IAMのMFA
多要素認証(MFA)は、ユーザーのアイデンティティを検証するために複数の要素を使用する必要がある認証方法です。
MFAが有効な場合、ユーザーがアプリケーションにサインインすると、最初の要素(知っているもの)としてユーザー名とパスワードの入力を求められます。次に、ユーザーは2番目のタイプの検証を提供する必要があります。追加情報または第2デバイスを使用してユーザーのアイデンティティを検証し、サインイン・プロセスを完了することで、2つの要素が連携してセキュリティの追加レイヤーを追加します。
Microsoft Azure Active Directory (Azure AD)やOktaなど、サードパーティのアイデンティティ・プロバイダ(IdP)でMFAを構成している場合は、IAMまたはOracle Identity Cloud Serviceを使用してMFAを構成する必要はありません。
MFA有効化プラン
セキュリティを強化するために、すべてのテナンシでOCIコンソールのセキュリティ・サインオン・ポリシーのシードを開始しました。アイデンティティ・ドメインまたはIdentity Cloud Serviceストライプにポリシーがシードされたらすぐに、それをアクティブ化して管理権限を持つユーザーのマルチファクタ認証(MFA)を有効にする必要があります。
「OCIコンソールのセキュリティ・ポリシー」ポリシーは、次に適用されます:
- IAM内のアイデンティティ・ドメインを持つテナンシをデフォルト・ドメインおよびすべてのセカンダリ・ドメインに設定します。2023年7月17日以降、次のいずれかの条件を満たしていないかぎり、このポリシーが自動的にアクティブ化されます。
- Identity Cloud Serviceを使用するテナンシのすべてのIdentity Cloud Serviceストライプ。2023年7月24日以降、次のいずれかの条件を満たしていないかぎり、このポリシーが自動的にアクティブ化されます。
テナンシ・タイプの確認
所有しているテナンシ・タイプを確認するには、テナンシ・タイプの決定を参照してください。
OCIコンソールのセキュリティ・ポリシーの実行内容
「OCIコンソールのセキュリティ・ポリシー」サインオン・ポリシーは、OCIコンソールへのアクセスにのみ影響します。
ポリシーがアクティブ化された後、すべてのローカル・ユーザーがMFAを使用してコンソールにサインインする必要があります。コンソールにログインしないユーザーは、このポリシーの影響を受けません
ポリシーを自動的にアクティブ化しない場合
ポリシーは自動的にアクティブ化されません。
- デフォルトのサインオン・ポリシーを変更した場合
- すでにサインオン・ポリシーがあり、OCIコンソールが明示的に割り当てられている場合。
- アクティブな外部IDP (SAML/ソーシャルまたはX.509)がIAMドメインに構成されている場合。つまり、フェデレーテッド・ユーザーは、このポリシーの影響から除外されます。
- APIを使用してOCIコンソールのセキュリティ・ポリシーを削除しても、再作成されません。REST APIを使用してポリシーを削除するには、ポリシーの削除を参照してください。
IAM MFAのベスト・プラクティス
ベスト・プラクティスを使用してIAM MFAを構成するには:
- 所有しているテナンシ・タイプを確認します。テナンシ・タイプの決定を参照してください。
- 次のいずれかの手順を使用して、そのテナンシ・タイプのMFAベスト・プラクティスを構成します。
- 「OCIコンソールのセキュリティ・ポリシー」サインオン・ポリシーがないアイデンティティ・ドメイン
アイデンティティ・ドメインを使用するが、「OCIコンソールのセキュリティ・ポリシー」サインオン・ポリシーでシードされていないテナンシの場合。
- 「OCIコンソールのセキュリティ・ポリシー」サインオン・ポリシーを使用するアイデンティティ・ドメイン
アイデンティティ・ドメインを使用するが、「OCIコンソールのセキュリティ・ポリシー」サインオン・ポリシーでシードされているテナンシの場合。
- アイデンティティ・ドメインがない「OCIコンソールのセキュリティ・ポリシー」サインオン・ポリシーがないテナンシ
Identity Cloud Serviceを使用するが、OCIコンソールのセキュリティ・サインオン・ポリシーでシードされていないテナンシの場合。
- アイデンティティ・ドメインのないテナンシおよびOCIコンソールのセキュリティ・ポリシーを使用したサインオン・ポリシー
Identity Cloud Serviceを使用するが、「OCIコンソールのセキュリティ・ポリシー」サインオン・ポリシーでシードされているテナンシの場合。
- 「OCIコンソールのセキュリティ・ポリシー」サインオン・ポリシーがないアイデンティティ・ドメイン
- クラウド・ガードの使用: MFAが有効になっていないユーザーを検索します。