Documentação do Oracle Cloud Infrastructure

Tenancies sem Domínios de Identidades e com a Política de Sign-On "Política de Segurança para Console do OCI"

Se você estiver usando autenticação multifator (MFA) em tenancies sem domínios de identidade e o Oracle Identity Cloud Service como provedor de identidades federado automaticamente (IdP) no IAM e com a política de sign-on "Política de Segurança para Console do OCI", recomendamos que você configure a MFA usando esta política de sign-on

Plano de Ativação de MFA

Para aumentar a segurança, começamos a implantar a política de sign-on "Política de Segurança para a Console da OCI" em todas as tenancies. Assim que um segmento do Identity Cloud Service tiver sido implantado com a política, você deverá ativá-lo para ativar a autenticação multifator (MFA) para usuários com privilégios administrativos.

O fluxograma a seguir descreve o processo completo desde a implantação da política, em que a Oracle inicia a implantação da política, até o estágio de aplicação da política, durante o qual a Oracle ativará a política, exceto em circunstâncias específicas.

fluxograma mostrando as fases de implantação da Política de Segurança da Console do OCI" para faixas do Identity Cloud Service

  • A política de sign-on "Política de Segurança para a Console do OCI " só afeta o acesso à Console do OCI. Depois que a política for ativada, todos os usuários locais deverão usar a MFA para acessar.
  • A política se aplica a todas as faixas do Identity Cloud Service.
Observação

Em tenancies com faixas do Identity Cloud Service, ativaremos automaticamente essa política após 24 de julho de 2023.

Não ativaremos automaticamente a política:

  • Se você modificou a política de sign-on padrão
  • Se um IDP externo ativo (SAML/Social ou X.509) for configurado no domínio do serviço IAM. Isso significa que os usuários federados são excluídos do impacto dessa política.
  • Se você já tiver uma política de sign-on e a Console do OCI for explicitamente designada a ela.
  • Se você excluir a "Política de Segurança para a Console do OCI " usando uma API, não a recriaremos. Para excluir a política usando APIs REST, consulte Excluir uma Política.

Para ativar a política em um segmento do Identity Cloud Service, consulte Ativar Políticas de Sign-On.

Quando ela for ativada, a política terá esta aparência na página Políticas de Sign-On na Console do Administrador do Identity Cloud Service.

Política de Segurança para a Console do OCI ativada na Console de Administração do Identity Cloud Service na página Políticas de sign-on

Para saber mais sobre a política, consulte Sobre a Política de Sign-On "Política de Segurança para Console do OCI".

Regras de Aplicação para "Política de Segurança para OCI Console" para Faixas do Identity Cloud Service

Status da Política de Sign-on "Segurança PolicyFor OCI Console" Você modificou a Política de Sign-on Padrão Política de Sign-on "Política de Segurança para o Status da OCI Console" após forçar a ativação
Presente e Ativado Não aplicável (você não pode ter outra política de sign-on ativa para a Console do OCI) Sem alteração
Presente e Desativado Número A política foi alterada para Presente e Ativada
Presente e Desativado Sim Sem mudança. Não substituiremos sua política.
Excluído em Não se aplica Sem alteração

Configurando a Política de Sign-On "Política de Segurança para Console do OCI"

Para configurar a política de sign-on "Política de Segurança para a Console do OCI":

  1. Leia Pré-requisitos.
  2. Leia Sobre a Política de Sign-On "Política de Segurança para Console do OCI".
  3. Opcionalmente e apenas durante o período de implantação, exclua um administrador da política. Quando você tiver certeza de que seus usuários configuraram a MFA para suas contas, adicione essa conta de volta à "Política de Segurança da Console do OCI". Consulte Excluir Temporariamente um Administrador da Política de Sign-On "Política de Segurança para Console do OCI".
    Observação

    É um risco de segurança ter um usuário capaz de se conectar sem MFA. Portanto, se você optar por fazer isso, faça o mais curto possível.
  4. Saiba como se inscrever na MFA usando um código de acesso de aplicativo móvel ou uma notificação de aplicativo móvel. Consulte Concluindo Inscrição de MFA.

Pré-requisitos

Antes de começar: Antes de configurar o MFA, preencha os pré-requisitos a seguir.

  1. Revise os fatores MFA. Os fatores de MFA disponíveis dependem do Tipo de Licença que você tem. O Tipo de Licença é mostrado no canto superior direito da console do Identity Cloud Service. Consulte Sobre Modelos de Preços do Oracle Identity Cloud Service para obter mais informações sobre MFA e tipos de licença.
  2. Consulte a documentação para Usar o Aplicativo Oracle Mobile Authenticator como um Método de Autenticação e saber como usar a Notificação de aplicativo móvel e o Código de acesso de aplicativo móvel no aplicativo Oracle Mobile Authenticator.
  3. Opcionalmente, e apenas durante o período de implantação, exclua um administrador de domínio de identidades da política "Política de Segurança da Console do OCI", de modo que, se você cometer erros durante a implantação, não tenha se bloqueado pela Console.

    Assim que a implantação for concluída, e você tiver certeza de que todos os usuários configuraram a MFA e poderá acessar a Console, poderá remover essa conta de usuário.

  4. Identifique todos os grupos do Identity Cloud Service mapeados para grupos do OCI IAM.
  5. Registre um aplicativo cliente com uma atribuição Administrador de Domínio de Identidades para permitir o acesso ao seu domínio de identidades usando a API REST caso a configuração da Política de Sign-On bloqueie você. Se você não registrar esse aplicativo cliente e uma configuração da Política de Sign-On restringir o acesso a todos, todos os usuários serão bloqueados do domínio de identidades até que você entre em contato com o Suporte Técnico da Oracle. Para obter informações sobre como registrar um Aplicativo Cliente, consulte Registrar um Aplicativo Cliente em Usando as APIs REST do Oracle Identity Cloud Service com Postman.
  6. Crie um código de bypass e armazene esse código em um local seguro. Consulte Gerar e Usar o Código de Bypass.

Sobre a Política de Sign-On "Política de Segurança para Console do OCI"

A política de sign-on Política de Segurança para Console do OCI é ativada por padrão e pré-configurada com as melhores práticas de segurança da Oracle.

  • Os seguintes fatores necessários para essa política de sign-on já estão ativados: Código de acesso de aplicativo móvel, Notificação de aplicativo móvel, Código de bypass e Autenticador FIDO (Fast ID Online).
  • O aplicativo Console do OCI foi adicionado à política.
  • A política de sign-on vem com duas regras de sign-on ativas:

    As regras na Política de Segurança da política de sign-on da Console do OCI na Console do Identity Cloud Service

    • MFA para administradores: A regra é a primeira em ordem de prioridade. Essa regra pré-configurada requer que todos os usuários do grupo Administradores e todos os usuários com uma função de administrador devem se inscrever na MFA e fornecer um fator adicional toda vez que acessarem.
    • MFA para todos os usuários: A regra é a segunda em ordem de prioridade. Essa regra pré-configurada requer que todos os usuários se inscrevam na MFA e forneçam um fator adicional toda vez que acessarem.

Excluir temporariamente um administrador da política de conexão "Política de segurança para a Console do OCI "

Como prática recomendada, não modifique a Política de Sign-On "Política de Segurança da Console do OCI ". No entanto, talvez você queira fazer isso durante a implantação. Você pode excluir temporariamente uma conta de administrador caso faça alterações que o bloqueiem da Console do OCI. Depois que a implantação for concluída, e os usuários tiverem a MFA configurada para que possam acessar a Console do OCI, altere-a novamente.
  1. Decida qual usuário admin você vai excluir temporariamente da "Política de Segurança da Console do OCI ", crie um novo grupo e designe o usuário a ele.
  2. Crie uma nova regra que não use MFA e atribua o grupo a ela.
  3. Torne essa regra a primeira regra na política "Política de Segurança da Console do OCI ".
Observação

Quando a implantação for concluída, todos os usuários tiverem configurado a MFA e houver menos chances de cometer um erro que poderia bloqueá-lo da Console do OCI , reverter essas etapas e restaurar a política "Política de Segurança da OCI Console" para seu estado não modificado.
  1. Crie um novo grupo e designe ao usuário que você deseja excluir dele. Consulte Criar Grupos e Atribuir Contas de Usuário ao Grupo.
  2. Crie uma nova regra e adicione o grupo que você acabou de criar.
    1. Na console do Identity Cloud Service, expanda a Gaveta de Navegação, clique em Segurança e, em seguida, clique em Políticas de Sign-On. Você deverá ver a política Política de Segurança da Console do OCI.
    2. Clique na guia Regras de Sign-On.
    3. Clique em Adicionar e dê um nome à nova regra.
    4. Adicione o novo grupo a E é membro desses grupos.
    5. Clique em Salvar.
      A nova regra é adicionada à lista de regras da política "Política de Segurança da Console do OCI".
  3. Torne a nova regra a primeira na política "Política de Segurança da Console do OCI ".
    1. Na página de detalhes da política, clique no ícone de ação à esquerda da nova regra.
    2. Arraste a nova regra para ser a primeira na política.
    3. Clique em Salvar.
Quando esse usuário efetua sign-in, a primeira regra é aplicada e ele não precisa usar a MFA para autenticação.

Assim que você tiver certeza de que todos os usuários configuraram a MFA e de que não há chance de se bloquear acidentalmente da Console do OCI, exclua a nova regra de modo que a política "Política de Segurança da Console do OCI" reverte para seu estado não modificado.

Para excluir a regra:

  1. Na página Políticas de Sign-on, clique em Política de Segurança da Console do OCI.
  2. Clique na caixa de seleção da nova regra e clique em Remover.

Agora, todos os usuários devem usar a MFA para acessar a Console do OCI.

Concluindo Inscrição de MFA

Após a ativação da política de sign-on "Política de Segurança para a Console do OCI ", qualquer pessoa que acesse a Console do OCI será solicitado a concluir a inscrição no MFA usando o Oracle Mobile Authenticator (OMA).

Você e todos os outros usuários que acessarem a Console do OCI verão uma tela semelhante a este exemplo.

Clique em Ativar Verificação Segura e siga as instruções em Usando o Aplicativo Oracle Mobile Authenticator.

Captura de tela mostrando a tela de inscrição de MFA.