OCI , sec , seguranca , Uncategorized

OCI – Ativando MFA em contas com Domains

Adriano Tanaka

O OCI Domains é o novo gestor de identidade do OCI, ele é o resultado da junção do IDCS com o OCI IAM, para quem já trabalhou com as duas ferramentas vai perceber que é muito simples a configuração do MFA.

Ativando o MFA

Para a ativação do MFA existem duas opções, você pode ir no item My Profile (clicando em seu usuário no canto superior direito) > Security e configurar o novo dispositivo, nesse exemplo vou usar meu celular com o app Authenticator da Oracle.

Ao clicar em Enable um Wizard vai ser exibido mostrando como você precisa configurar no aparelho.

A outra opção é configurar o MFA no primeiro login após a regra ter sido configurada, dessa forma o usuário obrigatoriamente vai ter ele configurado:

Configurando a politica de login

A politica de login padrão não exige MFA, então mesmo que você ative na configuração de seu usuário, ela não vai ser solicitada no login, para ativa-la você precisa ir em Identity >Domains > Default domain > Security>Sign-on policies>Sign-on policy details>Sign-on rules e editar (ou criar uma nova) a politica para que o MFA seja exigido, ponto importante é que apenas uma pode estar ativa por vez, aqui dentro da Default Sign-On Policy criei a MFA-tnk, alterei sua prioridade para 1 e dentro dela eu configurei a obrigatoriedade do MFA:

Você tem diversas opções de como configurar, o mais importante aqui é selecionar as condições adequadas, no meu caso coloquei que caso a pessoa faça login com usuário e senha (o que é o padrão no OCI) e ela faça parte de um grupo especifico (g-tnk-mfa) o MFA vai ser solicitado:

E nas ações:

Isso é o suficiente para que o MFA seja exigido.

Explorando mais opções do MFA

Uma herança do IDCS é a capacidade de configurações especificas do MFA (e de outros recursos de identidade) como por exemplo quais metodos serão aceitos e padrões para cada um, essa configuração fica em Identity >Domains > Default domain > Security>MFA e Identity >Domains > Default domain > Security>Two-Factor Authentication, na primeira tela você especifica quais serão aceitos e na segunda como vão ser aceitos

Eu poderia por exemplo falar que aceito o Authenticator como segundo fator de autenticação mas que o intervalo de atualização do código gerado por ele vai ser de 5 minutos, ou que o comprimento da senha vai ser de 12 caracteres, uma parte interessante é que você consegue inclusive obrigar alguns requisitos do aparelho:

PS: Valeu Welton pelo preview do Domains

chevron_left
chevron_right