Domaines d'identité avec la stratégie de connexion "Stratégie de sécurité pour la console OCI"

Si vous utilisez l'authentification à plusieurs facteurs dans des locations avec des domaines d'identité avec la stratégie de connexion "Stratégie de sécurité pour la console OCI", nous vous recommandons de configurer l'authentification à plusieurs facteurs à l'aide de cette stratégie de connexion.

Plan d'activation de l'authentification à plusieurs facteurs

Pour améliorer la sécurité, nous avons commencé à prédéfinir la stratégie de connexion "Stratégie de sécurité pour la console OCI" dans toutes les locations. Dès qu'un domaine d'identité a été prédéfini avec la stratégie, vous devez l'activer pour activer l'authentification à plusieurs facteurs pour les utilisateurs disposant de privilèges d'administration.

L'organigramme suivant décrit le processus complet depuis le déploiement de la stratégie, où Oracle lance la prédéfinition de la stratégie, jusqu'à l'étape d'application de la stratégie, au cours de laquelle Oracle activera la stratégie, sauf dans des circonstances spécifiques.

Diagramme présentant les phases de déploiement de la stratégie de sécurité pour la console OCI pour les domaines d'identité dans IAM

  • La stratégie de connexion "Stratégie de sécurité pour la console OCI" affecte uniquement l'accès à la console OCI. Une fois la stratégie activée, tous les utilisateurs locaux doivent utiliser l'authentification à plusieurs facteurs pour se connecter à la console.
  • La stratégie s'applique au domaine par défaut et à tous les domaines secondaires.
Remarque

Nous commencerons à activer automatiquement cette stratégie dans les domaines d'identité après le 17 juillet 2023.

Nous n'activerons pas automatiquement la stratégie :

  • Si vous avez modifié la stratégie de connexion par défaut
  • Si vous disposez déjà d'une stratégie de connexion et que la console OCI lui est explicitement affectée.
  • Si un fournisseur d'identités externe actif (SAML/Social ou X.509) est configuré dans le domaine IAM. Cela signifie que les utilisateurs fédérés sont exclus de l'impact de cette stratégie.
  • Si vous supprimez la stratégie de sécurité pour la console OCI à l'aide d'une API, nous ne la recréerons pas. Pour supprimer la stratégie à l'aide d'API REST, reportez-vous à Suppression d'une stratégie.

Pour activer la stratégie dans un domaine d'identité, reportez-vous à Activation d'une stratégie de connexion.

Une fois activée, elle se présente comme suit sur la page Stratégies de connexion de la console.

Stratégie de sécurité pour la console OCI activée sur la page Stratégies de connexion

Pour en savoir plus sur la stratégie, reportez-vous à A propos de la stratégie de connexion "Stratégie de sécurité pour la console OCI".

Règles d'application de la stratégie de sécurité pour la console OCI pour les domaines d'identité dans IAM

Statut de la stratégie de connexion "Stratégie de sécurité pour la console OCI" Vous avez modifié la stratégie de connexion par défaut Statut de la stratégie de connexion "Stratégie de sécurité pour la console OCI" après activation forcée
Présent et activé Non applicable (vous ne pouvez pas avoir une autre stratégie de connexion active pour la console OCI) Aucune modification
Présent et désactivé Non La stratégie passe à Présent et Activé
Présent et désactivé Oui Aucune modification. Nous ne remplacerons pas votre politique.
supprimé Non applicable. Aucune modification

Configuration de la stratégie de connexion "Stratégie de sécurité pour la console OCI"

Pour configurer la stratégie de connexion "Stratégie de sécurité pour la console OCI", procédez comme suit :

  1. Lisez Prérequis.
  2. Lisez A propos de la stratégie de connexion "Stratégie de sécurité pour la console OCI".
  3. En option et uniquement pendant la période de déploiement, excluez un administrateur de la stratégie. Lorsque vous êtes certain que vos utilisateurs ont configuré l'authentification à plusieurs facteurs pour leurs comptes, ajoutez-le de nouveau à la "stratégie de sécurité pour la console OCI". Reportez-vous à Exclusion temporaire d'un administrateur de la stratégie de connexion "Stratégie de sécurité pour la console OCI".
    Remarque

    Le fait qu'un utilisateur puisse se connecter sans authentification à plusieurs facteurs représente un risque pour la sécurité. Par conséquent, si vous choisissez de le faire, faites-le aussi rapidement que possible.
  4. Découvrez comment vous inscrire à l'authentification à plusieurs facteurs à l'aide d'un code secret d'application mobile ou d'une notification d'application mobile. Voir Terminer l'inscription à l'authentification à plusieurs facteurs.

Prérequis

Avant de commencer : avant de configurer l'authentification à plusieurs facteurs, respectez les prérequis suivants. Ignorez les prérequis que vous avez déjà remplis.

  1. Examinez les facteurs d'authentification à plusieurs facteurs. Les facteurs d'authentification à plusieurs facteurs disponibles dépendent du type de domaine d'identité dont vous disposez. Le type de domaine apparaît sur la page Domaines de la location. Pour plus d'informations sur l'authentification à plusieurs facteurs et les types de domaine, reportez-vous à Disponibilité des fonctionnalités pour les types de domaine d'identité.
  2. Consultez la documentation relative à l'utilisation de l'application Oracle Mobile Authenticator pour en savoir plus sur l'utilisation de la notification d'application mobile et du code secret d'application mobile dans l'application Oracle Mobile Authenticator.
  3. Eventuellement, et uniquement pendant la période de déploiement, excluez un administrateur de domaine d'identité de la stratégie "Stratégie de sécurité pour la console OCI". Par conséquent, si vous faites des erreurs lors du déploiement, vous ne vous êtes pas verrouillé hors de la console.

    Dès que le déploiement est terminé et que vous êtes certain que vos utilisateurs ont tous configuré l'authentification à plusieurs facteurs et peuvent accéder à la console, vous pouvez supprimer ce compte utilisateur.

  4. Identifiez tous les groupes Identity Cloud Service mis en correspondance avec des groupes OCI IAM. (Remarque : locations migrées uniquement.)
  5. Inscrivez une application client avec un rôle d'administrateur de domaine d'identité afin d'activer l'accès à votre domaine d'identité à l'aide de l'API REST au cas où votre configuration de stratégie de connexion vous verrouillerait. Si vous n'enregistrez pas cette application client et qu'une configuration de stratégie de connexion restreint l'accès pour tous, tous les utilisateurs sont bloqués hors du domaine d'identité jusqu'à ce que vous contactions le support technique Oracle. Pour plus d'informations sur l'inscription d'une application client, reportez-vous à Enregistrement d'une application client.
  6. Créez un code de contournement et stockez-le dans un emplacement sécurisé. Reportez-vous à la section Generating a Bypass Code.

A propos de la stratégie de connexion "Stratégie de sécurité pour la console OCI"

La stratégie de connexion à la stratégie de sécurité pour la console OCI est activée par défaut et préconfigurée avec les meilleures pratiques de sécurité Oracle.

Si vous modifiez les règles de cette stratégie, vous ne suivez plus les meilleures pratiques de sécurité Oracle.

  • Les facteurs suivants requis pour cette stratégie de connexion sont déjà activés : code secret d'application mobile, notification d'application mobile, code de contournement et authentificateur FIDO (Fast ID Online).
  • L'application de console a été ajoutée à la stratégie.
  • La stratégie de connexion est fournie avec deux règles de connexion actives :

    Règles de la stratégie de sécurité pour la stratégie de connexion à la console OCI

    • authentification à plusieurs facteurs pour les administrateurs : la règle est prioritaire. Cette règle préconfigurée exige que tous les utilisateurs du groupe Administrateurs et tous les utilisateurs dotés d'un rôle d'administrateur s'inscrivent à l'authentification à plusieurs facteurs et fournissent un facteur supplémentaire à chaque connexion à la console OCI.
    • AMF pour tous les utilisateurs : la règle est deuxième dans l'ordre de priorité. Cette règle préconfigurée requiert que tous les utilisateurs s'inscrivent à l'authentification à plusieurs facteurs et fournissent un facteur supplémentaire chaque fois qu'ils se connectent à la console.

Exclure temporairement un administrateur de la stratégie de connexion "Stratégie de sécurité pour la console OCI"

Il est recommandé de ne pas modifier la stratégie de connexion "Stratégie de sécurité pour la console OCI". Toutefois, vous pouvez le faire lors du déploiement. Vous pouvez exclure temporairement un compte d'administrateur si vous apportez des modifications qui vous verrouillent hors de la console OCI. Une fois le déploiement terminé et que l'authentification à plusieurs facteurs est configurée pour permettre aux utilisateurs d'accéder à la console OCI, rétablissez cette modification.
  1. Décidez de l'administrateur que vous allez exclure temporairement de la "stratégie de sécurité pour la console OCI", créez un groupe et affectez-lui l'utilisateur.
  2. Créez une règle qui n'utilise pas l'authentification à plusieurs facteurs et affectez-lui le groupe.
  3. Faites de cette règle la première de la stratégie "Stratégie de sécurité pour la console OCI".
Remarque

Une fois le déploiement terminé, tous les utilisateurs ont configuré l'authentification à plusieurs facteurs, et il y a moins de chances de commettre une erreur qui pourrait vous verrouiller hors de la console OCI, annulez ces étapes et restaurez l'état non modifié de la stratégie "Stratégie de sécurité pour la console OCI".
  1. Créez un groupe et affectez-lui l'utilisateur à exclure. Reportez-vous aux sections Création d'un groupe et Ajout d'utilisateurs à un groupe.
  2. Créez une règle de connexion.
    1. Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines.

    2. Sélectionnez le nom du domaine d'identité dans lequel vous souhaitez travailler. Il est possible que vous deviez changer de compartiment pour trouver le domaine souhaité.
    3. Dans la liste des stratégies de connexion, cliquez sur Stratégie de sécurité pour la console OCI.
    4. Cliquez sur Ajouter une règle de connexion.
    5. Attribuez un nom à la règle.
    6. Pour Appartenance à un groupe, sélectionnez le groupe que vous venez de créer.
    7. Cliquez sur Ajouter une règle de connexion.
      La nouvelle règle est ajoutée à la liste des règles de la stratégie "Stratégie de sécurité pour la console OCI".
  3. Faites de la nouvelle règle la première de la stratégie "Stratégie de sécurité pour la console OCI".
    1. Sur la page de détails de la stratégie, cliquez sur Modifier la priorité.
    2. Utilisez les flèches pour modifier la priorité des règles de connexion.
    3. Cliquez sur Enregistrer les modifications.
Lorsque cet utilisateur se connecte, la première règle est appliquée et il n'est pas nécessaire d'utiliser l'authentification à plusieurs facteurs pour s'authentifier.

Dès que vous êtes certain que tous les utilisateurs ont configuré l'authentification à plusieurs facteurs et qu'il n'y a aucune chance de vous verrouiller accidentellement hors de la console OCI, supprimez la nouvelle règle afin que la stratégie "Stratégie de sécurité pour la console OCI" revienne à son état non modifié.

Pour supprimer la règle :

  1. Sur la page Stratégies de connexion, cliquez sur Stratégie de sécurité pour la console OCI.
  2. Cochez la case correspondant à la nouvelle règle, puis cliquez sur Enlever la règle de connexion.

Désormais, tous les utilisateurs doivent utiliser l'authentification à plusieurs facteurs pour se connecter à la console OCI.

Fin de l'inscription à l'authentification à plusieurs facteurs

Une fois la stratégie de connexion "Stratégie de sécurité pour la console OCI" activée, toute personne se connectant à la console OCI sera invitée à terminer l'inscription à l'authentification à plusieurs facteurs à l'aide d'Oracle Mobile Authenticator (OMA).

Vous, ainsi que tous les autres utilisateurs qui se connectent à la console OCI, verrez un écran similaire à cet exemple.

Cliquez sur Activer la vérification sécurisée et suivez les instructions fournies dans Utilisation de l'application Oracle Mobile Authenticator.

Capture d'écran illustrant l'écran d'inscription à l'authentification à plusieurs facteurs.