'identité, vous pouvez utiliser des périmètres réseau pour faire de même. Reportez-vous à la section Managing Network Perimeters.

1. Avant de migrer votre instance Identity Cloud Service, notez les sources réseau que vous utilisez, par exemple my-allow-list 140.160.240.0/24.
2. Une fois la location migrée, créez des périmètres réseau à l'aide des mêmes adresses IP. Reportez-vous à Création d'un périmètre réseau.
3. Créez des stratégies qui référencent les nouveaux périmètres réseau, telles qu'une stratégie de connexion ou une stratégie de fournisseur d'identités.

Si vous avez utilisé la stratégie de connexion par défaut pour protéger la console Identity Cloud Service, cette stratégie continue d'appliquer les règles après la migration.

Après la migration, la console OCI est activée pour votre compte et protégée par une nouvelle stratégie de connexion appelée Stratégie de sécurité pour la console OCI.

Pour plus d'informations sur les stratégies de connexion, reportez-vous à A propos des stratégies et règles de connexion.