Documentação do Oracle Cloud Infrastructure

Tenancies sem Domínios de Identidades e Sem a Política de Sign-On "Política de Segurança para a Console do OCI "

Se você estiver usando autenticação multifator (MFA) em tenancies sem domínios de identidades e sem a política de sign-on "Política de Segurança para a Console do OCI" e o Oracle Identity Cloud Service como provedor de identidades federado automaticamente (IdP) no serviço IAM, recomendamos que você configure o MFA usando as melhores práticas da Oracle a seguir.

Para configurar a MFA sem domínios de identidade:

  1. Leia Pré-requisitos.
  2. Ativar MFA. Consulte a Etapa 1: Ativar MFA sem Domínios de Identidades.
  3. Crie uma política de sign-on. Consulte a Etapa 2: Criar uma Nova Política de Sign-On.

Pré-requisitos

Antes de começar: antes de configurar o MFA, preencha os seguintes pré-requisitos.

  1. Revise os fatores MFA. Os fatores de MFA disponíveis dependem do Tipo de Licença que você tem. O Tipo de Licença é mostrado no canto superior direito da console do Identity Cloud Service. Consulte Sobre Modelos de Preços do Oracle Identity Cloud Service para obter mais informações sobre MFA e tipos de licença.
  2. Consulte a documentação para Usar o Aplicativo Oracle Mobile Authenticator como um Método de Autenticação e saber como usar a Notificação de aplicativo móvel e o Código de acesso de aplicativo móvel no aplicativo Oracle Mobile Authenticator.
  3. Opcionalmente, e apenas durante o período de implantação, exclua um administrador de domínio de identidades da política "Política de Segurança da Console do OCI", de modo que, se você cometer erros durante a implantação, não tenha se bloqueado pela Console.

    Assim que a implantação for concluída, e você tiver certeza de que todos os usuários configuraram a MFA e poderá acessar a Console, poderá remover essa conta de usuário.

  4. Identifique todos os grupos do Identity Cloud Service mapeados para grupos do OCI IAM.
  5. Registre um aplicativo cliente com uma atribuição Administrador de Domínio de Identidades para permitir o acesso ao seu domínio de identidades usando a API REST caso a configuração da Política de Sign-On bloqueie você. Se você não registrar esse aplicativo cliente e uma configuração da Política de Sign-On restringir o acesso a todos, todos os usuários serão bloqueados do domínio de identidades até que você entre em contato com o Suporte Técnico da Oracle. Para obter informações sobre como registrar um Aplicativo Cliente, consulte Registrar um Aplicativo Cliente em Usando as APIs REST do Oracle Identity Cloud Service com Postman.
  6. Crie um código de bypass e armazene esse código em um local seguro. Consulte Gerar e Usar o Código de Bypass.
Etapa 1: Ativar MFA sem Domínios de Identidade

Ative definições de autenticação multifator (MFA) e políticas de conformidade que definam quais fatores de autenticação você deseja permitir; em seguida, configure os fatores MFA.

Observação

Ative a MFA para qualquer faixa do Identity Cloud Service configurada como um provedor de identidades (IdP) no OCI IAM. Você não precisa ativar a MFA para faixas do Identity Cloud Service que não estão configuradas como IdP no OCI IAM.

  1. Acesse a Console em uma tenancy sem domínios de identidades usando suas credenciais de Administrador do Domínio de Identidades.
    Observação

    Para a maioria das tenancies, o provedor de identidades (IdP) é chamado de OracleIdentityCloudService. Se você tiver configurado um IdP de 3a Parte diferente, como o Microsoft Azure Active Directory (Azure AD) ou o Okta, escolha esse.
  2. Na Console, abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Federação. Uma lista de todos os IdPs externos configurados para o OCI IAM é exibida.
  3. Clique no nome da federação do Oracle Identity Cloud Service IdP, por exemplo, OracleIdentityCloudService. A página de detalhes do Provedor de Identidades é exibida.
  4. Clique no URL da Console do Oracle Identity Cloud Service. A console do Oracle Identity Cloud Service é exibida.
  5. No console do Oracle Identity Cloud Service, expanda a Gaveta de Navegação, clique em Segurança e, em seguida, em MFA.
  6. (Obrigatório) Em Selecionar os fatores que você deseja ativar, selecione cada um dos fatores que você deseja que os usuários possam selecionar.
    Observação

    Os fatores de MFA disponíveis dependem do Tipo de Licença que você tem. O Tipo de Licença é mostrado na parte superior direita da console do Identity Cloud Service. Consulte Sobre Modelos de Preços do Oracle Identity Cloud Service para obter mais informações sobre MFA e tipos de licença.

    Observação

    Recomendamos que você use estes autenticadores MFA resistentes a phishing:

    • Código de acesso do aplicativo móvel e Notificação do aplicativo móvel (incluída na camada de preços Fundação)

    • Fast ID Online (FIDO) (incluído na camada de preço Padrão)

    Consulte Usar o Aplicativo Oracle Mobile Authenticator como um Método de Autenticação para saber como usar a Notificação de aplicativo móvel e o Código de acesso do aplicativo móvel no aplicativo Oracle Mobile Authenticator.

    Para obter mais informações sobre autenticadores de MFA, consulte Configurar Fatores de Autenticação.

  7. (Obrigatório) Sempre ative Ignorar Código para que os administradores possam gerar um código de acesso único como segundo fator se os usuários perderem seu autenticador externo, como seu aplicativo móvel ou sua chave FIDO.
  8. (Opcional) Use a seção Dispositivo(s) Confiável(is) para configurar definições de dispositivos confiáveis.
    Observação

    Assim como "lembrar meu computador", os dispositivos confiáveis não exigem que o usuário forneça autenticação secundária toda vez que acessar (por um período definido).
  9. (Opcional) Na seção Fatores, defina o Número máximo de fatores inscritos que seus usuários podem configurar.
  10. (Opcional) Na seção Regras de Log-in, defina o Máximo de tentativas de MFA não bem-sucedidas que você deseja permitir que um usuário forneça incorretamente a verificação de MFA antes de ser bloqueado.
  11. Clique em Salvar e, em seguida, clique em OK na janela Confirmação.
  12. (Opcional) Clique em Configurar para os fatores de MFA selecionados para configurá-los individualmente.

O que fazer a seguir: Crie uma nova Política de Sign-on. Consulte a Etapa 2: Criar uma Nova Política de Sign-On

Etapa 2: Criar uma Nova Política de Sign-On

Crie uma nova política de sign-on, adicione uma regra para MFA, priorize essa regra para ser a primeira regra avaliada pelo domínio de identidades, adicione o aplicativo OCI -V2-App-<TenancyName> à nova política, ative a política e teste a política.

  1. No console do Identity Cloud Service, expanda a Gaveta de Navegação, clique em Segurança e, em seguida, em Políticas de Sign-On. A Política de Sign-On Padrão e quaisquer outras políticas de sign-on definidas são listadas.
  2. Clique em Adicionar.
  3. Adicione um Nome de Política e uma Descrição. Para o Nome, digite Protect OCI Console Access.
  4. Clique em Próximo. Agora, adicione regras de sign-on a esta política.
  5. No painel Regras de Sign-On do assistente, clique em Adicionar para adicionar uma regra de sign-on a essa política.
  6. Use a seguinte tabela para configurar a nova regra de MFA.
    Observação

    Você pode criar mais regras de sign-on conforme necessário e, em seguida, priorizá-las para especificar quais regras são processadas primeiro. A avaliação é interrompida na primeira regra de correspondência. Se não houver regra correspondente, o acesso será negado.
    Campo Descrição
    Nome da Regra Insira um nome. Digite o nome da regra de sign-on. Por exemplo, nomeie-o, Protect OCI Console Access para ativar a MFA para todos os usuários. Ou nomeie-o como Enable MFA for Administrators para ativar a MFA para administradores.
    Se o usuário for autenticado por Digite ou selecione todos os provedores de identidade que serão usados para autenticar as contas de usuário avaliadas por essa regra.
    E é membro desses grupos

    Ative a MFA para todos os usuários informando ou selecionando os grupos dos quais os usuários devem ser membros para atender aos critérios desta regra.

    Se você não puder ativar a MFA para todos os usuários no momento, recomendamos que você ative a MFA para todos os grupos do Identity Cloud Service mapeados para grupos do OCI IAM.

    Observação: Se você deixar E for membro desses grupos vazio e desmarcar E for administrador, todos os usuários serão incluídos nessa regra.
    E é administrador

    Os usuários designados às atribuições do administrador no domínio de identidades são incluídos nesta regra.

    Melhores práticas. Use E é membro desses grupos para ativar a MFA para todos os usuários ou, pelo menos, para todos os administradores. Se você não puder ativar a MFA para todos os usuários ou administradores no momento usando a associação do grupo, selecione E é um administrador para incluir administradores nesta regra.

    Importante: Se você criar uma regra somente para Administradores, deverá criar uma segunda regra sem MFA para que não administradores acessem o sistema. Se a segunda regra não for criada, o acesso à Console será bloqueado para não administradores.
    E não é um destes usuários

    Melhores práticas. A melhor prática é não excluir nenhum usuário. No entanto, quando você estiver configurando a MFA, poderá excluir temporariamente uma conta de administrador caso faça alterações que o bloqueiem da Console do OCI. Depois que o roll-out for concluído, e seus usuários tiverem o MFA configurado para que eles possam acessar a Console do OCI, altere-o novamente para que nenhum usuário seja excluído da regra.

    Consulte Tenancies sem Domínios de Identidades e com a Política de Sign-On "Política de Segurança para Console do OCI" para obter uma lista de pré-requisitos.
    E o endereço IP do cliente do usuário é Há duas opções associadas a esse campo: Em qualquer lugar e Restringir aos seguintes perímetros de rede.

    • Se você selecionar Em qualquer lugar, os usuários poderão acessar o domínio de identidades usando qualquer endereço IP.

    • Se você selecionar Restringir aos perímetros de rede a seguir, a caixa de texto Perímetros de rede será exibida. Nessa caixa de texto, digite ou selecione os perímetros de rede definidos por você. Os usuários só podem acessar o domínio de identidades usando endereços IP contidos nos perímetros de rede definidos.
    O acesso é

    Selecione se um usuário terá permissão para acessar a Console se a conta do usuário atender aos critérios dessa regra.

    Melhores práticas. Escolha Permitido.
    Prompt de reautenticação

    Marque essa caixa de seleção para forçar o usuário a digitar novamente as credenciais para acessar o aplicativo designado mesmo quando houver uma sessão existente do domínio de identidades.

    Quando selecionada, essa opção impede o Sign-on Único para os aplicativos atribuídos à política de Sign-on. Por exemplo, um usuário autenticado deve se conectar a um novo aplicativo.

    Se não for selecionado e o usuário tiver sido autenticado anteriormente, ele poderá acessar o aplicativo usando sua sessão de Sign-on Único existente sem precisar informar credenciais.

    Melhores práticas. Desative Prompt para reautenticação.
    Prompt de um fator adicional

    Marque essa caixa de seleção para solicitar ao usuário um fator adicional para acessar o domínio de identidades.

    Se você marcar essa caixa de seleção, especifique se o usuário precisa se inscrever na autenticação multifator (MFA) e com que frequência esse fator adicional deve ser usado para acesso.

    Selecione Todos os Fatores para que o usuário possa se inscrever e verificar qualquer fator ativado nas definições do tenant de MFA.

    Selecione Fator Específico para que o usuário possa se inscrever e verificar um subconjunto de fatores ativados nas definições do tenant de MFA. Depois de selecionar Fator Específico, você poderá selecionar os fatores que deverão ser impostos por essa regra.

    Melhores práticas. Escolha Fator Específico e escolha qualquer fator, exceto E-mail ou Chamada Telefônica.

    Sempre ative Ignorar Código.
    Frequência

    Melhores práticas. Escolha Sempre.

    • Selecione Uma vez por sessão ou dispositivo confiável para que, para cada sessão que o usuário tiver aberto de um dispositivo autorizado, ele utilize obrigatoriamente seu nome de usuário e senha e um segundo fator.

    • Selecione Sempre, para que toda vez que os usuários acessarem um dispositivo confiável, eles precisem usar seus nomes de usuário e senhas e um segundo fator. Melhores práticas. Escolha Sempre.

    • Selecione Intervalo personalizado e especifique a frequência com que os usuários devem fornecer um segundo fator para acesso. Por exemplo, se você quiser que os usuários usem esse fator adicional a cada duas semanas, clique em Número, digite 14 no campo de texto e, em seguida, clique no menu drop-down Intervalo para selecionar Dias. Se você configurou a autenticação multifator (MFA), esse número deverá ser menor ou igual ao número de dias nos quais um dispositivo pode ser confiável de acordo com as definições de MFA. .
    Inscrição

    Esse menu contém duas opções: Obrigatório e Opcional.

    • Selecione Obrigatório para forçar o usuário a se inscrever na MFA.

    • Selecione Opcional para dar aos usuários a opção de ignorar a inscrição na MFA. Os usuários veem o processo de configuração de inscrição em linha depois que digitam o nome de usuário e a senha, mas podem clicar em Ignorar. Os usuários podem ativar a MFA posteriormente na definição Verificação em 2 Etapas nas definições de Segurança de Meu Perfil. Os usuários não são solicitados a configurar um fator na próxima vez que acessarem o sistema.

    • Observação: Se você definir Inscrição como Obrigatório e posteriormente alterar a definição para Opcional, a alteração só afetará novos usuários. Os usuários já inscritos na MFA não verão o processo de inscrição em linha e não poderão clicar em Ignorar ao acessar.
  7. Clique em Salvar.
    Observação

    Se você criar uma regra de MFA somente para Administradores, deverá criar uma segunda regra sem MFA para que não administradores se conectem. Se a segunda regra não for criada, o acesso à Console será bloqueado para não administradores.
  8. Clique em Próximo.
  9. Adicione o aplicativo OCI -V2-App-<TenancyName> à política Proteger Acesso à Console do OCI. Importante: Para garantir que sua política se aplique somente ao acesso da Console e que ela não se aplique a nenhum outro aplicativo, adicione apenas o aplicativo OCI -V2-App-<TenancyName>.
    1. Clique em Designar. A lista de aplicativos que podem ser adicionados à política é exibida.
    2. Localize e selecione OCI -V2-App-<TenancyName>.
    3. Clique em OK.
    4. Clique em Finalizar.
  10. Ativar a política de sign-on e a MFA está ativada. Os usuários serão solicitados a se inscrever na MFA na próxima vez que eles se conectarem.
    1. Na página Políticas de Sign-On, clique em Proteger o Acesso à Console do OCI.
    2. Clique em Ativar.
  11. Saia do Identity Cloud Service.
  12. Acesse o Identity Cloud Service. Você deverá ser solicitado a inserir MFA. Conclua a inscrição de MFA usando o OMA (Oracle Mobile Authenticator). Consulte Usar e Gerenciar o Aplicativo Oracle Mobile Authenticator