Tenancies sem Domínios de Identidades e com a Política de Sign-On "Política de Segurança para Console do OCI"
Se você estiver usando autenticação multifator (MFA) em tenancies sem domínios de identidades e o Oracle Identity Cloud Service como provedor de identidades federado automaticamente (IdP) no IAM e com a política de sign-on "Política de Segurança para Console do OCI", recomendamos que você configure a MFA usando essa política de sign-on
Plano de Ativação de MFA
Para aumentar a segurança, começamos a implantar a política de sign-on "Política de Segurança para a Console do OCI" em todas as tenancies. Assim que um segmento do Identity Cloud Service tiver sido implantado com a política, você deverá ativá-lo para ativar a autenticação multifator (MFA) para usuários com privilégios administrativos.
O fluxograma a seguir descreve o processo completo desde a implantação da política, em que a Oracle inicia a implantação da política, até o estágio de aplicação da política, durante o qual a Oracle ativará a política, exceto em circunstâncias específicas.
- A política de sign-on "Política de Segurança da Console do OCI" só afeta o acesso à Console do OCI. Depois que a política for ativada, todos os usuários locais deverão usar a MFA para acessar.
- A política se aplica a todas as faixas do Identity Cloud Service.
Em tenancies com faixas do Identity Cloud Service, ativaremos automaticamente essa política após 24 de julho de 2023.
Não ativaremos automaticamente a política:
- Se você modificou a política de sign-on padrão
- Se um IDP externo ativo (SAML/Social ou X.509) for configurado no domínio do IAM. Isso significa que os usuários federados são excluídos do impacto dessa política.
- Se você já tiver uma política de sign-on e a Console do OCI estiver explicitamente designada a ela.
- Se você excluir a "Política de Segurança da Console do OCI" usando uma API, não a recriamos. Para excluir a política usando APIs REST, consulte Excluir uma Política.
Para ativar a política em um segmento do Identity Cloud Service, consulte Ativar Políticas de Sign-On.
Quando ela for ativada, a política terá esta aparência na página Políticas de Sign-On na Console de Administração do Identity Cloud Service.
Para saber mais sobre a política, consulte Sobre a Política de Sign-On "Política de Segurança para Console do OCI".
Regras de Aplicação para "Política de Segurança da Console do OCI" para Segmentos do Identity Cloud Service
Status "Security PolicyFor OCI Console" da Política de Sign-on | Você modificou a Política de Sign-on Padrão | Status "Política de Segurança da Console do OCI" da Política de Sign-on após forçar a ativação |
---|---|---|
Presente e Ativado | Não aplicável (você não pode ter outra política de sign-on ativa para a Console do OCI) | Sem alteração |
Presente e Desativado | Número | A política foi alterada para Presente e Ativada |
Presente e Desativado | Sim | Sem mudança. Não substituiremos sua política. |
Excluído em | Não se aplica | Sem alteração |
Configurando a Política de Sign-On "Política de Segurança para Console do OCI"
Para configurar a política de sign-on "Política de Segurança para a Console do OCI":
- Leia Pré-requisitos.
- Leia Sobre a Política de Sign-On "Política de Segurança para Console do OCI".
- Opcionalmente e apenas durante o período de implantação, exclua um administrador da política. Quando você tiver certeza de que seus usuários configuraram a MFA para suas contas, adicione essa conta de volta à "Política de Segurança da Console do OCI". Consulte Excluir Temporariamente um Administrador da Política de Sign-On "Política de Segurança para Console do OCI".Observação
É um risco de segurança ter um usuário capaz de se conectar sem MFA. Portanto, se você optar por fazer isso, faça o mais curto possível. - Saiba como se inscrever na MFA usando um código de acesso de aplicativo móvel ou uma notificação de aplicativo móvel. Consulte Concluindo Inscrição de MFA.
Pré-requisitos
Antes de começar: Antes de configurar a MFA, execute os pré-requisitos a seguir.
- Revise os fatores MFA. Os fatores de MFA disponíveis dependem do Tipo de Licença que você tem. O Tipo de Licença é mostrado no canto superior direito da console do Identity Cloud Service. Consulte Sobre Modelos de Preços do Oracle Identity Cloud Service para obter mais informações sobre MFA e tipos de licença.
- Revise a documentação para Usar o Aplicativo Oracle Mobile Authenticator como Método de Autenticação para saber como usar a Notificação do aplicativo móvel e o Código de acesso do aplicativo móvel no aplicativo Oracle Mobile Authenticator.
- Opcionalmente, e apenas durante o período de roll-out, exclua um administrador de domínio de identidades da política "Política de Segurança da Console do OCI", portanto, se você cometer algum erro durante o roll-out, não se bloqueará da Console.
Assim que a implantação for concluída, e você tiver certeza de que todos os usuários configuraram a MFA e poderá acessar a Console, poderá remover essa conta de usuário.
- Identifique todos os grupos do Identity Cloud Service mapeados para grupos do OCI IAM.
- Registre um aplicativo cliente com uma atribuição de Administrador de Domínio de Identidades para permitir o acesso ao seu domínio de identidades usando a API REST caso a configuração da Política de Sign-On bloqueie você. Se você não registrar esse aplicativo cliente e uma configuração da Política de Sign-On restringir o acesso a todos, todos os usuários serão bloqueados do domínio de identidades até que você entre em contato com o Suporte Técnico da Oracle. Para obter informações sobre como registrar um Aplicativo Cliente, consulte Registrar um Aplicativo Cliente em Usando as APIs REST do Oracle Identity Cloud Service com o Postman.
- Crie um código de bypass e armazene esse código em um local seguro. Consulte Gerar e Usar o Código de Bypass.
Sobre a Política de Sign-On "Política de Segurança para Console do OCI"
A política de sign-on Política de Segurança para Console do OCI é ativada por padrão e pré-configurada com as melhores práticas de segurança da Oracle.
- Os seguintes fatores necessários para essa política de sign-on já estão ativados: Código de acesso de aplicativo móvel, Notificação de aplicativo móvel, Código de bypass e Autenticador FIDO (Fast ID Online).
- O aplicativo Console do OCI foi adicionado à política.
- A política de sign-on vem com duas regras de sign-on ativas:
- MFA para administradores: A regra está em primeiro lugar na ordem de prioridade. Essa regra pré-configurada exige que todos os usuários do grupo Administradores e todos os usuários com uma função de administrador se inscrevam na MFA e forneçam um fator adicional toda vez que se conectarem.
- MFA para todos os usuários: A regra é a segunda em ordem de prioridade. Essa regra pré-configurada exige que todos os usuários se inscrevam na MFA e forneçam um fator adicional toda vez que se conectarem.
Excluir Temporariamente um Administrador da Política de Sign-On "Política de Segurança da Console do OCI"
- Decida qual usuário administrador você excluirá temporariamente da "Política de Segurança da Console do OCI", crie um novo grupo e designe o usuário a ele.
- Crie uma nova regra que não use MFA e atribua o grupo a ela.
- Torne essa regra a primeira regra na política "Política de Segurança da Console do OCI".
Depois que o roll-out for concluído, todos os usuários tiverem configurado a MFA e houver menos chances de cometer um erro que possa bloqueá-lo da Console do OCI, reverter essas etapas e restaurar a política "Política de Segurança para Console do OCI" para seu estado não modificado.
- Crie um novo grupo e designe ao usuário que você deseja excluir dele. Consulte Criar Grupos e Atribuir Contas de Usuário ao Grupo.
-
Crie uma nova regra e adicione o grupo que você acabou de criar.
-
Torne a nova regra a primeira na política "Política de Segurança para Console do OCI".
- Na página de detalhes da política, clique no ícone de ação à esquerda da nova regra.
- Arraste a nova regra para ser a primeira na política.
- Clique em Salvar.
Assim que você tiver certeza de que todos os usuários configuraram a MFA e de que não há chance de se bloquear acidentalmente da Console do OCI, exclua a nova regra para que a política "Política de Segurança da Console do OCI" seja revertida para seu estado não modificado.
Para excluir a regra:
- Na página Políticas de Sign-on, clique em Política de Segurança da Console do OCI.
- Clique na caixa de seleção da nova regra e clique em Remover.
Agora, todos os usuários devem usar a MFA para acessar a Console do OCI.
Concluindo Inscrição de MFA
Depois que a política de sign-on "Política de Segurança da Console do OCI" for ativada, qualquer pessoa que acessar a Console do OCI será solicitada a concluir a inscrição da MFA usando o Oracle Mobile Authenticator (OMA).
Você e quaisquer outros usuários que acessarem a Console do OCI verão uma tela semelhante a este exemplo.
Clique em Ativar Verificação Segura e siga as instruções em Usando o Aplicativo Oracle Mobile Authenticator.