Documentation Oracle Cloud Infrastructure

Création d'une stratégie de connexion

Ajoutez une stratégie de connexion à un domaine d'identité dans IAM.

Cette tâche permet d'ajouter une stratégie de connexion à l'état Désactivé. Une fois cette tâche terminée, vous devez activer la stratégie pour commencer à l'appliquer dans le domaine d'identité.

Vous pouvez définir les critères suivants pour les stratégies de connexion :

  • Fournisseurs d'identités à utiliser pour authentifier l'utilisateur

  • Groupes dont l'utilisateur est membre

  • Si l'utilisateur est un administrateur de domaine d'identité

  • Si un utilisateur doit être exclu

  • Adresse IP que l'utilisateur emploie pour se connecter au domaine d'identité

  • Indique si l'utilisateur est obligé de se connecter à nouveau au domaine d'identité (à des fins d'authentification) ou s'il est authentifié la prochaine fois qu'il se connecte au domaine d'identité

  • Si l'utilisateur est invité à demander un autre facteur pour se connecter au domaine d'identité

Pour ajouter une stratégie de connexion, procédez comme suit :

  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines.
  2. Cliquez sur le nom du domaine d'identité dans lequel vous souhaitez travailler. Il est possible que vous deviez changer de compartiment pour trouver le domaine souhaité.
  3. Cliquez sur Sécurité, puis sur Stratégies de connexion.
  4. Cliquez sur Créer une stratégie de connexion.
  5. Entrez le nom et une description facultative de la stratégie. Evitez de saisir des informations confidentielles.
  6. Cliquez sur Ajouter une stratégie.

    La stratégie de connexion est enregistrée dans un état désactivé. Lorsque vous avez terminé la création de la stratégie, vous devez l'activer pour l'utiliser.

  7. Sur la page Ajouter des règles de connexion, cliquez sur Ajouter une règle de connexion.
  8. Ajoutez un nom à la règle de connexion. Evitez de saisir des informations confidentielles.
  9. Sous Conditions, fournissez les informations suivantes :
    • Authentification du fournisseur d'identités (facultatif) : entrez ou sélectionnez tous les fournisseurs d'identités utilisés pour authentifier les comptes utilisateur évalués par cette règle. Si vous laissez ce champ vide, les autres conditions sont utilisées pour l'authentification.
    • Appartenance à un groupe : entrez ou sélectionnez les groupes dont l'utilisateur doit être membre pour répondre aux critères de cette règle. Vous devez entrer au moins trois caractères pour lancer une recherche de groupes.
    • Administrateur : si l'utilisateur doit être affecté à des rôles d'administrateur dans le domaine d'identité pour respecter les critères de cette règle, cochez cette case.

    • Garder ma connexion : sélectionnez cette option pour appliquer la règle uniquement si une session de connexion valide existe pour l'utilisateur.

      Pour utiliser cette condition, vous devez activer Garder ma connexion. Reportez-vous à la section Modification des paramètres de session.

      La stratégie de connexion prime sur la session Rester connecté. Cela signifie que même si un utilisateur est connecté avec l'option Rester connecté, une fois la session expirée, si la stratégie requiert une nouvelle authentification ou une authentification à plusieurs facteurs, l'utilisateur est invité à se réauthentifier ou à fournir une authentification à plusieurs facteurs.

    • Exclure les utilisateurs : entrez ou sélectionnez les utilisateurs à exclure de la règle. Vous devez entrer au moins trois caractères pour lancer une recherche d'utilisateurs.
      Important

      Veillez à exclure un administrateur de domaine d'identité de chaque stratégie, ce qui garantit qu'au moins un administrateur a toujours accès au domaine d'identité en cas de problème.
    • Filtrer par adresse IP client : sélectionnez l'une des options suivantes :

      • Partout : les utilisateurs peuvent se connecter au domaine d'identité à l'aide de n'importe quelle adresse IP.

      • Restreindre les périmètres réseau suivants : les utilisateurs peuvent se connecter au domaine d'identité uniquement à l'aide des adresses IP contenues dans les périmètres réseau définis. Dans la zone de texte Périmètres réseau, entrez ou sélectionnez les périphériques réseau définis. Pour plus d'informations, reportez-vous à Création d'un périmètre réseau.

  10. Sous Actions, indiquez si un utilisateur est autorisé à accéder à la console si le compte utilisateur répond aux critères de cette règle.

    Si vous sélectionnez Refuser l'accès, passez à l'étape suivante.

    Si vous sélectionnez Autoriser l'accès, entrez des valeurs pour les options supplémentaires suivantes :

    • Invite de réauthentification : cochez cette case pour forcer l'utilisateur à saisir à nouveau des informations d'identification afin d'accéder à l'application affectée même en cas de session de domaines IAM existante.
      • Si cette option est sélectionnée, elle empêche l'accès avec connexion unique pour les applications affectées à la stratégie de connexion. Par exemple, un utilisateur authentifié doit se connecter à une nouvelle application.
      • Si cette option n'est pas sélectionnée et que l'utilisateur s'est déjà authentifié, il peut accéder à l'application à l'aide de sa session SSO existante sans avoir à saisir les informations d'identification.
    • Demander un facteur supplémentaire : cochez cette case pour inviter l'utilisateur à demander un facteur supplémentaire pour se connecter au domaine d'identité.

      Si vous cochez cette case, vous devez indiquer si l'utilisateur doit s'inscrire à l'authentification à plusieurs facteurs, ainsi que la fréquence à laquelle ce facteur supplémentaire doit être utilisé pour se connecter.

    • Tous les facteurs ou Facteurs spécifiés uniquement : sélectionnez l'une des options suivantes :
      • N'importe quel facteur : invite l'utilisateur à s'inscrire et vérifier tout facteur activé dans les paramètres au niveau du locataire d'authentification à plusieurs facteurs.
      • Facteurs spécifiés : invite uniquement l'utilisateur à s'inscrire et à vérifier un sous-ensemble de facteurs activés dans les paramètres au niveau du locataire de l'authentification à multiples clients. Après avoir sélectionné Facteurs spécifiés, sélectionnez les facteurs devant être appliqués par cette règle.
    • Fréquence : indiquez la fréquence à laquelle les utilisateurs sont invités à saisir un deuxième facteur :
      • Une fois par session ou par appareil sécurisé : pour chaque session ouverte par l'utilisateur à partir d'un appareil faisant autorité, l'utilisateur doit utiliser son nom utilisateur et son mot de passe, et un second facteur.
      • A chaque fois : chaque fois qu'un utilisateur se connecte à partir d'un appareil sécurisé, son nom utilisateur et son mot de passe, et un deuxième facteur doivent être utilisés.
      • Intervalle personnalisé : indiquez la fréquence à laquelle les utilisateurs doivent fournir un second facteur pour se connecter. Par exemple, si vous voulez que les utilisateurs utilisent ce facteur supplémentaire toutes les deux semaines, cliquez sur 14 pour le nombre et sélectionnez jours pour l'intervalle. Si vous avez configuré l'authentification à distance, ce nombre doit être inférieur ou égal au nombre de jours pendant lesquels un appareil peut être sécurisé selon les paramètres d'authentification à distance. Pour plus d'informations, reportez-vous à Managing Multifactor Authentication.
    • Inscription : sélectionnez l'une des options suivantes :
      Important

      Définissez Inscription sur Facultatif jusqu'à ce que vous ayez terminé de tester la stratégie de connexion.
      • Obligatoire force l'utilisateur à s'inscrire à l'authentification à plusieurs facteurs.
      • Sélectionnez Facultatif pour permettre aux utilisateurs d'ignorer l'inscription à l'authentification à plusieurs facteurs. Les utilisateurs voient le processus incorporé de configuration de l'inscription une fois qu'ils ont saisi leur nom utilisateur et leur mot de passe, mais ils peuvent cliquer sur ignorer. Les utilisateurs peuvent l'activer ultérieurement à partir du paramètre Vérification en 2 étapes dans les paramètres de sécurité de Mon profil. Les utilisateurs ne sont pas invités à configurer un facteur lors de leur prochaine connexion. Si vous définissez Inscription sur Requis et que vous passez ultérieurement sur Facultatif, la modification concerne uniquement les nouveaux utilisateurs. Les utilisateurs déjà inscrits à l'authentification à plusieurs facteurs ne verront pas le processus d'inscription intégré et ne pourront pas cliquer sur Ignorer lors de la connexion
  11. Cliquez sur Ajouter des règles de connexion.
  12. (Facultatif) Sur la page Ajouter des règles de connexion, cliquez à nouveau sur Ajouter une règle de connexion pour ajouter une autre règle de connexion à cette stratégie. Sinon, cliquez sur Suivant.
    Remarque

    Si vous avez ajouté plusieurs règles de connexion à cette stratégie, vous pouvez modifier leur ordre d'évaluation. Cliquez sur Modifier la priorité, puis utilisez les flèches pour modifier l'ordre des règles.
  13. Sur la page Ajouter des applications, cliquez sur Ajouter une application pour ajouter des applications à cette stratégie.
  14. Dans le panneau Ajouter une application, cochez la case de chaque application à ajouter à la stratégie. Ensuite, cliquez sur Ajouter une application.
    Remarque

    Vous pouvez ajouter une application donnée à une seule stratégie de connexion. Si l'application n'est affectée explicitement à aucune stratégie de connexion, la stratégie de connexion par défaut s'applique.

  15. Lorsque vous avez terminé, cliquez sur Fermer. La page de détails de la stratégie de connexion apparaît.