Fédération IAM

Oracle vous recommande d'utiliser la fédération pour gérer les connexions dans la console.

• La fédération d'identités prend en charge les fournisseurs d'identités compatibles SAML 2.0 et peut être utilisée pour fédérer les utilisateurs et les groupes sur site en utilisateurs et groupes IAM. L'administrateur de l'entreprise doit configurer une approbation de fédération entre le fournisseur d'identités sur site et IAM, en plus de créer une mise en correspondance entre les groupes sur site et les groupes IAM. Les utilisateurs sur site peuvent ensuite se connecter à l'aide d'une connexion unique (SSO) à la console et accéder aux ressources en fonction des autorisations des groupes IAM auxquels ils appartiennent. Pour plus d'informations sur la fédération dans la console, reportez-vous à Fédération avec les fournisseurs d'identités. La fédération est particulièrement importante pour les entreprises qui utilisent des stratégies personnalisées pour l'authentification utilisateur (par exemple, l'authentification à plusieurs facteurs). Pour plus d'informations sur la gestion des utilisateurs et des groupes fédérés, reportez-vous à Fédération avec les fournisseurs d'identités.
• Lorsque vous utilisez la fédération, Oracle vous recommande de créer un groupe d'administrateurs de fédération qui correspond au groupe d'administrateurs de fournisseur d'identités fédéré. Le groupe d'administrateurs de fédération dispose de privilèges d'administration permettant de gérer la location client, tout en étant régi par les mêmes stratégies de sécurité que le groupe d'administrateurs de fournisseur d'identités fédéré. Dans ce scénario, il est conseillé d'avoir accès à l'administrateur de location local (membre du groupe IAM d'administrateurs de location par défaut), pour gérer les scénarios d'accès d'urgence (par exemple, s'il est impossible d'accéder aux ressources via la fédération). Cependant, vous devez empêcher toute utilisation non autorisée de cet administrateur de location local disposant de privilèges élevés. Oracle recommande l'approche suivante pour gérer de manière sécurisée l'administrateur de location :
  1. Créez un utilisateur local appartenant au groupe d'administrateurs de location par défaut.
  2. Créez un mot de passe ou une phrase de passe de console hautement complexe (18 caractères ou plus, avec au moins une lettre en minuscule, une lettre en majuscule, un chiffre et un caractère spécial) pour l'administrateur de location local.
  3. Isolez de manière sécurisée le mot de passe de l'administrateur de location local dans un emplacement sur site (par exemple, mettez le mot de passe dans une enveloppe scellée dans un coffre physique sur site).
  4. Créez des stratégies de sécurité pour accéder au mot de passe déposé uniquement dans des scénarios d'accès d'urgence spécifiques.
  5. Etablissez une stratégie de sécurité IAM pour empêcher le groupe IAM d'administrateurs fédérés d'ajouter ou de modifier l'appartenance au groupe d'administrateurs de location par défaut afin d'éviter les contournements de sécurité.
  6. Surveillez les journaux d'audit pour détecter les accès par administrateur de location par défaut et les modifications apportées au groupe d'administrateurs, afin d'alerter en cas d'actions non autorisées. Pour plus de sécurité, le mot de passe de l'administrateur de location local peut être changé après chaque connexion ou régulièrement, en fonction de la stratégie de mot de passe.

Pour consulter un exemple illustrant la façon dont les différents composants IAM interagissent, reportez-vous à Détails relatifs à Health Checks. Surveillez régulièrement les journaux d'audit pour vérifier les modifications apportées aux utilisateurs, aux groupes, aux stratégies, aux compartiments et aux balises IAM.