Documentação do Oracle Cloud Infrastructure

Criando uma Política de Sign-on

Adicione uma política de sign-on a um domínio de identidades no serviço IAM.

Esta tarefa adiciona uma política de sign-on em um estado desativado. Depois de concluir esta tarefa, ative a política para começar a aplicá-la ao domínio de identidades.

Você pode definir os seguintes critérios para políticas de sign-on:

  • Os provedores de identidade a serem usados para autenticar o usuário

  • Os grupos dos quais o usuário é membro

  • Se o usuário é um administrador de domínio de identidades

  • Se um usuário deve ser excluído

  • O endereço IP que o usuário está usando para acessar o domínio de identidades

  • Se o usuário é forçado a acessar o domínio da identidade novamente (para propósitos de autenticação) ou se será autenticado na próxima vez que acessar o domínio da identidade

  • Se o usuário é solicitado a informar outro fator para acessar o domínio de identidades

  1. Na página de lista Políticas de sign-on, selecione Criar política de sign-on. Se precisar de ajuda para localizar a página da lista, consulte Listando Políticas de Sign-On.
  2. Digite um nome e um descrição opcional para a política. Evite digitar informações confidenciais.
  3. Selecione Criar política de sign-on.
  4. Na página da guia regras de sign-on, selecione Adicionar regra de sign-on.
  5. Adicione um nome para a regra da conexão. Evite digitar informações confidenciais.
  6. Em Condições, forneça as seguintes informações:
    • Autenticando provedor de identidades (Opcional): Informe ou selecione todos os provedores de identidades usados para autenticar as contas do usuário avaliadas por essa regra. Se você deixar isso em branco, as outras condições serão usadas para autenticação.
    • Associação ao grupo: Informe ou selecione Ação e, em seguida, Adicionar para adicionar grupos dos quais você é membro para atender aos critérios desta regra.
    • Administrador: Selecione essa opção se o usuário precisar ser designado a atribuições de administrador no domínio da identidade para atender aos critérios dessa regra.

      Manter-me conectado: Selecione esta opção para aplicar a regra somente se existir uma Sessão Manter-me conectado válida para o usuário.

      Para usar essa condição, você deve ativar Manter-me conectado. Consulte Alterando Definições da Sessão.

      A política de sign-on substitui a sessão Manter-me conectado. Isso significa que, mesmo que um usuário esteja conectado usando Manter-me conectado, depois que a sessão expirar, se a política exigir reautenticação ou autenticação multifator (MFA), o usuário será desafiado a se reautenticar ou a fornecer o MFA.

    • Excluir usuários: Informe ou selecione os usuários que deseja excluir da regra. Digite pelo menos três caracteres para iniciar uma pesquisa de usuários.
      Importante

      Certifique-se de excluir um administrador de domínio de identidades de cada política, o que garante que pelo menos um administrador sempre tenha acesso ao domínio de identidades se surgirem problemas.
    • Filter by client IP address: Selecione uma das seguintes opções:

      • Em Qualquer Lugar: Os usuários podem acessar o domínio de identidades usando qualquer endereço IP.

      • Restringir aos seguintes perímetros da rede: Os usuários podem acessar o domínio de identidades usando apenas endereços IP contidos em perímetros definidos da rede. Na caixa de texto Perímetros de redes, informe ou selecione perímetros de redes que você definiu. Para obter mais informações, consulte Criando um Perímetro de Rede.

  7. Condições de segurança adaptáveis: Selecione o nível de risco do usuário, o intervalo, o nome do provedor de risco, a pontuação de risco e o valor de risco.
  8. Em Ações, selecione se um usuário tem permissão para acessar a Console se a conta de usuário atender os critérios dessa regra.

    Se você selecionar Negar acesso, passe para a próxima etapa.

    Se você selecionar Permitir acesso, informe valores para as seguintes opções adicionais:

    • Solicitar reautenticação: Alterne a chave para forçar o usuário a digitar novamente as credenciais para acessar o aplicativo designado, mesmo quando houver uma sessão de domínios do IAM existente.
      • Se selecionada, esta opção impede o sign-on único para os aplicativos designados à política de sign-on. Por exemplo, um usuário autenticado deve se conectar a um novo aplicativo.
      • Se não estiver selecionado e o usuário tiver sido autenticado anteriormente, o usuário poderá acessar o aplicativo usando sua sessão de sign-on único existente sem precisar inserir credenciais
    • Solicitar um fator adicional: Alterne a chave para solicitar um fator adicional para acessar o domínio de identidades.

      Ao selecionar essa opção, especifique se deseja se inscrever na autenticação multifator (MFA) e com que frequência esse fator adicional deve ser usado para se conectar.

    • Qualquer fator ou Somente fatores especificados: Selecione uma destas opções:
      • Qualquer fator: Solicita ao usuário que se inscreva e verifique qualquer fator ativado nas definições de nível de tenant da MFA.
      • Fatores especificados: Solicita que o usuário faça a inscrição e verifique um subconjunto de fatores ativados nas configurações no nível do tenant MFA. Depois de selecionar Fatores especificados, selecione os fatores que devem ser impostos por essa regra.
    • Frequência: Especifique com que frequência os usuários são solicitados a fornecer um segundo fator:
      • Uma vez por sessão ou dispositivo confiável: Para cada sessão que o usuário abriu de um dispositivo autorizado, ele deve usar seu nome de utilizador e senhas e um segundo fator.
      • Toda vez:: Cada vez que um usuário se conecta a partir de um dispositivo confiável, ele deve usar seus nomes de usuário e senhas e um segundo fator.
      • Intervalo Personalizado: Especifique com qual frequência os usuários devem fornecer um segundo fator para se conectar. Por exemplo, se você quiser que os usuários usem esse fator adicional a cada duas semanas, selecione 14 para o Número e selecione Dias para Intervalo. Se você configurou a MFA, esse número deverá ser menor ou igual ao número de dias em que um dispositivo pode ser confiável, de acordo com as configurações da MFA. Para obter mais informações, consulte Gerenciando Autenticação Multifatorial.
    • Inscrição: Selecione uma das seguintes opções:
      Importante

      Defina Inscrição como Opcional até terminar de testar a política de sign-on.
      • Obrigatório força o usuário a se inscrever na MFA.
      • Selecione Opcional para oferecer aos usuários a opção de ignorar a inscrição na MFA. Os usuários veem o processo de configuração de inscrição em linha depois que informam seu nome de usuário e senha, mas podem selecionar Ignorar. Os usuários podem ativar a MFA posteriormente na definição de verificação em 2 etapas nas definições de Segurança do Meu Perfil. Os usuários não serão solicitados a configurar um fator na próxima vez que se conectarem. Se você definir Inscrição como Obrigatória e, posteriormente, alterá-la para Opcional, a alteração afetará apenas os novos usuários. Os usuários já inscritos na MFA não verão o processo de inscrição em linha e não poderão selecionar Ignorar ao se conectar
  9. Selecione Adicionar.
  10. (Optional) On the Add sign-on rules page, select Add sign-on rule again to add another sign-on rule to this policy.
    Observação

    Se você adicionou várias regras de sign-on a esta política, poderá alterar a ordem na qual elas serão avaliadas. Selecione Editar prioridade e use as setas para alterar a ordem das regras.
  11. Na guia Aplicativos, selecione Adicionar aplicativo para adicionar aplicativos a essa política.
  12. No painel Adicionar aplicativo, selecione os aplicativos que deseja adicionar à política e, em seguida, selecione Adicionar aplicativo.
    Nota

    Você só pode adicionar um aplicativo a uma política de sign-on. Se o aplicativo não for designado a nenhuma política de sign-on explicitamente, a política de sign-on padrão será aplicada.

  13. A política da sign-on é salva em um estado desativado. Quando terminar de criar a política, você deverá ativá-la para usá-la.