Gestione dei criteri di accesso
Gli argomenti di questa sezione descrivono come creare, attivare, aggiornare, disattivare ed eliminare i criteri di accesso per un dominio di Identity.
Informazioni su criteri e regole di accesso
Un criterio di accesso utilizza le regole di accesso per definire i criteri che determinano se consentire a un utente di collegarsi a un dominio di Identity o a un'applicazione.
Tutti i domini di Identity sono dotati di un criterio di accesso predefinito. Se il dominio di Identity è stato preconfigurato con il criterio di accesso Criterio di sicurezza per OCI Console, si consiglia di utilizzare tale criterio. Se necessario, è possibile aggiungere altri criteri di accesso. Assegnare la priorità alle regole di accesso per un criterio di accesso per specificare l'ordine in cui le regole devono essere valutate.
Criterio di accesso "predefinito"
Tutti i domini di Identity includono un criterio di accesso predefinito attivo contenente una regola di accesso predefinita.
Per impostazione predefinita, questa regola di accesso predefinita consente a tutti gli utenti di collegarsi al dominio di Identity con un nome utente e una password. È possibile basarsi su questo criterio aggiungendo altre regole di accesso. Aggiungendo queste regole, è possibile impedire ad alcuni utenti di collegarsi al dominio di Identity. In alternativa, puoi consentire loro di collegarsi, ma richiedere un fattore aggiuntivo per accedere alle risorse protette dal dominio di Identity, come la console di Oracle Cloud Infrastructure.
Ad esempio, è possibile creare due regole di accesso per il criterio di accesso predefinito. La prima regola impedisce a qualsiasi utente di collegarsi al dominio di Identity se utilizza un indirizzo IP che rientra nell'intervallo di un perimetro di rete definito con nome: Perimetri di rete negati. La seconda regola richiede che agli utenti che appartengono a un determinato gruppo (ad esempio, il gruppo di sviluppatori UA) venga richiesto di specificare un secondo fattore nell'ambito del processo di verifica a 2 fasi denominato: gruppo di sviluppatori UA. Tutti gli altri utenti saranno in grado di accedere senza che venga richiesto un secondo fattore.
Per la regola di accesso predefinita, non impostare mai l'accesso per tutti gli utenti da negare. Se gli utenti non soddisfano i criteri di altre regole definite che consentono di collegarsi al dominio di Identity, verrà loro impedito di accedere alle risorse protette dal dominio di Identity. Inoltre, configurare il dominio di Identity in modo che questa regola di accesso venga valutata per ultima perché, per impostazione predefinita, consente a tutti gli utenti di collegarsi al dominio di Identity.
Criterio di accesso "Criterio di sicurezza per OCI Console"
Il criterio di accesso Criterio di sicurezza per OCI Console viene attivato per impostazione predefinita e preconfigurato con le best practice di sicurezza Oracle.
- I seguenti fattori necessari per questo criterio di accesso sono già abilitati: Passcode applicazione Mobile, Notifica applicazione Mobile, Codice bypass e Autenticatore FIDO (Fast ID Online).
- L'applicazione Console OCI è stata aggiunta al criterio.
- Il criterio di accesso viene fornito con due regole di accesso attive:
- MFA per gli amministratori: la regola è in ordine di priorità. Questa regola preconfigurata richiede che tutti gli utenti del gruppo Amministratori e tutti gli utenti con ruolo di amministratore debbano iscriversi all'autenticazione MFA e forniscano un fattore aggiuntivo ogni volta che accedono. Nota
È possibile rimuovere questa regola e utilizzare la regola MFA per tutti gli utenti per richiedere a tutti gli utenti (compresi gli amministratori) di iscriversi all'autenticazione MFA. In alternativa, è possibile lasciare in vigore questa regola e tutti gli utenti (compresi gli amministratori) dovranno comunque iscriversi all'autenticazione MFA quando viene valutata la regola MFA per tutti gli utenti. - MFA per tutti gli utenti: la regola è seconda in ordine di priorità. Questa regola preconfigurata richiede che tutti gli utenti si iscrivano all'autenticazione MFA e forniscano un fattore aggiuntivo ogni volta che si collegano.Nota
Se al momento non si desidera richiedere l'autenticazione MFA per tutti gli utenti, è possibile impostare questa regola come facoltativa e gli utenti avranno la possibilità di iscriversi all'autenticazione MFA. In alternativa, è possibile rimuovere questa regola e mantenere l'autenticazione MFA per gli amministratori in modo che solo gli amministratori debbano iscriversi all'autenticazione MFA.
- MFA per gli amministratori: la regola è in ordine di priorità. Questa regola preconfigurata richiede che tutti gli utenti del gruppo Amministratori e tutti gli utenti con ruolo di amministratore debbano iscriversi all'autenticazione MFA e forniscano un fattore aggiuntivo ogni volta che accedono.
Qualunque regola si decida di mantenere, escludere almeno un amministratore dalla regola. Se si conservano entrambe le regole, apportare la modifica a entrambe le regole. Per informazioni su come escludere gli utenti da una regola di accesso, vedere Creazione di un criterio di accesso.
Per impostare l'autenticazione MFA utilizzando il criterio di accesso Criterio di sicurezza per OCI Console, consultare le best practice in Domini di identità con il criterio di accesso "Criterio di sicurezza per OCI Console".
Criteri di accesso aggiuntivi
È possibile creare criteri di accesso e associarli ad applicazioni specifiche. Quando un utente utilizza una di queste applicazioni per tentare di collegarsi al dominio di Identity, il dominio di Identity verifica se all'applicazione sono associati criteri di accesso. In tal caso, il dominio di Identity valuta i criteri delle regole di accesso assegnate al criterio. Se non sono presenti criteri di accesso per l'applicazione, viene valutato il criterio di accesso predefinito.
Priorità delle regole di accesso per una polizza
Poiché è possibile definire più regole di accesso per un criterio di accesso, il dominio di Identity deve conoscere l'ordine in cui le regole devono essere valutate. A tale scopo, è possibile impostare la priorità delle regole.
Utilizzando le regole di accesso dell'esempio Criterio di accesso predefinito riportato sopra, è possibile valutare prima la regola di accesso Perimetri di rete negati e la regola di accesso Gruppo di sviluppatori UA. Se un utente soddisfa i criteri della regola di accesso Perimetri di rete negati (ovvero, l'indirizzo IP utilizzato per tentare di collegarsi al dominio di Identity rientra nell'intervallo IP definito nel perimetro di rete), all'utente viene impedito di accedere alle risorse protette dal dominio di Identity. Se l'utente non corrisponde ai criteri per questa regola, viene valutata la regola con la priorità più alta successiva. In questo esempio, si tratta della regola Gruppo di sviluppatori UA. Se l'utente è membro del gruppo di sviluppatori UA, verrà richiesto di specificare un fattore aggiuntivo per collegarsi al dominio di Identity. Se l'utente non è un membro del gruppo di sviluppatori UA, viene valutata la regola con la priorità più alta successiva. In questo esempio, si tratta della regola di accesso predefinita. Poiché questa regola, per impostazione predefinita, consente a tutti gli utenti di collegarsi al dominio di Identity, sarà possibile collegarsi senza che venga richiesto un secondo fattore.
Criterio o ruolo richiesto
Criterio o ruolo richiesto.
- Essere membro del gruppo Administrators
- Assegnare il ruolo di amministratore del dominio di Identity, amministratore della sicurezza o amministratore dell'applicazione
- Essere membro di un gruppo a cui è stato concesso
manage identity-domains
Per ulteriori informazioni sui criteri e sui ruoli, vedere Ruoli del gruppo di amministratori, dei criteri e dell'amministratore, Introduzione ai ruoli dell'amministratore e Panoramica sui criteri IAM.