Gerenciando Políticas de Sign-On
Este tópico descreve como criar, ativar, atualizar, desativar e excluir políticas de acesso de um domínio de identidades.
Sobre Políticas de Sign-On e Regras de Sign-On
Uma política de sign-on usa regras de sign-on para definir critérios que determinam se um usuário deve acessar um domínio de identidades ou um aplicativo.
Todos os domínios de identidades vêm com uma Política de Sign-On Padrão. Se seu domínio de identidades tiver sido pré-configurado com a política de sign-on Política de Segurança para a Console do OCI, recomendamos que você use essa política. Você pode adicionar outras políticas de sign-on conforme necessário. Priorize as regras de sign-on de uma política de sign-on para especificar a ordem na qual as regras devem ser avaliadas.
A Política de Sign-On "Padrão"
Todos os domínios de identidades incluem uma Política de Sign-On Padrão ativa que contém uma Regra de Sign-On Padrão.
Por padrão, essa Regra de Sign-On Padrão permite que todos os usuários acessem o domínio de identidades com um nome de usuário e uma senha. Você pode desenvolver essa política adicionando outras regras de sign-on a ela. Adicionando essas regras, você pode impedir que alguns de seus usuários acessem o domínio de identidades. Ou você pode permitir que eles acessem o sistema, mas solicitar a eles um fator adicional para acessar recursos protegidos pelo domínio de identidades, como a Console do Oracle Cloud Infrastructure.
Por exemplo, você pode criar duas regras de sign-on para a Política de Sign-On Padrão. A primeira regra impedirá que os usuários acessem o domínio de identidades se estiverem usando um endereço IP que esteja dentro da faixa de um perímetro de rede que você definiu como: Perímetros de Rede Negados. A segunda regra exige que os usuários que pertencem a um grupo específico (por exemplo, o Grupo de Desenvolvedores de UA) sejam solicitados a fornecer um segundo fator como parte do processo de Verificação em 2 Etapas chamado: Grupo de Desenvolvedores de UA. Todos os outros usuários poderão se conectar sem um segundo fator ser solicitado.
No caso da Regra de Sign-On Padrão, nunca defina o acesso de todos os seus usuários para ser negado. Se os usuários não atenderem aos critérios de qualquer outra regra definida que permita que eles acessem o domínio de identidades, eles serão impedidos de acessar recursos protegidos pelo domínio de identidades. Além disso, configure o domínio de identidades para avaliar essa regra de sign-on por último porque, por padrão, ela permite que todos os usuários acessem o domínio de identidades.
A Política de Sign-On "Política de Segurança para Console do OCI"
A política de sign-on Política de Segurança para a Console do OCI é ativada por padrão e pré-configurada com as melhores práticas de segurança da Oracle.
- Os seguintes fatores necessários para essa política de sign-on já estão ativados: Código de acesso do aplicativo móvel, Notificação do aplicativo móvel, Código de bypass e Autenticador FIDO (Fast ID Online).
- O aplicativo Console do OCI foi adicionado à política.
- A política de sign-on vem com duas regras de sign-on ativas:
- MFA para administradores: A regra é a primeira em ordem de prioridade. Essa regra pré-configurada exige que todos os usuários do grupo Administradores e todos os usuários com uma função de administrador se inscrevam no MFA e forneçam um fator adicional toda vez que acessarem. Observação
Você pode remover essa regra e usar a regra MFA para todos os usuários para exigir que todos os usuários (incluindo administradores) se inscrevam na MFA. Ou você pode deixar essa regra em vigor e todos os usuários (incluindo administradores) ainda precisarão se inscrever no MFA quando a regra MFA para todos os usuários for avaliada. - MFA para todos os usuários: A regra é a segunda em ordem de prioridade. Essa regra pré-configurada exige que todos os usuários se inscrevam no MFA e forneçam um fator adicional toda vez que acessarem.Observação
Se você não quiser exigir MFA para todos os usuários no momento, poderá tornar essa regra opcional e os usuários terão a opção de se inscrever na MFA. Ou você pode remover essa regra e manter a MFA para administradores para que apenas administradores devam se inscrever na MFA.
- MFA para administradores: A regra é a primeira em ordem de prioridade. Essa regra pré-configurada exige que todos os usuários do grupo Administradores e todos os usuários com uma função de administrador se inscrevam no MFA e forneçam um fator adicional toda vez que acessarem.
Independentemente da regra que você decidir manter, exclua pelo menos um administrador da regra. Se você manter as duas regras, faça a alteração nas duas regras. Consulte Criando uma Política de Sign-On para saber como excluir usuários de uma regra de sign-on.
Para configurar a MFA usando a política de sign-on Política de Segurança para Console do OCI, consulte as melhores práticas em Domínios de Identidades com a Política de Sign-On "Política de Segurança para Console do OCI".
Políticas de Sign-On Adicionais
Você pode criar políticas de sign-on e associá-las a aplicativos específicos. Quando um usuário utiliza um desses aplicativos para tentar acessar o domínio de identidades, o domínio de identidades verifica se o aplicativo tem alguma política de sign-on associada a ele. Em caso afirmativo, o domínio de identidades avalia os critérios das regras de sign-on designadas à política. Se não houver políticas de sign-on para o aplicativo, a Política de Sign-On Padrão será avaliada.
A Prioridade das Regras de Sign-On de uma Política
Como você pode definir várias regras de sign-on para uma política de sign-on, o domínio de identidades deve saber a ordem na qual as regras devem ser avaliadas. Para fazer isso, você pode definir a prioridade das regras.
Usando as regras de sign-on do exemplo de Política de Sign-On Padrão acima, você pode ter a regra de sign-on Perímetros de Rede Negados avaliada primeiro e a regra de sign-on Grupo de Desenvolvedores de UA avaliada em seguida. Se um usuário atender aos critérios da regra de sign-on Perímetros de Rede Negados (ou seja, o endereço IP usado para tentar acessar o domínio de identidades está dentro da faixa de IPs que você definiu no perímetro de rede), ele será impedido de acessar recursos protegidos pelo domínio de identidades. Se o usuário não corresponder aos critérios dessa regra, a regra com a próxima prioridade mais alta será avaliada. Neste exemplo, essa é a regra do UA Developers Group. Se o usuário for membro do Grupo de Desenvolvedores do UA, será solicitado que ele forneça um fator adicional para acessar o domínio de identidades. Se o usuário não for membro do UA Developers Group, a regra com a próxima prioridade mais alta será avaliada. Neste exemplo, essa é a Regra de Sign-On Padrão. Como essa regra, por padrão, permite que todos os usuários acessem o domínio de identidades, o usuário poderá acessar sem ser solicitado a fornecer um segundo fator.
Política ou Atribuição Obrigatória
Política ou atribuição obrigatória.
- Ser membro do grupo de Administradores
- Ter recebido a atribuição de administrador de domínio de identidades, administrador de segurança ou administrador de aplicativos
- Ser membro de um grupo ao qual foi concedido
manage identity-domains
Para entender mais sobre políticas e atribuições, consulte O Grupo de Administradores, a Política e as Atribuições de Administrador, Noções Básicas de Atribuições de Administrador e Noções Básicas de Políticas.