Documentação do Oracle Cloud Infrastructure

Domínios de Identidade Sem a Política de Sign-On "Política de Segurança para a Console do OCI "

Se você estiver usando autenticação multifator (MFA) em tenancies com domínios de identidade, mas sem a política de sign-on "Política de Segurança para Console da OCI", recomendamos que você configure a MFA usando as melhores práticas da Oracle a seguir.

Para configurar a MFA sem a política de sign-on "Política de Segurança da Console do OCI":

  1. Leia os Pré-requisitos.
  2. Ativar MFA. Consulte a Etapa 1: Ativar MFA em Domínios de Identidade.
  3. Crie uma política de sign-on. Consulte Etapa 2: Criar uma Nova Política de Sign-On.

Pré-requisitos

Antes de começar: Antes de configurar o MFA, preencha os pré-requisitos a seguir. Ignore todos os pré-requisitos que você já concluiu.

  1. Revise os fatores MFA. Os fatores de MFA disponíveis dependem do tipo de domínio de identidades que você tem. O Tipo de domínio é mostrado na página Domínios da tenancy. Consulte Disponibilidade de Recursos para Tipos de Domínio de Identidades para obter mais informações sobre MFA e tipos de domínio.
  2. Consulte a documentação para Usando o Aplicativo Oracle Mobile Authenticator e saiba como usar a Notificação de aplicativo móvel e o Código de acesso de aplicativo móvel no aplicativo Oracle Mobile Authenticator.
  3. Opcionalmente, e apenas durante o período de implantação, exclua um administrador de domínio de identidades da política "Política de Segurança da Console do OCI", de modo que, se você cometer erros durante a implantação, não tenha se bloqueado pela Console.

    Assim que a implantação for concluída, e você tiver certeza de que todos os usuários configuraram a MFA e poderá acessar a Console, poderá remover essa conta de usuário.

  4. Identifique todos os grupos do Identity Cloud Service mapeados para grupos do OCI IAM. (Observação: Somente tenancies migradas.)
  5. Registre um aplicativo cliente com uma atribuição de administrador de domínio de identidade para permitir o acesso ao seu domínio de identidades usando a API REST caso a configuração da Política de Sign-On bloqueie você. Se você não registrar esse aplicativo cliente e uma configuração da Política de Sign-On restringir o acesso a todos, todos os usuários serão bloqueados do domínio de identidades até que você entre em contato com o Suporte Técnico da Oracle. Para obter informações sobre o registro de um Aplicativo Cliente, consulte Registrando um Aplicativo Cliente.
  6. Crie um código de bypass e armazene esse código em um local seguro. Consulte Gerando um Código de Bypass.
Etapa 1: Ativar MFA em Domínios de Identidade

Ative definições de autenticação multifator (MFA) e políticas de conformidade que definam quais fatores de autenticação você deseja permitir; em seguida, configure os fatores MFA.

Observação

Ative a MFA para o domínio de identidades Padrão e também para quaisquer domínios de identidades secundários.

  1. Acesse uma tenancy com domínios de identidades usando suas credenciais de administrador do domínio de identidades.
  2. Abra o menu de navegaçãoe clique em Identidade e Segurança. Em Identidade, clique em Domínios. Localize o domínio de identidades Padrão.
    Observação

    Se você não vir o domínio de identidades Padrão, em Compartimento, escolha o compartimento raiz na lista.
  3. Selecione o domínio de identidades Padrão e clique em Segurança e, em seguida, em MFA.
  4. Na seção Fatores, selecione cada um dos fatores que você deseja que os usuários possam selecionar.
    Observação

    Os fatores de MFA disponíveis para você dependem do tipo de domínio de identidades que você tem. O Tipo de domínio é mostrado na página Domínios da tenancy. Consulte Disponibilidade de Recursos para Tipos de Domínio de Identidade para obter mais informações sobre MFA e tipos de domínio.

    Observação

    Recomendamos que você use estes autenticadores MFA resistentes a phishing:

    • Código de acesso do aplicativo móvel e Notificação do aplicativo móvel

      Observação

      Consulte Usando o Aplicativo Oracle Mobile Authenticator para saber como usar a notificação do aplicativo móvele o código de acesso do aplicativo móvel no aplicativo Oracle Mobile Authenticator.

    • ID Rápido On-line (FIDO)

    Para obter mais informações sobre autenticadores de MFA, consulte Configurando Fatores de Autenticação.

  5. (Obrigatório) Sempre ative Ignorar Código para que os administradores possam gerar um código de acesso único como segundo fator se os usuários perderem seu autenticador externo, como seu aplicativo móvel ou sua chave FIDO.
  6. (Opcional) Defina o Número máximo de fatores inscritos que os usuários podem configurar.
  7. (Opcional) Use a seção dispositivos confiáveis para configurar definições de dispositivos confiáveis.
    Observação

    Assim como "lembrar meu computador", os dispositivos confiáveis não exigem que o usuário forneça autenticação secundária toda vez que acessar (por um período definido).
  8. (Opcional) Na seção Regras de acesso, defina o Máximo de tentativas de MFA não bem-sucedidas que você deseja permitir a um usuário fornecer incorretamente a verificação de MFA antes de ser bloqueado.
  9. Clique em Salvar alterações e confirme a alteração.
  10. (Opcional) Clique em Configurar para os fatores de MFA selecionados para configurá-los individualmente.

O que fazer a seguir: Crie uma nova Política de Sign-on. Consulte Etapa 2: Criar uma Nova Política de Sign-On.

Etapa 2: Criar uma Nova Política de Sign-On

Crie uma nova política de sign-on, adicione uma regra para MFA, priorize essa regra para ser a primeira regra que o domínio de identidades avalia, adicione o aplicativo Console à nova política, ative a política e teste a política.

  1. Abra o menu de navegaçãoe clique em Identidade e Segurança. Em Identidade, clique em Domínios. Selecione o domínio de identidades Padrão e clique em Segurança. Em seguida, clique em Políticas de sign-on. A Política de Sign-On Padrão e quaisquer outras políticas de sign-on definidas são listadas.
  2. Clique em Criar política de sign-on.
  3. Digite as seguintes informações:
    • Nome: Digite OCIConsole SignOn Policy.
    • Descrição: Digite uma descrição para a política.
  4. Clique em Adicionar política.
    Observação

    Depois que você clicar em Adicionar política, a política de sign-on será salva em um estado desativado. Ative a política para utilizá-la.

  5. Na tela Adicionar regras de sign-on, clique em Adicionar regra de sign-on para adicionar uma regra de sign-on a essa política.
  6. Use a tabela a seguir para configurar a nova regra de MFA.
    Observação

    Você pode criar mais regras de sign-on conforme necessário e, em seguida, priorizá-las para especificar quais regras são processadas primeiro. A avaliação é interrompida na primeira regra de correspondência. Se não houver regra correspondente, o acesso será negado.

    Campo Descrição
    Nome da regra

    Informe um nome. Digite o nome da regra de sign-on. Por exemplo, nomeie-o, MFA for OCI Console para ativar a MFA para todos os usuários. Ou nomeie-o como MFA for OCI Console Administrators para ativar a MFA para administradores.
    Autenticando o provedor de identidades (Opcional) Digite ou selecione todos os provedores de identidade usados para autenticar as contas de usuário avaliadas por essa regra. Se você deixar isso vazio, as outras condições serão usadas para autenticação.
    Membros do grupo

    Ative a MFA para todos os usuários informando ou selecionando os grupos dos quais os usuários devem ser membros para atender aos critérios desta regra.

    Melhor prática. Ative a MFA para todos os usuários que usam a associação ao grupo.

    Se você não puder ativar a MFA para todos os usuários no momento, recomendamos que ative a MFA para os seguintes grupos que concedem privilégios administrativos aos usuários na Console:

    • Todos os grupos por meio dos quais as permissões do OCI são concedidas em uma política do serviço IAM.
    • O grupo Administradores no domínio de identidade Padrão.
    • Todos os grupos do Identity Cloud Service mapeados para grupos do OCI IAM. (Observação: Somente tenancies migradas.)

    Importante: Se você deixar a associação ao grupo vazia e desmarcar Administrador, todos os usuários serão incluídos nesta regra.
    Administrador

    Os usuários designados às atribuições do Administrador no domínio de identidades são incluídos nessa regra.

    Melhor prática. Use a associação de grupo para ativar a MFA para todos os usuários ou, pelo menos, para todos os administradores. Se você não puder ativar a MFA para todos os usuários ou administradores no momento usando a associação do grupo, selecione Administrador para incluir administradores nesta regra.

    Importante: Se você criar uma regra somente para Administradores, deverá criar uma segunda regra sem MFA para que não administradores se conectem. Se a segunda regra não for criada, o acesso à Console será bloqueado para não administradores.
    Excluir usuários

    Melhores práticas. A melhor prática é não excluir nenhum usuário. No entanto, quando você estiver configurando a MFA, poderá excluir temporariamente uma conta de administrador caso faça alterações que o bloqueiem da Console do OCI. Depois que o roll-out for concluído, e seus usuários tiverem o MFA configurado para que eles possam acessar a Console do OCI, altere-o novamente para que nenhum usuário seja excluído da regra.

    Consulte Domínios de Identidade Sem a Política de Sign-On "Política de Segurança para Console do OCI" para obter uma lista de pré-requisitos.
    Filtrar por endereço IP do cliente Há duas opções associadas a esse campo: Em qualquer lugar e Restringir aos seguintes perímetros de rede.

    • Se você selecionar Em qualquer lugar, os usuários poderão acessar o domínio de identidades usando qualquer endereço IP.

    • Se você selecionar Restringir aos perímetros de rede a seguir, a caixa de texto Perímetros de rede será exibida. Nessa caixa de texto, digite ou selecione os perímetros de rede definidos por você. Para obter mais informações, consulte Criando um perímetro de rede. Os usuários só podem acessar o domínio de identidades usando endereços IP contidos nos perímetros de rede definidos.
    Permitir acesso ou Negar acesso

    Selecione se um usuário terá permissão para acessar a Console se a conta do usuário atender aos critérios dessa regra. Quando você seleciona Permitir acesso, as opções adicionais a seguir são apresentadas.

    Melhor prática. Escolha Permitir acesso.
    Prompt de reautenticação

    Marque essa caixa de seleção para forçar o usuário a digitar novamente as credenciais para acessar o aplicativo designado mesmo quando houver uma sessão existente do domínio de identidades.

    Quando selecionada, essa opção impede o Sign-on Único para os aplicativos atribuídos à política de Sign-on. Por exemplo, um usuário autenticado deve se conectar a um novo aplicativo.

    Se não for selecionado e o usuário tiver sido autenticado anteriormente, ele poderá acessar o aplicativo usando sua sessão de Sign-on Único existente sem precisar informar credenciais.

    Melhor prática. Desative Prompt para reautenticação.
    Prompt de um fator adicional

    Marque essa caixa de seleção para solicitar ao usuário um fator adicional para acessar o domínio de identidades.

    Se você marcar essa caixa de seleção, especifique se o usuário precisa se inscrever na autenticação multifator (MFA) e com que frequência esse fator adicional deve ser usado para acesso.

    Selecione Qualquer fator para solicitar que o usuário se inscreva e verifique qualquer fator ativado nas definições do tenant de MFA.

    Selecione Somente fatores especificados para solicitar que o usuário se inscreva e verifique um subconjunto de fatores ativados nas definições do tenant de MFA. Depois de selecionar Somente fatores especificados, você poderá selecionar os fatores que deverão ser impostos por essa regra.

    Melhor prática. Escolha Somente fatores especificados e escolha qualquer fator, exceto E-mail ou Chamada telefônica.

    Sempre ative Ignorar Código.
    Frequência

    Melhor prática. Escolha Sempre.

    • Selecione Uma vez por sessão ou dispositivo confiável para que, para cada sessão que o usuário tiver aberto de um dispositivo autorizado, ele utilize obrigatoriamente seu nome de usuário e senha e um segundo fator.

    • Selecione Sempre, para que toda vez que os usuários acessarem um dispositivo confiável, eles precisem usar seus nomes de usuário e senhas e um segundo fator. Melhor prática. Escolha Sempre.

    • Selecione Intervalo personalizado e especifique a frequência com que os usuários devem fornecer um segundo fator para acesso. Por exemplo, se você quiser que os usuários usem esse fator adicional a cada duas semanas, clique em Número, digite 14 no campo de texto e, em seguida, clique no menu drop-down Intervalo para selecionar Dias. Se você configurou a autenticação multifator (MFA), esse número deverá ser menor ou igual ao número de dias nos quais um dispositivo pode ser confiável de acordo com as definições de MFA. Para obter mais informações, consulte Gerenciando Autenticação multifator.
    Inscrição

    Esse menu contém duas opções: Obrigatório e Opcional.

    • Selecione Obrigatório para forçar o usuário a se inscrever na MFA.

    • Selecione Opcional para dar aos usuários a opção de ignorar a inscrição na MFA. Os usuários veem o processo de configuração de inscrição em linha depois que digitam o nome de usuário e a senha, mas podem clicar em Ignorar. Os usuários podem ativar a MFA posteriormente na definição Verificação em 2 Etapas nas definições de Segurança de Meu Perfil. Os usuários não são solicitados a configurar um fator na próxima vez que acessarem o sistema.

      Observação: Se você definir Inscrição como Obrigatório e posteriormente alterar a definição para Opcional, a alteração só afetará novos usuários. Os usuários já inscritos na MFA não verão o processo de inscrição em linha e não poderão clicar em Ignorar ao acessar.
  7. Clique em Adicionar regra de sign-on.
    Observação

    Se você criar uma regra de MFA somente para Administradores, deverá criar uma segunda regra sem MFA para que não administradores se conectem. Se a segunda regra não for criada, o acesso à Console será bloqueado para não administradores.
  8. Adicione o aplicativo Console à política OCIConsole SignOn Policy. Importante: Para garantir que sua política se aplique somente ao acesso da Console e que ela não se aplique a outros aplicativos, adicione apenas o aplicativo da Console.
    1. Na página de detalhes da política de sign-on, clique em Aplicativos. A lista de aplicativos já adicionados à política é exibida.
    2. Clique em Adicionar aplicativo.
    3. Na janela Adicionar aplicativo, localize o aplicativo da Console e marque a caixa de seleção do aplicativo. Em seguida, clique em Adicionar aplicativo.
      Observação

      Se você não vir o aplicativo da Console, ele já estará designado a uma política.
    1. Ativar a política de sign-on e a MFA está ativada. Os usuários serão solicitados a se inscrever na MFA na próxima vez que eles se conectarem.
      1. Na página Políticas de Sign-On, clique em OCIConsole SignOn Política.
      2. Clique em Ativar política de sign-on.
  10. Sair dos domínios de identidade.
  11. Acesse domínios de identidades. Você deverá ser solicitado a informar a inscrição na MFA. Conclua a inscrição de MFA usando o Oracle Mobile Authenticator (OMA). Consulte Usando o Aplicativo Oracle Mobile Authenticator