Documentazione dell'infrastruttura Oracle Cloud

MFA IAM

L'autenticazione a più fattori (MFA) è un metodo di autenticazione che richiede l'uso di più fattori per verificare l'identità di un utente.

Con l'autenticazione MFA abilitata, quando un utente accede a un'applicazione, viene richiesto di specificare il nome utente e la password, che è il primo fattore, qualcosa che conosce. L'utente è quindi tenuto a fornire un secondo tipo di verifica. I due fattori lavorano insieme per aggiungere un ulteriore livello di sicurezza utilizzando informazioni aggiuntive o un secondo dispositivo per verificare l'identità dell'utente e completare il processo di accesso.

Nota

Se è stato configurato l'autenticazione MFA in un provider di identità 3° parte (IdP), ad esempio Microsoft Azure Active Directory (Azure AD) o Okta, non è necessario configurare l'autenticazione MFA utilizzando IAM o Oracle Identity Cloud Service.

Piano di abilitazione MFA

Per migliorare la sicurezza, abbiamo iniziato a inserire il criterio di accesso "Criterio di sicurezza per OCI Console" in tutte le tenancy. Non appena un dominio di Identity o uno striping di Identity Cloud Service è stato popolato con il criterio, è necessario attivarlo per abilitare l'autenticazione con più fattori (MFA) per gli utenti con privilegi amministrativi.

Nota

Il criterio "Criterio di sicurezza per OCI Console" si applica a:

  • Tenancy con domini di Identity in IAM, nel dominio predefinito e in tutti i domini secondari. Il criterio verrà attivato automaticamente dopo il 17 luglio 2023, a meno che non si soddisfi una delle condizioni riportate di seguito.
  • Tutti gli striping di Identity Cloud Service per le tenancy che utilizzano Identity Cloud Service. Il criterio verrà attivato automaticamente dopo il 24 luglio 2023, a meno che non si soddisfi una delle condizioni riportate di seguito.

Individuare il tipo di tenancy

Per scoprire il tipo di tenancy di cui si dispone, vedere Determinazione del tipo di tenancy.

Funzioni del "criterio di sicurezza per OCI Console"

Il criterio di accesso "Criterio di sicurezza per OCI Console" ha effetto solo sull'accesso a OCI Console.

Dopo l'attivazione del criterio, tutti gli utenti locali devono utilizzare l'autenticazione MFA per collegarsi alla console. Questo criterio non influirà sugli utenti che non eseguono il login alla console

Quando non attiveremo automaticamente la polizza

Non attiveremo automaticamente il criterio:

  • Se è stato modificato il criterio di accesso predefinito
  • Se si dispone già di un criterio di accesso e la console OCI è assegnata in modo esplicito.
  • Se nel dominio IAM è configurato un IDP esterno attivo (SAML/Social o X.509). Ciò significa che gli utenti federati sono esclusi dall'impatto di questo criterio.
  • Se si elimina il "criterio di sicurezza per OCI Console" utilizzando un'API, non verrà ricreato. Per eliminare il criterio mediante le API REST, vedere Eliminare un criterio.

Best practice per l'autenticazione MFA IAM

Per configurare l'autenticazione MFA IAM utilizzando le best practice, procedere come segue.

  1. Individuare il tipo di tenancy di cui si dispone. Vedere Determinazione del tipo di tenancy.
  2. Configurare le procedure ottimali MFA per il tipo di tenancy specifico utilizzando uno dei seguenti set di istruzioni.
    1. Domini di identità senza il criterio di accesso "Criteri di sicurezza per OCI Console"

      Per le tenancy che utilizzano domini di Identity, ma che non sono state popolate con il criterio di accesso "Criterio di sicurezza per OCI Console".

    2. Domini di identità con il criterio di accesso "Criteri di sicurezza per OCI Console"

      Per le tenancy che utilizzano i domini di Identity, ma che sono state popolate con il criterio di accesso "Criterio di sicurezza per OCI Console".

    3. Tenancy senza domini di Identity e senza il criterio di accesso "Criteri di sicurezza per OCI Console"

      Per le tenancy che utilizzano Identity Cloud Service, ma che non sono state popolate con il criterio di accesso "Criterio di sicurezza per OCI Console".

    4. Tenancy senza domini di Identity e con il criterio di accesso "Criteri di sicurezza per OCI Console"

      Per le tenancy che utilizzano Identity Cloud Service, ma che sono state popolate con il criterio di accesso "Criterio di sicurezza per OCI Console".

  3. Usa Cloud Guard per trovare gli utenti per i quali non è abilitata l'autenticazione MFA.