Documentação do Oracle Cloud Infrastructure

Configurando Definições de Autenticação Multifator

Configure definições de autenticação multifator (MFA) e políticas de conformidade que definam quais fatores de MFA são necessários para acessar um domínio de identidades no serviço IAM; em seguida, configure os fatores de MFA.

Observação

As tarefas desta seção são para um administrador que precisa configurar a MFA para um domínio de identidades no serviço IAM. Se você for um usuário que precisa configurar a verificação em 2 etapas para si mesmo, consulte Configurando a Recuperação de Conta e a Verificação em 2 Etapas.
Antes de começar:
  • Crie um usuário de teste em um domínio de identidades de teste. Use esse domínio de identidades para configurar a MFA pela primeira vez. Consulte Criando um Domínio de Identidades e Criando um Usuário.
  • Configure um aplicativo cliente para permitir o acesso a um domínio de identidades usando a API REST, caso a configuração da Política de Sign-On bloqueie você. Se você não configurar esse aplicativo cliente e uma configuração de política de sign-on restringir o acesso a todos, todos os usuários serão bloqueados do domínio de identidades até que você entre em contato com o Suporte Técnico da Oracle. Para obter informações sobre a configuração do aplicativo cliente, consulte Registrando um Aplicativo Cliente.

Para especificar as definições de MFA, você deve estar designado à atribuição de administrador de domínio de identidades ou administrador de segurança.

  1. Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Domínios.
  2. Selecione o nome do domínio de identidades no qual você deseja trabalhar. Talvez você precise alterar o compartimento para localizar o domínio desejado.
  3. Na página de detalhes do domínio, selecione Autenticação.
  4. Na página Autenticação, selecione Ativar ou Desativar fatores. Um painel de configurações é aberto.
  5. No painel de definições Ativar ou Desativar fatores, selecione cada um dos fatores que você deseja que sejam necessários para acessar um domínio de identidades.
    Para obter uma explicação de cada fator, consulte Configurando Fatores de Autenticação.
  6. (Opcional) Defina o Número máximo de fatores inscritos que os usuários podem configurar.
  7. (Opcional) Use a seção Dispositivos confiáveis para configurar dispositivos confiáveis.
    Assim como "lembrar meu computador", os dispositivos confiáveis não exigem que o usuário forneça autenticação secundária toda vez que acessar.
  8. (Opcional) Em Regras de acesso, defina o número máximo de tentativas de MFA sem sucesso que você deseja permitir que um usuário forneça incorretamente a verificação de MFA antes de ser bloqueado.
  9. Selecione Salvar alterações e confirme a alteração.
  10. (Opcional) Selecione Editar ao lado dos fatores MFA selecionados para configurá-los individualmente.
    Para obter instruções sobre cada fator, consulte Configurando Fatores de Autenticação.
  11. Certifique-se de que qualquer política de sign-on ativa permita autenticação em duas etapas:
    1. Selecione a guia Políticas de domínio.
    2. Na página Políticas de sign-on, selecione Política de Sign-On Padrão.
    3. Na página Política de Sign-On Padrão, selecione Regras de sign-on.
    4. Na linha Regra de Sign-On Padrão, selecione o menu Ações (três pontos) e selecione Editar regra de sign-on.
    5. Na caixa de diálogo Editar regra de acesso, em Excluir usuários, exclua você mesmo ou outro administrador de domínio de identidades dessa regra até que o teste seja concluído. Isso garante que pelo menos um administrador sempre tenha acesso ao domínio de identidades, caso surjam problemas.
    6. Em Ações, selecione Solicitar um fator adicional e certifique-se de que a opção Permitir acesso esteja selecionada.
    7. Selecione Salvar alterações.
    8. Se outras políticas de sign-on tiverem sido adicionadas, siga as etapas anteriores para cada uma dessas políticas para garantir que o MFA esteja ativado em todas as condições nas quais você deseja que ele seja ativado.
      Nota

      As definições da regra de sign-on padrão ativam a MFA globalmente. As definições de outras regras de sign-on podem substituir a regra de sign-on padrão para usuários e grupos especificados por condições para essas regras. Consulte Gerenciando Políticas de Senha.

      Importante

      Certifique-se de excluir um Administrador de Domínio de Identidades de cada política. Isso garante que pelo menos um administrador sempre tenha acesso ao domínio de identidades, caso surjam problemas.

      Defina Inscrição como Opcional até que o teste da política de sign-on seja concluído.

  12. (Opcional) Ative limites de bloqueio separados para falha de validação de MFA e tentativas de notificação de MFA. Para ativar isso, certifique-se de saber como fazer chamadas de API REST.
    Observação

    Há dois novos atributos no esquema de MFA do usuário:
    • mfaIncorrectValidationAttempts — Rastreia tentativas incorretas de validação de MFA por um usuário.
    • mfaNotificationAttempts — Rastreia as tentativas de notificação de MFA por um usuário.

    Além disso, há dois novos atributos adicionados a AuthenticationFactorSettings:

    • maxMfaIncorrectValidationAttempts — O número máximo de validação de MFA incorreta que pode ser tentada antes que uma conta seja bloqueada. Se um valor for definido para esse atributo, também deverá haver um valor definido para maxMfaNotificationAttempts. Se esse atributo não for definido, o comportamento de bloqueio de MFA será determinado por maxIncorrectAttempts. Se mfaIncorrectValidationAttempts atingir maxMfaIncorrectValidationAttempts, o usuário será bloqueado imediatamente.
    • maxMfaNotificationAttempts — O número máximo de notificações de MFA que podem ser tentadas antes que uma conta seja bloqueada. Se um valor for definido para esse atributo, também deverá haver um valor definido para maxMfaIncorrectValidationAttempts. Se esse atributo não for definido, o comportamento de bloqueio de MFA será determinado por maxIncorrectAttempts. Se o mfaNotificationAttempts atingir maxMfaNotificationAttempts, o usuário será bloqueado na próxima vez que tentar iniciar uma notificação, para permitir que o usuário se autentique usando a última notificação de MFA.

    Atualize AuthenticationFactorSettings para definir maxMfaIncorrectValidationAttempts e maxMfaNotificationAttempts fazendo uma chamada PATCH no ponto final <IDENTITY_DOMAIN_URL>/admin/v1/AuthenticationFactorSettings/AuthenticationFactorSettings com o seguinte payload:

    
{
  "schemas": [
    "urn:ietf:params:scim:api:messages:2.0:PatchOp"
  ],
  "Operations": [
    {
      "op": "add",
      "path": "endpointRestrictions.maxMfaIncorrectValidationAttempts",
      "value": 3
    },
    {
      "op": "add",
      "path": "endpointRestrictions.maxMfaNotificationAttempts",
      "value": 3
    }
  ]
}

    O valor para ambos pode variar de um mínimo de 3 a um máximo de 10.

  13. Para testar a configuração, saia da Console e entre como usuário de teste.
    Será solicitado que você informe um segundo fator.