Oracle Cloud Infrastructureドキュメント

マルチファクタ認証設定の構成

IAMのアイデンティティ・ドメインへのアクセスに必要なMFAファクタを定義するマルチファクタ認証(MFA)設定およびコンプライアンス・ポリシーを構成し、MFAファクタを構成します。

ノート

この項のタスクは、IAMでアイデンティティ・ドメインのMFAを設定する必要がある管理者用です。2ステップ検証を自分で設定する必要があるユーザーの場合、アカウント・リカバリおよび2ステップ検証の設定を参照してください。
始める前に:
  • テスト・アイデンティティ・ドメインにテスト・ユーザーを作成します。そのアイデンティティ・ドメインを使用して、MFAを初めて設定します。アイデンティティ・ドメインの作成およびユーザーの作成を参照してください。
  • サインオン・ポリシー構成がロックアウトした場合に備えて、REST APIを使用してアイデンティティ・ドメインへのアクセスを有効にするようにクライアント・アプリケーションを設定します。このクライアント・アプリケーションを設定せず、サインオン・ポリシー構成によってすべてのユーザーへのアクセスが制限される場合、Oracle Supportに連絡するまで、すべてのユーザーがアイデンティティ・ドメインからロックアウトされます。クライアント・アプリケーションの設定の詳細は、クライアント・アプリケーションの登録に関する項を参照してください。

MFA設定を定義するには、アイデンティティ・ドメイン管理者ロールまたはセキュリティ管理者ロールのいずれかに割り当てられている必要があります。

  1. ナビゲーション・メニューを開き、「アイデンティティおよびセキュリティ」を選択します。「アイデンティティ」で、「ドメイン」を選択します。
  2. 作業するアイデンティティ・ドメインの名前を選択します。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。
  3. ドメインの詳細ページで、「認証」を選択します。
  4. 「認証」ページで、「ファクタの有効化または無効化」を選択します。設定パネルが開きます。
  5. 「ファクタの有効化または無効化」設定パネルで、アイデンティティ・ドメインへのアクセスに必要な各ファクタを選択します。
    各ファクタの説明は、認証ファクタの構成を参照してください。
  6. (オプション)ユーザーが構成できる登録されるファクタの最大数を設定します。
  7. (オプション)「信頼できるデバイス」セクションを使用して、信頼できるデバイス設定を構成します。
    「コンピュータを記憶する」と同様に、信頼できるデバイスでは、ユーザーがサインインするたびにセカンダリ認証を行う必要はありません。
  8. (オプション)「サインイン・ルール」で、ロックアウトする前にユーザーにMFA検証の間違う指定を許可する、2MFAの最大の失敗試行数を設定します。
  9. 「変更の保存」を選択して、変更を確認します。
  10. (オプション)選択したMFAファクタの横にある「編集」を選択して、それらを個別に構成します。
    各ファクタの手順は、「認証ファクタの構成」を参照してください。
  11. アクティブなサインオン・ポリシーで、2ステップ認証が許可されていることを確認します:
    1. 「ドメイン・ポリシー」タブを選択します。
    2. サインオン・ポリシー・ページで、「デフォルトのサインオン・ポリシー」を選択します。
    3. 「デフォルトのサインオン・ポリシー」ページで、「サインオン・ルール」を選択します。
    4. 「デフォルトのサインオン・ルール」行に、「アクション」メニュー(3つのドット)を選択し、「サインオン・ルールの編集」を選択します。
    5. 「サインオン・ルールの編集」ダイアログ・ボックスの「ユーザーの除外」で、テストが完了するまで、自分自身または別のアイデンティティ・ドメイン管理者をこのルールから除外します。これにより、問題が発生した場合に、少なくとも1人の管理者が常にアイデンティティ・ドメインにアクセスできるようになります。
    6. 「アクション」で、「追加ファクタの要求」を選択し、「アクセスの許可」が選択されていることを確認してください。
    7. 「Save changes」を選択します。
    8. 他のサインオン・ポリシーを追加した場合は、それらのポリシーごとに前のステップに従って、有効にするすべての条件でMFAが有効になっていることを確認します。
      ノート

      デフォルトのサインオン・ルールの設定によって、MFAがグローバルで有効になります。他のサインオン・ルールを設定すると、それらのルールの条件で指定されたユーザーおよびグループのデフォルトのサインオン・ルールをオーバーライドできます。パスワード・ポリシーの管理を参照してください。

      重要

      ポリシーからIdentity Domain Administratorを1つ除外してください。これにより、問題が発生した場合に、少なくとも1人の管理者が常にアイデンティティ・ドメインにアクセスできるようになります。

      サインオン・ポリシーのテストが終了するまで、「登録」「オプション」に設定します。

  12. (オプション) MFA検証の失敗およびMFA通知の試行に対して、個別のロックしきい値を有効にします。これを有効にするには、REST APIコールの作成方法を確認してください。
    ノート

    ユーザーMFAスキーマには、次の2つの新しい属性があります。
    • mfaIncorrectValidationAttempts - ユーザーによる不正なMFA検証の試行をトラッキングします。
    • mfaNotificationAttempts - ユーザーによるMFA通知の試行をトラッキングします。

    また、AuthenticationFactorSettingsには2つの新しい属性が追加されています。

    • maxMfaIncorrectValidationAttempts - アカウントがロックされる前に試行できる不正なMFA検証の最大数。この属性に値を設定する場合は、maxMfaNotificationAttemptsの値も設定する必要があります。この属性が設定されていない場合、MFAのロック動作はmaxIncorrectAttemptsによって決定されます。mfaIncorrectValidationAttemptsがmaxMfaIncorrectValidationAttemptsに達すると、ユーザーはすぐにロックされます。
    • maxMfaNotificationAttempts - アカウントがロックされるまでに試行できるMFA通知の最大数。この属性に値を設定する場合は、maxMfaIncorrectValidationAttemptsの値も設定する必要があります。この属性が設定されていない場合、MFAのロック動作はmaxIncorrectAttemptsによって決定されます。mfaNotificationAttemptsがmaxMfaNotificationAttemptsに達すると、ユーザーは次回通知を開始しようとしたときにロックされ、ユーザーが最後のMFA通知を使用して認証できるようになります。

    次のペイロードを使用して<IDENTITY_DOMAIN_URL>/admin/v1/AuthenticationFactorSettings/AuthenticationFactorSettingsエンドポイントでPATCHコールを実行して、AuthenticationFactorSettingsを更新し、 maxMfaIncorrectValidationAttemptsmaxMfaNotificationAttemptsの両方を設定します。

    
{
  "schemas": [
    "urn:ietf:params:scim:api:messages:2.0:PatchOp"
  ],
  "Operations": [
    {
      "op": "add",
      "path": "endpointRestrictions.maxMfaIncorrectValidationAttempts",
      "value": 3
    },
    {
      "op": "add",
      "path": "endpointRestrictions.maxMfaNotificationAttempts",
      "value": 3
    }
  ]
}

    両方の値は、最小値の3から最大値の10に変えることができます。

  13. 構成をテストするには、コンソールからサインアウトし、テスト・ユーザーとしてサインインします。
    2番目のファクタの入力を求められます。