Documentação do Oracle Cloud Infrastructure

Domínios de Identidades sem a Política de Sign-On "Política de Segurança para Console do OCI"

Se você estiver usando autenticação multifator (MFA) em tenancies com domínios de identidades, mas sem a política de sign-on "Política de Segurança para Console do OCI", recomendamos que você configure a MFA usando as melhores práticas da Oracle a seguir.

Para configurar a MFA sem a política de sign-on "Política de Segurança para a Console do OCI":

  1. Leia os Pré-requisitos.
  2. Ativar MFA. Consulte Etapa 1: Ativar MFA em Domínios de Identidades.
  3. Crie uma política de sign-on. Consulte a Etapa 2: Criar uma Nova Política de Sign-On.

Pré-requisitos

Antes de começar: Antes de configurar a MFA, preencha os pré-requisitos a seguir. Ignore os pré-requisitos já concluídos.

  1. Revise os fatores de MFA. Os fatores de MFA disponíveis dependem do tipo de domínio de identidades que você tem. O Tipo de domínio é mostrado na página Domínios da tenancy. Consulte Disponibilidade de Recursos para Tipos de Domínio de Identidades para obter mais informações sobre MFA e tipos de domínio.
  2. Revise a documentação de Usando o Aplicativo Oracle Mobile Authenticator para saber como usar a Notificação do aplicativo móvel e o Código de acesso do aplicativo móvel no aplicativo Oracle Mobile Authenticator.
  3. Opcionalmente, e apenas durante o período de roll-out, exclua um administrador de domínio de identidades da política "Política de Segurança da Console do OCI", portanto, se você cometer algum erro durante o roll-out, não se bloqueará da Console.

    Assim que a implantação for concluída e você tiver certeza de que todos os usuários configuraram a MFA e podem acessar a Console, poderá remover essa conta de usuário.

  4. Identifique quaisquer grupos do Identity Cloud Service mapeados para grupos do OCI IAM. (Observação: Somente tenancies migradas.)
  5. Registre um aplicativo cliente com uma atribuição de administrador de domínio de identidades para permitir o acesso ao seu domínio de identidades usando a API REST caso sua configuração de Política de Sign-On bloqueie você. Se você não registrar esse aplicativo cliente e uma configuração da Política de Sign-On restringir o acesso a todos, todos os usuários serão bloqueados do domínio de identidades até que você entre em contato com o Suporte Técnico da Oracle. Para obter informações sobre o registro de um Aplicativo Cliente, consulte Registrando um Aplicativo Cliente.
  6. Crie um código de bypass e armazene esse código em um local seguro. Consulte Gerando um Código de Bypass.
Etapa 1: Ativar MFA em Domínios de Identidades

Ative definições de autenticação multifator (MFA) e políticas de conformidade que definam quais fatores de autenticação você deseja permitir; em seguida, configure os fatores de MFA.

Observação

Ative a MFA para o domínio de identidades Padrão, bem como para quaisquer domínios de identidades secundários.

  1. Acesse uma tenancy com domínios de identidades usando suas credenciais de administrador de domínio de identidades.
  2. Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Domínios. Localize o domínio de identidades Padrão.
    Observação

    Se você não vir o domínio de identidades Padrão, em Compartimento, escolha o compartimento raiz na lista.
  3. Selecione o domínio de identidades Padrão e clique em Segurança e, em seguida, em MFA.
  4. Na seção Fatores, selecione cada um dos fatores que você deseja que os usuários possam selecionar.
    Observação

    Os fatores de MFA disponíveis dependem do tipo de domínio de identidades que você tem. O Tipo de domínio é mostrado na página Domínios da tenancy. Consulte Disponibilidade de Recursos para Tipos de Domínio de Identidades para obter mais informações sobre MFA e tipos de domínio.

    Observação

    Recomendamos que você use esses autenticadores de MFA resistentes a phishing:

    • Código de acesso do aplicativo móvel e Notificação do aplicativo móvel

      Observação

      Consulte Usando o Aplicativo Oracle Mobile Authenticator para saber como usar a Notificação do aplicativo móvel e o código de acesso do aplicativo móvel no aplicativo Oracle Mobile Authenticator.

    • FIDO (Fast ID Online)

    Para obter mais informações sobre autenticadores de MFA, consulte Configurando Fatores de Autenticação.

  5. (Obrigatório) Sempre ative o Código de Bypass para que os administradores possam gerar um código de acesso único como segundo fator se os usuários perderem seu autenticador externo, como seu aplicativo móvel ou sua chave FIDO.
  6. (Opcional) Defina o Número máximo de fatores inscritos que os usuários podem configurar.
  7. (Opcional) Use a seção Dispositivos confiáveis para configurar definições de dispositivos confiáveis.
    Observação

    Da mesma forma que "lembrar meu computador", os dispositivos confiáveis não exigem que o usuário forneça autenticação secundária toda vez que acessar (por um período definido).
  8. (Opcional) Na seção Regras de acesso, defina o Máximo de tentativas de MFA sem sucesso que você deseja permitir que um usuário forneça incorretamente a verificação de MFA antes de ser bloqueado.
  9. Clique em Salvar alterações e confirme a alteração.
  10. (Opcional) Clique em Configurar para os fatores de MFA selecionados para configurá-los individualmente.

O que fazer a seguir: Crie uma nova Política de Sign-on. Consulte a Etapa 2: Criar uma Nova Política de Sign-On.

Etapa 2: Criar uma Nova Política de Sign-On

Crie uma nova política de sign-on, adicione uma regra para MFA, priorize essa regra para ser a primeira regra avaliada pelo domínio de identidades, adicione o aplicativo da Console à nova política, ative a política e teste a política.

  1. Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Domínios. Selecione o domínio de identidades Padrão e clique em Segurança e, em seguida, em Políticas de sign-on. A Política de Sign-On Padrão e quaisquer outras políticas de sign-on definidas são listadas.
  2. Clique em Create sign-on policy.
  3. Digite as seguintes informações:
    • Nome: Digite OCIConsole SignOn Policy.
    • Descrição: Digite uma descrição para a política.
  4. Clique em Adicionar política.
    Observação

    Depois que você clicar em Adicionar política, a política de sign-on será salva em um estado desativado. Ative a política para utilizá-la.

  5. Na tela Adicionar regras de acesso, clique em Adicionar regra de acesso para adicionar uma regra de acesso a essa política.
  6. Use a tabela a seguir para configurar a nova regra de MFA.
    Observação

    Você pode criar mais regras de sign-on conforme necessário e, em seguida, priorizá-las para especificar quais regras serão processadas primeiro. A avaliação é interrompida na primeira regra de correspondência. Se não houver regra correspondente, o acesso será negado.

    Campo Descrição
    Nome da regra

    Digite um nome. Digite o nome da regra de sign-on. Por exemplo, nomeie-o, MFA for OCI Console para ativar a MFA para todos os usuários. Ou nomeie-o como MFA for OCI Console Administrators para ativar a MFA para administradores.
    Autenticando o provedor de identidades (Opcional) Digite ou selecione todos os provedores de identidade usados para autenticar as contas de usuário avaliadas por essa regra. Se você deixar isso vazio, as outras condições serão usadas para autenticação.
    Associação a grupos

    Ative a MFA para todos os usuários informando ou selecionando os grupos dos quais os usuários devem ser membros para atender aos critérios desta regra.

    Melhor prática. Ative a MFA para todos os usuários usando a associação de grupo.

    Se você não puder ativar a MFA para todos os usuários neste momento, recomendamos ativar a MFA para os seguintes grupos que concedem privilégios administrativos aos usuários na Console:

    • Todos os grupos por meio dos quais as permissões do OCI são concedidas em uma política do serviço IAM.
    • O grupo Administradores no domínio de identidades Padrão.
    • Quaisquer grupos do Identity Cloud Service mapeados para grupos do OCI IAM. (Observação: Somente tenancies migradas.)

    Importante: Se você deixar a associação de grupo vazia e desmarcar Administrador, todos os usuários serão incluídos nessa regra.
    Administrador

    Os usuários designados às atribuições Administrador no domínio de identidades são incluídos nessa regra.

    Melhor prática. Use a associação de grupo para ativar a MFA para todos os usuários ou, pelo menos, para todos os administradores. Se você não puder ativar a MFA para todos os usuários ou administradores no momento usando a associação do grupo, selecione Administrador para incluir administradores nesta regra.

    Importante: Se você criar uma regra somente para Administradores, deverá criar uma segunda regra sem MFA para que não administradores acessem o sistema. Se a segunda regra não for criada, o acesso à Console será bloqueado para não administradores.
    Excluir usuários

    Melhor prática. A melhor prática é não excluir nenhum usuário. No entanto, ao configurar a MFA, você pode excluir temporariamente uma conta de administrador caso faça alterações que o bloqueiem da Console do OCI. Depois que o roll-out for concluído e seus usuários tiverem a MFA configurada para que eles possam acessar a Console do OCI, altere-a de volta para que nenhum usuário seja excluído da regra.

    Consulte Domínios de Identidade sem a Política de Sign-On "Política de Segurança para Console do OCI" para obter uma lista de pré-requisitos.
    Filtrar por endereço IP do cliente Há duas opções associadas a esse campo: Em qualquer lugar e Restrinja os seguintes perímetros de rede.

    • Se você selecionar Em qualquer lugar, os usuários poderão acessar o domínio usando qualquer endereço IP.

    • Se você selecionar Restringir aos perímetros de rede a seguir, a caixa de texto Perímetros de rede será exibida. Nessa caixa de texto, digite ou selecione os perímetros de rede definidos por você. Para obter mais informações, consulte Criando um perímetro de rede. Os usuários só podem acessar o domínio de identidades usando endereços IP contidos nos perímetros de rede definidos.
    Permitir acesso ou Negar acesso

    Selecione se um usuário terá permissão para acessar a Console se a conta do usuário atender aos critérios dessa regra. Quando você seleciona Permitir acesso, as opções adicionais a seguir são apresentadas.

    Melhor prática. Escolha Permitir acesso.
    Prompt de reautenticação

    Marque esta caixa de seleção para forçar o usuário a informar novamente as credenciais para acessar o aplicativo designado, mesmo quando houver uma sessão de domínio de identidades existente.

    Quando selecionada, essa opção impede o Sign-on Único para os aplicativos designados à política de Sign-On. Por exemplo, um usuário autenticado deve se conectar a um novo aplicativo.

    Se não estiver selecionado e o usuário tiver autenticado anteriormente, ele poderá acessar o aplicativo usando sua sessão de Sign-on Único existente sem precisar inserir credenciais.

    Melhor prática. Desative Solicitar reautenticação.
    Prompt de um fator adicional

    Marque essa caixa de seleção para solicitar ao usuário um fator adicional para acessar o domínio de identidades.

    Se você marcar essa caixa de seleção, especifique se o usuário precisa se inscrever na autenticação multifator (MFA) e com que frequência esse fator adicional deve ser usado para acesso.

    Selecione Qualquer fator para solicitar que o usuário se inscreva e verifique qualquer fator ativado nas definições do tenant de MFA.

    Selecione Somente fatores especificados para solicitar que o usuário se inscreva e verifique um subconjunto de fatores ativados nas definições do tenant de MFA. Depois de selecionar Somente fatores especificados, você poderá selecionar os fatores que deverão ser impostos por essa regra.

    Melhor prática. Escolha Somente fatores especificados e escolha quaisquer fatores, exceto E-mail ou Chamada Telefônica.

    Sempre ative o Código de Bypass.
    Frequência

    Melhor prática. Escolha Toda vez.

    • Selecione Uma vez por sessão ou dispositivo confiável para que, para cada sessão que o usuário tiver aberto de um dispositivo autorizado, ele use seu nome de usuário e senha e um segundo fator.

    • Selecione Sempre, para que toda vez que os usuários acessarem um dispositivo confiável, eles precisem usar seus nomes de usuário e senhas e um segundo fator. Melhor prática. Escolha Toda vez.

    • Selecione Intervalo personalizado e especifique a frequência com que os usuários devem fornecer um segundo fator para acesso. Por exemplo, se você quiser que os usuários usem esse fator adicional a cada duas semanas, clique em Número, digite 14 no campo de texto e, em seguida, clique no menu drop-down Intervalo para selecionar Dias. Se você configurou a autenticação multifator (MFA), esse número deverá ser menor ou igual ao número de dias nos quais um dispositivo pode ser confiável de acordo com as definições de MFA. Para obter mais informações, consulte Gerenciando Autenticação Multifator.
    Inscrição

    Esse menu contém duas opções: Obrigatório e Opcional.

    • Selecione Necessário para forçar o usuário a se inscrever na MFA.

    • Selecione Opcional para dar aos usuários a opção de ignorar a inscrição na MFA. Os usuários veem o processo de configuração de inscrição em linha depois que digitam o nome de usuário e a senha, mas podem clicar em Ignorar. Os usuários podem ativar a MFA mais tarde na definição Verificação em 2 Etapas nas definições de Segurança de Meu Perfil. Os usuários não são solicitados a configurar um fator na próxima vez que acessarem o sistema.

      Observação: Se você definir Inscrição como Obrigatório e posteriormente alterar a definição para Opcional, a alteração só afetará novos usuários. Os usuários já inscritos na MFA não verão o processo de inscrição em linha e não poderão clicar em Ignorar ao acessar.
  7. Clique em Adicionar regra de sign-on.
    Observação

    Se você criar uma regra de MFA somente para Administradores, deverá criar uma segunda regra sem MFA para que não administradores acessem. Se a segunda regra não for criada, o acesso à Console será bloqueado para não administradores.
  8. Adicione o aplicativo da Console à política OCIConsole SignOn Policy. Importante: Para garantir que sua política se aplique apenas ao acesso da Console e que ela não se aplique a nenhum outro aplicativo, adicione apenas o aplicativo da Console.
    1. Na página de detalhes da política de sign-on, clique em Aplicativos. A lista de aplicativos já adicionados à política é exibida.
    2. Clique em Adicionar aplicativo.
    3. Na janela Adicionar aplicativo, localize o aplicativo da Console e marque a caixa de seleção do aplicativo. Clique em Adicionar aplicativo.
      Observação

      Se você não vir o aplicativo da Console, ele já será designado a uma política.
    1. Ative a política de sign-on e a MFA esteja ativada. Os usuários serão solicitados a se inscrever na MFA na próxima vez que acessarem.
      1. Na página Políticas de Sign-On, clique em OCIConsole SignOn Policy.
      2. Clique em Ativar política de sign-on.
  10. Saia dos domínios de identidades.
  11. Acesse domínios de identidades. Será solicitado que você informe a inscrição em MFA. Conclua a inscrição de MFA usando o Oracle Mobile Authenticator (OMA). Consulte Usando o Aplicativo Oracle Mobile Authenticator