Domínios de Identidade com a Política de Sign-On "Política de Segurança para Console do OCI"
Se você estiver usando autenticação multifator (MFA) em tenancies com domínios de identidade com a política de sign-on "Política de Segurança para Console do OCI", recomendamos que você configure a MFA usando essa política de sign-on.
Plano de Ativação de MFA
Para aumentar a segurança, começamos a implantar a política de sign-on "Política de Segurança para a Console da OCI" em todas as tenancies. Assim que um domínio de identidades tiver sido implantado com a política, você deverá ativá-lo para ativar a autenticação multifator (MFA) para usuários com privilégios administrativos.
O fluxograma a seguir descreve o processo completo desde a implantação da política, em que a Oracle inicia a implantação da política, até o estágio de aplicação da política, durante o qual a Oracle ativará a política, exceto em circunstâncias específicas.
- A política de sign-on "Política de Segurança para a Console do OCI " só afeta o acesso à Console do OCI. Depois que a política for ativada, todos os usuários locais deverão usar a MFA para acessar a Console.
- A política se aplica ao domínio Padrão e a todos os domínios secundários.
Começaremos a ativar automaticamente essa política em domínios de identidade após o 17 de julho de 2023.
Não ativaremos automaticamente a política:
- Se você modificou a política de sign-on padrão
- Se você já tiver uma política de sign-on e a Console do OCI for explicitamente designada a ela.
- Se um IDP externo ativo (SAML/Social ou X.509) for configurado no domínio do serviço IAM. Isso significa que os usuários federados são excluídos do impacto dessa política.
- Se você excluir a "Política de Segurança para a Console do OCI " usando uma API, não a recriaremos. Para excluir a política usando APIs REST, consulte Excluir uma Política.
Para ativar a política em um domínio de identidades, consulte Ativando uma Política de Sign-On.
Quando ele for ativado, será semelhante à página Políticas de Sign-on na Console.
Para saber mais sobre a política, consulte Sobre a Política de Sign-On "Política de Segurança para Console do OCI".
Regras de Aplicação para "Política de Segurança para OCI Console" para Domínios de Identidade no IAM
Política de Sign-on "Política de Segurança para status da Console do OCI " | Você modificou a Política de Sign-on Padrão | Política de Sign-on "Política de Segurança para o status da Console do OCI " após forçar a ativação |
---|---|---|
Presente e Ativado | Não aplicável (você não pode ter outra política de sign-on ativa para a Console do OCI) | Sem alteração |
Presente e Desativado | No | A política foi alterada para Presente e Ativada |
Presente e Desativado | Sim | Sem mudança. Não substituiremos sua política. |
Excluído em | Não se aplica | Sem alteração |
Configurando a Política de Sign-On "Política de Segurança para Console do OCI"
Para configurar a política de sign-on "Política de Segurança para a Console do OCI ":
- Leia Pré-requisitos.
- Leia Sobre a Política de Sign-On "Política de Segurança para Console do OCI".
- Opcionalmente e apenas durante o período de implantação, exclua um administrador da política. Quando você tiver certeza de que seus usuários configuraram a MFA para suas contas, adicione essa conta de volta à "Política de Segurança da Console do OCI". Consulte Excluir Temporariamente um Administrador da Política de Sign-On "Política de Segurança para Console do OCI".Observação
É um risco de segurança ter um usuário capaz de se conectar sem MFA. Portanto, se você optar por fazer isso, faça o mais curto possível. - Saiba como se inscrever na MFA usando um código de acesso de aplicativo móvel ou uma notificação de aplicativo móvel. Consulte Concluindo Inscrição de MFA.
Pré-requisitos
Antes de começar: Antes de configurar o MFA, preencha os pré-requisitos a seguir. Ignore todos os pré-requisitos que você já concluiu.
- Revise os fatores MFA. Os fatores de MFA disponíveis dependem do tipo de domínio de identidades que você tem. O Tipo de domínio é mostrado na página Domínios da tenancy. Consulte Disponibilidade de Recursos para Tipos de Domínio de Identidades para obter mais informações sobre MFA e tipos de domínio.
- Consulte a documentação para Usando o Aplicativo Oracle Mobile Authenticator e saiba como usar a Notificação de aplicativo móvel e o Código de acesso de aplicativo móvel no aplicativo Oracle Mobile Authenticator.
- Opcionalmente, e apenas durante o período de implantação, exclua um administrador de domínio de identidades da política "Política de Segurança da Console do OCI", de modo que, se você cometer erros durante a implantação, não tenha se bloqueado pela Console.
Assim que a implantação for concluída, e você tiver certeza de que todos os usuários configuraram a MFA e poderá acessar a Console, poderá remover essa conta de usuário.
- Identifique todos os grupos do Identity Cloud Service mapeados para grupos do OCI IAM. (Observação: Somente tenancies migradas.)
- Registre um aplicativo cliente com uma atribuição de administrador de domínio de identidade para permitir o acesso ao seu domínio de identidades usando a API REST caso a configuração da Política de Sign-On bloqueie você. Se você não registrar esse aplicativo cliente e uma configuração da Política de Sign-On restringir o acesso a todos, todos os usuários serão bloqueados do domínio de identidades até que você entre em contato com o Suporte Técnico da Oracle. Para obter informações sobre o registro de um Aplicativo Cliente, consulte Registrando um Aplicativo Cliente.
- Crie um código de bypass e armazene esse código em um local seguro. Consulte Gerando um Código de Bypass.
Sobre a Política de Sign-On "Política de Segurança para Console do OCI"
A política de sign-on Política de Segurança para Console do OCI é ativada por padrão e pré-configurada com as melhores práticas de segurança da Oracle.
Se você modificar as regras nesta política, não estará mais seguindo as melhores práticas de segurança da Oracle.
- Os seguintes fatores necessários para essa política de sign-on já estão ativados: Código de acesso de aplicativo móvel, Notificação de aplicativo móvel, Código de bypass e Autenticador FIDO (Fast ID Online).
- O aplicativo da Console foi adicionado à política.
- A política de sign-on vem com duas regras de sign-on ativas:
- MFA para administradores: A regra é a primeira em ordem de prioridade. Essa regra pré-configurada requer que todos os usuários do grupo Administradores e todos os usuários com uma atribuição de administrador devam se inscrever na MFA e fornecer um fator adicional toda vez que acessarem a Console do OCI.
- MFA para todos os usuários: A regra é a segunda em ordem de prioridade. Essa regra pré-configurada requer que todos os usuários devem se inscrever na MFA e fornecer um fator adicional toda vez que acessarem a Console.
Excluir temporariamente um administrador da política de conexão "Política de segurança para a Console do OCI "
- Decida qual usuário admin você vai excluir temporariamente da "Política de Segurança da Console do OCI ", crie um novo grupo e designe o usuário a ele.
- Crie uma nova regra que não use MFA e atribua o grupo a ela.
- Torne essa regra a primeira regra na política "Política de Segurança da Console do OCI ".
Quando a implantação for concluída, todos os usuários tiverem configurado a MFA e houver menos chances de cometer um erro que poderia bloqueá-lo da Console do OCI , reverter essas etapas e restaurar a política "Política de Segurança da OCI Console" para seu estado não modificado.
- Crie um novo grupo e designe o usuário que você deseja excluir a ele. Consulte Criando um Grupo e Adicionando Usuários a um Grupo.
-
Crie uma nova regra de sign-on.
-
Torne a nova regra a primeira na política "Política de Segurança da Console do OCI ".
- Na página de detalhes da política, clique em Editar prioridade.
- Use as setas para alterar a prioridade das regras de conexão.
- Clique em Salvar alterações.
Assim que você tiver certeza de que todos os usuários configuraram a MFA e de que não há chance de se bloquear acidentalmente da Console do OCI, exclua a nova regra de modo que a política "Política de Segurança da Console do OCI" reverte para seu estado não modificado.
Para excluir a regra:
- Na página Políticas de Sign-on, clique em Política de Segurança da Console do OCI.
- Clique na caixa de seleção da nova regra e clique em Remover regra de sign-on.
Agora, todos os usuários devem usar a MFA para acessar a Console do OCI.
Concluindo Inscrição de MFA
Após a ativação da política de sign-on "Política de Segurança para a Console do OCI ", qualquer pessoa que acesse a Console do OCI será solicitado a concluir a inscrição no MFA usando o Oracle Mobile Authenticator (OMA).
Você e todos os outros usuários que acessarem a Console do OCI verão uma tela semelhante a este exemplo.
Clique em Ativar Verificação Segura e siga as instruções em Usando o Aplicativo Oracle Mobile Authenticator.