O OCI Domains é o novo gestor de identidade do OCI, ele é o resultado da junção do IDCS com o OCI IAM, para quem já trabalhou com as duas ferramentas vai perceber que é muito simples a configuração do MFA.
Ativando o MFA
Para a ativação do MFA existem duas opções, você pode ir no item My Profile (clicando em seu usuário no canto superior direito) > Security e configurar o novo dispositivo, nesse exemplo vou usar meu celular com o app Authenticator da Oracle.
Ao clicar em Enable um Wizard vai ser exibido mostrando como você precisa configurar no aparelho.
A outra opção é configurar o MFA no primeiro login após a regra ter sido configurada, dessa forma o usuário obrigatoriamente vai ter ele configurado:
Configurando a politica de login
A politica de login padrão não exige MFA, então mesmo que você ative na configuração de seu usuário, ela não vai ser solicitada no login, para ativa-la você precisa ir em Identity >Domains > Default domain > Security>Sign-on policies>Sign-on policy details>Sign-on rules e editar (ou criar uma nova) a politica para que o MFA seja exigido, ponto importante é que apenas uma pode estar ativa por vez, aqui dentro da Default Sign-On Policy criei a MFA-tnk, alterei sua prioridade para 1 e dentro dela eu configurei a obrigatoriedade do MFA:
Você tem diversas opções de como configurar, o mais importante aqui é selecionar as condições adequadas, no meu caso coloquei que caso a pessoa faça login com usuário e senha (o que é o padrão no OCI) e ela faça parte de um grupo especifico (g-tnk-mfa) o MFA vai ser solicitado:
Isso é o suficiente para que o MFA seja exigido.
Explorando mais opções do MFA
Uma herança do IDCS é a capacidade de configurações especificas do MFA (e de outros recursos de identidade) como por exemplo quais metodos serão aceitos e padrões para cada um, essa configuração fica em Identity >Domains > Default domain > Security>MFA e Identity >Domains > Default domain > Security>Two-Factor Authentication, na primeira tela você especifica quais serão aceitos e na segunda como vão ser aceitos
PS: Valeu Welton pelo preview do Domains