Documentazione dell'infrastruttura Oracle Cloud

Configurazione delle impostazioni di autenticazione a più fattori

Configura le impostazioni di autenticazione a più fattori (MFA) e i criteri di conformità che definiscono quali fattori MFA sono necessari per accedere a un dominio di Identity in IAM, quindi configura i fattori MFA.

Nota

I task di questa sezione sono destinati a un amministratore che deve impostare l'autenticazione MFA per un dominio di Identity in IAM. Se si è utenti che devono impostare la verifica a 2 fasi autonomamente, vedere Setting Up Account Recovery and 2-Step Verification.
Prima di iniziare:
  • Creare un utente di test in un dominio di Identity di test. Utilizzare tale dominio di Identity per impostare l'autenticazione MFA per la prima volta. Vedere Creazione di un dominio di Identity e Creazione di un utente.
  • Impostare un'applicazione client per abilitare l'accesso a un dominio di Identity utilizzando l'API REST nel caso in cui la configurazione del criterio di accesso blocchi l'utente. Se non si imposta questa applicazione client e una configurazione dei criteri di accesso limita l'accesso a tutti, tutti gli utenti vengono bloccati fuori dal dominio di Identity finché non si contatta il Supporto Oracle. Per informazioni sull'impostazione dell'applicazione client, vedere Registrazione di un'applicazione client.

Per definire le impostazioni MFA, è necessario essere assegnati al ruolo di amministratore del dominio di Identity o al ruolo di amministratore della sicurezza.

  1. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Domini.
  2. Selezionare il nome del dominio di Identity in cui si desidera lavorare. Potrebbe essere necessario modificare il compartimento per trovare il dominio desiderato,
  3. Nella pagina dei dettagli del dominio selezionare Autenticazione.
  4. Nella pagina Autenticazione, selezionare Abilita o disabilita fattori. Viene visualizzato un pannello delle impostazioni.
  5. Nel pannello delle impostazioni Abilita o disabilita fattori selezionare ciascuno dei fattori che si desidera richiedere per accedere a un dominio di Identity.
    Per una spiegazione di ciascun fattore, vedere Configurazione dei fattori di autenticazione.
  6. (Facoltativo) Impostare il numero massimo di fattori registrati che gli utenti possono configurare.
  7. (Opzionale) Utilizzare la sezione Dispositivi sicuri per configurare le impostazioni dei dispositivi sicuri.
    Simile a "ricorda il mio computer", i dispositivi affidabili non richiedono all'utente di fornire l'autenticazione secondaria ogni volta che accede.
  8. (Facoltativo) In base alle regole di accesso, impostare il numero massimo di tentativi MFA non riusciti che si desidera consentire a un utente di fornire in modo errato la verifica MFA prima di essere bloccato.
  9. Selezionare Salva modifiche, quindi confermare la modifica.
  10. (Facoltativo) Selezionare Modifica accanto ai fattori MFA selezionati per configurarli singolarmente.
    Per istruzioni su ciascun fattore, vedere Configurazione dei fattori di autenticazione.
  11. Assicurarsi che tutti i criteri di accesso attivi consentano l'autenticazione in due passaggi:
    1. Selezionare la scheda Criteri dominio.
    2. Nella pagina Criteri di accesso selezionare Criteri di accesso predefiniti.
    3. Nella pagina Criterio di accesso predefinito, selezionare Regole di accesso.
    4. Nella riga Regola di accesso predefinita, selezionare il menu Azioni (tre punti) e selezionare Modifica regola di accesso.
    5. Nella finestra di dialogo Modifica regola di accesso, in Escludi utenti, escludere se stessi o un altro amministratore del dominio di Identity da questa regola fino al completamento del test. Ciò garantisce che in caso di problemi, almeno un amministratore abbia sempre accesso al dominio di Identity.
    6. In Azioni, selezionare Richiedi un fattore aggiuntivo e assicurarsi che sia selezionato Consenti accesso.
    7. Selezionare Salva modifiche.
    8. Se sono stati aggiunti altri criteri di accesso, seguire i passi precedenti per ognuno di tali criteri per assicurarsi che MFA sia abilitato in tutte le condizioni in cui si desidera che sia abilitato.
      Nota

      Le impostazioni per la regola di accesso predefinita abilitano l'autenticazione MFA a livello globale. Le impostazioni per altre regole di accesso potrebbero sostituire la regola di accesso predefinita per gli utenti e i gruppi specificati dalle condizioni per tali regole. Vedere Gestione dei Criteri di gestione password.

      Importante

      Assicurarsi di escludere un amministratore del dominio di Identity da ciascun criterio. Ciò garantisce che almeno un amministratore disponga sempre dell'accesso al dominio di Identity in caso di problemi.

      Impostare Iscrizione su Facoltativo fino al termine del test del criterio di accesso.

  12. (Facoltativo) Abilitare soglie di blocco separate per l'errore di convalida MFA e i tentativi di notifica MFA. Per abilitarla, assicurarsi di sapere come effettuare chiamate all'API REST.
    Nota

    Nello schema MFA dell'utente sono disponibili due nuovi attributi:
    • mfaIncorrectValidationAttempts: tiene traccia dei tentativi di convalida MFA errati da parte di un utente.
    • mfaNotificationAttempts: tiene traccia dei tentativi di notifica MFA da parte di un utente.

    Sono inoltre presenti due nuovi attributi aggiunti a AuthenticationFactorSettings:

    • maxMfaIncorrectValidationAttempts: il numero massimo di convalida MFA non corretta che è possibile provare prima che un account venga bloccato. Se per questo attributo è impostato un valore, deve essere impostato anche un valore per maxMfaNotificationAttempts. Se questo attributo non è impostato, il funzionamento del blocco MFA viene determinato da maxIncorrectAttempts. Se mfaIncorrectValidationAttempts raggiunge maxMfaIncorrectValidationAttempts, l'utente viene bloccato immediatamente.
    • maxMfaNotificationAttempts: il numero massimo di notifiche MFA che è possibile provare prima che un account venga bloccato. Se per questo attributo è impostato un valore, deve essere impostato anche un valore per maxMfaIncorrectValidationAttempts. Se questo attributo non è impostato, il funzionamento del blocco MFA viene determinato da maxIncorrectAttempts. Se mfaNotificationAttempts raggiunge maxMfaNotificationAttempts, l'utente viene bloccato al successivo tentativo di avviare una notifica per consentire all'utente di eseguire l'autenticazione utilizzando l'ultima notifica MFA.

    Aggiornare AuthenticationFactorSettings per impostare sia maxMfaIncorrectValidationAttempts che maxMfaNotificationAttempts eseguendo una chiamata PATCH sull'endpoint <IDENTITY_DOMAIN_URL>/admin/v1/AuthenticationFactorSettings/AuthenticationFactorSettings con il payload seguente:

    
{
  "schemas": [
    "urn:ietf:params:scim:api:messages:2.0:PatchOp"
  ],
  "Operations": [
    {
      "op": "add",
      "path": "endpointRestrictions.maxMfaIncorrectValidationAttempts",
      "value": 3
    },
    {
      "op": "add",
      "path": "endpointRestrictions.maxMfaNotificationAttempts",
      "value": 3
    }
  ]
}

    Il valore per entrambi può variare da un minimo di 3 a un massimo di 10.

  13. Per eseguire il test della configurazione, disconnettersi dalla console, quindi connettersi come utente di test.
    Verrà richiesto un secondo fattore.