Documentação do Oracle Cloud Infrastructure

Configurando Definições de Autenticação Multifator

Configure definições de autenticação multifator (MFA) e políticas de conformidade que definam quais fatores de MFA são necessários para acessar um domínio de identidades no serviço IAM e configure os fatores de MFA.

Observação

As tarefas desta seção são para um administrador que precisa configurar a MFA para um domínio de identidades no serviço IAM. Se você for um usuário que precisa configurar a verificação em 2 etapas para si mesmo, consulte Configurando a Recuperação de Conta e a Verificação em 2 Etapas.
Antes de começar:
  • Crie um usuário de teste em um domínio de identidades de teste. Use esse domínio de identidades para configurar a MFA pela primeira vez. Consulte Criando um Domínio de Identidades e Criando um Usuário.
  • Configure um aplicativo cliente para ativar o acesso a um domínio da identidade usando a API REST caso sua configuração da Política de Sign-On o bloqueie. Se você Não configurar este aplicativo cliente e uma configuração de política de sign-on restringir o acesso a todos, todos os usuários ficarão bloqueados do domínio de identidades até você entrar em contato com o Suporte Técnico Oracle. Para obter informações sobre como configurar o aplicativo cliente, consulte Registrando um Aplicativo Cliente.

Para especificar as definições de MFA, você deve estar designado à atribuição de administrador de domínio de identidades ou administrador de segurança.

  1. Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Domínios.
  2. Selecione o nome do domínio de identidades no qual você deseja trabalhar. Talvez você precise alterar o compartimento para localizar o domínio desejado.
  3. Na página de detalhes do domínio, selecione Autenticação.
  4. Na página Autenticação, selecione Ativar ou Desativar fatores. Um painel de configurações é aberto.
  5. No painel de definições Ativar ou Desativar fatores, selecione cada um dos fatores que você deseja que sejam necessários para acessar um domínio de identidades.
    Para obter uma explicação de cada fator, consulte Configurando Fatores de Autenticação.
  6. (Opcional) Defina o Número máximo de fatores inscritos que podem ser configurados pelos usuários.
  7. (Opcional) Use a seção Dispositivos confiável para configurar as definições do dispositivo confiável.
    Semelhante ao "lembre-se do meu computador", os dispositivos confiáveis não exigem o usuário para fornecer autenticação secundária cada vez que eles se conectam.
  8. (Opcional) Em Regras de conexão, defina o número máximo de tentativas malsucedidas de MFA que você deseja permitir a um usuário fornecer incorretamente a verificação da MFA antes de ser bloqueado.
  9. Selecione Salvar alterações e, em seguida, confirme a alteração.
  10. (Opcional) Selecione Editar ao lado dos fatores MFA selecionados para configurá-los individualmente.
    Para obter instruções sobre cada fator, consulte Configurando Fatores de Autenticação.
  11. Certifique-se de que qualquer política de sign-on ativa permita autenticação em duas etapas:
    1. Selecione a guia Políticas de domínio.
    2. Na página Políticas de Sign-on, selecione Política de Sign-On Padrão.
    3. Na página Política de Sign-On Padrão, selecione Regras de sign-on.
    4. Na linha Regra de Sign-On Padrão, selecione o menu Ações (três pontos) e selecione Editar regra de sign-on.
    5. Na caixa de diálogo Editar regra de sign-on, em Excluir usuários, exclua você mesmo ou outro administrador de domínio de identidades dessa regra até a conclusão do teste. Isso garante que pelo menos um administrador sempre tenha acesso ao domínio de identidades, caso surjam problemas.
    6. Em Ações, selecione Solicitar um fator adicional e certifique-se de que a opção Permitir acesso esteja selecionada.
    7. Selecione Salvar alterações.
    8. Se outras políticas de sign-on tiverem sido adicionadas, siga as etapas anteriores de cada uma dessas políticas para garantir que a MFA seja ativada em todas as condições em que você quiser que ela seja ativada.
      Nota

      As definições da regra de sign-on padrão permitem a MFA globalmente. As definições de outras regras de sign-on podem substituir a regra de sign-on padrão para usuários e grupos especificados pelas condições dessas regras. Consulte Gerenciando Políticas de Senha.

      Importante

      Verifique se você excluiu um Administrador de Domínio da Identidade de cada política. Isso garante que pelo menos um administrador sempre tenha acesso ao domínio de identidades, caso surjam problemas.

      Defina Inscrição como Opcional até terminar de testar a política de sign-on.

  12. (Opcional) Ative limites de bloqueio separados para falha de validação de MFA e tentativas de notificação de MFA. Para ativar isso, certifique-se de saber como fazer chamadas de API REST.
    Observação

    Há dois novos atributos no esquema MFA do usuário:
    • mfaIncorrectValidationAttempts — Rastreia tentativas incorretas de validação de MFA por um usuário.
    • mfaNotificationAttempts — Rastreia tentativas de notificação de MFA por um usuário.

    Além disso, há dois novos atributos adicionados ao AuthenticationFactorSettings:

    • maxMfaIncorrectValidationAttempts — O número máximo de validação de MFA incorreta que pode ser tentada antes de uma conta ser bloqueada. Se um valor for definido para esse atributo, também deverá haver um valor definido para maxMfaNotificationAttempts. Se esse atributo não for definido, o comportamento de bloqueio da MFA será determinado por maxIncorrectAttempts. Se mfaIncorrectValidationAttempts atingir maxMfaIncorrectValidationAttempts, o usuário será bloqueado imediatamente.
    • maxMfaNotificationAttempts — O número máximo de notificações de MFA que podem ser tentadas antes que uma conta seja bloqueada. Se um valor for definido para esse atributo, também deverá haver um valor definido para maxMfaIncorrectValidationAttempts. Se esse atributo não for definido, o comportamento de bloqueio da MFA será determinado por maxIncorrectAttempts. Se o mfaNotificationAttempts atingir maxMfaNotificationAttempts, o usuário será bloqueado na próxima vez que tentar iniciar uma notificação para permitir que o usuário faça a autenticação usando a última notificação MFA.

    Atualize AuthenticationFactorSettings para definir maxMfaIncorrectValidationAttempts e maxMfaNotificationAttempts fazendo uma chamada PATCH no ponto final <IDENTITY_DOMAIN_URL>/admin/v1/AuthenticationFactorSettings/AuthenticationFactorSettings com o seguinte payload:

    
{
  "schemas": [
    "urn:ietf:params:scim:api:messages:2.0:PatchOp"
  ],
  "Operations": [
    {
      "op": "add",
      "path": "endpointRestrictions.maxMfaIncorrectValidationAttempts",
      "value": 3
    },
    {
      "op": "add",
      "path": "endpointRestrictions.maxMfaNotificationAttempts",
      "value": 3
    }
  ]
}

    O valor para ambos pode variar de um mínimo de 3 a um máximo de 10.

  13. Para testar a configuração, saia da Console e acesse como o usuário de teste.
    Você será solicitado a informar um segundo fator.