Documentação do Oracle Cloud Infrastructure

Tenancies sem Domínios de Identidades e com a Política de Sign-On "Política de Segurança para a Console do OCI"

Se você estiver usando autenticação multifator (MFA) em tenancies sem domínios de identidades e o Oracle Identity Cloud Service como provedor de identidades federado automaticamente (IdP) no IAM e com a política de sign-on "Política de Segurança para Console do OCI", recomendamos que você configure a MFA usando essa política de sign-on

Plano de ativação de MFA

Para aumentar a segurança, começamos a implantar a política de sign-on "Política de Segurança para a Console do OCI" em todas as tenancies. Assim que um segmento do Identity Cloud Service tiver sido implantado com a política, você deverá ativá-lo para ativar a autenticação multifator (MFA) para usuários com privilégios administrativos.

O fluxograma a seguir descreve o processo completo desde o lançamento da política, em que a Oracle inicia a pré-implantação da política, até o estágio de aplicação da política, durante o qual a Oracle ativará a política, exceto em circunstâncias específicas.

fluxograma mostrando as fases de implantação da Política de Segurança da Console do OCI" para faixas do Identity Cloud Service

  • A política de sign-on "Política de Segurança da Console do OCI" só afeta o acesso à Console do OCI. Depois que a política for ativada, todos os usuários locais deverão usar a MFA para acessar.
  • A política se aplica a todos os segmentos do Identity Cloud Service.
Observação

Em tenancies com faixas do Identity Cloud Service, ativaremos automaticamente essa política após 24 de julho de 2023.

Não ativaremos automaticamente a política:

  • Se você tiver modificado a política de sign-on padrão
  • Se um IDP externo ativo (SAML/Social ou X.509) for configurado no domínio do IAM. Isso significa que os usuários federados são excluídos do impacto dessa política.
  • Se você já tiver uma política de sign-on e a Console do OCI estiver explicitamente designada a ela.
  • Se você excluir a "Política de Segurança da Console do OCI" usando uma API, não a recriamos. Para excluir a política usando APIs REST, consulte Excluir uma Política.

Para ativar a política em um segmento do Identity Cloud Service, consulte Ativar Políticas de Sign-On.

Quando for ativada, a política ficará assim na página Políticas de Sign-On na Console de Administração do Identity Cloud Service.

Política de Segurança para a Console do OCI ativada na Console de Administração do Identity Cloud Service na página Políticas de sign-on

Para saber mais sobre a política, consulte Sobre a Política de Sign-On "Política de Segurança da Console do OCI".

Regras de Aplicação para "Política de Segurança da Console do OCI" para Segmentos do Identity Cloud Service

Status "Security PolicyFor OCI Console" da Política de Sign-on Você modificou a Política de Sign-on Padrão Status "Política de Segurança da Console do OCI" da Política de Sign-on após forçar a ativação
Presente e Ativado Não aplicável (você não pode ter outra política de sign-on ativa para a Console do OCI) Sem alteração
Presente e Desativado No A política é alterada para Presente e Ativada
Presente e Desativado Sim Sem alteração. Não substituiremos sua política.
Excluído Não aplicável Sem alteração

Configurando a Política de Sign-On "Política de Segurança para Console do OCI"

Para configurar a política de sign-on "Política de Segurança da Console do OCI":

  1. Leia Pré-requisitos.
  2. Leia Sobre a Política de Sign-On "Política de segurança para a Console da OCI".
  3. Opcionalmente e somente durante o período de implantação, exclua um administrador da política. Quando tiver certeza de que seus usuários configuraram a MFA para suas contas, adicione essa conta novamente à "Política de Segurança para a Console do OCI". Consulte Excluir Temporariamente um Administrador da Política de Sign-On "Política de Segurança da Console do OCI".
    Observação

    É um risco de segurança ter um usuário capaz de acessar sem MFA; portanto, se você optar por fazer isso, faça-o pelo menor tempo possível.
  4. Saiba como se inscrever na MFA usando um código de acesso de aplicativo móvel ou uma notificação de aplicativo móvel. Consulte Concluindo a Inscrição de MFA.

Pré-requisitos

Antes de começar: Antes de configurar a MFA, preencha os pré-requisitos a seguir.

  1. Revise os fatores de MFA. Os fatores de MFA disponíveis dependem do Tipo de Licença que você tem. O Tipo de Licença é mostrado no canto superior direito da console do Identity Cloud Service. Consulte Sobre Modelos de Preços do Oracle Identity Cloud Service para obter mais informações sobre MFA e tipos de licença.
  2. Revise a documentação de Usar o Aplicativo Oracle Mobile Authenticator como Método de Autenticação para saber como usar a Notificação do aplicativo móvel e o Código de acesso do aplicativo móvel no aplicativo Oracle Mobile Authenticator.
  3. Opcionalmente, e apenas durante o período de roll-out, exclua um administrador de domínio de identidades da política "Política de Segurança da Console do OCI", portanto, se você cometer algum erro durante o roll-out, não se bloqueará da Console.

    Assim que a implantação for concluída e você tiver certeza de que todos os usuários configuraram a MFA e podem acessar a Console, poderá remover essa conta de usuário.

  4. Identifique quaisquer grupos do Identity Cloud Service mapeados para grupos do OCI IAM.
  5. Registre um aplicativo cliente com uma atribuição de Administrador de Domínio de Identidades para permitir o acesso ao seu domínio de identidades usando a API REST caso a configuração da Política de Sign-On bloqueie você. Se você não registrar esse aplicativo cliente e uma configuração da Política de Sign-On restringir o acesso a todos, todos os usuários serão bloqueados do domínio de identidades até que você entre em contato com o Suporte Técnico da Oracle. Para obter informações sobre como registrar um Aplicativo Cliente, consulte Registrar um Aplicativo Cliente em Usando as APIs REST do Oracle Identity Cloud Service com o Postman.
  6. Crie um código de bypass e armazene esse código em um local seguro. Consulte Gerar e Usar o Código de Bypass.

Sobre a Política de Sign-On "Política de Segurança para Console do OCI"

A política de sign-on Política de Segurança da Console do OCI é ativada por padrão e pré-configurada com as melhores práticas de segurança da Oracle.

  • Os seguintes fatores necessários para essa política de sign-on já estão ativados: Código de acesso do aplicativo móvel, Notificação do aplicativo móvel, Código de bypass e Autenticador FIDO (Fast ID Online).
  • O aplicativo Console do OCI foi adicionado à política.
  • A política de sign-on vem com duas regras de sign-on ativas:

    As regras na política de sign-on da Política de Segurança da Console do OCI na Console do Identity Cloud Service

    • MFA para administradores: A regra é a primeira em ordem de prioridade. Essa regra pré-configurada requer que todos os usuários do grupo Administradores e todos os usuários com uma atribuição de administrador se inscrevam na MFA e devem fornecer um fator adicional sempre que acessarem.
    • MFA para todos os usuários: A regra é a segunda em ordem de prioridade. Essa regra pré-configurada exige que todos os usuários se inscrevam na MFA e forneçam um fator adicional toda vez que se conectarem.

Excluir Temporariamente um Administrador da Política de Sign-On "Política de Segurança da Console do OCI"

Como prática recomendada, não modifique a Política de Sign-On "Política de Segurança para Console do OCI". No entanto, você pode querer fazer isso durante o lançamento. Você pode excluir temporariamente uma conta de administrador caso faça alterações que o bloqueiem da Console do OCI. Depois que o roll-out for concluído e os usuários tiverem a MFA configurada para que possam acessar a Console do OCI, altere-a novamente.
  1. Decida qual usuário administrador você excluirá temporariamente da "Política de Segurança da Console do OCI", crie um novo grupo e designe o usuário a ele.
  2. Crie uma nova regra que não use MFA e designe o grupo a ela.
  3. Torne essa regra a primeira regra na política "Política de Segurança da Console do OCI".
Observação

Depois que o roll-out for concluído, todos os usuários tiverem configurado a MFA e houver menos chances de cometer um erro que possa bloqueá-lo da Console do OCI, reverter essas etapas e restaurar a política "Política de Segurança para Console do OCI" para seu estado não modificado.
  1. Crie um novo grupo e designe ao usuário que deseja excluir. Consulte Criar Grupos e Atribuir Contas de Usuário ao Grupo.
  2. Crie uma nova regra e adicione o grupo que você acabou de criar.
    1. Na console do Identity Cloud Service, expanda a Gaveta de Navegação, clique em Segurança e, em seguida, clique em Políticas de Sign-On. Você deverá ver a política Política de Segurança da Console do OCI.
    2. Clique na guia Regras de Sign-On.
    3. Clique em Adicionar e dê um nome à nova regra.
    4. Adicione o novo grupo a E é membro desses grupos.
    5. Clique em Salvar.
      A nova regra é adicionada à lista de regras da política "Política de Segurança para Console do OCI".
  3. Torne a nova regra a primeira na política "Política de Segurança para Console do OCI".
    1. Na página de detalhes da política, clique no ícone de ação à esquerda da nova regra.
    2. Arraste a nova regra para ser a primeira na política.
    3. Clique em Salvar.
Quando esse usuário se conecta, a primeira regra é aplicada e ele não precisa usar a MFA para autenticação.

Assim que você tiver certeza de que todos os usuários configuraram a MFA e de que não há chance de se bloquear acidentalmente da Console do OCI, exclua a nova regra para que a política "Política de Segurança da Console do OCI" seja revertida para seu estado não modificado.

Para excluir a regra:

  1. Na página Políticas de sign-on, clique em Política de Segurança para a Console do OCI.
  2. Clique na caixa de seleção da nova regra e clique em Remover.

Agora, todos os usuários devem usar a MFA para acessar a Console do OCI.

Concluindo Inscrição de MFA

Depois que a política de sign-on "Política de Segurança da Console do OCI" for ativada, qualquer pessoa que acessar a Console do OCI será solicitada a concluir a inscrição da MFA usando o Oracle Mobile Authenticator (OMA).

Você e quaisquer outros usuários que acessarem a Console do OCI verão uma tela semelhante a este exemplo.

Clique em Ativar Verificação Segura e siga as instruções em Usando o Aplicativo Oracle Mobile Authenticator.

Captura de tela mostrando a tela de inscrição de MFA.