Oracle Cloud Infrastructureドキュメント

マルチファクタ認証設定の構成

IAMのアイデンティティ・ドメインにアクセスするために必要なMFAファクタを定義するマルチファクタ認証(MFA)設定およびコンプライアンス・ポリシーを構成し、MFAファクタを構成します。

ノート

この項のタスクは、IAMのアイデンティティ・ドメインにMFAを設定する必要がある管理者用です。2ステップ検証を自分で設定する必要があるユーザーの場合、「アカウントのリカバリおよび2ステップ検証の設定」を参照してください。
始める前に:
  • テスト・アイデンティティ・ドメインにテスト・ユーザーを作成します。そのアイデンティティ・ドメインを使用して、初めてMFAを設定します。アイデンティティ・ドメインの作成およびユーザーの作成を参照してください。
  • サインオン・ポリシー構成によってロックアウトされた場合に備えて、REST APIを使用してアイデンティティ・ドメインへのアクセスを有効にするようにクライアント・アプリケーションを設定します。このクライアント・アプリケーションを設定せず、サインオン・ポリシー構成によってすべてのユーザーへのアクセスが制限される場合、Oracle Supportに連絡するまで、すべてのユーザーはアイデンティティ・ドメインからロックアウトされます。クライアント・アプリケーションの設定の詳細は、クライアント・アプリケーションの登録を参照してください。

MFA設定を定義するには、アイデンティティ・ドメイン管理者ロールまたはセキュリティ管理者ロールのいずれかに割り当てられている必要があります。

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
  2. 作業するアイデンティティ・ドメインの名前をクリックします。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。
  3. ドメインの詳細ページで、「セキュリティ」をクリックします。
  4. 「セキュリティ」ページで「MFA」をクリックします。
  5. 「ファクタ」で、アイデンティティ・ドメインへのアクセスに必要な各ファクタを選択します。
    各ファクタの説明は、認証ファクタの構成を参照してください。
  6. (オプション)選択したMFAファクタの「構成」をクリックして、それらを個別に構成します。
    各ファクタの手順は、認証ファクタの構成を参照してください。
  7. (オプション)ユーザーが構成できる登録されるファクタの最大数を設定します。
  8. (オプション)「信頼できるデバイス」セクションを使用して、信頼できるデバイス設定を構成します。
    「コンピュータを記憶する」と同様に、信頼できるデバイスでは、ユーザーがサインインするたびにセカンダリ認証を行う必要はありません。
  9. (オプション)「サイン・イン・ルール」で、ロックアウトする前にユーザーにMFA検証を誤って指定することを許可する、失敗したMFA試行の最大数を設定します。
  10. 「変更の保存」をクリックして、変更を確認します。
  11. アクティブなサインオン・ポリシーで、2ステップ認証が許可されていることを確認します:
    1. ドメインの「セキュリティ」ページで、「サインオン・ポリシー」をクリックします。
    2. 「サインオン・ポリシー」ページで、「デフォルトのサインオン・ポリシー」をクリックします。
    3. 「デフォルトのサインオン・ポリシー」ページの「リソース」で、「サインオン・ルール」をクリックします。
    4. 「デフォルトのサインオン・ルール」行で、「アクション」メニュー(アクション・メニュー)をクリックし、「サインオン・ルールの編集」を選択します。
    5. 「サインオン・ルールの編集」ダイアログ・ボックスの「ユーザーの除外」で、テストが完了するまで、自分自身または別のアイデンティティ・ドメイン管理者をこのルールから除外します。これにより、問題が発生した場合に、少なくとも1人の管理者が常にアイデンティティ・ドメインにアクセスできるようになります。
    6. 「アクション」で、「アクセスの許可」を選択し、「追加ファクタの要求」を選択します。
    7. 「変更の保存」をクリックします。
    8. 他のサインオン・ポリシーを追加した場合は、それらのポリシーごとに前述のステップに従って、MFAを有効にするすべての条件でMFAが有効になっていることを確認します。
      ノート

      デフォルトのサインオン・ルールの設定により、MFAはグローバルに有効になります。他のサインオン・ルールの設定によって、それらのルールの条件で指定されたユーザーおよびグループのデフォルトのサインオン・ルールがオーバーライドされる場合があります。パスワード・ポリシーの管理を参照してください。

      重要

      ポリシーから1つのIdentity Domain Administratorを除外していることを確認します。これにより、問題が発生した場合に、少なくとも1人の管理者が常にアイデンティティ・ドメインにアクセスできるようになります。

      サインオン・ポリシーのテストが完了するまで、「登録」「オプション」に設定します。

  12. 構成をテストするには、コンソールからサインアウトし、テスト・ユーザーとしてサインインします。
    2番目のファクタの入力を求められます。