Documentation Oracle Cloud Infrastructure

Locations sans domaine d'identité et sans la stratégie de connexion "Stratégie de sécurité pour la console OCI"

Si vous utilisez l'authentification à plusieurs facteurs dans des locations sans domaine d'identité et sans stratégie de connexion "Stratégie de sécurité pour la console OCI" et Oracle Identity Cloud Service en tant que fournisseur d'identités fédéré automatiquement (IdP) dans IAM, nous vous recommandons de configurer l'authentification à plusieurs facteurs à l'aide des meilleures pratiques Oracle suivantes.

Pour configurer l'authentification à plusieurs facteurs sans domaine d'identité, procédez comme suit :

  1. Lisez Prérequis.
  2. Activer l'authentification à plusieurs facteurs. Reportez-vous à Etape 1 : activation de l'authentification à plusieurs facteurs sans domaine d'identité.
  3. Créez une stratégie de connexion. Reportez-vous à Etape 2 : création d'une stratégie de connexion.

Prérequis

Avant de commencer : avant de configurer l'authentification à plusieurs facteurs, respectez les prérequis suivants.

  1. Examinez les facteurs d'authentification à plusieurs facteurs. Les facteurs d'authentification à plusieurs facteurs disponibles dépendent du type de licence dont vous disposez. Le type de licence apparaît en haut à droite de la console Identity Cloud Service. Pour plus d'informations sur l'authentification à plusieurs facteurs et les types de licence, reportez-vous à A propos des modèles de tarification Oracle Identity Cloud Service.
  2. Consultez la documentation relative à l'utilisation de l'application Oracle Mobile Authenticator en tant que méthode d'authentification pour en savoir plus sur l'utilisation de la notification d'application mobile et du code secret d'application mobile dans l'application Oracle Mobile Authenticator.
  3. Eventuellement, et uniquement pendant la période de déploiement, excluez un administrateur de domaine d'identité de la stratégie "Stratégie de sécurité pour la console OCI". Par conséquent, si vous faites des erreurs lors du déploiement, vous ne vous êtes pas verrouillé hors de la console.

    Dès que le déploiement est terminé et que vous êtes certain que vos utilisateurs ont tous configuré l'authentification à plusieurs facteurs et peuvent accéder à la console, vous pouvez supprimer ce compte utilisateur.

  4. Identifiez tous les groupes Identity Cloud Service mis en correspondance avec des groupes OCI IAM.
  5. Inscrivez une application client avec le rôle Administrateur de domaine d'identité pour permettre l'accès à votre domaine d'identité à l'aide de l'API REST au cas où votre configuration de stratégie de connexion vous verrouillerait. Si vous n'enregistrez pas cette application client et qu'une configuration de stratégie de connexion restreint l'accès pour tous, tous les utilisateurs sont bloqués hors du domaine d'identité jusqu'à ce que vous contactions le support technique Oracle. Pour plus d'informations sur l'inscription d'une application client, reportez-vous à Inscription d'une application client dans Utilisation des API REST Oracle Identity Cloud Service avec Postman.
  6. Créez un code de contournement et stockez-le dans un emplacement sécurisé. Reportez-vous à Génération et utilisation du code de contournement.
Etape 1 : activation de l'authentification à plusieurs facteurs sans domaine d'identité

Activez les paramètres d'authentification à plusieurs facteurs et les stratégies de conformité qui définissent les facteurs d'authentification à autoriser, puis configurez ces derniers.

Remarque

Activez l'authentification à plusieurs facteurs pour tous les stripes Identity Cloud Service configurés en tant que fournisseur d'identités (IdP) dans OCI IAM. Vous n'avez pas besoin d'activer l'authentification à plusieurs facteurs pour les stripes Identity Cloud Service qui ne sont pas configurés en tant que IdP dans OCI IAM.

  1. Connectez-vous à la console dans une location sans domaine d'identité à l'aide de vos informations d'identification d'administrateur de domaine d'identité.
    Remarque

    Pour la plupart des locations, le fournisseur d'identités (IdP) est nommé OracleIdentityCloudService. Si vous avez configuré un autre fichier IdP de 3e partie, tel que Microsoft Azure Active Directory (Azure AD) ou Okta, choisissez-en un.
  2. Dans la console, ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Fédération. La liste de tous les éléments IdPs externes configurés pour OCI IAM apparaît.
  3. Cliquez sur le nom de votre fédération Oracle Identity Cloud Service IdP, par exemple, OracleIdentityCloudService. La page de détails du fournisseur d'identités s'affiche.
  4. Cliquez sur l'URL de la console Oracle Identity Cloud Service. La console Oracle Identity Cloud Service apparaît.
  5. Dans la console Oracle Identity Cloud Service, développez le volet de navigation, cliquez sur Sécurité, puis sur AMF.
  6. (Obligatoire) Sous Sélectionner les facteurs à activer, sélectionnez chacun des facteurs que les utilisateurs doivent pouvoir sélectionner.
    Remarque

    Les facteurs d'authentification à plusieurs facteurs disponibles dépendent du type de licence dont vous disposez. Le type de licence apparaît en haut à droite de la console Identity Cloud Service. Pour plus d'informations sur l'authentification à plusieurs facteurs et les types de licence, reportez-vous à A propos des modèles de tarification Oracle Identity Cloud Service.

    Remarque

    Nous vous recommandons d'utiliser les authentificateurs d'authentification à plusieurs facteurs résistants au phishing suivants :

    • Code secret d'application mobile et notification d'application mobile (inclus dans le niveau de tarification Foundation)

    • Fast ID Online (FIDO) (inclus dans le niveau de tarification Standard)

    Reportez-vous à Utilisation de l'application Oracle Mobile Authenticator en tant que méthode d'authentification pour savoir comment utiliser la notification d'application mobile et le code secret d'application mobile dans l'application Oracle Mobile Authenticator.

    Pour plus d'informations sur les authentificateurs d'authentification à plusieurs facteurs, reportez-vous à Configuration des facteurs d'authentification.

  7. (Obligatoire) Activez toujours Ignorer le code afin que les administrateurs puissent générer un code secret à usage unique en tant que deuxième facteur si les utilisateurs perdent leur authentificateur externe, tel que leur application mobile ou leur clé FIDO.
  8. (Facultatif) Utilisez la section Périphérique(s) de confiance pour configurer les paramètres de périphérique de confiance.
    Remarque

    Comme pour "se souvenir de mon ordinateur", les appareils sécurisés n'exigent pas de l'utilisateur une authentification secondaire à chaque connexion (pour une période définie).
  9. (Facultatif) Dans la section Facteurs, définissez le nombre maximal de facteurs inscrits que les utilisateurs peuvent configurer.
  10. (Facultatif) Dans la section Règles de connexion, définissez le nombre maximal d'échecs de tentative d'FA à autoriser pour un utilisateur qui effectue de façon incorrecte la vérification d'FA avant verrouillage.
  11. Cliquez sur Enregistrer, puis sur OK dans la fenêtre Confirmation.
  12. (Facultatif) Cliquez sur Configurer pour les facteurs d'AMF que vous avez sélectionnés afin de les configurer individuellement.

Procédure suivante : créez une stratégie de connexion. Reportez-vous à Etape 2 : création d'une stratégie de connexion.

Etape 2 : Créer une stratégie de connexion

Créez une stratégie de connexion, ajoutez une règle pour l'authentification à plusieurs facteurs, définissez la priorité de cette règle comme première règle évaluée par le domaine d'identité, ajoutez l'application OCI -V2-App-<TenancyName> à la nouvelle stratégie, activez la stratégie et testez-la.

  1. Dans la console Identity Cloud Service, développez le volet de navigation, cliquez sur Sécurité, puis sur Stratégies de connexion. La stratégie de connexion par défaut et les autres stratégies de connexion que vous avez définies sont répertoriées.
  2. Cliquez sur Ajouter.
  3. Ajoutez un nom de règle et une description. Pour le nom, entrez Protect OCI Console Access.
  4. Cliquez sur Suivant. Maintenant, ajoutez des règles de connexion à cette stratégie.
  5. Dans le panneau Règles de connexion de l'assistant, cliquez sur Ajouter pour ajouter une règle de connexion à cette stratégie.
  6. Utilisez le tableau suivant pour configurer la nouvelle règle d'authentification à plusieurs facteurs.
    Remarque

    Vous pouvez créer d'autres règles de connexion selon vos besoins, puis les hiérarchiser pour indiquer les règles à traiter en premier. L'évaluation s'arrête à la première règle de mise en correspondance. En l'absence de règle correspondante, l'accès est refusé.
    Champ Description
    Nom de règle Entrer un nom. Entrez le nom de la règle de connexion. Par exemple, nommez-le Protect OCI Console Access pour activer l'authentification à plusieurs facteurs pour tous les utilisateurs. Ou nommez-le Enable MFA for Administrators pour activer l'authentification à plusieurs facteurs pour les administrateurs.
    Si l'utilisateur est authentifié par Entrez ou sélectionnez tous les fournisseurs d'identités servant à authentifier les comptes utilisateur évalués par cette règle.
    Et est membre de ces groupes

    Activez l'authentification à plusieurs facteurs pour tous les utilisateurs en saisissant ou en sélectionnant les groupes dont les utilisateurs doivent être membres pour répondre aux critères de cette règle.

    Si vous ne pouvez pas activer l'authentification à plusieurs facteurs pour tous les utilisateurs pour le moment, nous vous recommandons d'activer l'authentification à plusieurs facteurs pour tous les groupes Identity Cloud Service mis en correspondance avec des groupes OCI IAM.

    Remarque : si vous laissez Et si vous êtes membre de ces groupes vide et désélectionnez Et si vous êtes administrateur, tous les utilisateurs sont inclus dans cette règle.
    Et est un administrateur

    Les utilisateurs affectés aux rôles d'administrateur dans le domaine d'identité sont inclus dans cette règle.

    Meilleure pratique. Utilisez Et est membre de ces groupes pour activer l'authentification à plusieurs facteurs pour tous les utilisateurs ou, au moins, tous les administrateurs. Si vous ne pouvez pas activer l'authentification à plusieurs facteurs pour tous les utilisateurs ou administrateurs pour le moment à l'aide de l'appartenance à un groupe, sélectionnez Et est un administrateur pour inclure les administrateurs dans cette règle.

    Important : si vous créez une règle pour les administrateurs uniquement, vous devez créer une deuxième règle sans authentification à plusieurs facteurs pour que les non-administrateurs puissent se connecter. Si la deuxième règle n'est pas créée, l'accès à la console est bloqué pour les non-administrateurs.
    Et n'est pas l'un de ces utilisateurs

    Meilleure pratique. La meilleure pratique consiste à ne pas exclure les utilisateurs. Toutefois, lorsque vous configurez l'authentification à plusieurs facteurs, vous pouvez exclure temporairement un compte d'administrateur si vous apportez des modifications qui vous verrouillent hors de la console OCI. Une fois le déploiement terminé et que l'authentification à plusieurs facteurs est configurée pour que vos utilisateurs puissent accéder à la console OCI, rétablissez cette modification afin qu'aucun utilisateur ne soit exclu de la règle.

    Pour obtenir la liste des prérequis, reportez-vous à Locations sans domaine d'identité et avec la stratégie de connexion "Stratégie de sécurité pour la console OCI".
    Et l'adresse IP client de l'utilisateur est Deux options sont associées à ce champ : Partout et Limiter aux périmètres réseau suivants.

    • Si vous sélectionnez Partout, les utilisateurs peuvent se connecter au domaine d'identité à l'aide de n'importe quelle adresse IP.

    • Si vous sélectionnez Limiter aux périmètres réseau suivants, la zone de texte Perimètres réseau apparaît. Dans cette zone de texte, entrez ou sélectionnez les périmètres réseau définis. Les utilisateurs peuvent se connecter au domaine d'identité uniquement à l'aide des adresses IP contenues dans les périmètres réseau définis.
    L'accès est

    Indiquez si un utilisateur est autorisé à accéder à la console si le compte utilisateur répond aux critères de cette règle.

    Meilleure pratique. Choisissez Autorisé.
    Invite de réauthentification

    Cochez cette case pour forcer l'utilisateur à saisir à nouveau les informations d'identification afin d'accéder à l'application affectée, même en cas de session de domaine d'identité existante.

    Lorsque cette option est sélectionnée, elle empêche l'accès avec connexion unique pour les applications affectées à la stratégie de connexion. Par exemple, un utilisateur authentifié doit se connecter à une nouvelle application.

    S'il n'est pas sélectionné et que l'utilisateur s'est déjà authentifié, il peut accéder à l'application à l'aide de sa session SSO existante sans avoir à saisir d'informations d'identification.

    Meilleure pratique. Désactivez l'option Invite de réauthentification.
    Invite de demande d'un facteur supplémentaire

    Cochez cette case pour inviter l'utilisateur à soumettre un facteur supplémentaire pour se connecter au domaine d'identité.

    Si vous cochez cette case, vous devez indiquer si l'utilisateur doit s'inscrire à l'authentification à plusieurs facteurs, ainsi que la fréquence à laquelle ce facteur supplémentaire doit être utilisé pour se connecter.

    Sélectionnez N'importe quel facteur pour inviter l'utilisateur à s'inscrire et vérifier tout facteur activé dans les paramètres d'authentification à jour au niveau du locataire.

    Sélectionnez Facteur spécifique pour inviter l'utilisateur à s'inscrire et vérifier un sous-ensemble de facteurs activés dans les paramètres d'automatisation de la force de vente au niveau du locataire. Une fois que vous avez sélectionné Facteur spécifique, vous pouvez sélectionner les facteurs devant être appliqués par cette règle.

    Meilleure pratique. Choisissez Facteur spécifique, puis choisissez tous les facteurs à l'exception de Courriel ou Appel téléphonique.

    Activez toujours Code de contournement.
    Fréquence

    Meilleure pratique. Choisissez Chaque fois.

    • Sélectionnez Une fois par session ou par appareil sécurisé afin que, pour chaque session ouverte par l'utilisateur à partir d'un appareil fiable, le nom utilisateur et le mot de passe, et un second facteur doivent être fournis.

    • Sélectionnez A chaque fois afin que, chaque fois que les utilisateurs se connectent à partir d'un appareil sécurisé, leur nom utilisateur et leur mot de passe, et un second facteur doivent être fournis. Meilleure pratique. Choisissez Chaque fois.

    • Sélectionnez Intervalle personnalisé, puis indiquez la fréquence à laquelle les utilisateurs doivent soumettre un second facteur pour se connecter. Par exemple, si vous voulez que les utilisateurs utilisent ce facteur supplémentaire toutes les deux semaines, cliquez sur Nombre, entrez 14 dans le champ de texte, puis cliquez sur le menu déroulant Intervalle pour sélectionner Jours. Si vous avez configuré l'authentification à plusieurs facteurs, ce nombre doit être inférieur ou égal au nombre de jours pendant lesquels un appareil peut être sécurisé selon les paramètres d'authentification à plusieurs facteurs. .
    Inscription

    Ce menu contient deux options : Obligatoire et Facultatif.

    • Sélectionnez requis pour forcer l'utilisateur à s'inscrire à l'authentification à plusieurs facteurs.

    • Sélectionnez Facultatif pour laisser aux utilisateurs la possibilité de ne pas s'inscrire à l'authentification à plusieurs facteurs. Les utilisateurs voient le processus incorporé de configuration de l'inscription une fois qu'ils ont saisi leur nom utilisateur et leur mot de passe, mais ils peuvent cliquer sur Sauter. Les utilisateurs peuvent activer l'FA ultérieurement à partir du paramètre Vérification en 2 étapes dans les paramètres de sécurité de mon profil. Les utilisateurs ne sont pas invités à configurer un facteur lors de leur prochaine connexion.

    • Remarque : Si vous définissez Inscription sur Obligatoire et que vous passez ultérieurement sur la valeur Facultatif, la modification concerne uniquement les nouveaux utilisateurs. Les utilisateurs déjà inscrits à l'authentification à plusieurs facteurs n'obtiennent pas le processus d'inscription incorporé et ne peuvent pas cliquer sur Sauter lors de la connexion.
  7. Cliquez sur Enregistrer.
    Remarque

    Si vous créez une règle d'authentification à plusieurs facteurs pour les administrateurs uniquement, vous devez créer une deuxième règle sans authentification à plusieurs facteurs pour que les non-administrateurs puissent se connecter. Si la deuxième règle n'est pas créée, l'accès à la console est bloqué pour les non-administrateurs.
  8. Cliquez sur Suivant.
  9. Ajoutez l'application OCI -V2-App-<TenancyName> à la stratégie de protection de l'accès à la console OCI. Important : pour vous assurer que votre stratégie s'applique uniquement à l'accès à la console et qu'elle ne s'applique à aucune autre application, ajoutez uniquement l'application OCI -V2-App-<TenancyName>.
    1. Cliquez sur Affecter. La liste des applications pouvant être ajoutées à la stratégie apparaît.
    2. Localisez et sélectionnez OCI -V2-App-<TenancyName>.
    3. Cliquez sur OK.
    4. Cliquez sur Terminer.
  10. Activez la stratégie de connexion et l'authentification à plusieurs facteurs est activée. Les utilisateurs seront invités à s'inscrire à l'authentification à plusieurs facteurs lors de leur prochaine connexion.
    1. Sur la page Stratégies de connexion, cliquez sur Protéger l'accès à la console OCI.
    2. Cliquez sur Activer.
  11. Déconnectez-vous d'Identity Cloud Service.
  12. Connectez-vous à Identity Cloud Service. Vous devez être invité à vous inscrire à l'authentification à plusieurs facteurs. Terminez l'inscription à l'authentification à plusieurs facteurs à l'aide d'Oracle Mobile Authenticator (OMA). Reportez-vous à Utilisation et gestion de l'application Oracle Mobile Authenticator.