Gestione dell'autenticazione con più fattori

Questo argomento descrive come gli utenti possono gestire l'autenticazione a più fattori (MFA) in Oracle Cloud Infrastructure.

Criterio IAM necessario

Solo l'utente può abilitare l'autenticazione a più fattori (MFA) per il proprio account. Gli utenti possono anche disabilitare l'autenticazione MFA per i propri account. I membri del gruppo di amministratori possono disabilitare l'autenticazione MFA per altri utenti, ma non possono abilitare l'autenticazione MFA per un altro utente.

Informazioni sull'autenticazione con più fattori

L'autenticazione a più fattori è un metodo di autenticazione che richiede l'uso di più fattori per verificare l'identità di un utente.

Con l'autenticazione MFA abilitata nel servizio IAM, quando un utente accede a Oracle Cloud Infrastructure, viene loro richiesto il nome utente e la password, che sono il primo fattore (qualcosa che sanno). Viene quindi richiesto all'utente di fornire un secondo codice di verifica da un dispositivo MFA registrato, che è il secondo fattore (qualcosa di cui dispone). I due fattori lavorano insieme, richiedendo un ulteriore livello di sicurezza per verificare l'identità dell'utente e completare il processo di accesso.

In generale, l'AMF può includere due dei seguenti elementi:

Qualcosa che conosci, come una password.
Qualcosa che hai, come un dispositivo.
Qualcosa che sei, come la tua impronta digitale.

Il servizio IAM supporta l'autenticazione a due fattori utilizzando una password (primo fattore) e un dispositivo in grado di generare una password monouso basata sul tempo (TOTP, time-based one-time password, secondo fattore).

Concetti generali

Ecco un elenco dei concetti di base che devi conoscere.

AUTENTICAZIONE CON PIÙ FATTORI (MFA): L'autenticazione a più fattori (MFA) è un metodo di autenticazione che richiede l'uso di più fattori per verificare l'identità di un utente. Esempi di fattori di autenticazione sono una password (qualcosa che conosci) e un dispositivo (qualcosa che hai).
APPLICAZIONE DI AUTENTICAZIONE: Un'app installata sul dispositivo mobile in grado di fornire token sicuri basati su software per la verifica dell'identità. Esempi di applicazioni di autenticazione sono Oracle Mobile Authenticator e Google Authenticator. Per abilitare l'autenticazione MFA per il servizio IAM, è necessario un dispositivo con un'applicazione di autenticazione installata. Utilizzerai l'app per registrare il tuo dispositivo e poi utilizzerai la stessa app (sulla stessa periferica) per generare un passcode monouso basato sul tempo ogni volta che accedi.
DISPOSITIVO PORTATILE REGISTRATO: L'autenticazione con più fattori è abilitata per un utente specifico e per un dispositivo specifico. La procedura per abilitare l'autenticazione MFA per un utente include la registrazione del dispositivo mobile. Questo stesso dispositivo deve essere utilizzato per generare il passcode monouso basato sul tempo ogni volta che l'utente accede. Se il dispositivo mobile registrato non è più disponibile, un amministratore deve disabilitare l'autenticazione MFA per l'utente in modo che l'autenticazione MFA possa essere riabilitata con un nuovo dispositivo.
PASSWORD MONOUSO BASATA SUL TEMPO (TOTP): Un TOTP è una password (o passcode) generata da un algoritmo che calcola una password monouso da una chiave segreta condivisa e l'ora corrente, come definito nella RFC 6238. L'applicazione di autenticazione sul dispositivo mobile registrato genera il TOTP che è necessario immettere ogni volta che si accede a Oracle Cloud Infrastructure.

Applicazioni autenticatore supportate

Le seguenti applicazioni di autenticazione sono state testate con il servizio IAM di Oracle Cloud Infrastructure:

Oracle Mobile Authenticator
Google Authenticator

Puoi trovare queste app nell'app store del tuo dispositivo mobile. È necessario installare una di queste applicazioni sul dispositivo mobile prima di poter abilitare l'autenticazione MFA.

Utilizzo dell'autenticazione MFA

Quando si abilita l'autenticazione MFA, tenere presente quanto riportato di seguito.

È necessario installare un'applicazione autenticatore supportata sul dispositivo mobile che si desidera registrare per l'autenticazione MFA.
Ogni utente deve abilitare l'autenticazione MFA per se stesso utilizzando un dispositivo a cui avrà accesso ogni volta che si connette. Un amministratore non può abilitare l'autenticazione MFA per un altro utente.
Per abilitare l'autenticazione MFA, utilizzare l'applicazione di autenticazione del dispositivo mobile per eseguire la scansione di un codice QR generato dal servizio IAM e visualizzato nella console. Il codice QR condivide una chiave segreta con l'applicazione per consentire all'applicazione di generare TOTP che possono essere verificati dal servizio IAM.
Un utente può registrare un solo dispositivo da utilizzare per l'autenticazione MFA.
Dopo aver aggiunto l'account Oracle Cloud Infrastructure all'applicazione di autenticazione, il nome dell'account viene visualizzato nell'applicazione di autenticazione come Oracle <tenancy_name> - <username>.

Limitazione dell'accesso solo agli utenti verificati con MFA

È possibile limitare l'accesso alle risorse solo agli utenti autenticati mediante l'autenticazione con password monouso basata sul tempo del servizio IAM. Questa limitazione viene impostata nel criterio che consente l'accesso alla risorsa.

Per limitare l'accesso concesso tramite un criterio solo agli utenti sottoposti a verifica MFA, aggiungere il seguente where clause al criterio:

where request.user.mfaTotpVerified='true'

Si supponga, ad esempio, che l'azienda disponga di questo criterio per consentire a GroupA di gestire le istanze.

allow group GroupA to manage instance-family in tenancy

Per migliorare la sicurezza, è necessario assicurarsi che solo gli utenti verificati mediante l'autenticazione MFA possano gestire le istanze. Per limitare l'accesso solo a questi utenti, rivedere l'istruzione dei criteri come indicato di seguito.

allow group GroupA to manage instance-family in tenancy where request.user.mfaTotpVerified='true'

Con questo criterio in vigore, solo i membri di GroupA che hanno eseguito correttamente l'accesso immettendo sia la password che il passcode monouso basato sul tempo generato dal dispositivo mobile registrato possono accedere e gestire le istanze. Agli utenti che non hanno abilitato l'autenticazione MFA e che si collegano utilizzando solo la password, non sarà consentito l'accesso per gestire le istanze.

Per informazioni sulla scrittura dei criteri, vedere Sintassi dei criteri.

Processo di accesso dopo l'abilitazione dell'autenticazione MFA

Dopo aver abilitato l'autenticazione MFA, utilizzare una delle seguenti procedure per collegarsi a Oracle Cloud Infrastructure:

Per collegarsi utilizzando la console

Andare alla pagina di accesso della console.
Immettere il nome utente e la password di Oracle Cloud Infrastructure, quindi selezionare Accedi.

Dopo l'autenticazione del nome utente e della password, è stato fornito il primo fattore per l'autenticazione. Viene visualizzata la pagina di autenticazione secondaria e viene richiesto di immettere un passcode monouso, come mostrato nella seguente schermata.
Aprire l'applicazione di autenticazione sul dispositivo mobile registrato, quindi aprire l'account per la tenancy Oracle Cloud Infrastructure. Lo screenshot riportato di seguito mostra un esempio di Oracle Mobile Authenticator.
Immettere il passcode visualizzato dall'applicazione Authenticator (ad esempio, 219604), quindi selezionare Accedi.

Importante: l'applicazione Authenticator genera un nuovo passcode monouso basato sul tempo ogni 30 secondi. È necessario inserire un codice mentre è ancora valido. Se si perde la finestra temporale per un passcode, è possibile immettere il passcode successivo generato. Assicurati di inserire il codice attualmente visualizzato dall'app.

Per accedere utilizzando l'interfaccia della riga di comando (CLI, Command Line Interface)

Per accedere con l'interfaccia CLI, eseguire il comando seguente:
```
oci session authenticate --region US East (Ashburn)
```
Viene visualizzata una finestra del browser e un prompt indica all'utente di utilizzare il browser per accedere.
```
Please switch to newly opened browser window to log in!
```
Nella finestra del browser, immettere il nome utente e la password di Oracle Cloud Infrastructure, quindi selezionare Accedi.

Dopo l'autenticazione del nome utente e della password, è stato fornito il primo fattore per l'autenticazione. Viene visualizzata la pagina di autenticazione secondaria e viene richiesto di immettere un passcode monouso, come mostrato nella seguente schermata.
Aprire l'applicazione di autenticazione sul dispositivo mobile registrato, quindi aprire l'account per la tenancy Oracle Cloud Infrastructure. Lo screenshot riportato di seguito mostra un esempio di Oracle Mobile Authenticator.
Immettere il passcode visualizzato dall'applicazione Authenticator (ad esempio, 219604), quindi selezionare Accedi.

Importante: l'applicazione Authenticator genera un nuovo passcode monouso basato sul tempo ogni 30 secondi. È necessario inserire un codice mentre è ancora valido. Se si perde la finestra temporale per un passcode, è possibile immettere il passcode successivo generato. Assicurati di inserire il codice attualmente visualizzato dall'app.

Dopo aver eseguito l'autenticazione, i prompt indicano di tornare all'interfaccia CLI e di immettere il nome di un profilo.
Nell'interfaccia CLI digitare un nome per il profilo.

Suggerimento

Per ulteriori informazioni sull'utilizzo dell'interfaccia CLI, vedere Quickstart e Introduzione all'interfaccia della riga di comando.

Cosa fare se si perde il dispositivo mobile registrato

Se perdi il tuo dispositivo mobile registrato, non sarai in grado di eseguire l'autenticazione a Oracle Cloud Infrastructure tramite la console. Contattare l'amministratore per disabilitare l'autenticazione con più fattori per l'account. È quindi possibile ripetere il processo per abilitare l'autenticazione a più fattori con un nuovo dispositivo mobile.

Sblocco di un utente dopo tentativi di accesso non riusciti

Se un utente prova 10 volte di fila a collegarsi alla console senza successo, verrà automaticamente bloccato da ulteriori tentativi di accesso. Un amministratore può sbloccare l'utente nella console (vedere Per sbloccare un utente) o con l'operazione API UpdateUserState.

Disabilitazione dell'autenticazione MFA

Ogni utente può disabilitare l'autenticazione MFA per se stesso. Un amministratore può anche disabilitare l'autenticazione MFA per un altro utente.

Attenzione

Non disabilitare l'autenticazione MFA a meno che l'amministratore non lo richieda.

Eliminazione di dispositivi TOTP MFA inattivi

Non è possibile trovare ed eliminare i dispositivi TOTP MFA inattivi dalla console, ma è possibile utilizzare i comandi CLI OCI con Cloud Shell per trovarli ed eliminarli.

Un dispositivo TOTP MFA inattivo può verificarsi quando l'autenticazione MFA è abilitata per un utente e l'utente ha selezionato Abilita autenticazione con più fattori, ma non è riuscito ad autenticare il dispositivo.

Utilizzare i comandi mfa-totp-device list e delete dell'interfaccia CLI OCI per identificare i dispositivi TOTP MFA per un utente, quindi eliminare il dispositivo inattivo.

Se più di un utente dispone di dispositivi TOTP MFA inattivi, eseguire questa operazione per ciascun utente.

Vedere Cloud Shell.
Vedere i comandi mfa-totp-device nel manuale OCI CLI Command Reference.

In primo luogo, ottenere l'OCID dell'utente:
1. Aprire il menu di navigazione e selezionare Identità e sicurezza. Selezionare Utenti nella sezione Identità.
2. Selezionare l'account utente e nella scheda Informazioni utente selezionare Copia accanto all'OCID. In questo modo l'OCID dell'utente viene copiato negli Appunti.
Avviare Cloud Shell dalla console. Vedere Utilizzo di Cloud Shell.
Utilizzare il comando mfa-totp-device list e immettere l'OCID dell'utente come parametro --user-id. Esempio:
```
oci iam mfa-totp-device list 
--user-id ocid1.user.oc1..aaaaaaaaltrya5y7o6wo3takzongrlii6voxqghfso73pamsgksao6jboaya
```
Vengono elencati tutti i dispositivi TOTP MFA associati all'utente. Se l'utente non dispone di dispositivi TOTP MFA, non viene restituito alcun risultato.
Un dispositivo non attivato mostra "is-activated": false.
Prendere nota dell'OCID del dispositivo e dell'OCID dell'utente da utilizzare come parametri nel passo successivo.
- L'OCID del dispositivo inattivo corrisponde al valore id.
- L'OCID dell'utente è il valore user-id.

Utilizzare il comando mfa-totp-device delete e immettere l'OCID del dispositivo inattivo come parametro --mfa-totp-device-id e l'OCID dell'utente come parametro --user-id. Esempio:

oci iam mfa-totp-device delete 
--mfa-totp-device-id ocid1.credential.oc1..aaaaaaaaqv36sq6usjin5wefohpthsf4shnzh3snvioe3ezr57ce5ctoahcq
--user-id ocid1.user.oc1..aaaaaaaaltrya5y7o6wo3takzongrlii6voxqghfso73pamsgksao6jboaya

Assicurarsi di voler eliminare la risorsa.

Utilizzo di Console

Utilizzare le procedure riportate di seguito per gestire l'autenticazione MFA nella console.

Per abilitare l'autenticazione MFA per il proprio account utente

Prerequisito: è necessario installare un'applicazione di autenticazione supportata sul dispositivo mobile che si desidera registrare per l'autenticazione MFA.

Nel menu di navigazione selezionare il menu Profilo e quindi selezionare Impostazioni utente o Profilo personale, a seconda dell'opzione visualizzata.
Vengono visualizzati i dettagli utente.
Fare clic su Enable Multi-Factor Authentication.
Scansiona il codice QR visualizzato nella finestra di dialogo con l'app di autenticazione del tuo dispositivo mobile.

Nota: se si chiude il browser o il browser si blocca prima di poter immettere il codice di verifica, è necessario generare un nuovo codice QR ed eseguirne di nuovo la scansione con l'applicazione. Per generare un nuovo codice QR, fare di nuovo clic sul pulsante Abilita autenticazione a più fattori.
Nel campo Codice di verifica, immettere il codice visualizzato nell'applicazione di autenticazione.
Fare clic su Abilita.

Il dispositivo mobile è ora registrato con il servizio IAM e l'account è abilitato per l'autenticazione MFA. Ogni volta che si accede, viene prima richiesto di immettere il nome utente e la password. Dopo aver fornito le credenziali corrette, verrà richiesto un codice TOTP generato dall'applicazione di autenticazione sul dispositivo mobile registrato. Devi avere il tuo dispositivo mobile registrato disponibile ogni volta che accedi a Oracle Cloud Infrastructure.

Per disabilitare l'autenticazione MFA per il proprio account utente, effettuare le operazioni riportate di seguito.

Nel menu di navigazione selezionare il menu Profilo e quindi selezionare Impostazioni utente o Profilo personale, a seconda dell'opzione visualizzata.

Vengono visualizzati i dettagli utente.
Selezionare Disable Multi-Factor Authentication.
Confermare quando richiesto.

Per disabilitare l'autenticazione MFA per un altro utente

Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Utenti. Viene visualizzata una lista di utenti nella tenancy.
Selezionare l'utente che si desidera aggiornare. Vengono visualizzati i dettagli dell'utente.
Selezionare Disable Multi-Factor Authentication.
Confermare quando richiesto.

Uso dell'API

Per informazioni sull'uso dell'API e delle richieste di firma, consulta la documentazione dell'API REST e le credenziali di sicurezza. Per informazioni sugli SDK, vedere SDK e l'interfaccia CLI.

Nota

Gli aggiornamenti non sono immediati in tutte le aree

Le risorse IAM risiedono nell'area di origine. Per applicare i criteri in tutte le aree, il servizio IAM replica le risorse in ogni area. Ogni volta che si crea o si modifica un criterio, un utente o un gruppo, le modifiche diventano effettive prima nell'area di origine, quindi vengono propagate nelle altre aree. L'entrata in vigore delle modifiche in tutte le aree può richiedere alcuni minuti.

Utilizza le seguenti operazioni API per gestire i dispositivi di autenticazione con più fattori:

Documentazione di Oracle Cloud Infrastructure