Authentification à plusieurs facteurs IAM
L'authentification à plusieurs facteurs est une méthode d'authentification qui exige l'utilisation de plusieurs facteurs pour vérifier l'identité d'un utilisateur.
Lorsque l'authentification à plusieurs facteurs est activée, lorsqu'un utilisateur se connecte à une application, il est invité à saisir son nom d'utilisateur et son mot de passe, ce qui est le premier facteur - ce qu'il sait. L'utilisateur doit ensuite passer par un second type de vérification. Les deux facteurs fonctionnent ensemble pour ajouter une couche de sécurité à l'aide d'informations supplémentaires ou d'un second appareil afin de vérifier l'identité de l'utilisateur et de terminer le processus de connexion.
Si vous avez configuré l'authentification à plusieurs facteurs dans un fournisseur d'identités 3e partie (IdP), tel que Microsoft Azure Active Directory (Azure AD) ou Okta, vous n'avez pas besoin de configurer l'authentification à plusieurs facteurs à l'aide d'IAM ou d'Oracle Identity Cloud Service.
Plan d'activation de l'authentification à plusieurs facteurs
Pour améliorer la sécurité, nous avons commencé à prédéfinir la stratégie de connexion "Stratégie de sécurité pour la console OCI" dans toutes les locations. Dès qu'un domaine d'identité ou un stripe Identity Cloud Service a été prédéfini avec la stratégie, vous devez l'activer pour activer l'authentification à plusieurs facteurs pour les utilisateurs disposant de privilèges d'administration.
La stratégie "Stratégie de sécurité pour la console OCI" s'applique à :
- Locations avec des domaines d'identité dans IAM, vers le domaine par défaut et tous les domaines secondaires. Nous activerons automatiquement cette stratégie après le 17 juillet 2023, sauf si vous remplissez l'une des conditions ci-dessous.
- Tous les stripes Identity Cloud Service pour les locations qui utilisent Identity Cloud Service. Nous activerons automatiquement cette stratégie après le 24 juillet 2023, sauf si vous remplissez l'une des conditions ci-dessous.
Découvrez votre type de location
Pour connaître le type de location dont vous disposez, reportez-vous à Détermination du type de location.
Fonctionnement de la "stratégie de sécurité pour la console OCI"
La stratégie de connexion "Stratégie de sécurité pour la console OCI" affecte uniquement l'accès à la console OCI.
Une fois la stratégie activée, tous les utilisateurs locaux doivent utiliser l'authentification à plusieurs facteurs pour se connecter à la console. Les utilisateurs qui ne se connectent pas à la console ne seront pas affectés par cette stratégie
Lorsque nous n'activerons pas automatiquement la politique
Nous n'activerons pas automatiquement la stratégie :
- Si vous avez modifié la stratégie de connexion par défaut
- Si vous disposez déjà d'une stratégie de connexion et que la console OCI lui est explicitement affectée.
- Si un fournisseur d'identités externe actif (SAML/Social ou X.509) est configuré dans le domaine IAM. Cela signifie que les utilisateurs fédérés sont exclus de l'impact de cette stratégie.
- Si vous supprimez la stratégie de sécurité pour la console OCI à l'aide d'une API, nous ne la recréerons pas. Pour supprimer la stratégie à l'aide d'API REST, reportez-vous à Suppression d'une stratégie.
Meilleures pratiques pour l'authentification à plusieurs facteurs IAM
Pour configurer l'authentification à plusieurs facteurs IAM à l'aide des meilleures pratiques, procédez comme suit :
- Déterminez le type de location dont vous disposez. Reportez-vous à la section Determining the Tenancy Type.
- Configurez les meilleures pratiques d'authentification à plusieurs facteurs pour ce type de location à l'aide de l'un des ensembles d'instructions suivants.
- Domaines d'identité sans la stratégie de connexion "Stratégie de sécurité pour la console OCI"
Pour les locations qui utilisent des domaines d'identité, mais qui n'ont pas été prédéfinies avec la stratégie de connexion "Stratégie de sécurité pour la console OCI".
- Domaines d'identité avec la stratégie de connexion "Stratégie de sécurité pour la console OCI"
Pour les locations qui utilisent des domaines d'identité, mais qui ont été prédéfinies avec la stratégie de connexion "Stratégie de sécurité pour la console OCI".
- Locations sans domaine d'identité et sans la stratégie de connexion "Stratégie de sécurité pour la console OCI"
Pour les locations qui utilisent Identity Cloud Service, mais qui n'ont pas été prédéfinies avec la stratégie de connexion "Stratégie de sécurité pour la console OCI".
- Locations sans domaine d'identité et avec la stratégie de connexion "Stratégie de sécurité pour la console OCI"
Pour les locations qui utilisent Identity Cloud Service, mais qui ont été prédéfinies avec la stratégie de connexion "Stratégie de sécurité pour la console OCI".
- Domaines d'identité sans la stratégie de connexion "Stratégie de sécurité pour la console OCI"
- Utilisez Cloud Guard pour rechercher les utilisateurs pour lesquels l'authentification à plusieurs facteurs n'est pas activée.