必要な同意を使用したOracleセキュリティのデフォルトの変更およびリストア
明示的な変更の同意を提供した後、アイデンティティ・ドメインの「OCIコンソールのセキュリティ・ポリシー」サインオン・ポリシーのOracleセキュリティ・デフォルトを変更できます。復元同意を提供したあとで、Oracleセキュリティーのデフォルトを復元することもできます。
Oracleは、コンソールを保護するために、すべてのドメインに対して「OCIコンソールのセキュリティ・ポリシー」サインオン・ポリシーを実装しました。このポリシーにより、コンソールへのサインイン試行ごとにフィッシング・レジスタント・ファクタを使用した多要素認証が要求され、そのリソースが保護されます。
アイデンティティ・ドメインのOracleセキュリティのデフォルトが常に維持されるようにするには、Oracleが提供するOracleセキュリティのデフォルトを変更するたびに明示的な同意を記録する必要があります。すべてのアイデンティティ・ドメイン管理者に、変更のアラートを通知する電子メール通知が送信されます。
最大50人のアイデンティティ・ドメイン管理者が電子メール通知を受信します。
ポリシーおよびロールの詳細は、ポリシーの開始、管理者ロールの理解およびポリシーの理解を参照してください。
「OCIコンソールのセキュリティ・ポリシー」サインオン・ポリシーのOracleセキュリティ・デフォルトに対する次の変更には、明示的な同意が必要です:
- 新規ルールの追加
- Oracleのデフォルト・セキュリティ・ルールの削除
- Oracleのデフォルト・セキュリティ・ルールの再順序付け
- Oracleのデフォルト・セキュリティ・ルールでの条件(グループ・メンバーシップを含む)またはアクションの変更
- 「OCIコンソールのセキュリティ・ポリシー」のOracleセキュリティ・デフォルトへのリストア
Oracleは、すべてのテナンシおよびドメイン管理者に3つの電子メール・リマインダを送信し、各ドメインの「OCIコンソールのセキュリティ・ポリシー」サインオン・ポリシーを確認し、ポリシーに対するカスタマイズを保持するか、ポリシーをOracleセキュリティ・デフォルトにリストアするように通知します。3回の電子メール・リマインダ後、コンソールでの作業を続行するには、少なくとも1人の管理者が同意する必要があります。
この項の内容は次のとおりです:
ドメインのOracleセキュリティのデフォルトの変更
「OCIコンソールのセキュリティ・ポリシー」サインオン・ポリシーをコンソールまたはAPIを介して変更するには、アイデンティティ・ドメイン管理者からの明示的な同意が必要です。変更の詳細が記載された電子メールが他のアイデンティティ・ドメイン管理者に送信されます。
サインオン・ポリシーを管理するには、次のアクセス権付与のいずれかが必要です:
- 管理者グループのメンバーにします
- アイデンティティ・ドメイン管理者ロールが付与されます。
manage identity-domainsが付与されているグループのメンバーにします
-
重要
IAMアイデンティティ・ドメインに移行されていないOracle Identity Cloud Service (IDCS)ストライプを使用している場合は、管理コンソールを使用して「OCIコンソールのセキュリティ・ポリシー」を変更できません。このポリシーを変更するには、かわりにAPIを使用する必要があります。管理コンソールUIでは、「OCIコンソールのセキュリティ・ポリシー」に対する変更はサポートされません。 - 変更の同意が提供された後は、追加の同意なしにポリシーを変更できます。OCIコンソールのセキュリティ・ポリシー・サインオン・ポリシーがOracleセキュリティ・デフォルトにリストアされた後、後続の変更には同意が必要です。重要
Oracleセキュリティのデフォルトをリストアするには、「デフォルトのリストア」をクリックする必要があります。Oracleセキュリティのデフォルトへの変更を手動で元に戻さないでください。 - 同意電子メールは、最大50人のアイデンティティ・ドメイン管理者に送信できます。
- アイデンティティ・ドメイン管理者は、変更したOCIコンソールのセキュリティ・ポリシー・サインオン・ポリシーをOracleセキュリティ・デフォルトにいつでもリストアできます。ドメインのOracleセキュリティのデフォルトのリストアを参照してください。
コンソールを使用したOracleセキュリティのデフォルトの変更
サインオン・ポリシーでOracleセキュリティのデフォルトを変更するには、明示的な同意と理由を指定する必要があります。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」を選択します。「アイデンティティ」で、「ドメイン」を選択します。
- 作業するアイデンティティ・ドメインの名前をクリックします。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。
- 「セキュリティ」をクリックし、「サインオン・ポリシー」をクリックします。
- 「サインオン・ポリシー」ページで、「OCIコンソールのセキュリティ・ポリシー」サインオン・ポリシーをクリックします。
- 変更内容をレコード同意にします。「事前定義済カテゴリ」をクリックするか、「その他」をクリックしてサポート理由を入力します。コンソールでのサインオン・ポリシーの変更の詳細は、サインオン・ポリシーの更新を参照してください。
APIを使用したOracleセキュリティ・デフォルトの変更
/Policies/Rules/ConditionGroups/Conditions
- これらのAPIはすべて、コンソールと同様の同意、理由および理由を受け入れます。
- 明示的な同意が提供されない場合、API操作はブロックされます。同意、理由または理由は、「OCIコンソールのセキュリティ・ポリシー」サインオン・ポリシーにのみ適用されます。
リクエスト本文の例
PATCH https://<domainURL>/admin/v1/Policies/OciConsolePolicy
{
"schemas": [
"urn:ietf:params:scim:api:messages:2.0:PatchOp"
],
"Operations": [
{
"op": "replace",
"path": "active",
"value": false
},
{
"op": "replace",
"path": "urn:ietf:params:scim:schemas:oracle:idcs:extension:ociconsolesignonpolicyconsent:Policy:consent",
"value": true
},
{
"op": "replace",
"path": "urn:ietf:params:scim:schemas:oracle:idcs:extension:ociconsolesignonpolicyconsent:Policy:justification",
"value": "MFA Configured in Custom Policy"
}
]
}レスポンス本文の例
{
"policyType": {
"value": "SignOn",
"$ref": "https://<domain_name>/admin/v1/PolicyTypes/SignOn"
}
.
.
.
"id": "OciConsolePolicy",
"active": false,
"name": "Security Policy for OCI Console",
.
.
.
}ドメインのOracleセキュリティ・デフォルトに属するリソースの削除
「OCIコンソールのセキュリティ・ポリシー」サインオン・ポリシーに属するリソースを削除するには、親オブジェクトから参照解除する必要があります。
ルール、条件および条件グループは、ポリシー・オブジェクトの一部です。オブジェクトの親子参照の次のリストを参照してください。
- ルールはポリシーで参照されています
- 条件グループはルールで参照されています
- 条件はルールまたは条件グループで参照されています
コンソールを使用したリソースの削除
「OCIコンソールのセキュリティ・ポリシー」サインオン・ポリシーからサインオン・ルールを削除するには:
- サインオン・ポリシーの詳細ページで、ポリシーから削除する各サインオン・ルールのチェックボックスを選択します。
- 「サインオン・ルールの削除」をクリックします。
- 「同意」チェック・ボックスをクリックし、理由を入力します。
- 確認ウィンドウで、「サインオン・ルールの削除」をクリックします。
APIを使用したリソースの削除
必要な子オブジェクトを削除する前に、対応する親オブジェクトに対するPUTまたはPATCH操作を使用して間接参照を行う必要があります。
リクエスト本文の例
PATCH https://<domainURL>/admin/v1/Policies/OciConsolePolicy
{
"schemas": [
"urn:ietf:params:scim:api:messages:2.0:PatchOp"
],
"Operations": [
{
"op": "replace",
"path": "rules",
"value": [
{
"value": "OciConsoleAdminMFARule",
"sequence": 1,
"name": "MFA for administrators",
"$ref": "https://<domainURL>/admin/v1/Rules/OciConsoleAdminMFARule"
}
<2nd Rule Has been not included (de-referenced)>
]
},
{
"op": "replace",
"path": "urn:ietf:params:scim:schemas:oracle:idcs:extension:ociconsolesignonpolicyconsent:Policy:consent",
"value": true
},
{
"op": "replace",
"path": "urn:ietf:params:scim:schemas:oracle:idcs:extension:ociconsolesignonpolicyconsent:Policy:justification",
"value": "MFA Configured in Custom Policy"
}
]
}レスポンス本文の例
.
.
.
"active": true,
"name": "Security Policy for OCI Console",
"rules": [
{
"value": "OciConsoleAdminMFARule",
"sequence": 1,
"name": "MFA for administrators",
"$ref": "https://<domainURL>/admin/v1/Rules/OciConsoleAdminMFARule"
}
],
.
.
.ドメインのOracleセキュリティのデフォルトのリストア
リストア承諾を提供した後、OCIコンソールのセキュリティ・ポリシー・サインオン・ポリシーをOracleセキュリティ・デフォルトにリストアできます。
「OCIコンソールのセキュリティ・ポリシー」サインオン・ポリシーのデフォルト・セキュリティ設定をリストアするには、明示的な同意と理由を指定する必要があります。リストアの詳細を含む電子メールが他のアイデンティティ・ドメイン管理者に送信されます。
- リストア電子メールは、最大50人のアイデンティティ・ドメイン管理者に送信できます。
- アイデンティティ・ドメイン管理者は、変更した「OCIコンソールのセキュリティ・ポリシー」サインオン・ポリシーのサインオン・ポリシーを、いつでもOracleセキュリティ・デフォルトにリストアできます。
「OCIコンソールのセキュリティ・ポリシー」サインオン・ポリシーのリストア中に、次のアクションが実行されます:
- フィッシングに強いファクタのいずれかがポリシーに対して有効になっていない場合、リストアでは次のファクタが有効になります。
- モバイル・アプリケーション・プッシュ通知
- モバイル・アプリケーション・パスコード
- Fast ID Online (FIDO)
- ルールが削除された場合でも、Oracleによってシードされたルールのみがリストアされます。カスタム・ルールはポリシーから削除されます。
- 管理者のグループを削除または名前変更すると、リストア時に、新しい管理者のグループがメンバーまたはロールなしで作成され、管理者用MFAサインオン・ルールに割り当てられます。管理者のグループ名は、アイデンティティ・ドメインによって異なります。次のリストを使用して、正しいグループ名を検索します。
- 管理者グループ: デフォルトのアイデンティティ・ドメイン内。
- Domain_Administrators group: セカンダリ・アイデンティティ・ドメイン内。
- IDCS_Administrators group: OCIアイデンティティ・ドメインに移行されたIDCSストライプの場合。
- カスタム・ポリシーがアタッチされているか、OCIコンソール・アプリケーションにポリシーがアタッチされていない場合、リストア時に、このポリシーはOCIコンソールのセキュリティ・ポリシーにアタッチされます。
コンソールを使用したOracleセキュリティ・デフォルトのリストア
OCIコンソールのセキュリティ・ポリシー・サインオン・ポリシーをOracleセキュリティ・デフォルトにリストアするには、サインオン・ポリシーの詳細ページにアクセスし、「デフォルトのリストア」をクリックして同意を入力します。
Oracleセキュリティのデフォルトをリストアするには、「デフォルトのリストア」をクリックする必要があります。Oracleセキュリティのデフォルトへの変更を手動で元に戻さないでください。
コンソールでのサインオン・ポリシーの変更の詳細は、サインオン・ポリシーの更新を参照してください。
APIを使用したOracleセキュリティ・デフォルトのリストア
Oracleセキュリティのデフォルトにポリシーをリストアするには、/RestoreOciConsolePolicy API操作を使用してPOSTコールを実行します。
リクエスト本文の例
POST https://<domainURL>/admin/v1/RestoreOciConsolePolicy
{
"schemas": [
"urn:ietf:params:scim:schemas:oracle:idcs:RestoreOciConsolePolicy"
],
"reason" : "Custom requirement to reset the policy to factory defaults",
"consent": true
}レスポンス本文の例
{
"schemas": [
"urn:ietf:params:scim:schemas:oracle:idcs:RestoreOciConsolePolicy"
],
"reason": "Custom requirement to reset the policy to factory defaults",
"consent": true,
"meta": {
"resourceType": "RestoreOciConsolePolicy",
"location": "https://<domain_name>/admin/v1/RestoreOciConsolePolicy"
},
"domainOcid": "ocid1.tenancy.oc1..<unique_id>",
"compartmentOcid": "ocid1.compartment.oc1..<unique_id>",
"tenancyOcid": "ocid1.tenancy.oc1..<unique_id>"
}記録された同意なしに行われたOracleセキュリティ・デフォルトに対する変更に対する同意の記録
Oracleでは、「OCIコンソールのセキュリティ・ポリシー」サインオン・ポリシーの変更について明示的な同意が必要です。同意なしに変更を加えた場合は、今すぐ提供する必要があります。
「OCIコンソールのセキュリティ・ポリシー」に変更を加えておらず、同意を求められている場合は、次のステップを実行します。
- 「サインオン・ポリシーの変更の確認」ページで、「デフォルトのセキュリティ状態に戻す」オプションを選択します。
- 「理由」に「デフォルト・ドメイン・ヘノーシス移行」と入力します。
- 「Save Changes」を選択します。
あなたがそうしなかった場合の変更に対する同意を記録
同意なしに「OCIコンソールのセキュリティ・ポリシー」サインオン・ポリシーを変更した場合、Oracleではこれが必要になります。Oracleセキュリティのデフォルトからの逸脱を確認して対処するよう求められます。
次の変更のいずれかによって、「OCIコンソールのセキュリティ・ポリシー」サインオン・ポリシーがOracleセキュリティのデフォルトから逸脱していることがOracleに警告されます。
- サインオン・ポリシーがOCIコンソール・アプリケーションにアタッチされていません。
- サインオン・ポリシーが非アクティブ化されます。
- 新規ルールの追加
- Oracleのデフォルト・セキュリティ・ルールの削除。
- Oracleのデフォルト・セキュリティ・ルールを再順序付けしています。ポリシーには2つのサインオン・ルールのみを含める必要があります。
- 1.管理者向けMFAおよび
- 2.すべてのユーザーのMFA
- Oracleのデフォルト・セキュリティ・ルールの変更。
「OCIコンソールのセキュリティ・ポリシー」サインオン・ポリシーがOracleセキュリティ・デフォルトから逸脱している場合は、ポリシーの現在の状態を保持するか、Oracleセキュリティ・デフォルトにリストアする明示的な同意を提供する必要があります。サインオン・ポリシーを確認するには、テナンシ管理者またはドメイン管理者としてコンソールにサインインします。サインインすると、「サインオン・ポリシー変更のレビュー」ページが表示されます。このページでは、次のいずれかの選択を行い、変更を保存できます。
- 変更の保持: サインオン・ポリシーの変更がカスタム要件を満たし、保持する場合は、このオプションを選択します。同意を受け入れることで、Oracleのセキュリティ・デフォルトから逸脱するリスクを認識します。お客様の同意を記録し、アイデンティティ・ドメイン管理者に電子メールで通知します。 ノート詳細は、コンソールを使用したOracleセキュリティ・デフォルトの変更を参照してください。
最大50人のアイデンティティ・ドメイン管理者が電子メール通知を受信します。 - デフォルト・ポリシーにリストア: Oracleセキュリティのデフォルトに戻すには、このオプションを選択します。同意を受け入れることで、フィッシング・レジスタント・ファクタを含む「OCIコンソールのセキュリティ・ポリシー」サインオン・ポリシーのすべての要素をOracleセキュリティ・デフォルトにリストアすることに同意します。リストア承諾が記録され、電子メール通知が各ドメインのアイデンティティ・ドメイン管理者に送信されます。 ノート詳細は、ドメインのOracleセキュリティのデフォルトのリストアを参照してください。
最大50人のアイデンティティ・ドメイン管理者が電子メール通知を受信します。
同意が記録された後は、サインイン時に再度プロンプトが表示されません。
「OCIコンソールのセキュリティ・ポリシー」サインオン・ポリシー同意の表示
アイデンティティ・ドメインAPIを使用して、アイデンティティ・ドメインの記録された変更同意およびリストア同意を表示します。
アイデンティティ・ドメイン内の同意を表示するには、/OciConsoleSignOnPolicyConsents API操作を使用してGETコールを実行します。
承諾のchangeTypeは、アイデンティティ・ドメインの現在の同意ステータスを示し、次のいずれかのタイプにできます:
- エントリなし: アイデンティティ・ドメインの同意は記録されていません。
- 変更済: アイデンティティ・ドメインの変更の同意が記録され、「OCIコンソールのセキュリティ・ポリシー」サインオン・ポリシーがOracleセキュリティのデフォルトから変更されました。
- RESTORED_TO_FACTORY_DEFAULTS: アイデンティティ・ドメインのリストア承諾が記録され、「OCIコンソールのセキュリティ・ポリシー」サインオン・ポリシーがOracleセキュリティのデフォルトに構成されます。
このアクションはコンソールで実行できません。
レスポンス本文の例(すべての同意を表示)
GET https://<domainURL>/admin/v1/OciConsoleSignOnPolicyConsentsレスポンス本文の例(すべての同意を表示)
{
"schemas": [
"urn:ietf:params:scim:api:messages:2.0:ListResponse"
],
"totalResults": 2,
"Resources": [
{
"consentSignedBy": {
"type": "App",
"value": "<app_id>",
"ocid": "ocid1.domainapp.region1.sea.<unique_id>",
"displayName": "IDA Application"
},
"reason": "Want to restore to factory defaults",
"modifiedResource": {
"value": "OciConsolePolicy",
"type": "Policy",
"ocid": "ocid1.domainpolicy.region1.sea.<unique_id>"
},
"idcsLastModifiedBy": {
"type": "App",
"value": "<app_id>",
"display": "IDA Application",
"ocid": "ocid1.domainapp.region1.sea.<unique_id>",
"$ref": "https://<domainURL>/admin/v1/Apps/<app_id>"
},
"idcsCreatedBy": {
"type": "App",
"ocid": "ocid1.domainapp.region1.sea.<unique_id>",
"display": "IDA Application For Testing",
"value": "<app_id>",
"$ref": "https://<domainURL>/admin/v1/Apps/<app_id>"
},
"meta": {
"version": "0cac077e85994471baf80a79a611c84e",
"created": "2024-08-06T08:37:47.675Z",
"lastModified": "2024-08-06T08:37:47.675Z",
"resourceType": "OciConsoleSignOnPolicyConsent",
"location": "https://<domainURL>/admin/v1/OciConsoleSignOnPolicyConsents/<sign-on-policy_id>"
},
"id": "<sign-on-policy_id>",
"justification": "Other",
"ocid": "ocid1.domainsignonpolicyconsent.region1.sea.<unique_id>",
"changeType": "RESTORED_TO_FACTORY_DEFAULT",
"timeConsentSigned": "2024-08-06T08:37:47.655Z",
"policyResource": {
"value": "OciConsolePolicy",
"ocid": "ocid1.domainpolicy.region1.sea.<unique_id>"
},
"clientIp": "10.3.62.212",
"notificationRecipients": [
"admin5@oracle.com",
"admin4@oracle.com",
"admin2@oracle.com",
"admin1@oracle.com",
"admin3@oracle.com"
],
"schemas": [
"urn:ietf:params:scim:schemas:oracle:idcs:OciConsoleSignOnPolicyConsent"
],
"domainOcid": "ocid1.tenancy.oc1..<unique_id>",
"compartmentOcid": "ocid1.compartment.oc1..<unique_id>",
"tenancyOcid": "ocid1.tenancy.oc1..<unique_id>"
},
{
"consentSignedBy": {
"type": "User",
"value": "<user_id>",
"ocid": "ocid1.domainuser.region1.sea.<unique_id>",
"displayName": "Admin OPC"
},
"modifiedResource": {
"value": "OciConsolePolicy",
"type": "Policy",
"ocid": "ocid1.domainpolicy.region1.sea.<unique_id>"
},
"idcsLastModifiedBy": {
"type": "User",
"value": "<user_id>",
"display": "Admin OPC",
"ocid": "ocid1.domainuser.region1.sea.<unique_id>",
"$ref": "https://<domainURL>/admin/v1/Users/<user_id>"
},
"idcsCreatedBy": {
"type": "User",
"ocid": "ocid1.domainuser.region1.sea.<unique_id>",
"display": "Admin OPC",
"value": "<user_id>",
"$ref": "https://<domainURL>/admin/v1/Users/<user_id>"
},
"meta": {
"version": "d65324105b1044d39b08475e3fe45650",
"created": "2024-08-06T08:33:27.912Z",
"lastModified": "2024-08-06T08:33:27.912Z",
"resourceType": "OciConsoleSignOnPolicyConsent",
"location": "https://<domainURL>/admin/v1/OciConsoleSignOnPolicyConsents/<consent_id>"
},
"id": "<consent_id>",
"justification": "MFA Configured in Custom Policy",
"ocid": "ocid1.domainsignonpolicyconsent.region1.sea.<unique_id>",
"changeType": "MODIFIED",
"timeConsentSigned": "2024-08-06T08:33:27.823Z",
"policyResource": {
"value": "OciConsolePolicy",
"ocid": "ocid1.domainpolicy.region1.sea.<unique_id>"
},
"clientIp": "10.3.62.212",
"notificationRecipients": [
"admin5@oracle.com",
"admin4@oracle.com",
"admin2@oracle.com",
"admin1@oracle.com",
"admin3@oracle.com"
],
"schemas": [
"urn:ietf:params:scim:schemas:oracle:idcs:OciConsoleSignOnPolicyConsent"
],
"domainOcid": "ocid1.tenancy.oc1..<unique_id>",
"compartmentOcid": "ocid1.compartment.oc1..<unique_id>",
"tenancyOcid": "ocid1.tenancy.oc1..<unique_id>"
}
],
"startIndex": 1,
"itemsPerPage": 2
}リクエスト本文の例(最新の同意を表示)
GET https://<domainURL>/admin/v1/OciConsoleSignOnPolicyConsents?sortBy=meta.created&sortOrder=DESCENDING&count=1&filter=policyResource.value eq "OciConsolePolicy"レスポンス本文の例(最新の同意を表示)
{
"consentSignedBy": {
"type": "User",
"value": "<user_id>",
"ocid": "ocid1.domainuser.region1.sea.<unique_id>",
"displayName": "Admin OPC"
},
"modifiedResource": {
"value": "OciConsolePolicy",
"type": "Policy",
"ocid": "ocid1.domainpolicy.region1.sea.<unique_id>"
},
"idcsLastModifiedBy": {
"type": "User",
"value": "<user_id>",
"display": "Admin OPC",
"ocid": "ocid1.domainuser.region1.sea.<unique_id>",
"$ref": "https://<domainURL>/admin/v1/Users/<user_id>"
},
"idcsCreatedBy": {
"type": "User",
"ocid": "ocid1.domainuser.region1.sea.<unique_id>",
"display": "Admin OPC",
"value": "<user_id>",
"$ref": "https://<domainURL>/admin/v1/Users/<user_id>"
},
"meta": {
"version": "d65324105b1044d39b08475e3fe45650",
"created": "2024-08-06T08:33:27.912Z",
"lastModified": "2024-08-06T08:33:27.912Z",
"resourceType": "OciConsoleSignOnPolicyConsent",
"location": "https://<domainURL>/admin/v1/OciConsoleSignOnPolicyConsents/<consent_id>"
},
"id": "<consent_id>",
"justification": "MFA Configured in Custom Policy",
"ocid": "ocid1.domainsignonpolicyconsent.region1.sea.<unique_id>",
"changeType": "MODIFIED",
"timeConsentSigned": "2024-08-06T08:33:27.823Z",
"policyResource": {
"value": "OciConsolePolicy",
"ocid": "ocid1.domainpolicy.region1.sea.<unique_id>"
},
"clientIp": "10.3.62.212",
"notificationRecipients": [
"admin5@oracle.com",
"admin4@oracle.com",
"admin2@oracle.com",
"admin1@oracle.com",
"admin3@oracle.com"
],
"schemas": [
"urn:ietf:params:scim:schemas:oracle:idcs:OciConsoleSignOnPolicyConsent"
],
"domainOcid": "ocid1.tenancy.oc1..<unique_id>",
"compartmentOcid": "ocid1.compartment.oc1..<unique_id>",
"tenancyOcid": "ocid1.tenancy.oc1..<unique_id>"
}
],OCIコンソール同意に関するセキュリティ・ポリシーに関するFAQ
OCIコンソールのOracleシード・セキュリティ・ポリシー・サインオン・ポリシーの同意を提供する際のよくある質問をお読みください。
1.同意画面はいつ表示されますか。
お客様がOCIコンソールのOracleシード・セキュリティ・ポリシーを変更した場合、またはOCIコンソールのセキュリティ・ポリシーがアクティブでない場合に、同意画面が表示されます。
2.同意は必須ですか。
はい。Oracleのセキュリティ・ガイドラインに従って同意が必須です。OCIコンソールのOracleシード・セキュリティ・ポリシーから逸脱しているお客様は、明示的な同意を提供するか、OCIコンソールのOracleシード・セキュリティ・ポリシーをOracleのデフォルト・セキュリティ・ポスチャにリストアする必要があります。
3.OCIコンソールのセキュリティ・ポリシーが変更されたかどうかはどのようにわかりますか。
サインオン・ポリシー情報は、次のステップを使用して確認できます:
- コンソールにサインインします。
- 「セキュリティ」を選択し、「サインイン・ポリシー」を選択します。
- サインオン・ポリシー・ページで、OCIコンソールのセキュリティ・ポリシーのサインオン・ポリシーを見つけて選択します。
- 「サインオン・ポリシー詳細」ページの「サインオン・ポリシー情報」タブで、同意情報を確認します。
4.ポリシーが変更されておらず、同意画面が表示された場合はどうなりますか。
変更を行っていないが、まだ同意リクエストが表示されている場合は、ポリシーがアクティブかどうかを確認します。
- ポリシーが非アクティブの場合は、ポリシーをアクティブ化するか、同意して続行する必要があります。「サインオン・ポリシーのアクティブ化」を参照してください。
- ポリシーがアクティブの場合は、ここのノートのステップを完了します。
5.同意を求められたことがなく、デフォルトのOCIコンソール・サインオン・ポリシーに変更がある場合はどうなりますか。
同意を求められない場合は、OCIコンソール・アクセスの完全なharファイルを記録し、サポートに連絡してください。
6.誰が同意を提供する必要がありますか。
OCIコンソールのOracleシード・セキュリティ・ポリシーを変更したか、カスタム・セキュリティ・ポリシーで外部アイデンティティ・プロバイダ(IdP)を使用しているお客様は、カスタマイズした設定を引き続き使用することに明示的に同意する必要があります。
7.外部のIdPでMFAを構成した場合、またはセキュリティ要件を満たすようにポリシーを変更した場合はどうなりますか。
マルチファクタ認証(MFA)に外部アイデンティティ・プロバイダ(IdP)を使用しているか、ポリシーをカスタマイズしている場合は、OCIコンソールのOracleシード・セキュリティ・ポリシーからの逸脱を確認する同意を提供する必要があります。これにより、カスタム・セキュリティ設定が引き続き有効になります。
8.同意を提供すると、現在のセキュリティ状態が変わりますか。
いいえ。同意を提供すると、確認のみが記録され、既存のセキュリティ状態は変更されません。ユーザー・サインオン・エクスペリエンスは変更されません。
9.OCIコンソールのセキュリティ・ポリシーをリストアすると、何が起こりますか。
ポリシーをリストアすると、カスタム構成ポリシーがオーバーライドされます。これにより、ユーザー・サインオン・エクスペリエンスが変更される可能性があります。
10.すでに同意を複数回受け取っているにもかかわらず、通知が継続して提供されるのはなぜですか。
Oracleは、複数の同意通知を送信して、見逃さないようにします。OCIコンソール・サインオン・ポリシーのセキュリティ・ポリシーの同意をすでに指定した場合は、追加の通知を無視できます。
11.OCIコンソールのセキュリティ・ポリシーをOracleのデフォルト・セキュリティ・ポスチャにリストアしようとするとどうなりますか。現在のユーザーは新しいMFAファクタを再認証および登録する必要がありますか。
- これは、現在のポリシー構成およびサポートされている多要素認証(MFA)ファクタによって異なります。Oracleシード済OCIコンソールのセキュリティ・ポリシーでは、FIDO、OMAプッシュおよびTOTPのみがサポートされます。
- ポリシーにSMSや電子メールなどの他のMFAファクタが含まれている場合、ユーザーはOCIコンソールにアクセスするときに、サポートされている新しいファクタ(FIDO/OMAプッシュ/TOTP)に登録する必要があります。