Documentação do Oracle Cloud Infrastructure

MFA do IAM

A autenticação multifator (MFA) é um método de autenticação que exige o uso de mais de um fator para verificar a identidade de um usuário.

Com a MFA ativada, quando um usuário acessa um aplicativo, ele é solicitado a informar seu nome de usuário e senha, que é o primeiro fator – algo que ele sabe. O usuário então é obrigado a fornecer um segundo tipo de verificação. Os dois fatores funcionam juntos para adicionar outra camada de segurança usando informações adicionais ou um segundo dispositivo para verificar a identidade do usuário e concluir o processo de acesso.

Observação

Se você tiver configurado a MFA em um provedor de identidades de 3 partes (IdP), como o Microsoft Azure Active Directory (Azure AD) ou o Okta, não precisará configurar a MFA usando o IAM ou o Oracle Identity Cloud Service.

Plano de ativação de MFA

Para aumentar a segurança, começamos a implantar a política de sign-on "Política de Segurança para a Console do OCI" em todas as tenancies. Assim que um domínio de identidades ou um segmento do Identity Cloud Service tiver sido implantado com a política, você deverá ativá-lo para ativar a autenticação multifator (MFA) para usuários com privilégios administrativos.

Observação

A política "Política de Segurança para Console do OCI" se aplica a:

  • Tenancies com domínios de identidades no IAM, para o domínio Padrão e todos os domínios secundários. Ativaremos automaticamente essa política após 17 de julho de 2023, a menos que você atenda a uma das condições abaixo.
  • Todas as faixas do Identity Cloud Service para tenancies que usam o Identity Cloud Service. Ativaremos automaticamente essa política após 24 de julho de 2023, a menos que você atenda a uma das condições abaixo.

Descubra o Tipo de Tenancy

Para descobrir qual tipo de tenancy você tem, consulte Determinando o Tipo de Tenancy.

O que a "Política de Segurança para Console do OCI" faz

A política de sign-on "Política de Segurança da Console do OCI" só afeta o acesso à Console do OCI.

Depois que a política for ativada, todos os usuários locais deverão usar a MFA para acessar a Console. Os usuários que não fizerem log-in na Console não serão afetados por esta política

Quando Não Vamos Ativar Automaticamente a Política

Não ativaremos automaticamente a política:

  • Se você tiver modificado a política de sign-on padrão
  • Se você já tiver uma política de sign-on e a Console do OCI estiver explicitamente designada a ela.
  • Se um IDP externo ativo (SAML/Social ou X.509) for configurado no domínio do IAM. Isso significa que os usuários federados são excluídos do impacto dessa política.
  • Se você excluir a "Política de Segurança da Console do OCI" usando uma API, não a recriamos. Para excluir a política usando APIs REST, consulte Excluir uma Política.

Melhores Práticas para MFA do IAM

Para configurar a MFA do serviço IAM usando as melhores práticas:

  1. Descubra qual tipo de tenancy você tem. Consulte Determinando o Tipo de Tenancy.
  2. Configure as melhores práticas de MFA para esse tipo de tenancy usando um dos conjuntos de instruções a seguir.
    1. Domínios de Identidades sem a Política de Sign-On "Política de Segurança para Console do OCI"

      Para tenancies que usam domínios de identidades, mas que não foram implantadas com a política de sign-on "Política de Segurança para Console do OCI".

    2. Domínios de Identidades com a Política de Sign-On "Política de Segurança para Console do OCI"

      Para tenancies que usam domínios de identidades, mas que foram implantadas com a política de sign-on "Política de Segurança para Console do OCI".

    3. Tenancies sem Domínios de Identidades e sem a Política de Sign-On "Política de Segurança para a Console do OCI"

      Para tenancies que usam o Identity Cloud Service, mas que não foram implantadas com a política de sign-on "Política de Segurança da Console do OCI".

    4. Tenancies sem Domínios de Identidades e com a Política de Sign-On "Política de Segurança para a Console do OCI"

      Para tenancies que usam o Identity Cloud Service, mas que foram implantadas com a política de sign-on "Política de Segurança da Console do OCI".

  3. Use o Cloud Guard para localizar usuários que não têm a MFA ativada.