Documentazione dell'infrastruttura Oracle Cloud

Domini di Identity con il criterio di accesso "Criterio di sicurezza per OCI Console"

Se si utilizza l'autenticazione a più fattori (MFA) nelle tenancy con domini di Identity con il criterio di accesso "Criterio di sicurezza per OCI Console", si consiglia di impostare l'autenticazione MFA utilizzando questo criterio di accesso.

Piano di abilitazione MFA

Per migliorare la sicurezza, abbiamo iniziato a inserire il criterio di accesso "Criterio di sicurezza per OCI Console" in tutte le tenancy. Non appena un dominio di Identity è stato popolato con il criterio, è necessario attivarlo per abilitare l'autenticazione a più fattori (MFA) per gli utenti con privilegi amministrativi.

Il diagramma di flusso riportato di seguito delinea l'intero processo dal rollout dei criteri, in cui Oracle avvia il popolamento dei criteri, alla fase di applicazione dei criteri, durante la quale Oracle attiverà il criterio, tranne in circostanze specifiche.

diagramma di flusso che mostra le fasi di implementazione del "criterio di sicurezza per OCI Console" per i domini di Identity in IAM

  • Il criterio di accesso "Criterio di sicurezza per OCI Console" ha effetto solo sull'accesso a OCI Console. Dopo l'attivazione del criterio, tutti gli utenti locali devono utilizzare l'autenticazione MFA per collegarsi alla console.
  • Il criterio si applica al dominio predefinito e a tutti i domini secondari.

Non attiveremo automaticamente il criterio:

  • Se è stato modificato il criterio di accesso predefinito
  • Se si dispone già di un criterio di accesso e la console OCI è assegnata in modo esplicito.
  • Se nel dominio IAM è configurato un IDP esterno attivo (SAML/Social o X.509). Ciò significa che gli utenti federati sono esclusi dall'impatto di questo criterio.
  • Se si elimina il "criterio di sicurezza per OCI Console" utilizzando un'API, non verrà ricreato. Per eliminare il criterio mediante le API REST, vedere Eliminare un criterio.

Per attivare il criterio in un dominio di Identity, vedere Attivazione di un criterio di accesso.

Una volta attivata, verrà visualizzata nella pagina Criteri di accesso della console.

Criterio di sicurezza per OCI Console attivato nella pagina Criteri di accesso

Per ulteriori informazioni sul criterio, vedere Informazioni sul criterio di accesso "Criterio di sicurezza per OCI Console".

Regole di applicazione per "Criterio di sicurezza per OCI Console" per i domini di Identity in IAM

Stato del criterio di accesso "Criterio di sicurezza per OCI Console" È stato modificato il criterio di accesso predefinito Stato del criterio di accesso "Criterio di sicurezza per OCI Console" dopo aver forzato l'abilitazione
Presente e abilitato Non applicabile (non è possibile avere un altro criterio di accesso attivo per OCI Console) Nessuna modifica
Presente e disabilitato N Il criterio è stato modificato in Presente e Abilitato
Presente e disabilitato Nessuna modifica. Non sovrascriverà il criterio.
Data eliminazione Non applicabile Nessuna modifica

Impostazione del criterio di accesso "Criterio di sicurezza per OCI Console"

Per impostare il criterio di accesso "Criterio di sicurezza per OCI Console":

  1. Leggere Prerequisiti.
  2. Leggi Informazioni sul criterio di accesso "Criteri di sicurezza per OCI Console".
  3. Facoltativamente e solo durante il periodo di roll out, escludere un amministratore dal criterio. Quando si è certi che gli utenti abbiano impostato l'autenticazione MFA per i propri account, aggiungere di nuovo tale account al "Criterio di sicurezza per OCI Console". Vedere Esclusione temporanea di un amministratore dal criterio di accesso "Criterio di sicurezza per OCI Console".
    Nota

    È un rischio per la sicurezza avere un utente in grado di accedere senza MFA, quindi se si sceglie di farlo per il più breve tempo possibile.
  4. Scopri come iscriverti a MFA utilizzando un passcode applicazione Mobile o una notifica applicazione Mobile. Vedere Completamento dell'iscrizione MFA.

Requisiti indispensabili

Procedure preliminari: prima di configurare l'autenticazione MFA, completare i prerequisiti riportati di seguito. Saltare tutti i prerequisiti già completati.

  1. Esaminare i fattori MFA. I fattori MFA disponibili dipendono dal tipo di dominio di Identity di cui si dispone. Il tipo di dominio viene visualizzato nella pagina Domini della tenancy. Per ulteriori informazioni sull'autenticazione MFA e sui tipi di dominio, vedere Disponibilità delle funzioni per i tipi di dominio di Identity.
  2. Rivedere la documentazione relativa all'uso dell'applicazione Oracle Mobile Authenticator per scoprire come utilizzare la notifica dell'applicazione Mobile e il passcode dell'applicazione Mobile nell'applicazione Oracle Mobile Authenticator.
  3. Facoltativamente, e solo durante il periodo di roll out, escludere un amministratore del dominio di Identity dal criterio "Criterio di sicurezza per OCI Console". Pertanto, se si commettono errori durante il roll out, non è possibile uscire dalla console.

    Non appena il lancio è completato e si è certi che tutti gli utenti abbiano impostato l'autenticazione MFA e possano accedere alla console, è possibile rimuovere questo account utente.

  4. Identificare i gruppi Identity Cloud Service mappati ai gruppi IAM OCI. Nota: solo le tenancy migrate.
  5. Registrare un'applicazione client con un ruolo di amministratore del dominio di Identity per abilitare l'accesso al dominio di Identity utilizzando l'API REST nel caso in cui la configurazione del criterio di accesso blocchi l'utente. Se non si registra questa applicazione client e la configurazione di un criterio di accesso limita l'accesso a tutti, tutti gli utenti non saranno più autorizzati a utilizzare il dominio di Identity finché non si contatta il Supporto Oracle. Per informazioni sulla registrazione di un'applicazione client, vedere Registrazione di un'applicazione client.
  6. Creare un codice bypass e memorizzarlo in una posizione sicura. Vedere Generazione di un codice bypass.

Informazioni sul criterio di accesso "Criterio di sicurezza per OCI Console"

Il criterio di accesso Criterio di sicurezza per OCI Console viene attivato per impostazione predefinita e preconfigurato con le best practice di sicurezza Oracle.

Se si modificano le regole in questo criterio, non si segue più la procedura consigliata per la sicurezza Oracle.

  • I seguenti fattori necessari per questo criterio di accesso sono già abilitati: Passcode applicazione Mobile, Notifica applicazione Mobile, Codice bypass e Autenticatore FIDO (Fast ID Online).
  • L'applicazione Console è stata aggiunta al criterio.
  • Il criterio di accesso viene fornito con due regole di accesso attive:

    Le regole nel criterio di sicurezza per il criterio di accesso alla console OCI

    • MFA per gli amministratori: la regola è in ordine di priorità. Questa regola preconfigurata richiede che tutti gli utenti del gruppo Amministratori e tutti gli utenti con un ruolo di amministratore si iscrivano all'autenticazione MFA e forniscano un fattore aggiuntivo ogni volta che si collegano alla console OCI.
    • MFA per tutti gli utenti: la regola è seconda in ordine di priorità. Questa regola preconfigurata richiede che tutti gli utenti si iscrivano all'autenticazione MFA e forniscano un fattore aggiuntivo ogni volta che si collegano alla console.

Escludi temporaneamente un amministratore dal criterio di accesso "Criterio di sicurezza per OCI Console"

Come best practice, non modificare il criterio di accesso "Criterio di sicurezza per OCI Console". Tuttavia, potresti volerlo fare durante il lancio. È possibile escludere temporaneamente un account amministratore se si apportano modifiche che bloccano l'utente dalla console OCI. Al termine del rollback e dopo che gli utenti hanno configurato l'autenticazione MFA in modo da poter accedere a OCI Console, modificare questa impostazione.
  1. Decidere l'utente amministratore che si sta per escludere temporaneamente da "Criterio di sicurezza per OCI Console", creare un nuovo gruppo e assegnargli l'utente.
  2. Creare una nuova regola che non utilizzi l'autenticazione MFA e assegnarvi il gruppo.
  3. Rendere la regola la prima regola nel criterio "Criterio di sicurezza per OCI Console".
Nota

Una volta completato il rollback, tutti gli utenti hanno configurato l'autenticazione MFA e ci sono meno possibilità di commettere un errore che potrebbe bloccare l'utente dalla console OCI, annullare questi passi e ripristinare lo stato non modificato del criterio "Criterio di sicurezza per OCI Console".
  1. Creare un nuovo gruppo e assegnare l'utente che si desidera escludere. Fare riferimento alle sezioni Creazione di un gruppo e Aggiunta di utenti a un gruppo.
  2. Creare una nuova regola di accesso.
    1. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Domini.

    2. Selezionare il nome del dominio di Identity in cui si desidera lavorare. Potrebbe essere necessario modificare il compartimento per trovare il dominio desiderato.
    3. Nella lista dei criteri di accesso, fare clic su Criterio di sicurezza per OCI Console.
    4. Fare clic su Aggiungi regola di accesso.
    5. Assegnare un nome alla regola.
    6. Per Appartenenza gruppo, selezionare il nuovo gruppo appena creato.
    7. Fare clic su Aggiungi regola di accesso.
      La nuova regola viene aggiunta alla lista di regole per il criterio "Criterio di sicurezza per OCI Console".
  3. Rendere la nuova regola la prima nel criterio "Criterio di sicurezza per OCI Console".
    1. Nella pagina dei dettagli del criterio, fare clic su Modifica priorità.
    2. Utilizzare le frecce per modificare la priorità delle regole di accesso.
    3. Fare clic su Salva modifiche.
Quando questo utente si collega, viene applicata la prima regola e non deve utilizzare l'autenticazione MFA per eseguire l'autenticazione.

Non appena si è certi che tutti gli utenti abbiano impostato l'autenticazione MFA e che non sia possibile uscire accidentalmente dalla console OCI, eliminare la nuova regola in modo che il criterio "Criterio di sicurezza per OCI Console" passi allo stato non modificato.

Per eliminare la regola:

  1. Nella pagina Criteri di accesso, fare clic su Criterio di sicurezza per OCI Console.
  2. Fare clic sulla casella di controllo relativa alla nuova regola e fare clic su Rimuovi regola di accesso.

Ora tutti gli utenti devono utilizzare l'autenticazione MFA per collegarsi a OCI Console.

Completamento iscrizione MFA

Dopo l'attivazione del criterio di accesso "Criterio di sicurezza per OCI Console", a chiunque si colleghi a OCI Console verrà richiesto di completare la registrazione MFA utilizzando Oracle Mobile Authenticator (OMA).

L'utente e gli altri utenti che si collegano a OCI Console visualizzeranno una schermata simile a questo esempio.

Fare clic su Abilita verifica sicura e seguire le istruzioni riportate in Utilizzo dell'applicazione Oracle Mobile Authenticator.

Screenshot che mostra la schermata di registrazione MFA.