アイデンティティ・ドメインがなく、「OCIコンソールのセキュリティ・ポリシー」がないテナンシの サインオン・ポリシー
アイデンティティ・ドメインがなく、「OCIコンソールのセキュリティ・ポリシー」サインオン・ポリシーがないテナンシでマルチファクタ認証(MFA)、およびIAMで自動フェデレーテッド・アイデンティティ・プロバイダ(IdP)としてOracle Identity Cloud Serviceを使用している場合は、次のOracleベスト・プラクティスを使用してMFAを設定することをお薦めします。
アイデンティティ・ドメインなしでMFAを設定するには:
- 「前提条件」を参照してください。
- MFAを有効にします。ステップ1: アイデンティティ・ドメインを使用しないMFAの有効化を参照してください。
- サインオン・ポリシーを作成します。ステップ2: 新規サインオン・ポリシーの作成を参照してください。
前提条件
作業前の準備: MFAを構成する前に、次の前提条件を満たしてください。
- MFAファクタを確認します。使用可能なMFAファクタは、所有しているライセンス・タイプによって異なります。「ライセンス・タイプ」は、「Identity Cloud Service」コンソールの右上に表示されます。MFAおよびライセンス・タイプの詳細は、「Oracle Identity Cloud Serviceの価格設定モデルについて」を参照してください。
- Oracle Mobile Authenticatorアプリケーションでモバイル・アプリケーション通知およびモバイル・アプリケーション・パスコードを使用する方法を学習するには、Oracle Mobile Authenticatorアプリケーションを認証方法として使用のドキュメントを参照してください。
- オプションで、ロールアウト期間中にのみ、アイデンティティ・ドメイン管理者をOCIコンソールのセキュリティ・ポリシーから除外します。そのため、ロールアウト中にエラーが発生した場合は、コンソールからロックアウトされません。
ロールアウトが完了し、ユーザーがすべてのMFAを設定してコンソールにアクセスできると確信したら、このユーザー・アカウントを削除できます。
- OCI IAMグループにマップされているIdentity Cloud Serviceグループを特定します。
- Identity Domain Administratorロールにクライアント・アプリケーションを登録して、サインオン・ポリシー構成でロックアウトされた場合にREST APIを使用してアイデンティティ・ドメインへのアクセスを有効にします。このクライアント・アプリケーションを登録せず、サインオン・ポリシー構成によってすべてのユーザーへのアクセスが制限されている場合、Oracle Supportに連絡するまで、すべてのユーザーはアイデンティティ・ドメインからロックアウトされます。クライアント・アプリケーションの登録の詳細は、PostmanでのOracle Identity Cloud Service REST APIの使用のクライアント・アプリケーションの登録を参照してください。
- バイパス・コードを作成し、そのコードをセキュアな場所に格納します。「バイパス・コードの生成および使用」を参照してください。
許可する認証ファクタを定義するマルチファクタ認証(MFA)設定およびコンプライアンス・ポリシーを有効にし、MFAファクタを構成します。
OCI IAMでアイデンティティ・プロバイダ(IdP)として構成されているIdentity Cloud Serviceストライプに対してMFAを有効にします。OCI IAMでIdPとして構成されていないIdentity Cloud ServiceストライプのMFAを有効にする必要はありません。
- Identity Domain Administrator資格証明を使用して、アイデンティティ・ドメインのないテナンシでコンソールにサインインします。ノート
ほとんどのテナンシでは、アイデンティティ・プロバイダ(IdP)の名前はOracleIdentityCloudServiceです。Microsoft Azure Active Directory (Azure AD)やOktaなど、別のサードパーティのIdPを構成した場合は、それを選択します。 - コンソールでナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「Identity」で、「Federation」をクリックします。OCI IAM用に構成されているすべての外部IdPsのリストが表示されます。
- Oracle Identity Cloud ServiceフェデレーションIdPの名前(OracleIdentityCloudServiceなど)をクリックします。「アイデンティティ・プロバイダ」の詳細ページが表示されます。
- 「Oracle Identity Cloud Serviceコンソール」URLをクリックします。Oracle Identity Cloud Serviceコンソールが表示されます。
- Oracle Identity Cloud Serviceコンソールで、ナビゲーション・ドロワーを開き、「セキュリティ」、「MFA」の順に選択します。
- (必須)「有効化するファクタの選択」で、ユーザーに選択させる各ファクタを選択します。ノート
使用可能なMFAファクタは、ライセンス・タイプによって異なります。「ライセンス・タイプ」は、「Identity Cloud Service」コンソールの右上に表示されます。MFAおよびライセンス・タイプの詳細は、「Oracle Identity Cloud Serviceの価格設定モデルについて」を参照してください。
ノート
フィッシングに強い次のMFAオーセンティケータを使用することをお薦めします。
-
モバイル・アプリ・パスコードおよびモバイル・アプリ通知(Foundation価格設定階層に含まれる)
-
Fast ID Online (FIDO)(標準価格設定階層に含まれる)
Oracle Mobile Authenticatorアプリケーションでモバイル・アプリケーション通知およびモバイル・アプリケーション・パスコードを使用する方法を学習するには、認証方法としてのOracle Mobile Authenticatorアプリケーションの使用を参照してください。
MFAオーセンティケータの詳細は、認証ファクタの構成を参照してください。
-
- (必須)ユーザーがモバイル・アプリやFIDOキーなどの外部オーセンティケータを失った場合に、管理者がワンタイム・パスコードを2番目のファクタとして生成できるように、常に「バイパス・コード」を有効にします。
- (オプション)信頼できるデバイスの設定を構成するには、「信頼できるデバイス」セクションを使用します。 ノート
「コンピュータを記憶する」と同様に、信頼できるデバイスでは、(定義された期間にわたって)ユーザーがサインインするたびにセカンダリ認証を提供する必要はありません。 - (オプション)「ファクタ」セクションで、ユーザーが構成できる登録されるファクタの最大数を設定します。
- (オプション)「ログイン・ルール」セクションで、ロックアウトする前にユーザーにMFA検証の誤った指定を許可するMFAの最大失敗試行を設定します。
- 「確認」ウィンドウで「保存」、「OK」の順にクリックします。
- (オプション)選択したMFAファクタの「構成」をクリックして、それらを個別に構成します。
次の操作:新しいサインオン・ポリシーを作成します。ステップ2: 新規サインオン・ポリシーの作成を参照してください
新しいサインオン・ポリシーを作成し、MFAのルールを追加し、そのルールにアイデンティティ・ドメインが評価する最初のルールを優先順位付けし、OCI -V2-App-<TenancyName>アプリケーションを新しいポリシーに追加し、ポリシーをアクティブ化し、ポリシーをテストします。
- 「Identity Cloud Service」コンソールで、ナビゲーション・ドロワーを開き、「セキュリティ」、「サインオン・ポリシー」の順に選択します。「デフォルト・サインオン・ポリシー」および定義したその他のサインオン・ポリシーがリストされます。
- 「追加」をクリックします。
- 「ポリシー名」および「説明」を追加します。「名前」に、Protect OCI Console Accessと入力します。
- 「次へ」をクリックします。次に、このポリシーにサインオン・ルールを追加します。
- ウィザードの「サインオン・ルール」ペインで、「追加」をクリックしてこのポリシーにサインオン・ルールを追加します。
- 次の表に、新しいMFAルールを構成します。 ノート
サインオン・ルールは必要に応じて作成し、優先順位を付けて、最初に処理するルールを指定できます。評価は最初の照合ルールで停止します。一致ルールがない場合、アクセスは拒否されます。フィールド 説明 ルール名 名前を入力します。サインオン・ルールの名前を入力します。たとえば、Protect OCI Console Accessという名前を付けて、すべてのユーザーに対してMFAを有効にします。または、Enable MFA for Administratorsという名前を付けて、管理者に対してMFAを有効にします。 ユーザーが次によって認証されている場合 このルールによって評価されるユーザー・アカウントの認証に使用されるすべてのアイデンティティ・プロバイダを入力または選択します。 これらのグループのメンバーである このルールの基準を満たすためにユーザーがメンバーである必要があるグループを入力または選択して、すべてのユーザーのMFAを有効にします。
現時点ですべてのユーザーに対してMFAを有効にできない場合は、OCI IAMグループにマップされているIdentity Cloud Serviceグループに対してMFAを有効にすることをお薦めします。
ノート: 「And is a member of these groups」を空のままにして、「And is an administrator」の選択を解除すると、すべてのユーザーがこのルールに含まれます。
管理者である アイデンティティ・ドメインの管理者ロールに割り当てられたユーザーは、このルールに含まれます。
ベスト・プラクティス「And is a member of these groups」を使用して、すべてのユーザーまたは少なくともすべての管理者に対してMFAを有効にします。この時点でグループ・メンバーシップを使用してすべてのユーザーまたは管理者に対してMFAを有効にできない場合は、「管理者です」を選択して、このルールに管理者を含めます。
重要: 管理者のみのルールを作成する場合は、管理者以外がサインインするために、MFAを使用しない2番目のルールを作成する必要があります。2番目のルールが作成されていない場合、管理者以外のコンソール・アクセスはブロックされます。
これらのユーザーに含まれていない ベスト・プラクティスベスト・プラクティスは、ユーザーを除外しないことです。ただし、MFAを設定している場合は、変更を加えてOCIコンソールからロックアウトした場合に、管理者アカウントを一時的に除外できます。ロールアウトが完了し、ユーザーがOCIコンソールにアクセスできるようにMFAが構成されたら、ルールからユーザーが除外されないように、これを元に戻します。
前提条件のリストは、アイデンティティ・ドメインがなく、「OCIコンソールのセキュリティ・ポリシー」があるテナンシのサインオン・ポリシーを参照してください。
ユーザーのクライアントIPアドレス このフィールドには、「どこにでも」および「次のネットワーク・ペリメータに制限します」という2つのオプションが関連付けられています。 -
「任意の場所」を選択した場合、ユーザーは、任意のIPアドレスを使用してアイデンティティ・ドメインにサインインできます。
-
「次のネットワーク・ペリメータに制限します」を選択した場合、「ネットワーク・ペリメータ」テキスト・ボックスが表示されます。このテキスト・ボックスで、定義したネットワーク・ペリメータを入力または選択します。ユーザーは、定義されたネットワーク・ペリメータに含まれているIPアドレスのみを使用して、アイデンティティ・ドメインにサインインできます。
アクセスは ユーザー・アカウントがこのルールの基準を満たす場合に、ユーザーにコンソールへのアクセスを許可するかどうかを選択します。
ベスト・プラクティス「許可」を選択します。
再認証の要求 既存のアイデンティティ・ドメイン・セッションがある場合でも、割り当てられたアプリケーションにアクセスするための資格証明を再入力するようユーザーに強制する場合は、このチェックボックスを選択します。
このオプションを選択すると、サインオン・ポリシーに割り当てられたアプリケーションのシングル・サインオンが防止されます。たとえば、認証されたユーザーは新しいアプリケーションにサインオンする必要があります。
選択されていない場合、ユーザーが以前に認証済の場合は、資格証明を入力せずに、既存のシングル・サインオン・セッションを使用してアプリケーションにアクセスできます。
ベスト・プラクティス「再認証のプロンプト」をオフにします。
追加ファクタの要求 ユーザーにアイデンティティ・ドメインにサインインするための追加要素を要求する場合は、このチェック・ボックスを選択します。
このチェック・ボックスを選択する場合、ユーザーが多要素認証(MFA)に登録する必要があるかどうかと、この追加要素をサインインに使用する頻度を指定する必要があります。
「任意の要素」を選択すると、ユーザーは、MFAテナント・レベル設定で有効な任意の要素の登録および検証を要求されます。
「特定のファクタ」を選択すると、ユーザーは、MFAテナント・レベル設定で有効なファクタのサブセットの登録および検証を要求します。「特定のファクタ」を選択すると、このルールによって適用する必要があるファクタを選択できます。
ベスト・プラクティス「特定のファクタ」を選択し、「Eメール」または「通話」以外のファクタを選択します。
常に「バイパス・コード」を有効にします。
頻度 ベスト・プラクティス「毎回」を選択します。
-
「セッションまたは信頼できるデバイスごとに1回」を選択すると、ユーザーは、認可デバイスから開いたセッションごとに、ユーザー名とパスワードの両方に加え、2番目の要素を使用する必要があります。
-
「毎回」を選択すると、ユーザーは、信頼できるデバイスからサインインするたびに、ユーザー名とパスワードに加え、2番目の要素を使用する必要があります。ベスト・プラクティス「毎回」を選択します。
-
「カスタム間隔」を選択する場合、ユーザーがサインインするために2番目の要素を提供する必要がある頻度を指定します。たとえば、ユーザーがこの追加要素を2週間ごとに使用する場合は、「数値」をクリックしてテキスト・フィールドに14と入力し、「間隔」ドロップダウン・メニューをクリックして「日」を選択します。マルチファクタ認証(MFA)を構成した場合、この数値は、MFA設定に従ってデバイスを信頼できる日数以下にする必要があります。
登録 このメニューには、[必須]と [オプション]の2つのオプションがあります。
-
「必須」を選択すると、ユーザーはMFAに登録されます。
-
「オプション」を選択すると、ユーザーはMFAへの登録をスキップできます。ユーザー名とパスワードの入力後、ユーザーにはインライン登録設定プロセスが表示されますが、「スキップ」をクリックできます。ユーザーは、後でマイ・プロファイルの「セキュリティ」設定の「2ステップ検証」設定からMFAを有効にできます。ユーザーは、次回サインインしたときに要素を設定するよう求められません。
-
ノート: 「登録」を「必須」に設定し、後で「オプション」に変更した場合、その変更は新規ユーザーにのみ影響します。MFAにすでに登録されているユーザーにはインライン登録プロセスが表示されず、サインイン時に「スキップ」をクリックできなくなります。
-
- 「保存」をクリックします。 ノート
管理者のみのMFAルールを作成する場合は、管理者以外がサインインするために、MFAを使用しない2番目のルールを作成する必要があります。2番目のルールが作成されていない場合、管理者以外のコンソール・アクセスはブロックされます。 - 「次」をクリックします。
- OCI -V2-App-<TenancyName>アプリケーションをOCIコンソール・アクセスの保護ポリシーに追加します。重要: ポリシーがコンソール・アクセスのみに適用され、他のアプリケーションに適用されないようにするには、OCI -V2-App-<TenancyName>アプリケーションのみを追加します。
- 「割当て」をクリックします。ポリシーに追加できるアプリケーションのリストが表示されます。
- 「OCI -V2-App-<TenancyName>」を見つけて選択します。
- 「OK」をクリックします。
- 完了をクリックします。
- サインオン・ポリシーをアクティブ化すると、MFAが有効になります。ユーザーは、次回のサインイン時にMFAに登録するよう求められます。
- 「サインオン・ポリシー」ページで、「OCIコンソール・アクセスの保護」をクリックします。
- 「アクティブ化」をクリックします。
- Identity Cloud Serviceからサインアウトします。
- Identity Cloud Serviceにサインインします。MFAの登録を求めるプロンプトが表示されます。Oracle Mobile Authenticator (OMA)を使用してMFA登録を完了します。「Oracle Mobile Authenticatorアプリケーションの使用と管理」を参照してください。
