IAMのMFA

多要素認証(MFA)は、ユーザーのアイデンティティを検証するために複数の要素を使用する必要がある認証方法です。

MFAが有効な場合、ユーザーがアプリケーションにサインインすると、最初の要素(知っているもの)としてユーザー名とパスワードの入力を求められます。次に、ユーザーは2番目のタイプの検証を提供する必要があります。追加情報または第2デバイスを使用してユーザーのアイデンティティを検証し、サインイン・プロセスを完了することで、2つの要素が連携してセキュリティの追加レイヤーを追加します。

ノート

Microsoft Azure Active Directory (Azure AD)やOktaなど、サードパーティのアイデンティティ・プロバイダ(IdP)でMFAを構成している場合は、IAMまたはOracle Identity Cloud Serviceを使用してMFAを構成する必要はありません。

MFA有効化プラン

セキュリティを強化するために、すべてのテナンシでOCIコンソールのセキュリティ・サインオン・ポリシーのシードを開始しました。アイデンティティ・ドメインまたはIdentity Cloud Serviceストライプにポリシーがシードされたらすぐに、それをアクティブ化して管理権限を持つユーザーのマルチファクタ認証(MFA)を有効にする必要があります。

ノート

「OCIコンソールのセキュリティ・ポリシー」ポリシーは、次に適用されます:

IAM内のアイデンティティ・ドメインを持つテナンシをデフォルト・ドメインおよびすべてのセカンダリ・ドメインに設定します。2023年7月17日以降、次のいずれかの条件を満たしていないかぎり、このポリシーが自動的にアクティブ化されます。
Identity Cloud Serviceを使用するテナンシのすべてのIdentity Cloud Serviceストライプ。2023年7月24日以降、次のいずれかの条件を満たしていないかぎり、このポリシーが自動的にアクティブ化されます。

テナンシ・タイプの確認

所有しているテナンシ・タイプを確認するには、テナンシ・タイプの決定を参照してください。

OCIコンソールのセキュリティ・ポリシーの実行内容

「OCIコンソールのセキュリティ・ポリシー」サインオン・ポリシーは、OCIコンソールへのアクセスにのみ影響します。

ポリシーがアクティブ化された後、すべてのローカル・ユーザーがMFAを使用してコンソールにサインインする必要があります。コンソールにログインしないユーザーは、このポリシーの影響を受けません

ポリシーを自動的にアクティブ化しない場合

ポリシーは自動的にアクティブ化されません。

デフォルトのサインオン・ポリシーを変更した場合
すでにサインオン・ポリシーがあり、OCIコンソールが明示的に割り当てられている場合。
アクティブな外部IDP (SAML/ソーシャルまたはX.509)がIAMドメインに構成されている場合。つまり、フェデレーテッド・ユーザーは、このポリシーの影響から除外されます。
APIを使用してOCIコンソールのセキュリティ・ポリシーを削除しても、再作成されません。REST APIを使用してポリシーを削除するには、ポリシーの削除を参照してください。

IAM MFAのベスト・プラクティス

ベスト・プラクティスを使用してIAM MFAを構成するには: