Oracle Cloud Infrastructureドキュメント

マルチファクタ認証設定の構成

IAMのアイデンティティ・ドメインにアクセスするために必要なMFAファクタを定義するマルチファクタ認証(MFA)設定およびコンプライアンス・ポリシーを構成し、MFAファクタを構成します。

ノート

この項のタスクは、IAMのアイデンティティ・ドメインにMFAを設定する必要がある管理者用です。2ステップ検証を自分で設定する必要があるユーザーの場合、アカウント・リカバリおよび2ステップ検証の設定を参照してください。
始める前に:
  • テスト・アイデンティティ・ドメインにテスト・ユーザーを作成します。そのアイデンティティ・ドメインを使用して、初めてMFAを設定します。アイデンティティ・ドメインの作成およびユーザーの作成を参照してください。
  • サインオン・ポリシー構成によってロックアウトされた場合に、REST APIを使用してアイデンティティ・ドメインへのアクセスを有効にするようにクライアント・アプリケーションを設定します。このクライアント・アプリケーションを設定せず、サインオン・ポリシー構成によってすべてのユーザーへのアクセスが制限される場合、Oracle Supportに連絡するまで、すべてのユーザーはアイデンティティ・ドメインからロックアウトされます。クライアント・アプリケーションの設定の詳細は、クライアント・アプリケーションの登録を参照してください。

MFA設定を定義するには、アイデンティティ・ドメイン管理者ロールまたはセキュリティ管理者ロールのいずれかに割り当てられている必要があります。

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」を選択します。「アイデンティティ」で、「ドメイン」を選択します。
  2. 作業するアイデンティティ・ドメインの名前を選択します。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。
  3. ドメインの詳細ページで、「セキュリティ」を選択します。
  4. 「セキュリティ」ページで、「MFA」を選択します。
  5. 「ファクタ」で、アイデンティティ・ドメインへのアクセスに必要な各ファクタを選択します。
    各ファクタの説明は、認証ファクタの構成を参照してください。
  6. (オプション)選択したMFAファクタの「構成」を選択して、それらを個別に構成します。
    各ファクタの手順は、認証ファクタの構成を参照してください。
  7. (オプション)ユーザーが構成できる登録されるファクタの最大数を設定します。
  8. (オプション)「信頼できるデバイス」セクションを使用して、信頼できるデバイス設定を構成します。
    「コンピュータを記憶する」と同様に、信頼できるデバイスでは、ユーザーがサインインするたびにセカンダリ認証を行う必要はありません。
  9. (オプション)「サイン・イン・ルール」で、ロックアウトする前にユーザーにMFA検証を誤って指定することを許可する、失敗したMFA試行の最大数を設定します。
  10. 「変更の保存」を選択して、変更を確認します。
  11. アクティブなサインオン・ポリシーで、2ステップ認証が許可されていることを確認します:
    1. ドメインの「セキュリティ」ページで、「サインオン・ポリシー」を選択します。
    2. 「サインオン・ポリシー」ページで、「デフォルトのサインオン・ポリシー」を選択します。
    3. デフォルトのサインオン・ポリシー・ページの「リソース」で、「サインオン・ルール」を選択します。
    4. デフォルトのサインオン・ルール行で、「アクション」メニュー(アクション・メニュー)を選択し、「サインオン・ルールの編集」を選択します。
    5. 「サインオン・ルールの編集」ダイアログ・ボックスの「ユーザーの除外」で、テストが完了するまで、自分自身または別のアイデンティティ・ドメイン管理者をこのルールから除外します。これにより、問題が発生した場合に、少なくとも1人の管理者が常にアイデンティティ・ドメインにアクセスできるようになります。
    6. 「アクション」で、「アクセスの許可」を選択し、「追加ファクタの要求」を選択します。
    7. 「Save changes」を選択します。
    8. 他のサインオン・ポリシーを追加した場合は、それらのポリシーごとに前述のステップに従って、MFAを有効にするすべての条件でMFAが有効になっていることを確認します。
      ノート

      デフォルトのサインオン・ルールの設定により、MFAはグローバルに有効になります。他のサインオン・ルールの設定によって、それらのルールの条件で指定されたユーザーおよびグループのデフォルトのサインオン・ルールがオーバーライドされる場合があります。パスワード・ポリシーの管理を参照してください。

      重要

      ポリシーから1つのIdentity Domain Administratorを除外していることを確認します。これにより、問題が発生した場合に、少なくとも1人の管理者が常にアイデンティティ・ドメインにアクセスできるようになります。

      サインオン・ポリシーのテストが完了するまで、「登録」「オプション」に設定します。

  12. (オプション) MFA検証失敗およびMFA通知試行の個別のロックしきい値を有効にします。これを有効にするには、REST APIコールの実行方法がわかっていることを確認します。
    ノート

    ユーザーMFAスキーマには、次の2つの新しい属性があります:
    • mfaIncorrectValidationAttempts - ユーザーによる不正なMFA検証試行を追跡します。
    • mfaNotificationAttempts - ユーザーによるMFA通知試行を追跡します。

    また、AuthenticationFactorSettingsには2つの新しい属性が追加されています。

    • maxMfaIncorrectValidationAttempts - アカウントがロックされる前に試行できる不適切なMFA検証の最大数。この属性に値を設定する場合は、maxMfaNotificationAttemptsの値セットも必要です。この属性が設定されていない場合、MFAのロック動作はmaxIncorrectAttemptsによって決定されます。mfaIncorrectValidationAttemptsがmaxMfaIncorrectValidationAttemptsに達すると、ユーザーはすぐにロックされます。
    • maxMfaNotificationAttempts - アカウントがロックされるまでに試行できるMFA通知の最大数。この属性に値を設定する場合は、maxMfaIncorrectValidationAttemptsの値セットも必要です。この属性が設定されていない場合、MFAのロック動作はmaxIncorrectAttemptsによって決定されます。mfaNotificationAttemptsがmaxMfaNotificationAttemptsに達すると、ユーザーは次回通知を開始しようとしたときにロックされ、ユーザーが最後のMFA通知を使用して認証できるようになります。

    次のペイロードで<IDENTITY_DOMAIN_URL>/admin/v1/AuthenticationFactorSettings/AuthenticationFactorSettingsエンドポイントに対してPATCHコールを実行して、AuthenticationFactorSettingsを更新し、 maxMfaIncorrectValidationAttemptsmaxMfaNotificationAttemptsの両方を設定します。

    
{
  "schemas": [
    "urn:ietf:params:scim:api:messages:2.0:PatchOp"
  ],
  "Operations": [
    {
      "op": "add",
      "path": "endpointRestrictions.maxMfaIncorrectValidationAttempts",
      "value": 3
    },
    {
      "op": "add",
      "path": "endpointRestrictions.maxMfaNotificationAttempts",
      "value": 3
    }
  ]
}

    両方の値は、最小値3から最大値10まで異なる場合があります。

  13. 構成をテストするには、コンソールからサインアウトし、テスト・ユーザーとしてサインインします。
    2番目のファクタの入力を求められます。