Configurez les paramètres d'authentification à plusieurs facteurs et les stratégies de conformité qui définissent les facteurs MFA requis pour accéder à un domaine d'identité dans IAM, puis configurez les facteurs MFA.
Pour définir les paramètres d'authentification à plusieurs facteurs, vous devez disposer du rôle d'administrateur de domaine d'identité ou du rôle d'administrateur de sécurité.
-
Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines.
-
Sélectionnez le nom du domaine d'identité dans lequel vous souhaitez travailler. Il est possible que vous deviez changer de compartiment pour trouver le domaine souhaité.
-
Sur la page de détails du domaine, sélectionnez Authentification.
-
Sur la page Authentification, sélectionnez Activer ou désactiver les facteurs. Un panneau des paramètres s'ouvre.
-
Dans le panneau des paramètres Activer ou désactiver les facteurs, sélectionnez chacun des facteurs requis pour accéder à un domaine d'identité.
- (Facultatif) Définissez le nombre maximal de facteurs inscrits que les utilisateurs peuvent configurer.
- (Facultatif) Utilisez la section Appareils sécurisés pour configurer les paramètres des appareils sécurisés.
Comme avec l'option Se souvenir de mon ordinateur, les appareils sécurisés n'obligent pas l'utilisateur à fournir une authentification secondaire à chaque connexion.
- (Facultatif) Sous Règles de connexion, définissez le nombre maximal d'échecs de tentative d'FA à autoriser pour un utilisateur qui effectue de façon incorrecte la vérification d'FA avant verrouillage.
-
Sélectionnez Enregistrer les modifications, puis confirmez la modification.
- (Facultatif) Sélectionnez Modifier en regard des facteurs d'authentification à multiples facteurs que vous avez sélectionnés afin de les configurer individuellement.
-
Assurez-vous que toutes les stratégies de connexion actives autorisent l'authentification en deux étapes :
-
Sélectionnez l'onglet Stratégies de domaine.
-
Sur la page Stratégies de connexion, sélectionnez Stratégie de connexion par défaut.
-
Sur la page Stratégie de connexions par déf., sélectionnez Règles de connexions.
-
Sur la ligne Règle de connexion par déf., sélectionnez le menu et sélectionnez Modifier une règle de connexion.
-
Dans la boîte de dialogue Modifier la règle de connexion, sous Exclure les utilisateurs, excluez-vous ou excluez un autre administrateur de domaine d'identité de cette règle jusqu'à ce que le test soit terminé. Ainsi, au moins un administrateur a toujours accès au domaine d'identité en cas de problème.
-
Sous Actions, sélectionnez Invite de demande d'un facteur supplémentaire et vérifiez que l'option Autoriser l'accès est sélectionnée.
-
Sélectionnez Enregistrer les modifications.
-
Si d'autres stratégies de connexion ont été ajoutées, suivez les étapes précédentes pour chacune de ces stratégies afin de vous assurer que l'authentification à plusieurs facteurs est activée dans toutes les conditions voulues.
Remarque
Les paramètres de la règle de connexion par défaut activent l'FAM globalement. Les paramètres des autres règles de connexion peuvent remplacer la règle de connexion par défaut pour les utilisateurs et les groupes spécifiés par des conditions pour ces règles. Reportez-vous à Gestion des stratégies de mot de passe.
Important
Assurez-vous d'exclure un administrateur de domaine d'identité de chaque stratégie. Ainsi, au moins un administrateur a toujours accès au domaine d'identité en cas de problème.
Définissez Inscription sur Facultatif jusqu'à ce que vous ayez terminé le test de la stratégie de connexion.
-
(Facultatif) Activez des seuils de verrouillage distincts pour les échecs de validation d'authentification à plusieurs facteurs et les tentatives de notification d'authentification à plusieurs facteurs. Pour ce faire, assurez-vous que vous savez effectuer des appels d'API REST.
Remarque Le schéma d'authentification à plusieurs facteurs utilisateur comporte deux nouveaux attributs :
- mfaIncorrectValidationAttempts : suit les tentatives de validation d'authentification à plusieurs facteurs incorrectes effectuées par un utilisateur.
- mfaNotificationAttempts : suit les tentatives de notification d'authentification à plusieurs facteurs effectuées par un utilisateur.
Deux nouveaux attributs sont également ajoutés à AuthenticationFactorSettings :
- maxMfaIncorrectValidationAttempts : nombre maximal de validations d'authentification à plusieurs facteurs incorrectes pouvant être tentées avant le verrouillage d'un compte. Si une valeur est définie pour cet attribut, une valeur doit également être définie pour maxMfaNotificationAttempts. Si cet attribut n'est pas défini, le comportement de verrouillage d'authentification à plusieurs facteurs est déterminé par maxIncorrectAttempts. Si mfaIncorrectValidationAttempts atteint maxMfaIncorrectValidationAttempts, l'utilisateur est verrouillé immédiatement.
- maxMfaNotificationAttempts : nombre maximal de notifications d'authentification à plusieurs facteurs pouvant être tentées avant le verrouillage d'un compte. Si une valeur est définie pour cet attribut, une valeur doit également être définie pour maxMfaIncorrectValidationAttempts. Si cet attribut n'est pas défini, le comportement de verrouillage d'authentification à plusieurs facteurs est déterminé par maxIncorrectAttempts. Si mfaNotificationAttempts atteint maxMfaNotificationAttempts, l'utilisateur est verrouillé la prochaine fois qu'il tente de lancer une notification, afin de lui permettre de s'authentifier à l'aide de la dernière notification d'authentification à plusieurs facteurs.
Mettez à jour AuthenticationFactorSettings pour définir à la fois maxMfaIncorrectValidationAttempts
et maxMfaNotificationAttempts
en effectuant un appel PATCH
sur l'adresse <IDENTITY_DOMAIN_URL>/admin/v1/AuthenticationFactorSettings/AuthenticationFactorSettings
avec les données traitées suivantes :
{
"schemas": [
"urn:ietf:params:scim:api:messages:2.0:PatchOp"
],
"Operations": [
{
"op": "add",
"path": "endpointRestrictions.maxMfaIncorrectValidationAttempts",
"value": 3
},
{
"op": "add",
"path": "endpointRestrictions.maxMfaNotificationAttempts",
"value": 3
}
]
}
La valeur des deux peut varier d'un minimum de 3 à un maximum de 10.
-
Pour tester la configuration, déconnectez-vous de la console, puis connectez-vous en tant qu'utilisateur test.
Vous serez invité à entrer un second facteur.