Documentazione di Oracle Cloud Infrastructure

Configurazione delle impostazioni di autenticazione con più fattori

Configura le impostazioni di autenticazione a più fattori (MFA) e i criteri di conformità che definiscono i fattori MFA necessari per accedere a un dominio di Identity in IAM, quindi configura i fattori MFA.

Nota

I task in questa sezione sono per un amministratore che deve impostare l'autenticazione MFA per un dominio di Identity in IAM. Se si è un utente che deve impostare una verifica a 2 fasi, vedere Impostazione del recupero dell'account e della verifica a 2 fasi.
Prima di iniziare:
  • Creare un utente di test in un dominio di Identity di test. Utilizzare tale dominio di Identity per impostare l'autenticazione MFA per la prima volta. Vedere Creazione di un dominio di identità e Creazione di un utente.
  • Impostare un'applicazione client per abilitare l'accesso a un dominio di Identity utilizzando l'API REST nel caso in cui la configurazione del criterio di accesso blocchi l'utente. Se non si imposta questa applicazione client e la configurazione di un criterio di accesso limita l'accesso a tutti, tutti gli utenti non saranno più autorizzati a utilizzare il dominio di Identity finché non si contatta il Supporto Oracle. Per informazioni sull'impostazione dell'applicazione client, vedere Registrazione di un'applicazione client.

Per definire le impostazioni MFA, è necessario essere assegnati al ruolo di amministratore del dominio di Identity o al ruolo di amministratore della sicurezza.

  1. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Domini.
  2. Selezionare il nome del dominio di Identity in cui si desidera lavorare. Potrebbe essere necessario modificare il compartimento per trovare il dominio desiderato.
  3. Nella pagina dei dettagli del dominio selezionare Sicurezza.
  4. Nella pagina Sicurezza selezionare MFA.
  5. In Fattori, selezionare ciascuno dei fattori che si desidera siano necessari per accedere a un dominio di Identity.
    Per una spiegazione di ciascun fattore, vedere Configurazione dei fattori di autenticazione.
  6. (Facoltativo) Selezionare Configura per i fattori MFA selezionati per configurarli singolarmente.
    Per istruzioni su ciascun fattore, vedere Configurazione dei fattori di autenticazione.
  7. (Facoltativo) Impostare il numero massimo di fattori registrati che gli utenti possono configurare.
  8. (Facoltativo) Utilizzare la sezione Dispositivi sicuri per configurare le impostazioni dei dispositivi sicuri.
    Simile a "ricorda il mio computer", i dispositivi sicuri non richiedono che l'utente fornisca l'autenticazione secondaria ogni volta che si connette.
  9. (Facoltativo) In Regole di accesso, impostare il numero massimo di tentativi MFA non riusciti che si desidera consentire a un utente di fornire in modo errato la verifica MFA prima di essere bloccato.
  10. Selezionare Salva modifiche, quindi confermare la modifica.
  11. Accertarsi che tutti i criteri di accesso attivi consentano l'autenticazione in due passaggi:
    1. Nella pagina Sicurezza del dominio, selezionare Criteri di accesso.
    2. Nella pagina Criteri di accesso, selezionare Criterio di accesso predefinito.
    3. Nella pagina Criterio di accesso predefinito, in Risorse, selezionare Regole di accesso.
    4. Nella riga Regola di accesso predefinita, selezionare il menu Azioni Menu Azioni e selezionare Modifica regola di accesso.
    5. Nella finestra di dialogo Modifica regola di accesso, in Escludi utenti, escludere se stessi o un altro amministratore del dominio di Identity da questa regola fino al completamento del test. In questo modo, si garantisce che almeno un amministratore disponga sempre dell'accesso al dominio di Identity in caso di problemi.
    6. In Azioni, selezionare Consenti accesso e selezionare Richiedi un fattore aggiuntivo.
    7. Selezionare Salva modifiche.
    8. Se sono stati aggiunti altri criteri di accesso, seguire i passi precedenti per ciascuno di tali criteri per assicurarsi che l'autenticazione MFA sia abilitata in tutte le condizioni in cui si desidera che venga abilitata.
      Nota

      Le impostazioni per la regola di accesso predefinita abilitano l'autenticazione MFA a livello globale. Le impostazioni per altre regole di accesso potrebbero sostituire la regola di accesso predefinita per gli utenti e i gruppi specificati dalle condizioni per tali regole. Vedere Managing Password Policies.

      Importante

      Assicurarsi di escludere un amministratore del dominio di Identity da ciascuno criterio. Ciò garantisce che almeno un amministratore abbia sempre accesso al dominio di Identity in caso di problemi.

      Impostare Iscrizione come Facoltativo fino al termine del test del criterio di accesso.

  12. (Facoltativo) Abilitare soglie di blocco separate per i tentativi di convalida MFA e di notifica MFA non riusciti. Per abilitare questa opzione, assicurati di sapere come effettuare chiamate API REST.
    Nota

    Nello schema MFA dell'utente sono disponibili due nuovi attributi:
    • mfaIncorrectValidationAttempts: tiene traccia dei tentativi di convalida MFA errati da parte di un utente.
    • mfaNotificationAttempts: tiene traccia dei tentativi di notifica MFA da parte di un utente.

    Sono inoltre stati aggiunti due nuovi attributi a AuthenticationFactorSettings:

    • maxMfaIncorrectValidationAttempts: il numero massimo di convalida MFA non corretta che è possibile provare prima che un account venga bloccato. Se per questo attributo viene impostato un valore, deve essere presente anche un set di valori per maxMfaNotificationAttempts. Se questo attributo non è impostato, il funzionamento del blocco MFA viene determinato da maxIncorrectAttempts. Se mfaIncorrectValidationAttempts raggiunge maxMfaIncorrectValidationAttempts, l'utente viene bloccato immediatamente.
    • maxMfaNotificationAttempts: il numero massimo di notifiche MFA che è possibile provare prima che un account venga bloccato. Se per questo attributo viene impostato un valore, deve essere presente anche un set di valori per maxMfaIncorrectValidationAttempts. Se questo attributo non è impostato, il funzionamento del blocco MFA viene determinato da maxIncorrectAttempts. Se mfaNotificationAttempts raggiunge maxMfaNotificationAttempts, l'utente viene bloccato al successivo tentativo di avviare una notifica per consentire all'utente di eseguire l'autenticazione utilizzando l'ultima notifica MFA.

    Aggiornare AuthenticationFactorSettings per impostare sia maxMfaIncorrectValidationAttempts che maxMfaNotificationAttempts eseguendo una chiamata PATCH sull'endpoint <IDENTITY_DOMAIN_URL>/admin/v1/AuthenticationFactorSettings/AuthenticationFactorSettings con il seguente payload:

    
{
  "schemas": [
    "urn:ietf:params:scim:api:messages:2.0:PatchOp"
  ],
  "Operations": [
    {
      "op": "add",
      "path": "endpointRestrictions.maxMfaIncorrectValidationAttempts",
      "value": 3
    },
    {
      "op": "add",
      "path": "endpointRestrictions.maxMfaNotificationAttempts",
      "value": 3
    }
  ]
}

    Il valore di entrambi può variare da un minimo di 3 a un massimo di 10.

  13. Per eseguire il test della configurazione, disconnettersi dalla console, quindi collegarsi come utente di test.
    Verrà richiesto di specificare un secondo fattore.