Documentação do Oracle Cloud Infrastructure

Criando uma Política de Sign-On

Adicione uma política de sign-on a um domínio de identidades no serviço IAM.

Esta tarefa adiciona uma política de sign-on em um estado desativado. Depois de concluir esta tarefa, ative a política para começar a aplicá-la ao domínio de identidades.

Você pode definir os seguintes critérios para políticas de acesso:

  • Os provedores de identidade a serem usados para autenticar o usuário

  • Os grupos dos quais o usuário é membro

  • Se o usuário é um administrador de domínio de identidades

  • Se um usuário deve ser excluído

  • O endereço IP que o usuário está usando para acessar o domínio de identidades

  • Se o usuário for forçado a acessar o domínio de identidades novamente (para fins de autenticação) ou será autenticado na próxima vez que acessar o domínio de identidades

  • Se o usuário for solicitado a fornecer outro fator para acessar o domínio de identidades

Para adicionar uma política de sign-on, siga estas etapas:

  1. Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Domínios.
  2. Clique no nome do domínio de identidades no qual você deseja trabalhar. Talvez você precise alterar o compartimento para localizar o domínio desejado.
  3. Clique em Segurança e em Políticas de sign-on.
  4. Clique em Criar política de sign-on.
  5. Informe um nome e uma descrição opcional para a política. Evite digitar informações confidenciais.
  6. Clique em Adicionar política.

    A política de sign-on é salva em um estado desativado. Ao concluir a criação da política, ative-a para utilizá-la.

  7. Na página Adicionar regras de acesso, clique em Adicionar regra de acesso.
  8. Adicione um nome para a regra de conexão. Evite digitar informações confidenciais.
  9. Em Condições, forneça as seguintes informações:
    • Autenticando o provedor de identidades (Opcional): Digite ou selecione todos os provedores de identidades usados para autenticar as contas de usuário avaliadas por essa regra. Se você deixar isso vazio, as outras condições serão usadas para autenticação.
    • Associação de grupo: Digite ou selecione os grupos dos quais o usuário deve ser membro para atender aos critérios desta regra. Digite pelo menos três caracteres para iniciar uma pesquisa de grupos.
    • Administrador: Se o usuário precisar ser designado a atribuições de administrador no domínio de identidades para atender aos critérios dessa regra, marque essa caixa de seleção.

    • Mantenha-me conectado: Selecione esta opção para aplicar a regra somente se existir uma Mantenha-me sessão conectada válida para o usuário.

      Para usar essa condição, ative Manter-me conectado. Consulte Alterando Definições de Sessão.

      A política de sign-on substitui a sessão Manter-me conectado. Isso significa que, mesmo que um usuário esteja conectado usando Manter-me conectado, depois que a sessão expirar, se a política exigir reautenticação ou autenticação multifator (MFA), o usuário será desafiado a se reautenticar ou a fornecer o MFA.

    • Excluir usuários: Digite ou selecione os usuários a serem excluídos da regra. Digite pelo menos três caracteres para iniciar uma pesquisa de usuários.
      Importante

      Certifique-se de excluir um administrador de domínio de identidades de cada política, o que garante que pelo menos um administrador sempre tenha acesso ao domínio de identidades se surgirem problemas.
    • Filtrar por endereço IP do cliente: Selecione uma das seguintes opções:

      • Em qualquer lugar: Os usuários podem acessar o domínio de identidades usando qualquer endereço IP.

      • Restringir aos seguintes perímetros de rede: Os usuários podem acessar o domínio de identidades usando apenas endereços IP contidos em perímetros de rede definidos. Na caixa de texto Perímetros de rede, digite ou selecione os perímetros de rede definidos por você. Para obter mais informações, consulte Criando um Perímetro de Rede.

  10. Em Ações, selecione se um usuário tem permissão para acessar a Console se a conta do usuário atender aos critérios dessa regra.

    Se você selecionar Negar acesso, passe para a próxima etapa.

    Se você selecionar Permitir acesso, informe valores para as seguintes opções adicionais:

    • Prompt para reautenticação: Marque essa caixa de seleção para forçar o usuário a digitar novamente as credenciais para acessar o aplicativo designado mesmo quando houver uma sessão de domínios do serviço IAM existente.
      • Se selecionada, essa opção impede o sign-on único para os aplicativos atribuídos à política de sign-on. Por exemplo, um usuário autenticado deve se conectar a um novo aplicativo.
      • Se não for selecionada, e o usuário tiver sido autenticado anteriormente, o usuário poderá acessar o aplicativo usando sua sessão de sign-on único existente sem precisar inserir credenciais
    • Prompt de um fator adicional: Marque essa caixa de seleção para solicitar ao usuário um fator adicional para acessar o domínio de identidades.

      Se você marcar essa caixa de seleção, especifique se o usuário precisa se inscrever na autenticação multifator (MFA) e com que frequência esse fator adicional deve ser usado para acesso.

    • Qualquer fator ou Somente fatores especificados: selecione uma destas opções:
      • Qualquer fator: solicita que o usuário se inscreva e verifique qualquer fator ativado nas definições do tenant de MFA.
      • Fatores especificados: só solicita que o usuário se inscreva e verifique um subconjunto de fatores ativados nas definições do tenant de MFA. Depois de selecionar Fatores especificados, selecione os fatores que deverão ser impostos por essa regra.
    • Frequência: Especifique com que frequência os usuários são solicitados a informar um segundo fator:
      • Uma vez por sessão ou dispositivo confiável: para cada sessão que o usuário tiver aberto de um dispositivo autorizado, ele deverá usar seu nome de usuário e senha e um segundo fator.
      • Sempre:: toda vez que um usuário acessar um dispositivo confiável, ele deverá usar seus nomes de usuário e senhas e um segundo fator.
      • Intervalo personalizado: Especifique a frequência com que os usuários devem fornecer um segundo fator para acesso. Por exemplo, se você quiser que os usuários usem esse fator adicional a cada duas semanas, clique em 14 para o Número e selecione Dias para Intervalo. Se você configurou a MFA, esse número deverá ser menor ou igual ao número de dias nos quais um dispositivo pode ser confiável de acordo com as definições de MFA. Para obter mais informações, consulte Gerenciando Autenticação multifator.
    • Inscrição: Selecione uma das seguintes opções:
      Importante

      Defina Inscrição como Opcional até que você termine de testar a política de sign-on.
      • Obrigatória força o usuário a se inscrever na MFA.
      • Selecione Opcional para dar aos usuários a opção de ignorar a inscrição na MFA. Os usuários veem o processo de configuração de inscrição em linha depois que digitam o nome de usuário e a senha, mas podem clicar em Ir. Os usuários podem ativar a MFA posteriormente na definição verificação em 2 etapas nas definições de Segurança de Meu Perfil. Os usuários não são solicitados a configurar um fator na próxima vez que acessarem o sistema. Se você definir Inscrição como Obrigatório e posteriormente alterar a definição para Opcional, a alteração afetará somente novos usuários. Os usuários já inscritos no MFA não verão o processo de inscrição em linha e não poderão clicar em Ir ao acessar
  11. Clique em Adicionar regras de acesso.
  12. (Opcional) Na página Adicionar regras de login, clique em Adicionar regra de login novamente para adicionar outra regra de login a essa política. Caso contrário, clique em Próximo.
    Observação

    Se você adicionar várias regras de sign-on a essa política, poderá alterar a ordem em que elas serão avaliadas. Clique em Editar prioridade e use as setas para alterar a ordem das regras.
  13. Na página Adicionar aplicativos, clique em Adicionar aplicativo para adicionar aplicativos a essa política.
  14. No painel Adicionar aplicativo, marque a caixa de seleção de cada aplicativo que você deseja adicionar à política. Em seguida, clique em Adicionar aplicativo.
    Nota

    Você só pode adicionar um aplicativo a uma política de sign-on. Se o aplicativo não for designado a nenhuma política de sign-on explicitamente, a política de sign-on padrão será aplicada.

  15. Quando estiver pronto, clique em Fechar. A página de detalhes da política de sign-on é exibida.