Documentação do Oracle Cloud Infrastructure

Criando uma Política de Sign-on

Adicione uma política de sign-on a um domínio de identidades no serviço IAM.

Esta tarefa adiciona uma política de sign-on em um estado desativado. Depois de concluir esta tarefa, ative a política para começar a aplicá-la ao domínio de identidades.

Você pode definir os seguintes critérios para políticas de sign-on:

  • Os provedores de identidade a serem usados para autenticar o usuário

  • Os grupos dos quais o usuário é membro

  • Se o usuário é um administrador de domínio de identidades

  • Se um usuário deve ser excluído

  • O endereço IP que o usuário está usando para acessar o domínio de identidades

  • Se o usuário é forçado a acessar o domínio de identidades novamente (para fins de autenticação) ou é autenticado na próxima vez que acessar o domínio de identidades

  • Se o usuário for solicitado a fornecer outro fator para acessar o domínio de identidades

  1. Na página da lista Políticas de sign-on, selecione Criar política de sign-on. Se precisar de ajuda para localizar a página da lista, consulte Listando Políticas de Sign-On.
  2. Digite um nome e uma descrição opcional para a política. Evite digitar informações confidenciais.
  3. Selecione Criar política de sign-on.
  4. Na página da guia regras de sign-on, selecione Adicionar regra de sign-on.
  5. Adicione um nome para a regra de sign-on. Evite digitar informações confidenciais.
  6. Em Condições, forneça as seguintes informações:
    • Autenticando o provedor de identidades (Opcional): Digite ou selecione todos os provedores de identidades usados para autenticar as contas de usuário avaliadas por essa regra. Se você deixar isso vazio, as outras condições serão usadas para autenticação.
    • Associação ao grupo: Informe ou selecione Ação e, em seguida, Adicionar para adicionar grupos dos quais você é membro para atender aos critérios desta regra.
    • Administrador: Selecione essa opção se o usuário precisar ser designado a atribuições de administrador no domínio da identidade para atender aos critérios dessa regra.

      Manter-me conectado: Selecione esta opção para aplicar a regra somente se existir uma Sessão para manter-me conectado válida para o usuário.

      Para usar essa condição, você deve ativar Manter-me conectado. Consulte Alterando Definições de Sessão.

      A política de sign-on substitui a sessão Manter-me conectado. Isso significa que, mesmo que um usuário esteja conectado usando Manter-me conectado, depois que a sessão expirar, se a política exigir reautenticação ou autenticação multifator (MFA), o usuário será desafiado a se reautenticar ou a fornecer o MFA.

    • Excluir usuários: Digite ou selecione os usuários a serem excluídos da regra. Digite pelo menos três caracteres para iniciar uma pesquisa de usuários.
      Importante

      Certifique-se de excluir um administrador de domínio de identidades de cada política, o que garante que pelo menos um administrador sempre tenha acesso ao domínio de identidades se surgirem problemas.
    • Filtrar por endereço IP do cliente: Selecione uma das seguintes opções:

      • Em qualquer lugar: Os usuários podem acessar o domínio de identidades usando qualquer endereço IP.

      • Restringir aos seguintes perímetros de rede: Os usuários só podem acessar o domínio de identidades usando endereços IP contidos em perímetros de rede definidos. Na caixa de texto Perímetros de rede, digite ou selecione os perímetros de rede definidos por você. Para obter mais informações, consulte Criando um Perímetro de Rede.

  7. Condições de segurança adaptáveis: Selecione o nível de risco do usuário, o intervalo, o nome do provedor de risco, a pontuação de risco e o valor de risco.
  8. Em Ações, selecione se um usuário tem permissão para acessar a Console se a conta do usuário atender aos critérios dessa regra.

    Se você selecionar Negar acesso, passe para a próxima etapa.

    Se você selecionar Permitir acesso, informe valores para as seguintes opções adicionais:

    • Solicitar reautenticação: Alterne a chave para forçar o usuário a digitar novamente as credenciais para acessar o aplicativo designado, mesmo quando houver uma sessão de domínios do IAM existente.
      • Se selecionada, essa opção impedirá o sign-on único para os aplicativos designados à política de sign-on. Por exemplo, um usuário autenticado deve acessar um novo aplicativo.
      • Se não estiver selecionada e o usuário tiver sido autenticado anteriormente, ele poderá acessar o aplicativo usando sua sessão de sign-on único existente sem a necessidade de informar credenciais
    • Solicitar um fator adicional: Alterne a chave para solicitar um fator adicional para acessar o domínio de identidades.

      Ao selecionar essa opção, especifique se deseja se inscrever na autenticação multifator (MFA) e com que frequência esse fator adicional deve ser usado para se conectar.

    • Qualquer fator ou Somente fatores especificados: Selecione uma destas opções:
      • Qualquer fator: Solicita que o usuário se inscreva e verifique qualquer fator ativado nas definições do tenant de MFA.
      • Fatores especificados: Só solicita que o usuário se inscreva e verifique um subconjunto de fatores ativados nas definições do tenant de MFA. Depois de selecionar Fatores especificados, selecione os fatores que deverão ser impostos por essa regra.
    • Frequência: Especifique com que frequência os usuários são solicitados a informar um segundo fator:
      • Uma vez por sessão ou dispositivo confiável: para cada sessão que o usuário tiver aberto de um dispositivo autorizado, ele deverá usar seu nome de usuário e senhas e um segundo fator.
      • Sempre: sempre que um usuário acessa um dispositivo confiável, ele deve usar seus nomes de usuário e senhas e um segundo fator.
      • Intervalo personalizado: Especifique a frequência com que os usuários devem fornecer um segundo fator para acesso. Por exemplo, se você quiser que os usuários usem esse fator adicional a cada duas semanas, selecione 14 para o Número e selecione Dias para o Intervalo. Se você configurou a MFA, esse número deverá ser menor ou igual ao número de dias nos quais um dispositivo pode ser confiável de acordo com as definições de MFA. Para obter mais informações, consulte Gerenciando Autenticação Multifator.
    • Inscrição: Selecione uma das seguintes opções:
      Importante

      Defina Inscrição como Opcional até que o teste da política de sign-on seja concluído.
      • Obrigatório força o usuário a se inscrever no MFA.
      • Selecione Opcional para oferecer aos usuários a opção de ignorar a inscrição na MFA. Os usuários veem o processo de configuração de inscrição em linha depois que digitam o nome de usuário e a senha, mas podem selecionar Ir. Os usuários podem ativar a MFA mais tarde na definição Verificação em 2 etapas nas definições de Segurança de Meu Perfil. Os usuários não são solicitados a configurar um fator na próxima vez que acessarem o sistema. Se você definir Inscrição como Obrigatório e posteriormente alterar a definição para Opcional, a alteração só afetará novos usuários. Os usuários já inscritos na MFA não verão o processo de inscrição em linha e não poderão selecionar Ignorar ao acessar
  9. Selecione Adicionar.
  10. (Opcional) Na página Adicionar regras de sign-on, selecione Adicionar regra de sign-on novamente para adicionar outra regra de sign-on a essa política.
    Observação

    Se você tiver adicionado várias regras de sign-on a essa política, poderá alterar a ordem em que elas serão avaliadas. Selecione Editar prioridade e use as setas para alterar a ordem das regras.
  11. Na guia Aplicativos, selecione Adicionar aplicativo para adicionar aplicativos a essa política.
  12. No painel Adicionar aplicativo, selecione os aplicativos que deseja adicionar à política e, em seguida, selecione Adicionar aplicativo.
    Nota

    Você só pode adicionar um aplicativo a uma política de sign-on. Se o aplicativo não for designado a nenhuma política de sign-on explicitamente, a política de sign-on padrão será aplicada.

  13. A política da sign-on é salva em um estado desativado. Quando terminar de criar a política, você deverá ativá-la para usá-la.