このページは機械翻訳したものです。

Oracle Cloud Infrastructureドキュメント
Free Tierを試してみる

アイデンティティ・ドメインがなく、「OCIコンソールのセキュリティ・ポリシー」があるテナンシの サインオン・ポリシー

アイデンティティ・ドメインのないテナンシでマルチファクタ認証(MFA)を使用し、IAMで自動フェデレーテッド・アイデンティティ・プロバイダ(IdP)としてOracle Identity Cloud Serviceを使用し、「OCIコンソールのセキュリティ・ポリシー」サインオン・ポリシーを使用する場合は、このサインオン・ポリシーを使用してMFAを設定することをお薦めします

MFAスキル習得支援プラン

セキュリティを強化するために、すべてのテナンシで「OCIコンソールのセキュリティ・ポリシー」サインオン・ポリシーのシードを開始しました。Identity Cloud Serviceストライプがポリシーでシードされるとすぐに、それをアクティブ化して、管理権限を持つユーザーのマルチファクタ認証(MFA)を有効にする必要があります。

次のフローチャートは、Oracleがポリシーのシードを開始するポリシー・ロールアウトから、Oracleが特定の状況を除きポリシーをアクティブ化するポリシー強制ステージまでの完全なプロセスの概要を示しています。

Identity Cloud ServiceストライプのOCIコンソールのセキュリティ・ポリシーのロールアウトのフェーズを示すフローチャート

  • 「OCIコンソールのセキュリティ・ポリシー」サインオン・ポリシーは、OCIコンソールへのアクセスにのみ影響します。ポリシーがアクティブ化されると、すべてのローカル・ユーザーがMFAを使用してサインインする必要があります。
  • ポリシーは、すべてのIdentity Cloud Serviceストライプに適用されます。
ノート

Identity Cloud Serviceストライプがあるテナンシでは、2023年7月24日より後にこのポリシーが自動的にアクティブ化されます。

ポリシーは自動的にアクティブ化されません

  • デフォルトのサインオン・ポリシーを変更した場合
  • アクティブな外部IDP (SAML/SocialまたはX.509)がIAMドメインで構成されている場合。つまり、フェデレーテッド・ユーザーはこのポリシーの影響から除外されます。
  • すでにサインオン・ポリシーがあり、OCIコンソールが明示的に割り当てられている場合。
  • APIを使用して「OCIコンソールのセキュリティ・ポリシー」を削除した場合、再作成は行われません。REST APIを使用してポリシーを削除するには、ポリシーの削除を参照してください。

Identity Cloud Serviceストライプでポリシーをアクティブ化するには、サインオン・ポリシーのアクティブ化を参照してください。

アクティブ化されると、ポリシーはIdentity Cloud Service管理コンソールのサインオン・ポリシー・ページで次のようになります。

サインオン・ポリシー・ページのIdentity Cloud Service管理コンソールでアクティブ化されるOCIコンソールのセキュリティ・ポリシー

ポリシーについてさらに学習するには、「OCIコンソールのセキュリティ・ポリシー」のサインオン・ポリシーについてを参照してください。

Identity Cloud Serviceストライプのセキュリティ・ポリシーに関するOCIコンソールの強制ルール

サインオン・ポリシー「セキュリティPolicyFor OCIコンソール」のステータス デフォルトのサインオン・ポリシーを変更しました 有効化を強制した後のサインオン・ポリシー「OCIコンソールのセキュリティ・ポリシー」ステータス
現在および有効 適用不可(OCIコンソールに別のアクティブなサインオン・ポリシーは設定できません) 変更はありません
現在および障害者 番号 ポリシーが「Present and Enabled」に変更されます。
現在および障害者 Yes 変更はありません。ポリシーは上書きしません。
削除されました 適用されません 変更はありません

「OCIコンソールのセキュリティ・ポリシー」サインオン・ポリシーの設定

「OCIコンソールのセキュリティ・ポリシー」サインオン・ポリシーを設定するには:

  1. 「前提条件」を参照してください。
  2. 「OCIコンソールのセキュリティ・ポリシー」サインオン・ポリシーについてを参照してください。
  3. オプションで、ロールアウト期間中のみ、ポリシーから管理者を除外します。ユーザーが自分のアカウントにMFAを設定したことが確実な場合は、そのアカウントを「OCIコンソールのセキュリティ・ポリシー」に戻します。「OCIコンソールのセキュリティ・ポリシー」サインオン・ポリシーから管理者を一時的に除外する」を参照してください。
    ノート

    ユーザーがMFAなしでサインインできることはセキュリティ・リスクであるため、これを選択した場合、可能なかぎり短時間でサインインします。
  4. モバイル・アプリのパスコードまたはモバイル・アプリの通知を使用してMFAに登録する方法について学習します。MFA登録の完了を参照してください。

前提条件

作業前の準備: MFAを構成する前に、次の前提条件を満たしてください。

  1. MFAファクタを確認します。使用可能なMFAファクタは、所有しているライセンス・タイプによって異なります。「ライセンス・タイプ」は、「Identity Cloud Service」コンソールの右上に表示されます。MFAおよびライセンス・タイプの詳細は、「Oracle Identity Cloud Serviceの価格設定モデルについて」を参照してください。
  2. Oracle Mobile Authenticatorアプリケーションでモバイル・アプリケーション通知およびモバイル・アプリケーション・パスコードを使用する方法を学習するには、Oracle Mobile Authenticatorアプリケーションを認証方法として使用のドキュメントを参照してください。
  3. オプションで、ロールアウト期間中にのみ、アイデンティティ・ドメイン管理者をOCIコンソールのセキュリティ・ポリシーから除外します。そのため、ロールアウト中にエラーが発生した場合は、コンソールからロックアウトされません。

    ロールアウトが完了し、ユーザーがすべてのMFAを設定してコンソールにアクセスできると確信したら、このユーザー・アカウントを削除できます。

  4. OCI IAMグループにマップされているIdentity Cloud Serviceグループを特定します。
  5. Identity Domain Administratorロールにクライアント・アプリケーションを登録して、サインオン・ポリシー構成でロックアウトされた場合にREST APIを使用してアイデンティティ・ドメインへのアクセスを有効にします。このクライアント・アプリケーションを登録せず、サインオン・ポリシー構成によってすべてのユーザーへのアクセスが制限されている場合、Oracle Supportに連絡するまで、すべてのユーザーはアイデンティティ・ドメインからロックアウトされます。クライアント・アプリケーションの登録の詳細は、PostmanでのOracle Identity Cloud Service REST APIの使用クライアント・アプリケーションの登録を参照してください。
  6. バイパス・コードを作成し、そのコードをセキュアな場所に格納します。「バイパス・コードの生成および使用」を参照してください。

「OCIコンソールのセキュリティ・ポリシー」サインオン・ポリシーについて

OCIコンソールのセキュリティ・ポリシーのサインオン・ポリシーは、デフォルトでアクティブ化され、Oracleセキュリティのベスト・プラクティスで事前構成されます。

  • このサインオン・ポリシーに必要な次の要因はすでに有効になっています: モバイル・アプリケーション・パスコードモバイル・アプリケーション通知バイパス・コードおよびFast ID Online (FIDO)オーセンティケータ
  • OCIコンソール・アプリケーションがポリシーに追加されました。
  • サインオン・ポリシーには、2つのアクティブなサインオン・ルールが付属しています。

    Identity Cloud ServiceコンソールのOCIコンソール・サインオン・ポリシーのセキュリティ・ポリシーのルール

    • 管理者用MFA: ルールは優先度順で最初に作成されます。この事前構成済ルールでは、管理者グループ内のすべてのユーザーおよび管理者ロールを持つすべてのユーザーがMFAに登録する必要があり、サインインするたびに追加のファクタを指定する必要があります。
    • すべてのユーザーのMFA: ルールは優先度順に2番目です。この事前構成済ルールでは、すべてのユーザーがMFAに登録する必要があり、サインインするたびに追加のファクタを指定する必要があります。

「OCIコンソールのセキュリティ・ポリシー」サインオン・ポリシーからの管理者の一時的な除外

ベスト・プラクティスとして、「OCIコンソールのセキュリティ・ポリシー」サインオン・ポリシーは変更しないでください。ただし、ロールアウト中に実行することもできます。OCIコンソールからロックアウトする変更を行う場合は、管理者アカウントを一時的に除外できます。ロールアウトが完了し、ユーザーがOCIコンソールにアクセスできるようにMFAが構成されたら、これを元に戻します。
  1. 「OCIコンソールのセキュリティ・ポリシー」から一時的に除外する管理ユーザーを決定し、新しいグループを作成してユーザーに割り当てます。
  2. MFAを使用しない新しいルールを作成し、そのルールにグループを割り当てます。
  3. そのルールを「OCIコンソールのセキュリティ・ポリシー」ポリシーの最初のルールにします。
ノート

ロールアウトが完了すると、すべてのユーザーがMFAを構成し、OCIコンソールからロックアウトされる可能性のある間違いをする可能性が少なくなり、これらのステップを元に戻し、「OCIコンソールのセキュリティ・ポリシー」ポリシーを未変更状態にリストアします。
  1. 新しいグループを作成し、除外するユーザーを割り当てます。グループの作成およびグループへのユーザー・アカウントの割当てを参照してください。
  2. 新しいルールを作成し、作成したグループを追加します。
    1. 「Identity Cloud Service」コンソールで、ナビゲーション・ドロワーを開き、「セキュリティ」「サインオン・ポリシー」の順に選択します。OCIコンソールのセキュリティ・ポリシー・ポリシーが表示されます。
    2. 「サインオン・ルール」タブをクリックします。
    3. 「追加」をクリックし、新しいルールに名前を付けます。
    4. 新しいグループを「これらのグループのメンバーである」に追加します。
    5. 「保存」をクリックします。
      新しいルールが、OCIコンソールのセキュリティ・ポリシー・ポリシー・ルールのリストに追加されます。
  3. 新しいルールを「OCIコンソールのセキュリティ・ポリシー」ポリシーの最初のルールにします。
    1. ポリシーの詳細ページで、新しいルールの左側にあるアクション・アイコンをクリックします。
    2. 新しいルールをポリシーの最初のルールにドラッグします。
    3. 「保存」をクリックします。
このユーザーがサインインすると、最初のルールが適用され、認証にMFAを使用する必要はありません。

すべてのユーザーがMFAを設定し、OCIコンソールから誤ってロックアウトされる可能性がないと確信したら、新しいルールを削除して、「OCIコンソールのセキュリティ・ポリシー」ポリシーが変更されていない状態に戻します。

ルールを削除するには:

  1. 「サインオン・ポリシー」ページで、「OCIコンソールのセキュリティ・ポリシー」をクリックします。
  2. 新しいルールのチェック・ボックスをクリックし、「削除」をクリックします。

これで、すべてのユーザーがMFAを使用してOCIコンソールにサインインする必要があります。

MFA登録の完了

「OCIコンソールのセキュリティ・ポリシー」サインオン・ポリシーがアクティブ化されると、OCIコンソールにサインインしているユーザーは、Oracle Mobile Authenticator (OMA)を使用してMFA登録を完了するよう求められます。

お客様およびOCIコンソールにサインインしている他のユーザーには、この例のような画面が表示されます。

「セキュアな検証の有効化」をクリックし、Oracle Mobile Authenticatorアプリケーションの使用の手順に従います。

MFA登録画面を示すスクリーンショット。

この記事は役に立ちましたか。