Gestione dell'autenticazione con più fattori

Questo argomento descrive come gli utenti possono gestire l'autenticazione a più fattori (MFA) in Oracle Cloud Infrastructure.

Criterio IAM necessario

Solo l'utente può abilitare l'autenticazione a più fattori (MFA) per il proprio account. Gli utenti possono anche disabilitare l'autenticazione MFA per i propri account. I membri del gruppo Amministratori possono disabilitare l'autenticazione MFA per altri utenti, ma non possono abilitarla per un altro utente.

Informazioni sull'autenticazione con più fattori

L'autenticazione a più fattori è un metodo di autenticazione che richiede l'uso di più fattori per verificare l'identità di un utente.

Quando nel servizio IAM è abilitato l'MFA, al momento dell'accesso a Oracle Cloud Infrastructure, all'utente verranno richiesti il nome utente e la password, che rappresentano il primo fattore (qualcosa che conosce). All'utente viene quindi richiesto di fornire un secondo codice di verifica da un dispositivo MFA registrato, che rappresenta il secondo fattore (qualcosa che possiede). I due fattori operano congiuntamente, richiedendo un ulteriore livello di sicurezza per verificare l'identità dell'utente e completare il processo di accesso.

In generale, l'AMF può includere due dei seguenti elementi:

Qualcosa che conosci, come una password.
Qualcosa che hai, come un dispositivo.
Qualcosa che si è, come un'impronta digitale.

Il servizio IAM supporta l'autenticazione a due fattori utilizzando una password (primo fattore) e un dispositivo in grado di generare una password monouso (TOTP, one-time password) basata sul tempo (secondo fattore).

Concetti generali

Ecco un elenco dei concetti di base che devi conoscere.

AUTENTICAZIONE CON PIÙ FATTORI (MFA): L'autenticazione a più fattori (MFA) è un metodo di autenticazione che richiede l'uso di più fattori per verificare l'identità di un utente. Esempi di fattori di autenticazione sono una password (qualcosa che conosci) e un dispositivo (qualcosa che hai).
APPLICAZIONE AUTHENTICATOR: Applicazione che si installa sul dispositivo mobile in grado di fornire token sicuri basati su software per la verifica dell'identità. Gli autenticatori possono essere ad esempio Oracle Mobile Authenticator e Google Authenticator. Per abilitare l'autenticazione MFA per il servizio IAM, è necessario un dispositivo con un'app autenticatore installata. L'utente dovrà registrare il proprio dispositivo tramite l'applicazione e successivamente utilizzare la stessa applicazione (sullo stesso dispositivo) per generare un passcode mono uso basato sul tempo ogni volta che si esegue l'accesso.
DISPOSITIVO MOBILE REGISTRATO: L'autenticazione a più fattori è abilitata per un utente specifico e per un dispositivo specifico. La procedura per abilitare l'autenticazione MFA per un utente include la registrazione del dispositivo mobile. Questo stesso dispositivo deve essere utilizzato per generare il passcode monouso basato sul tempo ogni volta che l'utente accede. Se il dispositivo mobile registrato non è più disponibile, un amministratore deve disabilitare l'autenticazione MFA per l'utente in modo che l'autenticazione MFA possa essere riabilitata con un nuovo dispositivo.
PASSWORD MONOUSO BASATA SUL TEMPO (TOTP): Un TOTP è una password (o passcode) generata da un algoritmo che calcola una password una tantum da una chiave segreta condivisa e l'ora corrente, come definito in RFC 6238. L'app Authenticator sul tuo dispositivo mobile registrato genera il TOTP che devi inserire ogni volta che accedi a Oracle Cloud Infrastructure.

App autenticatore supportate

Le seguenti applicazioni di autenticazione sono state testate con il servizio IAM di Oracle Cloud Infrastructure:

Oracle Mobile Authenticator
Google Authenticator

Puoi trovare queste app nell'app store del tuo dispositivo mobile. È necessario installare una di queste app sul dispositivo mobile prima di poter abilitare l'autenticazione MFA.

Utilizzo dell'autenticazione MFA

Tenere presente quanto riportato di seguito quando si abilita l'autenticazione MFA.

È necessario installare un'app di autenticazione supportata sul dispositivo mobile che si intende registrare per l'autenticazione MFA.
Ogni utente deve abilitare MFA per se stesso utilizzando un dispositivo a cui avrà accesso ogni volta che accede. Un amministratore non può abilitare l'autenticazione MFA per un altro utente.
Per abilitare l'autenticazione MFA, utilizzare l'applicazione di autenticazione del dispositivo mobile per eseguire la scansione di un codice QR generato dal servizio IAM e visualizzato nella console. Il codice QR condivide una chiave segreta con l'applicazione per consentire all'applicazione di generare TOTP che possono essere verificati dal servizio IAM.
Un utente può registrare un solo dispositivo da utilizzare per l'autenticazione MFA.
Dopo aver aggiunto l'account Oracle Cloud Infrastructure all'applicazione di autenticazione, il nome dell'account viene visualizzato nell'applicazione di autenticazione come Oracle <tenancy_name> - <username>.

Limitazione dell'accesso solo agli utenti con autenticazione MFA

È possibile limitare l'accesso alle risorse solo agli utenti che sono stati autenticati tramite l'autenticazione con password una tantum basata sul tempo del servizio IAM. Impostare questa limitazione nel criterio che consente l'accesso alla risorsa.

Per limitare l'accesso concesso tramite un criterio solo agli utenti verificati tramite MFA, aggiungere il seguente where clause al criterio:

where request.user.mfaTotpVerified='true'

Ad esempio, si supponga che l'azienda disponga di questo criterio per consentire a GroupA di gestire le istanze:

allow group GroupA to manage instance-family in tenancy

Per migliorare la sicurezza, è necessario assicurarsi che solo gli utenti verificati tramite l'autenticazione MFA possano gestire le istanze. Per limitare l'accesso solo a questi utenti, rivedere l'istruzione dei criteri come indicato di seguito.

allow group GroupA to manage instance-family in tenancy where request.user.mfaTotpVerified='true'

Con questa policy in vigore, solo i membri di GroupA che hanno eseguito correttamente l'accesso immettendo sia la password che il passcode monouso basato sul tempo generato dal proprio dispositivo mobile registrato possono accedere e gestire le istanze. Gli utenti che non hanno abilitato l'autenticazione MFA e si collegano utilizzando solo la password non potranno accedere alla gestione delle istanze.

Per informazioni sulla scrittura dei criteri, vedere Sintassi dei criteri.

Accedi al processo dopo aver abilitato MFA

Dopo aver abilitato l'autenticazione MFA, utilizzare una delle procedure riportate di seguito per connettersi a Oracle Cloud Infrastructure.

Per connettersi utilizzando la console

Andare alla pagina di connessione della console.
Immettere il nome utente e la password di Oracle Cloud Infrastructure, quindi selezionare Connetti.

Dopo l'autenticazione del nome utente e della password, è stato fornito il primo fattore per l'autenticazione. Viene visualizzata la pagina di autenticazione secondaria e viene richiesto di immettere un passcode monouso, come mostrato nello screenshot seguente.
Aprire l'applicazione Authenticator sul dispositivo mobile registrato, quindi aprire l'account per la tenancy Oracle Cloud Infrastructure. Lo screenshot seguente mostra un esempio di Oracle Mobile Authenticator.
Immettere il passcode visualizzato dall'app di autenticazione (ad esempio, 219604), quindi selezionare Connetti.

Importante: l'app di autenticazione genera un nuovo passcode monouso basato sul tempo ogni 30 secondi. È necessario inserire un codice mentre il codice è ancora valido. Se si perde la finestra temporale per un passcode, è possibile immettere quello successivo generato. Assicurati di inserire il codice che è attualmente visualizzato dalla tua app.

Per eseguire l'accesso utilizzando l'interfaccia a riga di comandi (CLI, Command Line Interface)

Per eseguire l'accesso con l'interfaccia CLI, eseguire il comando seguente:
```
oci session authenticate --region US East (Ashburn)
```
Viene visualizzata una finestra del browser e viene richiesto di utilizzare il browser per l'accesso.
```
Please switch to newly opened browser window to log in!
```
Nella finestra del browser immettere il nome utente e la password di Oracle Cloud Infrastructure, quindi selezionare Connetti.

Dopo l'autenticazione del nome utente e della password, è stato fornito il primo fattore per l'autenticazione. Viene visualizzata la pagina di autenticazione secondaria e viene richiesto di immettere un passcode monouso, come mostrato nello screenshot seguente.
Aprire l'applicazione Authenticator sul dispositivo mobile registrato, quindi aprire l'account per la tenancy Oracle Cloud Infrastructure. Lo screenshot seguente mostra un esempio di Oracle Mobile Authenticator.
Immettere il passcode visualizzato dall'app di autenticazione (ad esempio, 219604), quindi selezionare Connetti.

Importante: l'app di autenticazione genera un nuovo passcode monouso basato sul tempo ogni 30 secondi. È necessario inserire un codice mentre il codice è ancora valido. Se si perde la finestra temporale per un passcode, è possibile immettere quello successivo generato. Assicurati di inserire il codice che è attualmente visualizzato dalla tua app.

Dopo avere eseguito l'autenticazione, i prompt richiedono di tornare all'interfaccia CLI e immettere il nome di un profilo.
Nell'interfaccia CLI digitare un nome per il profilo.

Suggerimento

Per ulteriori informazioni sull'utilizzo dell'interfaccia CLI, vedere Avvio rapido e Introduzione all'interfaccia a riga di comando.

Cosa fare se si perde il dispositivo mobile registrato

Se perdi il tuo dispositivo mobile registrato, non potrai eseguire l'autenticazione a Oracle Cloud Infrastructure tramite la console. Contattare l'amministratore per disabilitare l'autenticazione con più fattori per l'account. È quindi possibile ripetere il processo per abilitare l'autenticazione a più fattori con un nuovo dispositivo mobile.

Sblocco di un utente dopo tentativi di accesso non riusciti

Se un utente tenta di eseguire l'accesso alla console 10 volte di fila senza successo, verrà automaticamente bloccato da ulteriori tentativi di accesso. Un amministratore può sbloccare l'utente nella console (vedere Per sbloccare un utente) o con l'operazione API UpdateUserState.

Disabilitazione dell'autenticazione MFA

Ogni utente può disabilitare MFA per se stesso. Un amministratore può anche disabilitare l'autenticazione MFA per un altro utente.

Attenzione

Non disabilitare l'autenticazione MFA a meno che non venga richiesto dall'amministratore.

Eliminazione dei dispositivi TOTP MFA inattivi

Non è possibile trovare ed eliminare i dispositivi TOTP MFA inattivi dalla console, ma è possibile utilizzare i comandi CLI OCI con Cloud Shell per trovarli ed eliminarli.

Un dispositivo TOTP MFA inattivo può verificarsi quando MFA è abilitato per un utente e l'utente ha selezionato Abilita autenticazione a più fattori, ma non è riuscito ad autenticare il dispositivo.

Utilizzare i comandi mfa-totp-device list e delete dell'interfaccia CLI OCI per identificare i dispositivi TOTP MFA per un utente, quindi eliminare il dispositivo inattivo.

Se più utenti dispongono di dispositivi TOTP MFA inattivi, eseguire questo task per ciascun utente.

Vedere Cloud Shell.
Vedere i comandi mfa-totp-device nel riferimento dei comandi dell'interfaccia CLI OCI.

Prima, ottenere l'OCID dell'utente:
1. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Utenti.
2. Selezionare l'account utente e nella scheda Informazioni utente selezionare Copia accanto a OCID. Copia l'OCID dell'utente negli appunti.
Avvia Cloud Shell dalla console. Vedere Uso di Cloud Shell.
Utilizzare il comando mfa-totp-device list e immettere l'OCID dell'utente come parametro --user-id. Ad esempio:
```
oci iam mfa-totp-device list 
--user-id ocid1.user.oc1..aaaaaaaaltrya5y7o6wo3takzongrlii6voxqghfso73pamsgksao6jboaya
```
Sono elencati tutti i dispositivi TOTP MFA associati all'utente. Se l'utente non dispone di dispositivi MFA TOTP, non viene restituito nulla.
Un dispositivo non attivato mostra "is-activated": false.
Prendere nota dell'OCID del dispositivo e dell'OCID dell'utente da utilizzare come parametri nel passo successivo.
- L'OCID del dispositivo inattivo è il valore id.
- L'OCID dell'utente è il valore user-id.
Utilizzare il comando mfa-totp-device delete e immettere l'OCID del dispositivo inattivo come parametro --mfa-totp-device-id e l'OCID dell'utente come parametro --user-id. Ad esempio:
```
oci iam mfa-totp-device delete 
--mfa-totp-device-id ocid1.credential.oc1..aaaaaaaaqv36sq6usjin5wefohpthsf4shnzh3snvioe3ezr57ce5ctoahcq
--user-id ocid1.user.oc1..aaaaaaaaltrya5y7o6wo3takzongrlii6voxqghfso73pamsgksao6jboaya
```
Confermare che si desidera eliminare la risorsa.

Uso della console

Utilizzare le procedure riportate di seguito per gestire l'autenticazione MFA nella console.

Per abilitare MFA per l'account utente

Prerequisito: è necessario installare un'app autenticatore supportata sul dispositivo mobile che si desidera registrare per l'autenticazione MFA.

Nel menu di navigazione selezionare il menu Profilo , quindi selezionare Impostazioni utente.
Vengono visualizzati i dettagli utente.
Fare clic su Abilita autenticazione con più fattori.
Scansiona il codice QR visualizzato nella finestra di dialogo con l'app di autenticazione del dispositivo mobile.

Nota: se si chiude il browser o si verifica un arresto anomalo del browser prima di poter immettere il codice di verifica, è necessario generare un nuovo codice QR ed eseguirne di nuovo la scansione con l'applicazione. Per generare un nuovo codice QR, fare di nuovo clic sul pulsante Abilita autenticazione con più fattori.
Nel campo Codice di verifica immettere il codice visualizzato nell'app di autenticazione.
Fare clic su Abilita.

Il dispositivo mobile ora è registrato nel servizio IAM e l'account è abilitato per MFA. Ogni volta che si accede, viene richiesto prima il nome utente e la password. Dopo aver fornito le credenziali corrette, verrà richiesto un codice TOTP generato dall'app di autenticazione sul dispositivo mobile registrato. Devi avere il tuo dispositivo mobile registrato disponibile ogni volta che accedi a Oracle Cloud Infrastructure.

Per disabilitare l'autenticazione MFA per l'account utente

Nel menu di navigazione selezionare il menu Profilo , quindi selezionare Impostazioni utente.

Vengono visualizzati i dettagli utente.
Selezionare Disabilita autenticazione con più fattore.
Confermare quando richiesto.

Per disabilitare l'autenticazione MFA per un altro utente

Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Utenti. Viene visualizzata una lista di utenti nella tenancy.
Selezionare l'utente che si desidera aggiornare. Vengono visualizzati i dettagli dell'utente.
Selezionare Disabilita autenticazione con più fattore.
Confermare quando richiesto.

Utilizzo dell'API

Per informazioni sull'uso dell'API e sulle richieste di firma, consultare la documentazione relativa all'API REST e le credenziali di sicurezza. Per informazioni sugli SDK, vedere SDK e CLI.

Nota

Gli aggiornamenti non sono immediati in tutte le aree

Le risorse IAM risiedono nell'area di origine. Per applicare i criteri in tutte le aree, il servizio IAM replica le risorse in ogni area. Ogni volta che si crea o si modifica un criterio, un utente o un gruppo, le modifiche diventano effettive prima nell'area di origine e quindi vengono propagate alle altre aree. L'applicazione delle modifiche in tutte le aree può richiedere alcuni minuti.

Utilizza le seguenti operazioni API per gestire i dispositivi di autenticazione a più fattori:

Documentazione dell'infrastruttura Oracle Cloud