Domínios de Identidades com a Política de Sign-On "Política de Segurança para Console do OCI"

Se você estiver usando autenticação multifator (MFA) em tenancies com domínios de identidade com a política de sign-on "Política de Segurança para Console do OCI", recomendamos que você configure a MFA usando essa política de sign-on.

Plano de ativação de MFA

Para aumentar a segurança, começamos a implantar a política de sign-on "Política de Segurança para a Console do OCI" em todas as tenancies. Assim que um domínio de identidades tiver sido implantado com a política, você deverá ativá-lo para ativar a autenticação multifator (MFA) para usuários com privilégios administrativos.

O fluxograma a seguir descreve o processo completo desde o lançamento da política, em que a Oracle inicia a pré-implantação da política, até o estágio de aplicação da política, durante o qual a Oracle ativará a política, exceto em circunstâncias específicas.

fluxograma mostrando as fases de implantação da "Política de Segurança para Console do OCI" para domínios de identidade no IAM

A política de sign-on "Política de Segurança da Console do OCI" só afeta o acesso à Console do OCI. Depois que a política for ativada, todos os usuários locais deverão usar a MFA para acessar a Console.
A política se aplica ao domínio Padrão e a todos os domínios secundários.

Não ativaremos automaticamente a política:

Se você tiver modificado a política de sign-on padrão
Se você já tiver uma política de sign-on e a Console do OCI estiver explicitamente designada a ela.
Se um IDP externo ativo (SAML/Social ou X.509) for configurado no domínio do IAM. Isso significa que os usuários federados são excluídos do impacto dessa política.
Se você excluir a "Política de Segurança da Console do OCI" usando uma API, não a recriamos. Para excluir a política usando APIs REST, consulte Excluir uma Política.

Para ativar a política em um domínio de identidades, consulte Ativando uma Política de Sign-On.

Quando for ativado, ficará assim na página Políticas de sign-on na Console.

Política de Segurança para a Console do OCI ativada na página Políticas de sign-on

Para saber mais sobre a política, consulte Sobre a Política de Sign-On "Política de Segurança da Console do OCI".

Regras de Aplicação para "Política de Segurança da Console do OCI" para Domínios de Identidade no Serviço IAM


Status "Política de Segurança da Console do OCI" da Política de Sign-on	Você modificou a Política de Sign-on Padrão	Status "Política de Segurança da Console do OCI" da Política de Sign-on após forçar a ativação
Presente e Ativado	Não aplicável (você não pode ter outra política de sign-on ativa para a Console do OCI)	Sem alteração
Presente e Desativado	No	A política é alterada para Presente e Ativada
Presente e Desativado	Sim	Sem alteração. Não substituiremos sua política.
Excluído	Não aplicável	Sem alteração

Configurando a Política de Sign-On "Política de Segurança para Console do OCI"

Para configurar a política de sign-on "Política de Segurança da Console do OCI":

Leia Pré-requisitos.
Leia Sobre a Política de Sign-On "Política de segurança para a Console da OCI".
Opcionalmente e somente durante o período de implantação, exclua um administrador da política. Quando tiver certeza de que seus usuários configuraram a MFA para suas contas, adicione essa conta novamente à "Política de Segurança para a Console do OCI". Consulte Excluir Temporariamente um Administrador da Política de Sign-On "Política de Segurança da Console do OCI".
Observação

É um risco de segurança ter um usuário capaz de acessar sem MFA; portanto, se você optar por fazer isso, faça-o pelo menor tempo possível.
Saiba como se inscrever na MFA usando um código de acesso de aplicativo móvel ou uma notificação de aplicativo móvel. Consulte Concluindo a Inscrição de MFA.

Pré-requisitos

Antes de começar: Antes de configurar a MFA, preencha os pré-requisitos a seguir. Ignore os pré-requisitos já concluídos.

Revise os fatores de MFA. Os fatores de MFA disponíveis dependem do tipo de domínio de identidades que você tem. O Tipo de domínio é mostrado na página Domínios da tenancy. Consulte Disponibilidade de Recursos para Tipos de Domínio de Identidades para obter mais informações sobre MFA e tipos de domínio.
Revise a documentação de Usando o Aplicativo Oracle Mobile Authenticator para saber como usar a Notificação do aplicativo móvel e o Código de acesso do aplicativo móvel no aplicativo Oracle Mobile Authenticator.
Opcionalmente, e apenas durante o período de roll-out, exclua um administrador de domínio de identidades da política "Política de Segurança da Console do OCI", portanto, se você cometer algum erro durante o roll-out, não se bloqueará da Console.
Assim que a implantação for concluída e você tiver certeza de que todos os usuários configuraram a MFA e podem acessar a Console, poderá remover essa conta de usuário.
Identifique quaisquer grupos do Identity Cloud Service mapeados para grupos do OCI IAM. (Observação: Somente tenancies migradas.)
Registre um aplicativo cliente com uma atribuição de administrador de domínio de identidades para permitir o acesso ao seu domínio de identidades usando a API REST caso sua configuração de Política de Sign-On bloqueie você. Se você não registrar esse aplicativo cliente e uma configuração da Política de Sign-On restringir o acesso a todos, todos os usuários serão bloqueados do domínio de identidades até que você entre em contato com o Suporte Técnico da Oracle. Para obter informações sobre o registro de um Aplicativo Cliente, consulte Registrando um Aplicativo Cliente.
Crie um código de bypass e armazene esse código em um local seguro. Consulte Gerando um Código de Bypass.

Sobre a Política de Sign-On "Política de Segurança para Console do OCI"

A política de sign-on Política de Segurança da Console do OCI é ativada por padrão e pré-configurada com as melhores práticas de segurança da Oracle.

Se você modificar as regras nesta política, não estará mais seguindo as melhores práticas de segurança da Oracle.

Os seguintes fatores necessários para essa política de sign-on já estão ativados: Código de acesso do aplicativo móvel, Notificação do aplicativo móvel, Código de bypass e Autenticador FIDO (Fast ID Online).
O aplicativo Console foi adicionado à política.
A política de sign-on vem com duas regras de sign-on ativas:
- MFA para administradores: A regra é a primeira em ordem de prioridade. Essa regra pré-configurada requer que todos os usuários do grupo Administradores e todos os usuários com uma atribuição de administrador se inscrevam na MFA e forneçam um fator adicional sempre que acessarem a Console do OCI.
- MFA para todos os usuários: A regra é a segunda em ordem de prioridade. Essa regra pré-configurada exige que todos os usuários se inscrevam na MFA e forneçam um fator adicional toda vez que acessarem a Console.

Excluir Temporariamente um Administrador da Política de Sign-On "Política de Segurança da Console do OCI"

Como prática recomendada, não modifique a Política de Sign-On "Política de Segurança para Console do OCI". No entanto, você pode querer fazer isso durante o lançamento. Você pode excluir temporariamente uma conta de administrador caso faça alterações que o bloqueiem da Console do OCI. Depois que o roll-out for concluído e os usuários tiverem a MFA configurada para que possam acessar a Console do OCI, altere-a novamente.

Decida qual usuário administrador você excluirá temporariamente da "Política de Segurança da Console do OCI", crie um novo grupo e designe o usuário a ele.
Crie uma nova regra que não use MFA e designe o grupo a ela.
Torne essa regra a primeira regra na política "Política de Segurança da Console do OCI".

Observação

Depois que o roll-out for concluído, todos os usuários tiverem configurado a MFA e houver menos chances de cometer um erro que possa bloqueá-lo da Console do OCI, reverter essas etapas e restaurar a política "Política de Segurança para Console do OCI" para seu estado não modificado.

Crie um novo grupo e designe ao usuário que deseja excluir. Consulte Criando um Grupo e Adicionando Usuários a um Grupo.
Crie uma nova regra de sign-on.
1. Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Domínios.
2. Selecione o nome do domínio de identidades no qual deseja trabalhar. Talvez você precise alterar o compartimento para localizar o domínio desejado.
3. Na lista de políticas de sign-on, clique em Política de Segurança da Console do OCI.
4. Clique em Adicionar regra de sign-on.
5. Atribua um nome à regra.
6. Para Associação de Grupo, selecione o novo grupo que você acabou de criar.
7. Clique em Adicionar regra de sign-on.
  A nova regra é adicionada à lista de regras da política "Política de Segurança para Console do OCI".
Torne a nova regra a primeira na política "Política de Segurança para Console do OCI".
1. Na página de detalhes da política, clique em Editar prioridade.
2. Use as setas para alterar a prioridade das regras de sign-on.
3. Clique em Salvar alterações.

Quando esse usuário se conecta, a primeira regra é aplicada e ele não precisa usar a MFA para autenticação.

Assim que você tiver certeza de que todos os usuários configuraram a MFA e de que não há chance de se bloquear acidentalmente da Console do OCI, exclua a nova regra para que a política "Política de Segurança da Console do OCI" seja revertida para seu estado não modificado.

Para excluir a regra:

Na página Políticas de sign-on, clique em Política de Segurança para a Console do OCI.
Clique na caixa de seleção da nova regra e clique em Remover regra de sign-on.

Agora, todos os usuários devem usar a MFA para acessar a Console do OCI.

Concluindo Inscrição de MFA

Depois que a política de sign-on "Política de Segurança da Console do OCI" for ativada, qualquer pessoa que acessar a Console do OCI será solicitada a concluir a inscrição da MFA usando o Oracle Mobile Authenticator (OMA).

Você e quaisquer outros usuários que acessarem a Console do OCI verão uma tela semelhante a este exemplo.

Clique em Ativar Verificação Segura e siga as instruções em Usando o Aplicativo Oracle Mobile Authenticator.

Captura de tela mostrando a tela de inscrição de MFA.

Documentação do Oracle Cloud Infrastructure