Documentation Oracle Cloud Infrastructure

Création d'une stratégie de connexion

Ajoutez une stratégie de connexion à un domaine d'identité dans IAM.

Cette tâche permet d'ajouter une stratégie de connexions à l'état Désactivé. Une fois cette tâche terminée, vous devez activer la stratégie pour commencer à l'appliquer dans le domaine d'identité.

Vous pouvez définir les critères suivants pour les stratégies de connexion :

  • Fournisseurs d'identités employés pour authentifier l'utilisateur

  • Groupes dont l'utilisateur est membre

  • Si l'utilisateur est un administrateur de domaine d'identité

  • Si un utilisateur doit être exclu

  • Adresse IP que l'utilisateur emploie pour se connecter au domaine d'identité

  • Si l'utilisateur doit se reconnectez au domaine d'identité (à des fins d'authentification) ou s'il est authentifié à sa prochaine connexion au domaine d'identité

  • Si l'utilisateur est invité à soumettre un autre facteur pour se connecter au domaine d'identité

  1. Sur la page de liste Stratégies de connexion, sélectionnez Créer une stratégie de connexion. Si vous avez besoin d'aide pour trouver la page de liste, reportez-vous à Liste des stratégies de connexion.
  2. Entrez un nom et éventuellement une description pour la stratégie. Evitez de saisir des informations confidentielles.
  3. Sélectionnez Créer une stratégie de connexion.
  4. Dans l'onglet Règles de connexion, sélectionnez Ajouter une règle de connexion.
  5. Ajoutez le nom de la règle de connexion. Evitez de saisir des informations confidentielles.
  6. Sous Conditions, fournissez les informations suivantes :
    • Authentification du fournisseur d'identités (facultatif) : entrez ou sélectionnez tous les fournisseurs d'identités servant à authentifier les comptes utilisateur évalués par cette règle. Si vous laissez ce champ vide, les autres conditions sont utilisées pour l'authentification.
    • Adhésion à un groupe : entrez ou sélectionnez Action, puis Ajouter pour ajouter des groupes dont vous êtes membre afin de répondre aux critères de cette règle.
    • Administrateur : sélectionnez cette option si l'utilisateur doit être affecté à des rôles d'administrateur dans le domaine d'identité pour respecter les critères de cette règle.

      Conserver ma connexion : sélectionnez cette option pour appliquer la règle uniquement si une session de maintien de ma connexion valide existe pour l'utilisateur.

      Pour utiliser cette condition, vous devez activer Conserver ma connexion. Reportez-vous à Modification des réglages de la session.

      La stratégie de connexion prime sur la session Rester connecté. Cela signifie que même si un utilisateur est connecté avec l'option Rester connecté, une fois la session expirée, si la stratégie requiert une nouvelle authentification ou une authentification à plusieurs facteurs, l'utilisateur est invité à se réauthentifier ou à fournir une authentification à plusieurs facteurs.

    • Exclure les utilisateurs : entrez les utilisateurs à exclure de la règle ou sélectionnez-les. Vous devez entrer au moins trois caractères pour lancer une recherche d'utilisateurs.
      Important

      Veillez à exclure un administrateur de domaine d'identité de chaque stratégie, ce qui garantit qu'au moins un administrateur a toujours accès au domaine d'identité en cas de problème.
    • Filtrer par adresse IP client : sélectionnez l'une des options suivantes :

      • Partout : les utilisateurs peuvent se connecter au domaine d'identité à l'aide de n'importe quelle adresse IP.

      • Restreindre aux périmètres réseau suivants : les utilisateurs peuvent se connecter au domaine d'identité à l'aide des adresses IP contenues dans les périmètres réseau définis uniquement. Dans la zone de texte Périmètres réseau, entrez ou sélectionnez les périmètres de réseau définis. Pour plus d'informations, reportez-vous à Création d'un périmètre réseau.

  7. Conditions de sécurité adaptatives : sélectionnez le niveau de risque utilisateur, la plage, le nom du fournisseur de risque, le score de risque et la valeur de risque.
  8. Sous Actions, indiquez si un utilisateur est autorisé à accéder à la console si le compte utilisateur répond aux critères de cette règle.

    Si vous sélectionnez Refuser l'accès, passez à l'étape suivante.

    Si vous sélectionnez Autoriser l'accès, entrez des valeurs pour les options supplémentaires suivantes :

    • Invite pour la réauthentification : basculez le commutateur pour forcer l'utilisateur à saisir à nouveau les informations d'identification pour accéder à l'application affectée, même lorsqu'il existe une session de domaines IAM.
      • Si cette option est sélectionnée, elle empêche l'accès avec connexion unique pour les applications affectées à la stratégie de connexion. Par exemple, un utilisateur authentifié doit se connecter à une nouvelle application.
      • S'il n'est pas sélectionné et que l'utilisateur s'est précédemment authentifié, il peut accéder à l'application à l'aide de sa session SSO existante sans avoir à saisir d'informations d'identification.
    • Invite pour un facteur supplémentaire : basculez le commutateur pour inviter un facteur supplémentaire à se connecter au domaine d'identité.

      Lorsque vous sélectionnez cette option, indiquez s'il faut s'inscrire à l'authentification à plusieurs facteurs et la fréquence à laquelle ce facteur supplémentaire doit être utilisé pour se connecter.

    • Tout facteur ou Facteurs spécifiés uniquement : sélectionnez l'une des options suivantes :
      • N'importe quel facteur : invite l'utilisateur à s'inscrire et à vérifier tout facteur activé dans les paramètres de niveau du locataire de l'authentification à plusieurs facteurs.
      • Facteurs spécifiés : invite uniquement l'utilisateur à s'inscrire et à vérifier un sous-ensemble de facteurs activés dans les paramètres de niveau du locataire de l'authentification à plusieurs facteurs. Une fois les facteurs spécifiés sélectionnés, vous pouvez sélectionner les facteurs qui doivent être appliqués par cette règle.
    • Fréquence : indiquez la fréquence à laquelle les utilisateurs sont invités à saisir un second facteur :
      • Une fois par session ou périphérique sécurisé : pour chaque session que l'utilisateur a ouverte à partir d'un appareil faisant autorité, il doit utiliser son nom utilisateur et son mot de passe, et un second facteur.
      • A chaque fois : chaque fois qu'un utilisateur se connecte à partir d'un appareil sécurisé, il doit utiliser son nom d'utilisateur et son mot de passe, avec un second facteur.
      • Intervalle personnalisé : indiquez la fréquence à laquelle les utilisateurs doivent soumettre un second facteur pour se connecter. Par exemple, si vous voulez que les utilisateurs utilisent ce facteur supplémentaire toutes les deux semaines, sélectionnez 14 pour le nombre et jours pour l'intervalle. Si vous avez configuré l'authentification à plusieurs éléments, ce nombre doit être inférieur ou égal au nombre de jours pendant lequel un appareil peut être sécurisé selon les paramètres d'authentification à plusieurs facteurs. Pour plus d'informations, reportez-vous à la section Gestion de l'authentification multifacteur.
    • Inscription : sélectionnez l'une des options suivantes :
      Important

      Attribuez la valeur Facultatif à Inscription jusqu'à ce que vous ayez terminé de tester la stratégie de connexion.
      • Obligatoire force l'utilisateur à s'inscrire à l'authentification à plusieurs facteurs.
      • Sélectionnez Facultatif pour permettre aux utilisateurs d'ignorer l'inscription à l'authentification à plusieurs facteurs. Les utilisateurs obtiennent le processus de configuration de l'inscription en ligne une fois qu'ils ont saisi leur nom d'utilisateur et son mot de passe, mais ils peuvent sélectionner Ignorer. Les utilisateurs peuvent ensuite activer l'authentification à plusieurs éléments ultérieurement à partir du paramètre Vérification en les 2 étapes dans les paramètres de sécurité de Mon profil. L'utilisateur n'est pas invité à configurer un facteur lors de sa prochaine connexion. Si vous définissez Inscription sur Obligatoire et que vous la remplacez ultérieurement par Facultatif, la modification concerne uniquement de nouveaux utilisateurs. Les utilisateurs déjà inscrits à l'authentification à plusieurs facteurs ne verront pas le processus d'inscription en ligne et ne pourront pas sélectionner Ignorer lors de la connexion.
  9. Sélectionnez Ajouter.
  10. (Facultatif) Sur la page Ajouter les règles d'ouverture de session, sélectionnez de nouveau Ajouter la règle de connexion pour ajouter à cette stratégie une autre règle d'ouverture de session.
    Remarque

    Si vous ajoutez plusieurs règles de connexion à cette stratégie, vous pouvez modifier l'ordre dans lequel elles seront évaluées. Sélectionnez Modifier la priorité, puis utilisez les flèches pour modifier l'ordre des règles.
  11. Dans l'onglet Applications, sélectionnez Ajouter une application pour ajouter des applications à cette stratégie.
  12. Dans le panneau Ajouter une application, sélectionnez les applications à ajouter à la stratégie, puis sélectionnez Ajouter une application.
    Remarque

    Vous pouvez ajouter une application donnée à une seule stratégie de connexion. Si l'application n'est affectée explicitement à aucune stratégie de connexion, la stratégie de connexion par défaut s'applique.

  13. La stratégie de connexion est enregistrée à l'état Désactivé. Lorsque vous avez terminé la création de la stratégie, vous devez l'activer pour l'utiliser.