Documentation Oracle Cloud Infrastructure

Configuration des paramètres d'authentification à plusieurs facteurs

Configurez les paramètres d'authentification multifacteur et les stratégies de conformité qui définissent les facteurs d'authentification à plusieurs facteurs requis pour accéder à un domaine d'identité dans IAM, puis configurez les facteurs d'authentification à plusieurs facteurs.

Remarque

Les tâches de cette section sont destinées à un administrateur qui doit configurer l'authentification à plusieurs facteurs pour un domaine d'identité dans IAM. Si vous êtes un utilisateur qui doit configurer la vérification en 2 étapes pour vous-même, reportez-vous à Configuration de la récupération de compte et de la vérification en 2 étapes.
Avant de commencer :
  • Créez un utilisateur de test dans un domaine d'identité de test. Utilisez ce domaine d'identité pour configurer l'authentification à plusieurs facteurs pour la première fois. Reportez-vous à Création d'un domaine d'identité et Création d'un utilisateur.
  • Configurez une application client pour permettre l'accès à un domaine d'identité à l'aide de l'API REST au cas ou votre configuration de stratégie de connexion vous bloquait. Si vous n'avez pas configuré cette application client et qu'une configuration de stratégie de connexions restreint l'accès à tous les utilisateurs, tous les utilisateurs sont bloqués hors du domaine d'identité jusqu'à ce que vous contactiez le support technique Oracle. Pour plus d'information sur la configuration de l'application cliente, reportez-vous à la section Registering a Client Application.

Pour définir les paramètres d'authentification à plusieurs facteurs, vous devez disposer du rôle d'administrateur de domaine d'identité ou du rôle d'administrateur de sécurité.

  1. Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines.
  2. Sélectionnez le nom du domaine d'identité dans lequel vous souhaitez travailler. Il est possible que vous deviez changer de compartiment pour trouver le domaine souhaité.
  3. Sur la page de détails du domaine, sélectionnez Authentification.
  4. Sur la page Authentification, sélectionnez Activer ou désactiver les facteurs. Un panneau des paramètres s'ouvre.
  5. Dans le panneau des paramètres Activer ou désactiver les facteurs, sélectionnez chacun des facteurs requis pour accéder à un domaine d'identité.
    Pour une explication de chaque facteur, reportez-vous à Configuration de facteurs d'authentification.
  6. (Facultatif) Définissez le nombre maximal de facteurs inscrits que les utilisateurs peuvent configurer.
  7. (Facultatif) Utilisez la section Appareils sécurisés pour configurer les paramètres d'appareils sécurisés.
    Comme avec l'option Se souvenir d'un ordinateur, les appareils sécurisés n'exigent pas d'un utilisateur une méthode d'authentification secondaire à chaque connexion.
  8. (Facultatif) Sous Règles de connexion, définissez le nombre maximal d'échecs de tentative d'authentification à plusieurs éléments à autoriser pour un utilisateur qui effectue la vérification à plusieurs facteurs de façon incorrecte avant blocage.
  9. Sélectionnez Enregistrer les modifications, puis confirmez la modification.
  10. (Facultatif) Sélectionnez Modifier en regard des facteurs d'authentification à multiples facteurs que vous avez sélectionnés afin de les configurer individuellement.
    Pour obtenir des instructions sur chaque facteur, reportez-vous à Configuration de facteurs d'authentification.
  11. Assurez-vous que toutes les stratégies de connexion actives autorisent l'authentification en deux étapes :
    1. Sélectionnez l'onglet Stratégies de domaine.
    2. Sur la page Stratégies de Connexion, sélectionnez Stratégie de Connexion par Défaut.
    3. Sur la page Stratégie de connexions par déf., sélectionnez Règles de connexions.
    4. Sur la ligne Règle de connexion par déf., sélectionnez le menu Actions (trois points) et sélectionnez Modifier une règle de connexion.
    5. Dans la boîte Modifier une règle de connexion, sous Exclure des utilisateurs, excluez-vous ou excluez un autre Administrateur de domaine d'identités de cette règle jusqu'à ce qu'il soit terminé. Ainsi, au moins un administrateur a toujours accès au domaine d'identité en cas de problème.
    6. Sous Actions, sélectionnez Invite de demande d'un facteur supplémentaire et vérifiez que l'option Autoriser l'accès est sélectionnée.
    7. Sélectionnez Enregistrer les modifications.
    8. Si d'autres stratégies de connexion ont été ajoutées, suivez les étapes ci-dessus pour chacune de ces stratégies afin d'assurer que l'authentification à plusieurs éléments est activée dans toutes les conditions voulues.
      Remarque

      La règle de connexion par défaut active l'authentification à plusieurs facteurs globalement. Les paramètres des autres règles de connexion risquent de remplacer la règle de connexion par défaut pour les utilisateurs et les groupes spécifiés par les conditions de ces règles. Reportez-vous à Gestion des stratégies de mot de passe.

      Important

      Assurez-vous d'exclure un administrateur de domaine d'identité de chaque stratégie. Ainsi, au moins un administrateur a toujours accès au domaine d'identité en cas de problème.

      Définissez Inscription sur Facultatif jusqu'à ce que vous ayez fini de tester la stratégie de connexion.

  12. (Facultatif) Activez des seuils de verrouillage distincts pour les échecs de validation d'authentification à plusieurs facteurs et les tentatives de notification d'authentification à plusieurs facteurs. Pour ce faire, veillez à savoir comment effectuer des appels d'API REST.
    Remarque

    Le schéma d'authentification à plusieurs facteurs de l'utilisateur comporte deux nouveaux attributs :
    • mfaIncorrectValidationAttempts : suit les tentatives de validation d'authentification à plusieurs facteurs incorrectes par un utilisateur.
    • mfaNotificationAttempts : suit les tentatives de notification d'authentification à plusieurs facteurs effectuées par un utilisateur.

    Deux nouveaux attributs ont également été ajoutés à AuthenticationFactorSettings :

    • maxMfaIncorrectValidationAttempts : nombre maximal de validations d'authentification à plusieurs facteurs incorrectes pouvant être tentées avant le verrouillage d'un compte. Si une valeur est définie pour cet attribut, une valeur doit également être définie pour maxMfaNotificationAttempts. Si cet attribut n'est pas défini, le comportement de verrouillage de l'authentification à plusieurs facteurs est déterminé par maxIncorrectAttempts. Si mfaIncorrectValidationAttempts atteint maxMfaIncorrectValidationAttempts, l'utilisateur est immédiatement verrouillé.
    • maxMfaNotificationAttempts : nombre maximal de notifications d'authentification à plusieurs facteurs pouvant être tentées avant le verrouillage d'un compte. Si une valeur est définie pour cet attribut, une valeur doit également être définie pour maxMfaIncorrectValidationAttempts. Si cet attribut n'est pas défini, le comportement de verrouillage de l'authentification à plusieurs facteurs est déterminé par maxIncorrectAttempts. Si mfaNotificationAttempts atteint maxMfaNotificationAttempts, l'utilisateur est verrouillé la prochaine fois qu'il tente de lancer une notification, afin de lui permettre de s'authentifier à l'aide de la dernière notification d'authentification à plusieurs facteurs.

    Mettez à jour AuthenticationFactorSettings pour définir à la fois maxMfaIncorrectValidationAttempts et maxMfaNotificationAttempts en effectuant un appel PATCH sur l'adresse <IDENTITY_DOMAIN_URL>/admin/v1/AuthenticationFactorSettings/AuthenticationFactorSettings avec la charge utile suivante :

    
{
  "schemas": [
    "urn:ietf:params:scim:api:messages:2.0:PatchOp"
  ],
  "Operations": [
    {
      "op": "add",
      "path": "endpointRestrictions.maxMfaIncorrectValidationAttempts",
      "value": 3
    },
    {
      "op": "add",
      "path": "endpointRestrictions.maxMfaNotificationAttempts",
      "value": 3
    }
  ]
}

    La valeur peut varier d'un minimum de 3 à un maximum de 10.

  13. Pour tester la configuration, déconnectez-vous de la console, puis connectez-vous en tant qu'utilisateur test.
    Vous serez invité à soumettre un second facteur.