Federação do IAM
A Oracle recomenda que você use federação para gerenciar logins na Console.
- A federação de identidades suporta provedores de identidades compatíveis com SAML 2.0 e pode ser usada para federar usuários e grupos locais para usuários e grupos do IAM. O administrador da empresa precisa configurar uma confiança de federação entre o provedor de identidades local (IdP) e o IAM, além de criar um mapeamento entre grupos locais e grupos do IAM. Assim, os usuários locais podem usar o SSO (Single Sign-on) na Console e acessar recursos com base na autorização dos grupos do IAM aos quais pertencem. Para obter mais informações sobre federação na Console, consulte Federando com Provedores de Identidades. A federação é especialmente importante para empresas que usam políticas personalizadas para a autenticação do usuário (por exemplo, autenticação multifator). Para obter mais informações sobre o gerenciamento de usuários e grupos na federação, consulte Federando com Provedores de Identidades.
- Durante o uso de federação, a Oracle recomenda que você crie um grupo de administradores de federação que mapeia para o grupo de administradores federados do IdP. O grupo de administradores da federação terá privilégios administrativos para gerenciar a tenancy do cliente, mas serão comandados pelas mesmas políticas de segurança que o grupo de administradores do IdP federado. Nesse cenário, é uma boa ideia ter acesso ao usuário administrador da tenancy local (ou seja, um membro do grupo do IAM de administradores padrão da tenancy) para tratar qualquer cenário de emergência (por exemplo, incapacidade de acessar recursos por meio da federação). No entanto, você deve impedir o uso não autorizado desse usuário administrador da tenancy local altamente privilegiado. A Oracle recomenda a seguinte abordagem para gerenciar com segurança o usuário administrador da tenancy:
- Crie um usuário local pertencente ao grupo de administradores da tenancy padrão.
- Crie uma senha da Console altamente complexa ou uma frase-senha (18 caracteres ou mais, com pelo menos uma letra minúscula, uma maiúscula, um número e um caractere especial) para o usuário administrador da tenancy local.
- Guarde com segurança a senha do usuário administrador da tenancy local em um lugar interno (por exemplo, coloque a senha em um envelope lacrado em um cofre físico no prédio).
- Crie políticas de segurança para acessar a senha guardada somente em cenários específicos de "emergência".
- Tenha uma política de segurança do IAM para impedir que o grupo do IAM de administradores federados adicione ou modifique os membros do grupo de administradores da tenancy padrão e crie brechas na segurança.
- Monitore logs de auditoria para controlar acessos pelo administrador da tenancy padrão e controlar alterações no grupo de administradores, para alertar em relação a qualquer ação não autorizada. Para proporcionar segurança adicional, a senha do usuário administrador da tenancy local pode ser rotacionada após cada log-in ou periodicamente com base em uma política de senha.
Para obter um exemplo que mostra a forma como vários componentes do IAM funcionam juntos, consulte Detalhes das Verificações de Integridade. Monitore periodicamente os logs de Auditoria para revisar alterações nos usuários, grupos, políticas, compartimentos e tags do IAM.