Domínios de Identidade com a Política de Sign-On "Política de Segurança para Console do OCI"

Se você estiver usando autenticação multifator (MFA) em tenancies com domínios de identidade com a política de sign-on "Política de Segurança para Console do OCI", recomendamos que você configure a MFA usando essa política de sign-on.

Plano de Ativação de MFA

Para aumentar a segurança, começamos a implantar a política de sign-on "Política de Segurança para a Console da OCI" em todas as tenancies. Assim que um domínio de identidades tiver sido implantado com a política, você deverá ativá-lo para ativar a autenticação multifator (MFA) para usuários com privilégios administrativos.

O fluxograma a seguir descreve o processo completo desde a implantação da política, em que a Oracle inicia a implantação da política, até o estágio de aplicação da política, durante o qual a Oracle ativará a política, exceto em circunstâncias específicas.

fluxograma mostrando as fases de implantação da "Política de Segurança da Console do OCI" para domínios de identidade no IAM

  • A política de sign-on "Política de Segurança para a Console do OCI " só afeta o acesso à Console do OCI. Depois que a política for ativada, todos os usuários locais deverão usar a MFA para acessar a Console.
  • A política se aplica ao domínio Padrão e a todos os domínios secundários.
Observação

Começaremos a ativar automaticamente essa política em domínios de identidade após o 17 de julho de 2023.

Não ativaremos automaticamente a política:

  • Se você modificou a política de sign-on padrão
  • Se você já tiver uma política de sign-on e a Console do OCI for explicitamente designada a ela.
  • Se um IDP externo ativo (SAML/Social ou X.509) for configurado no domínio do serviço IAM. Isso significa que os usuários federados são excluídos do impacto dessa política.
  • Se você excluir a "Política de Segurança para a Console do OCI " usando uma API, não a recriaremos. Para excluir a política usando APIs REST, consulte Excluir uma Política.

Para ativar a política em um domínio de identidades, consulte Ativando uma Política de Sign-On.

Quando ele for ativado, será semelhante à página Políticas de Sign-on na Console.

Política de Segurança para Console do OCI ativada na página Políticas de Sign-on

Para saber mais sobre a política, consulte Sobre a Política de Sign-On "Política de Segurança para Console do OCI".

Regras de Aplicação para "Política de Segurança para OCI Console" para Domínios de Identidade no IAM

Política de Sign-on "Política de Segurança para status da Console do OCI " Você modificou a Política de Sign-on Padrão Política de Sign-on "Política de Segurança para o status da Console do OCI " após forçar a ativação
Presente e Ativado Não aplicável (você não pode ter outra política de sign-on ativa para a Console do OCI) Sem alteração
Presente e Desativado No A política foi alterada para Presente e Ativada
Presente e Desativado Sim Sem mudança. Não substituiremos sua política.
Excluído em Não se aplica Sem alteração

Configurando a Política de Sign-On "Política de Segurança para Console do OCI"

Para configurar a política de sign-on "Política de Segurança para a Console do OCI ":

  1. Leia Pré-requisitos.
  2. Leia Sobre a Política de Sign-On "Política de Segurança para Console do OCI".
  3. Opcionalmente e apenas durante o período de implantação, exclua um administrador da política. Quando você tiver certeza de que seus usuários configuraram a MFA para suas contas, adicione essa conta de volta à "Política de Segurança da Console do OCI". Consulte Excluir Temporariamente um Administrador da Política de Sign-On "Política de Segurança para Console do OCI".
    Observação

    É um risco de segurança ter um usuário capaz de se conectar sem MFA. Portanto, se você optar por fazer isso, faça o mais curto possível.
  4. Saiba como se inscrever na MFA usando um código de acesso de aplicativo móvel ou uma notificação de aplicativo móvel. Consulte Concluindo Inscrição de MFA.

Pré-requisitos

Antes de começar: Antes de configurar o MFA, preencha os pré-requisitos a seguir. Ignore todos os pré-requisitos que você já concluiu.

  1. Revise os fatores MFA. Os fatores de MFA disponíveis dependem do tipo de domínio de identidades que você tem. O Tipo de domínio é mostrado na página Domínios da tenancy. Consulte Disponibilidade de Recursos para Tipos de Domínio de Identidades para obter mais informações sobre MFA e tipos de domínio.
  2. Consulte a documentação para Usando o Aplicativo Oracle Mobile Authenticator e saiba como usar a Notificação de aplicativo móvel e o Código de acesso de aplicativo móvel no aplicativo Oracle Mobile Authenticator.
  3. Opcionalmente, e apenas durante o período de implantação, exclua um administrador de domínio de identidades da política "Política de Segurança da Console do OCI", de modo que, se você cometer erros durante a implantação, não tenha se bloqueado pela Console.

    Assim que a implantação for concluída, e você tiver certeza de que todos os usuários configuraram a MFA e poderá acessar a Console, poderá remover essa conta de usuário.

  4. Identifique todos os grupos do Identity Cloud Service mapeados para grupos do OCI IAM. (Observação: Somente tenancies migradas.)
  5. Registre um aplicativo cliente com uma atribuição de administrador de domínio de identidade para permitir o acesso ao seu domínio de identidades usando a API REST caso a configuração da Política de Sign-On bloqueie você. Se você não registrar esse aplicativo cliente e uma configuração da Política de Sign-On restringir o acesso a todos, todos os usuários serão bloqueados do domínio de identidades até que você entre em contato com o Suporte Técnico da Oracle. Para obter informações sobre o registro de um Aplicativo Cliente, consulte Registrando um Aplicativo Cliente.
  6. Crie um código de bypass e armazene esse código em um local seguro. Consulte Gerando um Código de Bypass.

Sobre a Política de Sign-On "Política de Segurança para Console do OCI"

A política de sign-on Política de Segurança para Console do OCI é ativada por padrão e pré-configurada com as melhores práticas de segurança da Oracle.

Se você modificar as regras nesta política, não estará mais seguindo as melhores práticas de segurança da Oracle.

  • Os seguintes fatores necessários para essa política de sign-on já estão ativados: Código de acesso de aplicativo móvel, Notificação de aplicativo móvel, Código de bypass e Autenticador FIDO (Fast ID Online).
  • O aplicativo da Console foi adicionado à política.
  • A política de sign-on vem com duas regras de sign-on ativas:

    As regras na Política de Segurança da política de sign-on da Console do OCI

    • MFA para administradores: A regra é a primeira em ordem de prioridade. Essa regra pré-configurada requer que todos os usuários do grupo Administradores e todos os usuários com uma atribuição de administrador devam se inscrever na MFA e fornecer um fator adicional toda vez que acessarem a Console do OCI.
    • MFA para todos os usuários: A regra é a segunda em ordem de prioridade. Essa regra pré-configurada requer que todos os usuários devem se inscrever na MFA e fornecer um fator adicional toda vez que acessarem a Console.

Excluir temporariamente um administrador da política de conexão "Política de segurança para a Console do OCI "

Como prática recomendada, não modifique a Política de Sign-On "Política de Segurança da Console do OCI ". No entanto, talvez você queira fazer isso durante a implantação. Você pode excluir temporariamente uma conta de administrador caso faça alterações que o bloqueiem da Console do OCI. Depois que a implantação for concluída, e os usuários tiverem a MFA configurada para que possam acessar a Console do OCI, altere-a novamente.
  1. Decida qual usuário admin você vai excluir temporariamente da "Política de Segurança da Console do OCI ", crie um novo grupo e designe o usuário a ele.
  2. Crie uma nova regra que não use MFA e atribua o grupo a ela.
  3. Torne essa regra a primeira regra na política "Política de Segurança da Console do OCI ".
Observação

Quando a implantação for concluída, todos os usuários tiverem configurado a MFA e houver menos chances de cometer um erro que poderia bloqueá-lo da Console do OCI , reverter essas etapas e restaurar a política "Política de Segurança da OCI Console" para seu estado não modificado.
  1. Crie um novo grupo e designe o usuário que você deseja excluir a ele. Consulte Criando um Grupo e Adicionando Usuários a um Grupo.
  2. Crie uma nova regra de sign-on.
    1. Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Domínios.

    2. Clique no nome do domínio de identidades no qual você deseja trabalhar. Talvez você precise alterar o compartimento para localizar o domínio desejado.
    3. Na lista de políticas de sign-on, clique em Política de Segurança da Console do OCI.
    4. Clique em Adicionar regra de sign-on.
    5. Atribua um nome à regra.
    6. Para Associação ao Grupo, selecione o novo grupo que você acabou de criar.
    7. Clique em Adicionar regra de sign-on.
      A nova regra é adicionada à lista de regras da política "Política de Segurança da Console do OCI".
  3. Torne a nova regra a primeira na política "Política de Segurança da Console do OCI ".
    1. Na página de detalhes da política, clique em Editar prioridade.
    2. Use as setas para alterar a prioridade das regras de conexão.
    3. Clique em Salvar alterações.
Quando esse usuário efetua sign-in, a primeira regra é aplicada e ele não precisa usar a MFA para autenticação.

Assim que você tiver certeza de que todos os usuários configuraram a MFA e de que não há chance de se bloquear acidentalmente da Console do OCI, exclua a nova regra de modo que a política "Política de Segurança da Console do OCI" reverte para seu estado não modificado.

Para excluir a regra:

  1. Na página Políticas de Sign-on, clique em Política de Segurança da Console do OCI.
  2. Clique na caixa de seleção da nova regra e clique em Remover regra de sign-on.

Agora, todos os usuários devem usar a MFA para acessar a Console do OCI.

Concluindo Inscrição de MFA

Após a ativação da política de sign-on "Política de Segurança para a Console do OCI ", qualquer pessoa que acesse a Console do OCI será solicitado a concluir a inscrição no MFA usando o Oracle Mobile Authenticator (OMA).

Você e todos os outros usuários que acessarem a Console do OCI verão uma tela semelhante a este exemplo.

Clique em Ativar Verificação Segura e siga as instruções em Usando o Aplicativo Oracle Mobile Authenticator.

Captura de tela mostrando a tela de inscrição de MFA.