Documentation Oracle Cloud Infrastructure

Création d'une stratégie de connexion

Ajoutez une stratégie de connexion à un domaine d'identité dans IAM.

Cette tâche permet d'ajouter une stratégie de connexion à l'état Désactivé. Une fois cette tâche terminée, vous devez activer la stratégie pour commencer à l'appliquer dans le domaine d'identité.

Vous pouvez définir les critères suivants pour les stratégies de connexion :

  • Fournisseurs d'identités à utiliser pour authentifier l'utilisateur

  • Groupes dont l'utilisateur est membre

  • Si l'utilisateur est un administrateur de domaine d'identité

  • Si un utilisateur doit être exclu

  • Adresse IP que l'utilisateur emploie pour se connecter au domaine d'identité

  • Si l'utilisateur est contraint de se reconnecter au domaine d'identité (à des fins d'authentification) ou s'il est authentifié lors de sa prochaine connexion au domaine d'identité

  • Si l'utilisateur est invité à demander un autre facteur pour se connecter au domaine d'identité

Pour ajouter une stratégie de connexion, procédez comme suit :

  1. Ouvrez le menu de navigation et cliquez sur Sécurité des identités. Sous Identité, cliquez sur Domaines.
  2. Cliquez sur le nom du domaine d'identité dans lequel vous souhaitez travailler. Il est possible que vous deviez changer de compartiment pour trouver le domaine souhaité.
  3. Cliquez sur Sécurité, puis sur Stratégies de connexion.
  4. Cliquez sur Créer une stratégie de connexion.
  5. Entrez le nom et la description facultative de la stratégie. Evitez de saisir des informations confidentielles.
  6. Cliquez sur Ajouter une stratégie.

    La stratégie de connexion est enregistrée dans un état désactivé. Lorsque vous avez terminé de créer la stratégie, vous devez l'activer pour l'utiliser.

  7. Sur la page Ajouter des règles de connexion, cliquez sur Ajouter une règle de connexion.
  8. Ajoutez un nom pour la règle de connexion. Evitez de saisir des informations confidentielles.
  9. Sous Conditions, fournissez les informations suivantes :
    • Authentification du fournisseur d'identités (facultatif) : entrez ou sélectionnez tous les fournisseurs d'identités utilisés pour authentifier les comptes utilisateur évalués par cette règle. Si vous laissez ce champ vide, les autres conditions sont utilisées pour l'authentification.
    • Appartenance à un groupe : entrez ou sélectionnez les groupes dont l'utilisateur doit être membre pour répondre aux critères de cette règle. Vous devez entrer au moins trois caractères pour lancer une recherche de groupes.
    • Administrateur : si l'utilisateur doit être affecté à des rôles d'administrateur dans le domaine d'identité pour respecter les critères de cette règle, cochez cette case.

    • Rester connecté : sélectionnez cette option pour appliquer la règle uniquement s'il existe une session Rester connecté valide pour l'utilisateur.

      Pour utiliser cette condition, vous devez activer Garder ma connexion. Reportez-vous à la section Modification des paramètres de session.

      La stratégie de connexion prime sur la session Rester connecté. Cela signifie que même si un utilisateur est connecté avec l'option Rester connecté, une fois la session expirée, si la stratégie requiert une nouvelle authentification ou une authentification à plusieurs facteurs, l'utilisateur est invité à se réauthentifier ou à fournir une authentification à plusieurs facteurs.

    • Exclure des utilisateurs : entrez ou sélectionnez les utilisateurs à exclure de la règle. Vous devez entrer au moins trois caractères pour lancer une recherche d'utilisateurs.
      Important

      Veillez à exclure un administrateur de domaine d'identité de chaque stratégie, ce qui garantit qu'au moins un administrateur a toujours accès au domaine d'identité en cas de problème.
    • Filtrer par adresse IP client : sélectionnez l'une des options suivantes :

      • Partout : les utilisateurs peuvent se connecter au domaine d'identité à l'aide de l'adresse IP de leur choix.

      • Restreindre aux périmètres réseau suivants : les utilisateurs peuvent se connecter au domaine d'identité uniquement à l'aide des adresses IP contenues dans les périmètres réseau définis. Dans la zone de texte Périmètres réseau, entrez ou sélectionnez les périmètres réseau que vous avez définis. Pour plus d'informations, reportez-vous à Création d'un périmètre réseau.

  10. Sous Actions, indiquez si un utilisateur est autorisé à accéder à la console si le compte utilisateur répond aux critères de cette règle.

    Si vous sélectionnez Refuser l'accès, passez à l'étape suivante.

    Si vous sélectionnez Autoriser l'accès, entrez des valeurs pour les options supplémentaires suivantes :

    • Invite de réauthentification : cochez cette case pour forcer l'utilisateur à saisir à nouveau des informations d'identification afin d'accéder à l'application affectée même en cas de session de domaines IAM existante.
      • Si cette option est sélectionnée, elle empêche l'accès avec connexion unique (SSO) pour les applications affectées à la stratégie de connexion. Par exemple, un utilisateur authentifié doit se connecter à une nouvelle application.
      • Si cette option n'est pas sélectionnée et que l'utilisateur s'est précédemment authentifié, il peut accéder à l'application à l'aide de sa session SSO existante sans avoir à saisir d'informations d'identification et de connexion.
    • Invite de demande d'un facteur supplémentaire : cochez cette case pour inviter l'utilisateur à saisir un facteur supplémentaire pour se connecter au domaine d'identité.

      Si vous cochez cette case, vous devez indiquer si l'utilisateur doit s'inscrire à l'authentification à plusieurs facteurs, ainsi que la fréquence à laquelle ce facteur supplémentaire doit être utilisé pour se connecter.

    • Tous les facteurs ou Facteurs spécifiés uniquement : sélectionnez l'une des options suivantes :
      • N'importe quel facteur : invite l'utilisateur à s'inscrire et à vérifier tout facteur activé dans les paramètres d'authentification à plusieurs facteurs au niveau du locataire.
      • Facteurs spécifiés : invite uniquement l'utilisateur à s'inscrire et à vérifier un sous-ensemble de facteurs activés dans les paramètres d'authentification à plusieurs facteurs au niveau du locataire. Une fois que vous avez sélectionné Facteurs spécifiés, sélectionnez les facteurs devant être appliqués par cette règle.
    • Fréquence : indiquez la fréquence à laquelle les utilisateurs sont invités à saisir un deuxième facteur :
      • Une fois par session ou par appareil sécurisé : pour chaque session que l'utilisateur a ouverte à partir d'un appareil faisant autorité, il doit utiliser à la fois son nom utilisateur et son mot de passe, ainsi qu'un second facteur.
      • A chaque fois : chaque fois qu'un utilisateur se connecte à partir d'un appareil sécurisé, il doit utiliser son nom utilisateur et son mot de passe, ainsi qu'un second facteur.
      • Intervalle personnalisé : indiquez la fréquence à laquelle les utilisateurs doivent fournir un second facteur pour se connecter. Par exemple, si vous voulez que les utilisateurs utilisent ce facteur supplémentaire toutes les deux semaines, cliquez sur 14 pour le nombre et sélectionnez jours pour intervalle. Si vous avez configuré l'authentification à distance, ce nombre doit être inférieur ou égal au nombre de jours pendant lesquels un appareil peut être sécurisé selon les paramètres d'authentification à distance. Pour plus d'informations, reportez-vous à Gestion de l'authentification à facteurs multiples.
    • Inscription : Sélectionnez l'une des options suivantes :
      Important

      Définissez Inscription sur Facultatif jusqu'à ce que vous ayez terminé le test de la stratégie de connexion.
      • Obligatoire oblige l'utilisateur à s'inscrire à l'authentification à plusieurs facteurs.
      • Sélectionnez Facultatif pour permettre aux utilisateurs d'ignorer l'inscription à l'authentification à plusieurs facteurs. Les utilisateurs voient le processus incorporé de configuration de l'inscription une fois qu'ils ont saisi leur nom utilisateur et leur mot de passe, mais ils peuvent cliquer sur ignorer. Les utilisateurs peuvent l'activer ultérieurement à partir du paramètre Vérification en 2 étapes dans les paramètres de sécurité de Mon profil. Les utilisateurs ne sont pas invités à configurer un facteur lors de leur prochaine connexion. Si vous définissez Inscription sur Obligatoire et que vous passez ultérieurement sur Facultatif, la modification ne concerne que les nouveaux utilisateurs. Les utilisateurs déjà inscrits à l'authentification à plusieurs facteurs ne verront pas le processus d'inscription intégré et ne pourront pas cliquer sur Ignorer lors de la connexion
  11. Cliquez sur Ajouter des règles de connexion.
  12. (Facultatif) Sur la page Ajouter des règles de connexion, cliquez à nouveau sur Ajouter une règle de connexion pour ajouter une autre règle de connexion à cette stratégie. Sinon, cliquez sur Suivant.
    Remarque

    Si vous avez ajouté plusieurs règles de connexion à cette stratégie, vous pouvez modifier leur ordre d'évaluation. Cliquez sur Modifier la priorité, puis utilisez les flèches pour modifier l'ordre des règles.
  13. Sur la page Ajouter des applications, cliquez sur Ajouter une application pour ajouter des applications à cette stratégie.
  14. Dans le panneau Ajouter une application, cochez la case de chaque application à ajouter à la stratégie. Ensuite, cliquez sur Ajouter une application.
    Remarque

    Vous pouvez ajouter une application donnée à une seule stratégie de connexion. Si l'application n'est affectée explicitement à aucune stratégie de connexion, la stratégie de connexion par défaut s'applique.

  15. Lorsque vous êtes prêt, cliquez sur Fermer. La page de détails de la stratégie de connexion apparaît.