Creación de una política de conexión

Agregue una política de conexión a un dominio de identidad en IAM.

Esta tarea agrega una política de conexión en estado desactivado. Después de completar esta tarea, debe activar la política para comenzar a aplicarla en el dominio de identidad.

Puede definir los siguientes criterios para las políticas de conexión:
  • Los proveedores de identidad que se van a utilizar para autenticar al usuario

  • Los grupos de los que el usuario es miembro

  • Si el usuario es un administrador de dominio de identidad

  • Si se debe excluir a un usuario

  • Dirección IP que utiliza el usuario para conectarse al dominio de identidad

  • Si el usuario está obligado a volver a conectarse al dominio de identidad (para fines de autenticación), o si se ha autenticado la siguiente vez que se conecte al dominio de identidad.

  • Si se solicita al usuario otro factor para conectarse al dominio de identidad

Para agregar una política de conexión, siga estos pasos:

  1. Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Dominios.
  2. Haga clic en el nombre del dominio de identidad en el que desea trabajar. Puede que necesite cambiar el compartimento para buscar el dominio que desee.
  3. Haga clic en Seguridad y, a continuación, en Políticas de conexión.
  4. Haga clic en Crear política de conexión.
  5. Introduzca un nombre y una descripción opcional para la política. Evite introducir información confidencial.
  6. Haga clic en Agregar Política.

    La política de conexión se guarda en estado desactivado. Cuando termine de crear la política, debe activar la política para utilizarla.

  7. En la página Agregar reglas de conexión, haga clic en Agregar regla de conexión.
  8. Agregue un nombre para la regla de conexión. Evite introducir información confidencial.
  9. En Condiciones, proporcione la siguiente información:
    • Autenticación de Proveedor de Identidad (Opcional): introduzca o seleccione todos los proveedores de identidad que se utilizan para autenticar las cuentas de usuario evaluadas por esta regla. Si deja este campo vacío, se utilizarán las demás condiciones para la autenticación.
    • Afiliación a un grupo: introduzca o seleccione los grupos de los que el usuario debe ser miembro para cumplir los criterios de esta regla. Debe introducir al menos tres caracteres para iniciar una búsqueda de grupos.
    • Administrador: si el usuario debe estar asignado a roles de administrador en el dominio de identidad para cumplir los criterios de esta regla, seleccione esta casilla de control.
    • Mantener conexión: seleccione esta opción para aplicar la regla solo si existe una Sesión de conexión válida para el usuario.

      Para utilizar esta condición, debe activar Mantenerme conectado. Consulte Modificación de los valores de sesión.

      La política de conexión sustituye la sesión Mantenerme conectado. Esto significa que, aunque un usuario esté conectado mediante Mantenerme conectado, una vez que caduque la sesión, si la política requiere una nueva autenticación o una autenticación multifactor (MFA), se le desafía a volver a autenticarse o a proporcionar una MFA.

    • Excluir usuarios: introduzca o seleccione los usuarios que desea excluir de la regla. Debe introducir al menos tres caracteres para iniciar una búsqueda de usuarios.
      Importante

      Asegúrese de excluir un administrador de dominio de identidad de cada política, lo que garantiza que al menos un administrador siempre tenga acceso al dominio de identidad si surgen problemas.
    • Filtrar por dirección IP de cliente: seleccione una de las siguientes opciones:
      • En cualquier lugar: los usuarios pueden conectarse al dominio de identidad mediante cualquier dirección IP.

      • Restringir a los siguientes perímetros de red: los usuarios solo pueden conectarse al dominio de identidad utilizando las direcciones IP incluidas en los perímetros de red definidos. En el cuadro de texto Perímetros de red, introduzca o seleccione perímetros de red que haya definido. Para obtener más información, consulte Creación de un perímetro de red.

  10. En Acciones, seleccione si se permite a un usuario acceder a la consola si la cuenta de usuario cumple los criterios de esta regla.

    Si selecciona Denegar acceso, pase al siguiente paso.

    Si selecciona Permitir acceso, introduzca valores para las siguientes opciones adicionales:

    • Petición de datos para la nueva autenticación: seleccione esta casilla de control para forzar al usuario a volver a introducir las credenciales para acceder a la aplicación asignada incluso cuando haya una sesión de dominios de IAM existente.
      • Si se selecciona, esta opción evita la conexión única para las aplicaciones asignadas a la política de conexión. Por ejemplo, un usuario autenticado debe conectarse a una nueva aplicación.
      • Si no se selecciona, y el usuario se ha autenticado previamente, el usuario puede acceder a la aplicación mediante su sesión de conexión única existente sin necesidad de introducir credenciales
    • Solicitar un factor adicional: seleccione esta casilla de control para solicitar al usuario un factor adicional para conectarse al dominio de identidad.

      Si selecciona esta casilla de control, debe especificar si el usuario debe inscribirse en la autenticación multifactor (MFA) y con qué frecuencia se utilizará este factor adicional para conectarse.

    • Cualquier factor o Solo factores especificados: seleccione una de estas opciones:
      • Cualquier factor: solicita al usuario que se registre y verifique cualquier factor activado en la configuración de nivel de inquilino de MFA.
      • Factores especificados: solo solicita al usuario que se registre y verifica un subjuego de factores activados en la configuración de nivel de inquilino de MFA. Después de seleccionar Factores especificados, seleccione los factores que debe aplicar esta regla.
    • Frecuencia: especifique la frecuencia con la que se solicita a los usuarios un segundo factor:
      • Una vez por sesión o dispositivo de confianza: para cada sesión que el usuario haya abierto desde un dispositivo autorizado, debe utilizar su nombre de usuario y contraseña, y un segundo factor.
      • Cada vez: cada vez que un usuario se conecta desde un dispositivo de confianza, deben utilizar sus nombres de usuario y contraseñas, y un segundo factor.
      • Intervalo personalizado: especifique la frecuencia con la que los usuarios deben proporcionar un segundo factor para conectarse. Por ejemplo, si desea que los usuarios utilicen este factor adicional cada dos semanas, haga clic en 14 para el número y seleccione Días para Intervalo. Si ha configurado MFA, este número debe ser menor o igual que el número de días que un dispositivo puede ser de confianza según la configuración de MFA. Para obtener más información, consulte Gestión de autenticación multifactor.
    • Inscripción: seleccione una de las siguientes opciones:
      Importante

      Defina Inscripción como Opcional hasta que haya terminado de probar la política de conexión.
      • Obligatorio obliga al usuario a inscribirse en MFA.
      • Seleccione Opcional para ofrecer a los usuarios la opción de omitir la inscripción en MFA. Los usuarios verán el proceso de configuración de inscripción en línea después de introducir su nombre de usuario y contraseña, pero pueden hacer clic en Omitir. Los usuarios pueden activar MFA más adelante en el valor de Verificación en 2 pasos en la configuración de Seguridad de Mi perfil. No se solicitará al usuario que configure un factor la siguiente vez que se conecte. Si define Inscripción en Necesario y, posteriormente, cambia a Opcional, el cambio solo afectará a los nuevos usuarios. Los usuarios que ya estén inscritos en la MFA no verán el proceso de inscripción en línea y no podrán hacer clic en Omitir al conectarse
  11. Haga clic en Agregar reglas de conexión.
  12. (Opcional) En la página Agregar reglas de conexión, haga clic de nuevo en Agregar regla de conexión para agregar otra regla de conexión a esta política. De lo contrario, haga clic en Siguiente.
    Nota

    Si ha agregado varias reglas de conexión a esta política, puede cambiar el orden en el que se evaluarán. Haga clic en Editar prioridad y, a continuación, utilice las flechas para cambiar el orden de las reglas.
  13. En la página Agregar aplicaciones, haga clic en Agregar aplicación para agregar aplicaciones a esta política.
  14. En el panel Agregar aplicación, seleccione la casilla de control de cada aplicación que desee agregar a la política. A continuación, haga clic en Agregar aplicación.
    Nota

    Puede agregar una aplicación a solo una política de conexión. Si la aplicación no está asignada a ninguna política de conexión de forma explícita, se aplicará la política de conexión por defecto a la aplicación.

  15. Cuando termine, haga clic en Cerrar. Se muestra la página de detalles de la política de conexión.