Domini di Identity senza il criterio di accesso "Criterio di sicurezza per OCI Console"

Abilita le impostazioni di autenticazione a più fattori (MFA) e i criteri di conformità che definiscono i fattori di autenticazione che si desidera consentire, quindi configura i fattori MFA.

1. Collegarsi a una tenancy con domini di Identity utilizzando le credenziali dell'amministratore del dominio di Identity.
2. Aprire il menu di navigazione e fare clic su Identità e sicurezza. In identità fare clic su Domini. Individuare il dominio di Identity Predefinito.
   Nota
   
   Se il dominio di Identity Predefinito non viene visualizzato, in Compartimento scegliere il compartimento radice dalla lista.
3. Selezionare il dominio di Identity Predefinito, quindi fare clic su Sicurezza e quindi su MFA.
4. Nella sezione Fattori selezionare ciascuno dei fattori che si desidera consentire agli utenti di selezionare.
   Nota
   
   

   I fattori MFA disponibili dipendono dal tipo di dominio di Identity di cui si dispone. Il tipo di dominio viene visualizzato nella pagina Domini della tenancy. Per ulteriori informazioni sull'autenticazione MFA e sui tipi di dominio, vedere Disponibilità delle funzioni per i tipi di dominio di Identity.

   Nota
   
   

   Si consiglia di utilizzare questi autenticatori MFA resistenti al phishing:

   • Passcode applicazione Mobile e notifica applicazione Mobile

     Nota
     
     Vedere Uso dell'applicazione Oracle Mobile Authenticator per informazioni sull'utilizzo della notifica dell'applicazione Mobile e del passcode dell'applicazione Mobile nell'applicazione Oracle Mobile Authenticator.

   • FIDO (Fast ID Online)

   Per ulteriori informazioni sugli autenticatori MFA, vedere Configurazione dei fattori di autenticazione.

5. (Obbligatorio) Abilitare sempre Codice bypass in modo che gli amministratori possano generare un passcode monouso come secondo fattore se gli utenti perdono l'autenticatore esterno, ad esempio l'applicazione Mobile o la chiave FIDO.
6. (Facoltativo) Impostare il numero massimo di fattori registrati che gli utenti possono configurare.
7. (Opzionale) Utilizzare la sezione Dispositivi sicuri per configurare le impostazioni dei dispositivi sicuri.
   Nota
   
   Simile a "ricorda il mio computer", i dispositivi sicuri non richiedono all'utente di fornire l'autenticazione secondaria ogni volta che si connette (per un periodo definito).
8. (Facoltativo) Nella sezione Regole di accesso, impostare il Numero massimo di tentativi MFA non riusciti che si desidera consentire a un utente di fornire in modo errato la verifica MFA prima di essere bloccato.
   Esempio di fattori MFA

   
9. Fare clic su Save changes, quindi confermare la modifica.
10. (Facoltativo) Fare clic su Configura per i fattori MFA selezionati per configurarli singolarmente.

Operazioni successive: creare un nuovo criterio di accesso. Vedere Passo 2: Creare un nuovo criterio di accesso.

Creare un nuovo criterio di accesso, aggiungere una regola per l'autenticazione MFA, assegnare la priorità a tale regola come prima regola valutata dal dominio di Identity, aggiungere l'applicazione Console al nuovo criterio, attivare il criterio ed eseguire il test del criterio.

1. Aprire il menu di navigazione e fare clic su Identità e sicurezza. In identità fare clic su Domini. Selezionare il dominio di Identity Predefinito e fare clic su Sicurezza, quindi su Criteri di accesso. Vengono elencati i criteri di accesso predefiniti e qualsiasi altro criterio di accesso definito.
2. Fare clic su Crea criterio di accesso.
3. Immettere le informazioni riportate di seguito.
   • Nome: immettere OCIConsole SignOn Policy.
   • Descrizione: immettere una descrizione per il criterio.
4. Fare clic su Aggiungi criterio.
   Nota
   
   

   Dopo aver fatto clic su Aggiungi criterio, il criterio di accesso viene salvato con stato disattivato. È necessario attivare il criterio per utilizzarlo.

5. Nella schermata Aggiungi regole di accesso fare clic su Aggiungi regola di accesso per aggiungere una regola di accesso a questo criterio.
6. Utilizzare la tabella riportata di seguito per configurare la nuova regola MFA.
   Nota
   
   

   È possibile creare altre regole di accesso in base alle proprie esigenze, quindi assegnare loro la priorità per specificare quali regole vengono elaborate per prime. La valutazione si interrompe alla prima regola di corrispondenza. In assenza di regole corrispondenti, l'accesso viene negato.

   Campo	descrizione;
   Nome regola	Immettere un nome. Immettere il nome della regola di accesso. Ad esempio, denominarlo MFA for OCI Console per abilitare l'autenticazione MFA per tutti gli utenti. In alternativa, assegnare un nome a MFA for OCI Console Administrators per abilitare l'autenticazione MFA per gli amministratori.
   Autenticazione del provider di identità (facoltativo)	Immettere o selezionare tutti i provider di identità utilizzati per autenticare gli account utente valutati da questa regola. Se si lascia vuoto, per l'autenticazione vengono utilizzate le altre condizioni.
   Appartenenza a gruppo	Abilitare l'autenticazione MFA per tutti gli utenti immettendo o selezionando i gruppi di cui gli utenti devono essere membri per soddisfare i criteri di questa regola. Procedure ottimali. Abilitare l'autenticazione MFA per tutti gli utenti che utilizzano l'appartenenza ai gruppi. Se al momento non è possibile abilitare l'autenticazione MFA per tutti gli utenti, si consiglia di abilitare l'autenticazione MFA per i seguenti gruppi che concedono privilegi amministrativi agli utenti nella console: Tutti i gruppi tramite i quali vengono concesse le autorizzazioni OCI in un criterio IAM. Gruppo Amministratori nel dominio di Identity Predefinito. Qualsiasi gruppo Identity Cloud Service mappato ai gruppi IAM OCI. Nota: solo le tenancy migrate. Importante: se si lascia vuota l'appartenenza al gruppo e si deseleziona Amministratore, tutti gli utenti verranno inclusi in questa regola.
   Amministratore	Gli utenti assegnati ai ruoli Amministratore nel dominio di Identity sono inclusi in questa regola. Procedure ottimali. Utilizzare Appartenenza al gruppo per abilitare l'autenticazione MFA per tutti gli utenti o almeno per tutti gli amministratori. Se non è possibile abilitare l'autenticazione MFA per tutti gli utenti o gli amministratori in questo momento utilizzando l'appartenenza al gruppo, selezionare Amministratore per includere gli amministratori in questa regola. Importante: se si crea una regola solo per gli amministratori, è necessario creare una seconda regola senza MFA per consentire ai non amministratori di collegarsi. Se la seconda regola non viene creata, l'accesso alla console viene bloccato per i non amministratori.
   Escludi utenti	Procedure ottimali. La miglior prassi consiste nel non escludere alcun utente. Tuttavia, quando imposti l'autenticazione MFA, puoi escludere temporaneamente un account amministratore nel caso in cui apporti modifiche che ti bloccano dalla console OCI. Una volta completato il rollback e configurato l'autenticazione MFA per consentire agli utenti di accedere a OCI Console, modificare questa impostazione in modo che nessun utente venga escluso dalla regola. Per una lista dei prerequisiti, vedere Domini di Identity senza il criterio di accesso "Criteri di sicurezza per OCI Console".
   Filtra in base all'indirizzo IP client	A questo campo sono associate due opzioni: Dove e Limita ai seguenti perimetri di rete. Se si seleziona Dove, gli utenti possono collegarsi al dominio di Identity utilizzando qualsiasi indirizzo IP. Se si seleziona Limita ai seguenti perimetri di rete, viene visualizzata la casella di testo Perimetri di rete. In questa casella di testo, immettere o selezionare i perimetri di rete definiti. Per ulteriori informazioni, vedere Creazione di un perimetro di rete. Gli utenti possono collegarsi al dominio di Identity utilizzando solo gli indirizzi IP contenuti nei perimetri di rete definiti.
   Consenti accesso o Nega accesso	Selezionare se un utente sarà autorizzato ad accedere alla console se l'account utente soddisfa i criteri di questa regola. Quando si seleziona Consenti accesso, vengono presentate le opzioni aggiuntive riportate di seguito. Procedure ottimali. Scegliere Consenti accesso.
   Prompt per nuova autenticazione	Selezionare questa casella di controllo per forzare l'utente a reimmettere le credenziali per accedere all'applicazione assegnata anche quando è presente una sessione del dominio di Identity esistente. Se selezionata, questa opzione impedisce l'accesso singolo per le applicazioni assegnate al criterio di accesso. Ad esempio, un utente autenticato deve accedere a una nuova applicazione. Se non è selezionata e l'utente ha eseguito l'autenticazione in precedenza, può accedere all'applicazione utilizzando la sessione Single Sign-On esistente senza dover immettere le credenziali. Procedure ottimali. Disattivare Richiedi nuova autenticazione.
   Prompt per un fattore aggiuntivo	Selezionare questa casella di controllo per richiedere all'utente un fattore aggiuntivo per collegarsi al dominio di Identity. Se si seleziona questa casella di controllo, è necessario specificare se l'utente deve iscriversi all'autenticazione a più fattori (MFA) e con quale frequenza deve essere utilizzato questo fattore aggiuntivo per accedere. Selezionare Qualsiasi fattore per richiedere all'utente di iscriversi e verificare qualsiasi fattore abilitato nelle impostazioni a livello di tenant MFA. Selezionare Solo fattori specificati per richiedere all'utente di iscriversi e verificare un subset di fattori abilitati nelle impostazioni a livello di tenant MFA. Dopo aver selezionato Solo fattori specificati, è possibile selezionare i fattori che devono essere applicati da questa regola. Procedure ottimali. Scegliere Solo fattori specificati, quindi scegliere i fattori ad eccezione di E-mail o Chiamata telefonica. Abilitare sempre Codice bypass.
   la frequenza	Procedure ottimali. Scegliere Ogni volta. Selezionare Una volta per sessione o dispositivo sicuro, in modo che per ogni sessione aperta dall'utente da un dispositivo affidabile, sia necessario utilizzare i nomi utente e le password e un secondo fattore. Selezionare Ogni volta, in modo che ogni volta che gli utenti si collegano da un dispositivo sicuro, debbano utilizzare i nomi utente e le password e un secondo fattore. Procedure ottimali. Scegliere Ogni volta. Selezionare Intervallo personalizzato, quindi specificare la frequenza con cui gli utenti devono fornire un secondo fattore per accedere. Ad esempio, se si desidera che gli utenti utilizzino questo fattore aggiuntivo ogni due settimane, fare clic su Numero, immettere 14 nel campo di testo, quindi fare clic sul menu a discesa Intervallo per selezionare Giorni. Se è stata configurata l'autenticazione a più fattori (MFA), questo numero deve essere minore o uguale al numero di giorni durante i quali un dispositivo può essere considerato sicuro in base alle impostazioni MFA. Per ulteriori informazioni, vedere Gestione dell'autenticazione con più fattori.
   Registrazione	Questo menu contiene due opzioni: Obbligatorio e Facoltativo. Selezionare Obbligatorio per forzare l'utente a iscriversi all'autenticazione MFA. Selezionare Facoltativo per offrire agli utenti la possibilità di saltare l'iscrizione all'autenticazione MFA. Gli utenti visualizzano il processo di impostazione delle iscrizioni in linea dopo aver immesso il nome utente e la password, ma possono fare clic su Ignora. Gli utenti possono quindi abilitare l'autenticazione MFA in un secondo momento dall'impostazione Verifica a 2 fasi nelle impostazioni di Sicurezza del profilo personale. Agli utenti non viene richiesto di impostare un fattore alla successiva connessione. Nota: se si imposta Iscrizione su Obbligatoria e successivamente si imposta Facoltativo, la modifica interesserà solo i nuovi utenti. Gli utenti già iscritti all'autenticazione MFA non vedranno il processo di iscrizione in linea e non potranno fare clic su Ignora al momento dell'accesso.

   Esempio di regola di accesso MFA

   
7. Fare clic su Aggiungi regola di accesso.
   Nota
   
   Se si crea una regola MFA solo per gli amministratori, è necessario creare una seconda regola senza MFA per consentire ai non amministratori di collegarsi. Se la seconda regola non viene creata, l'accesso alla console viene bloccato per i non amministratori.
8. Aggiungere l'applicazione Console al criterio OCIConsole SignOn Policy. Importante: per assicurarsi che il criterio sia valido solo per l'accesso alla console e che non sia applicabile ad altre applicazioni, aggiungere solo l'applicazione Console.
   1. Nella pagina dei dettagli del criterio di accesso, fare clic su Applicazioni. Viene visualizzata la lista di applicazioni già aggiunte al criterio.
   2. Fare clic su Aggiungi applicazione.
   3. Nella finestra Aggiungi applicazione individuare l'applicazione Console e selezionare la casella di controllo per l'applicazione. quindi fare clic su Aggiungi applicazione;
      Nota
      
      Se l'applicazione Console non viene visualizzata, è già assegnata a un criterio.
   Applicazione OCI Console aggiunta a un esempio di criterio di accesso

   
9. 1. Attivare il criterio di accesso e l'autenticazione MFA è abilitata. Agli utenti verrà richiesto di iscriversi all'autenticazione MFA al successivo accesso.
      1. Nella pagina Criteri di accesso fare clic su OCIConsole SignOn Criterio.
      2. Fare clic su Attiva criterio di accesso.
10. Disconnettersi dai domini di Identity.
11. Collegarsi ai domini di Identity. È necessario richiedere l'iscrizione all'autenticazione MFA. Completa la registrazione MFA utilizzando Oracle Mobile Authenticator (OMA). Vedere Utilizzo dell'applicazione Oracle Mobile Authenticator.
    Esempio di schermata di registrazione MFA