Gestion des stratégies de connexion
Cette rubrique explique comment créer, activer, mettre à jour, désactiver et supprimer des stratégies de connexion pour un domaine d'identité.
A propos des stratégies de connexion et des règles de connexion
Une stratégie de connexion utilise des règles de connexion pour définir des critères qui déterminent si un utilisateur doit se connecter à un domaine d'identité ou à une application.
Tous les domaines d'identité sont fournis avec une stratégie de connexion par défaut. Si votre domaine d'identité a été préconfiguré avec la stratégie de connexion à la stratégie de sécurité pour la console OCI, nous vous recommandons d'utiliser cette stratégie. Vous pouvez ajouter d'autres stratégies de connexion selon les besoins. Hiérarchisez les règles de connexion pour une stratégie de connexion afin d'indiquer l'ordre dans lequel les règles doivent être évaluées.
Stratégie de connexion "Par défaut"
Tous les domaines d'identité incluent une stratégie de connexion par défaut active contenant une règle de connexion par défaut.
Par défaut, cette règle de connexion par défaut permet à tous les utilisateurs de se connecter au domaine d'identité avec un nom utilisateur et un mot de passe. Vous pouvez étoffer cette stratégie en ajoutant d'autres règles de connexion. En ajoutant ces règles, vous pouvez empêcher certains de vos utilisateurs de se connecter au domaine d'identité. Vous pouvez également les autoriser à se connecter, mais leur demander de passer par un facteur supplémentaire pour accéder aux ressources protégées par le domaine d'identité, comme la console Oracle Cloud Infrastructure.
Par exemple, vous pouvez créer deux règles de connexion pour la stratégie de connexion par défaut. La première règle empêche les utilisateurs de se connecter au domaine d'identité s'ils utilisent une adresse IP comprise dans la plage d'un périmètre réseau que vous avez défini nommé : Périmètres réseau refusés. La seconde règle exige que les utilisateurs appartenant à un groupe particulier (par exemple, le groupe de développeurs UA) soient invités à soumettre un second facteur dans le cadre du processus de vérification en 2 étapes nommé : groupe de développeurs UA. Tous les autres utilisateurs peuvent se connecter sans second facteur requis.
Pour la règle de connexion par défaut, ne définissez jamais le refus de l'accès pour tous les utilisateurs. Si les utilisateurs ne répondent pas aux critères des autres règles que vous définissez pour leur permettre de se connecter au domaine d'identité, ils ne peuvent pas accéder aux ressources protégées par le domaine d'identité. Par ailleurs, configurez le domaine d'identité de sorte qu'il évalue cette règle de connexion en dernier car, par défaut, elle autorise tous les utilisateurs à se connecter au domaine d'identité.
Stratégie de connexion "Stratégie de sécurité pour la console OCI"
La stratégie de connexion à la stratégie de sécurité pour la console OCI est activée par défaut et préconfigurée avec les meilleures pratiques de sécurité Oracle.
- Les facteurs suivants requis pour cette stratégie de connexion sont déjà activés : code secret d'application mobile, notification d'application mobile, code de contournement et authentificateur FIDO (Fast ID Online).
- L'application OCI Console a été ajoutée à la stratégie.
- La stratégie de connexion est fournie avec deux règles de connexion actives :
- MFA pour les administrateurs : la règle est d'abord classée par ordre de priorité. Cette règle préconfigurée exige que tous les utilisateurs du groupe Administrateurs et tous les utilisateurs disposant d'un rôle d'administrateur s'inscrivent à l'authentification à plusieurs facteurs et qu'ils fournissent un facteur supplémentaire à chaque connexion. Remarque
Vous pouvez enlever cette règle et utiliser la règle MFA pour tous les utilisateurs pour exiger tous les utilisateurs (y compris les administrateurs) qu'ils s'inscrivent à l'authentification à plusieurs facteurs. Vous pouvez également laisser cette règle en place et tous les utilisateurs (y compris les administrateurs) devront toujours s'inscrire à l'authentification à plusieurs facteurs lorsque la règle authentification à plusieurs facteurs pour tous les utilisateurs sera évaluée. - MFA pour tous les utilisateurs : la règle est la deuxième dans l'ordre de priorité. Cette règle préconfigurée exige que tous les utilisateurs s'inscrivent à l'authentification à plusieurs facteurs et qu'ils fournissent un facteur supplémentaire à chaque connexion.Remarque
Si vous ne souhaitez pas exiger l'authentification à plusieurs facteurs pour tous les utilisateurs pour le moment, vous pouvez rendre cette règle facultative et les utilisateurs peuvent s'inscrire à l'authentification à plusieurs facteurs. Vous pouvez également enlever cette règle et conserver l'authentification à plusieurs facteurs pour les administrateurs afin que seuls les administrateurs puissent s'inscrire à l'authentification à plusieurs facteurs.
- MFA pour les administrateurs : la règle est d'abord classée par ordre de priorité. Cette règle préconfigurée exige que tous les utilisateurs du groupe Administrateurs et tous les utilisateurs disposant d'un rôle d'administrateur s'inscrivent à l'authentification à plusieurs facteurs et qu'ils fournissent un facteur supplémentaire à chaque connexion.
Quelle que soit la règle que vous décidez de conserver, excluez au moins un administrateur de la règle. Si vous conservez les deux règles, modifiez-les. Reportez-vous à Ajout d'une stratégie de connexion pour savoir comment exclure des utilisateurs d'une règle de connexion.
Pour configurer l'authentification à plusieurs facteurs à l'aide de la stratégie de connexion à la stratégie de sécurité pour la console OCI, reportez-vous aux meilleures pratiques dans Domaines d'identité avec la stratégie de connexion à la "stratégie de sécurité pour la console OCI".
Stratégies de connexion supplémentaires
Vous pouvez créer des stratégies de connexion et les associer à des applications spécifiques. Lorsqu'un utilisateur se sert de l'une de ces applications pour tenter de se connecter au domaine d'identité, ce dernier vérifie si des stratégies de connexion sont associées à l'application. Si tel est le cas, le domaine d'identité évalue les critères des règles de connexion affectées à la stratégie. Si aucune stratégie de connexion n'existe pour l'application, la stratégie de connexion par défaut est évaluée.
Priorité des règles de connexion pour une stratégie
Etant donné que vous pouvez définir plusieurs règles de connexion pour une stratégie de connexion, le domaine d'identité doit connaître l'ordre d'évaluation des règles. Pour ce faire, vous pouvez définir la priorité des règles.
A l'aide des règles de connexion de l'exemple Default Sign-On Policy ci-dessus, vous pouvez évaluer la règle de connexion Denied Network Perimeters en premier et la règle de connexion UA Developers Group ensuite. Si un utilisateur répond aux critères de la règle de connexion Perimètres réseau refusés (c'est-à-dire que l'adresse IP utilisée pour tenter de se connecter au domaine d'identité est comprise dans la plage d'adresses IP que vous avez définie dans le périmètre réseau), l'utilisateur ne peut pas accéder aux ressources protégées par le domaine d'identité. Si l'utilisateur ne correspond pas aux critères de cette règle, la règle avec la priorité suivante est évaluée. Dans cet exemple, il s'agit de la règle UA Developers Group. Si l'utilisateur est membre du groupe de développeurs UA, il est invité à fournir un facteur supplémentaire pour se connecter au domaine d'identité. Si l'utilisateur n'est pas membre du groupe de développeurs UA, la règle avec la priorité la plus élevée suivante est évaluée. Dans cet exemple, il s'agit de la règle de connexion par défaut. Puisque cette règle autorise par défaut tous les utilisateurs à se connecter au domaine d'identité, l'utilisateur peut se connecter sans être invité à soumettre un second facteur.
Stratégie ou rôle requis
Stratégie ou rôle requis.
- Etre membre du groupe d'administrateurs
- se voient accorder le rôle d'administrateur de domaine d'identité, d'administrateur de sécurité ou d'administrateur d'application ;
- Etre membre d'un groupe disposant des droits d'accès
manage identity-domains
Pour en savoir plus sur les stratégies et les rôles, reportez-vous à Groupe d'administrateurs, stratégie et rôles d'administrateur, à Présentation des rôles d'administrateur et à Présentation des stratégies.