Tenancies sem Domínios de Identidades e com a Política de Sign-On "Política de Segurança para Console do OCI"
Se você estiver usando autenticação multifator (MFA) em tenancies sem domínios de identidade e o Oracle Identity Cloud Service como provedor de identidades federado automaticamente (IdP) no IAM e com a política de sign-on "Política de Segurança para Console do OCI", recomendamos que você configure a MFA usando esta política de sign-on
Plano de Ativação de MFA
Para aumentar a segurança, começamos a implantar a política de sign-on "Política de Segurança para a Console da OCI" em todas as tenancies. Assim que um segmento do Identity Cloud Service tiver sido implantado com a política, você deverá ativá-lo para ativar a autenticação multifator (MFA) para usuários com privilégios administrativos.
O fluxograma a seguir descreve o processo completo desde a implantação da política, em que a Oracle inicia a implantação da política, até o estágio de aplicação da política, durante o qual a Oracle ativará a política, exceto em circunstâncias específicas.
- A política de sign-on "Política de Segurança para a Console do OCI " só afeta o acesso à Console do OCI. Depois que a política for ativada, todos os usuários locais deverão usar a MFA para acessar.
- A política se aplica a todas as faixas do Identity Cloud Service.
Em tenancies com faixas do Identity Cloud Service, ativaremos automaticamente essa política após 24 de julho de 2023.
Não ativaremos automaticamente a política:
- Se você modificou a política de sign-on padrão
- Se um IDP externo ativo (SAML/Social ou X.509) for configurado no domínio do serviço IAM. Isso significa que os usuários federados são excluídos do impacto dessa política.
- Se você já tiver uma política de sign-on e a Console do OCI for explicitamente designada a ela.
- Se você excluir a "Política de Segurança para a Console do OCI " usando uma API, não a recriaremos. Para excluir a política usando APIs REST, consulte Excluir uma Política.
Para ativar a política em um segmento do Identity Cloud Service, consulte Ativar Políticas de Sign-On.
Quando ela for ativada, a política terá esta aparência na página Políticas de Sign-On na Console do Administrador do Identity Cloud Service.
Para saber mais sobre a política, consulte Sobre a Política de Sign-On "Política de Segurança para Console do OCI".
Regras de Aplicação para "Política de Segurança para OCI Console" para Faixas do Identity Cloud Service
Status da Política de Sign-on "Segurança PolicyFor OCI Console" | Você modificou a Política de Sign-on Padrão | Política de Sign-on "Política de Segurança para o Status da OCI Console" após forçar a ativação |
---|---|---|
Presente e Ativado | Não aplicável (você não pode ter outra política de sign-on ativa para a Console do OCI) | Sem alteração |
Presente e Desativado | Número | A política foi alterada para Presente e Ativada |
Presente e Desativado | Sim | Sem mudança. Não substituiremos sua política. |
Excluído em | Não se aplica | Sem alteração |
Configurando a Política de Sign-On "Política de Segurança para Console do OCI"
Para configurar a política de sign-on "Política de Segurança para a Console do OCI":
- Leia Pré-requisitos.
- Leia Sobre a Política de Sign-On "Política de Segurança para Console do OCI".
- Opcionalmente e apenas durante o período de implantação, exclua um administrador da política. Quando você tiver certeza de que seus usuários configuraram a MFA para suas contas, adicione essa conta de volta à "Política de Segurança da Console do OCI". Consulte Excluir Temporariamente um Administrador da Política de Sign-On "Política de Segurança para Console do OCI".Observação
É um risco de segurança ter um usuário capaz de se conectar sem MFA. Portanto, se você optar por fazer isso, faça o mais curto possível. - Saiba como se inscrever na MFA usando um código de acesso de aplicativo móvel ou uma notificação de aplicativo móvel. Consulte Concluindo Inscrição de MFA.
Pré-requisitos
Antes de começar: Antes de configurar o MFA, preencha os pré-requisitos a seguir.
- Revise os fatores MFA. Os fatores de MFA disponíveis dependem do Tipo de Licença que você tem. O Tipo de Licença é mostrado no canto superior direito da console do Identity Cloud Service. Consulte Sobre Modelos de Preços do Oracle Identity Cloud Service para obter mais informações sobre MFA e tipos de licença.
- Consulte a documentação para Usar o Aplicativo Oracle Mobile Authenticator como um Método de Autenticação e saber como usar a Notificação de aplicativo móvel e o Código de acesso de aplicativo móvel no aplicativo Oracle Mobile Authenticator.
- Opcionalmente, e apenas durante o período de implantação, exclua um administrador de domínio de identidades da política "Política de Segurança da Console do OCI", de modo que, se você cometer erros durante a implantação, não tenha se bloqueado pela Console.
Assim que a implantação for concluída, e você tiver certeza de que todos os usuários configuraram a MFA e poderá acessar a Console, poderá remover essa conta de usuário.
- Identifique todos os grupos do Identity Cloud Service mapeados para grupos do OCI IAM.
- Registre um aplicativo cliente com uma atribuição Administrador de Domínio de Identidades para permitir o acesso ao seu domínio de identidades usando a API REST caso a configuração da Política de Sign-On bloqueie você. Se você não registrar esse aplicativo cliente e uma configuração da Política de Sign-On restringir o acesso a todos, todos os usuários serão bloqueados do domínio de identidades até que você entre em contato com o Suporte Técnico da Oracle. Para obter informações sobre como registrar um Aplicativo Cliente, consulte Registrar um Aplicativo Cliente em Usando as APIs REST do Oracle Identity Cloud Service com Postman.
- Crie um código de bypass e armazene esse código em um local seguro. Consulte Gerar e Usar o Código de Bypass.
Sobre a Política de Sign-On "Política de Segurança para Console do OCI"
A política de sign-on Política de Segurança para Console do OCI é ativada por padrão e pré-configurada com as melhores práticas de segurança da Oracle.
- Os seguintes fatores necessários para essa política de sign-on já estão ativados: Código de acesso de aplicativo móvel, Notificação de aplicativo móvel, Código de bypass e Autenticador FIDO (Fast ID Online).
- O aplicativo Console do OCI foi adicionado à política.
- A política de sign-on vem com duas regras de sign-on ativas:
- MFA para administradores: A regra é a primeira em ordem de prioridade. Essa regra pré-configurada requer que todos os usuários do grupo Administradores e todos os usuários com uma função de administrador devem se inscrever na MFA e fornecer um fator adicional toda vez que acessarem.
- MFA para todos os usuários: A regra é a segunda em ordem de prioridade. Essa regra pré-configurada requer que todos os usuários se inscrevam na MFA e forneçam um fator adicional toda vez que acessarem.
Excluir temporariamente um administrador da política de conexão "Política de segurança para a Console do OCI "
- Decida qual usuário admin você vai excluir temporariamente da "Política de Segurança da Console do OCI ", crie um novo grupo e designe o usuário a ele.
- Crie uma nova regra que não use MFA e atribua o grupo a ela.
- Torne essa regra a primeira regra na política "Política de Segurança da Console do OCI ".
Quando a implantação for concluída, todos os usuários tiverem configurado a MFA e houver menos chances de cometer um erro que poderia bloqueá-lo da Console do OCI , reverter essas etapas e restaurar a política "Política de Segurança da OCI Console" para seu estado não modificado.
- Crie um novo grupo e designe ao usuário que você deseja excluir dele. Consulte Criar Grupos e Atribuir Contas de Usuário ao Grupo.
-
Crie uma nova regra e adicione o grupo que você acabou de criar.
-
Torne a nova regra a primeira na política "Política de Segurança da Console do OCI ".
- Na página de detalhes da política, clique no ícone de ação à esquerda da nova regra.
- Arraste a nova regra para ser a primeira na política.
- Clique em Salvar.
Assim que você tiver certeza de que todos os usuários configuraram a MFA e de que não há chance de se bloquear acidentalmente da Console do OCI, exclua a nova regra de modo que a política "Política de Segurança da Console do OCI" reverte para seu estado não modificado.
Para excluir a regra:
- Na página Políticas de Sign-on, clique em Política de Segurança da Console do OCI.
- Clique na caixa de seleção da nova regra e clique em Remover.
Agora, todos os usuários devem usar a MFA para acessar a Console do OCI.
Concluindo Inscrição de MFA
Após a ativação da política de sign-on "Política de Segurança para a Console do OCI ", qualquer pessoa que acesse a Console do OCI será solicitado a concluir a inscrição no MFA usando o Oracle Mobile Authenticator (OMA).
Você e todos os outros usuários que acessarem a Console do OCI verão uma tela semelhante a este exemplo.
Clique em Ativar Verificação Segura e siga as instruções em Usando o Aplicativo Oracle Mobile Authenticator.