MFA do serviço IAM
Autenticação multifator (MFA) é um método de autenticação que exige o uso de mais de um fator para verificar a identidade de um usuário.
Com o recurso MFA ativado, quando um usuário acessa um aplicativo, ele é solicitado a informar o nome de usuário e a senha, que é o primeiro fator - algo que ele sabe. O usuário então é obrigado a fornecer um segundo tipo de verificação. Os dois fatores funcionam juntos para adicionar outra camada de segurança usando informações adicionais ou um segundo dispositivo para verificar a identidade do usuário e concluir o processo de acesso.
Se você tiver configurado a MFA em um provedor de identidades de 3a parte (IdP), como Microsoft Azure Active Directory (Azure AD) ou Okta, não será necessário configurar a MFA usando o serviço IAM ou o Oracle Identity Cloud Service.
Plano de Ativação de MFA
Para aumentar a segurança, começamos a implantar a política de sign-on "Política de Segurança para a Console da OCI" em todas as tenancies. Assim que um domínio de identidades ou um segmento do Identity Cloud Service tiver sido implantado com a política, você deverá ativá-lo para ativar a autenticação multifator (MFA) para usuários com privilégios administrativos.
A política "Política de Segurança para a Console do OCI " se aplica a:
- Tenancies com domínios de identidades no serviço IAM, para o domínio Padrão e todos os domínios secundários. Ativaremos essa política automaticamente após 17 de julho de 2023, a menos que você atenda a uma das condições abaixo.
- Todas as faixas do Identity Cloud Service para tenancies que usam o Identity Cloud Service. Ativaremos essa política automaticamente após 24 de julho de 2023, a menos que você atenda a uma das condições abaixo.
Descubra seu Tipo de Tenancy
Para descobrir qual tipo de tenancy você tem, consulte Determinando o Tipo de Tenancy.
O que a "Política de Segurança para a Console do OCI " Faz
A política de sign-on "Política de Segurança para a Console do OCI " só afeta o acesso à Console do OCI.
Depois que a política for ativada, todos os usuários locais deverão usar a MFA para acessar a Console. Os usuários que não fazem log-in na Console não serão afetados por esta política
Quando não ativarmos automaticamente a política
Não ativaremos automaticamente a política:
- Se você modificou a política de sign-on padrão
- Se você já tiver uma política de sign-on e a Console do OCI for explicitamente designada a ela.
- Se um IDP externo ativo (SAML/Social ou X.509) for configurado no domínio do serviço IAM. Isso significa que os usuários federados são excluídos do impacto dessa política.
- Se você excluir a "Política de Segurança para a Console do OCI " usando uma API, não a recriaremos. Para excluir a política usando APIs REST, consulte Excluir uma Política.
Melhores Práticas para MFA do serviço IAM
Para configurar a MFA do serviço IAM usando as melhores práticas:
- Descubra qual tipo de tenancy você tem. Consulte Determinando o Tipo de Tenancy.
- Configure as melhores práticas de MFA para esse tipo de tenancy usando um dos conjuntos de instruções a seguir.
- Domínios de Identidade sem a Política de Sign-On "Política de Segurança para Console do OCI"
Para tenancies que usam domínios de identidade, mas que não foram implantadas com a política de sign-on "Política de Segurança para a Console da OCI".
- Domínios de Identidade com a Política de Sign-On "Política de Segurança para Console do OCI"
Para tenancies que usam domínios de identidade, mas que foram implantadas com a política de sign-on "Política de Segurança para a Console do OCI ".
- Tenancies sem Domínios de Identidades e sem a Política de Sign-On "Política de Segurança para Console do OCI"
Para tenancies que usam o Identity Cloud Service, mas que não foram implantadas com a política de sign-on "Política de Segurança para a Console do OCI".
- Tenancies sem Domínios de Identidades e com a Política de Sign-On "Política de Segurança para Console do OCI"
Para tenancies que usam o Identity Cloud Service, mas que foram implantadas com a política de sign-on "Política de Segurança para a Console do OCI".
- Domínios de Identidade sem a Política de Sign-On "Política de Segurança para Console do OCI"
- Use o Cloud Guard para localizar usuários que não têm a MFA ativada.