Identity and Access Management 常見問題

一般問題

什麼是 Oracle Cloud Infrastructure Identity and Access Management (OCI IAM)？

OCI IAM 是 OCI 的原生服務，提供企業級的身分識別和存取管理功能，例如對企業應用程式提供強式調適型認證、使用者生命週期管理 (LCM) 和單一登入 (SSO)。OCI IAM 在 OCI 中部署為識別網域。內含的網域可讓組織管理對 Oracle Cloud 服務 (網路、運算、儲存等) 和 Oracle SaaS 應用系統的存取。客戶可以選擇升級或建立其他識別網域以配合其他使用案例，例如管理非 Oracle 應用程式的人力存取、讓消費者存取面對客戶的應用程式，或將 IAM 內嵌至自訂開發的應用程式。

什麼是識別網域？

每個 OCI IAM 識別網域都是獨立的身分識別與存取管理解決方案，可用來處理各種 IAM 使用案例。例如，您可以使用 OCI IAM 識別網域管理橫跨多個雲端和內部部署應用程式的員工存取權，從而實現安全驗證、輕鬆管理權益，並為一般使用者提供無縫接軌的 SSO。您可能也想要建立識別網域，讓業務夥伴能夠存取供應鏈或訂購系統。您也可以使用識別網域為面向消費者的應用程式啟用 IAM，並允許消費者使用者執行自行註冊、社群登入和 (或) 使用條款許可。識別網域代表一個完整的識別即服務 (IDaaS) 解決方案，可容納許多 IAM 使用案例和案例。

我應該選擇哪種類型的識別網域？

• 免費識別網域：每個 OCI 租用戶都包含免費層預設 OCI IAM 識別網域，可用於管理對 OCI 資源 (網路、運算、儲存等) 的存取。如果您只想管理對 OCI 資源的存取，可以使用內含的預設網域。它提供一組完善的 IAM 功能，用於管理對 Oracle Cloud 資源的存取。視安全模型和團隊而定，客戶可以選擇為 OCI 管理員保留此網域。
• Oracle Apps 識別網域：許多 Oracle Cloud 應用程式 (HCM、CRM、ERP、產業應用程式等) 可能包括透過 Oracle Apps 網域使用 OCI IAM。這些網域適用於已訂閱的 Oracle 應用程式，並提供強大的 IAM 功能來管理對 Oracle Cloud 和 SaaS 服務的存取。客戶可以選擇將所有員工新增至此網域，以便將 SSO 啟用至 Oracle Cloud 應用服務，並且可以使用此網域來管理其部分或全部 OCI 資源的存取權。
• Oracle Apps Premium 識別網域：如果您想要擴充具備完整企業功能的 Oracle Apps 網域，以管理可能未提供 SaaS (例如 Oracle E-Business Suite 或 Oracle) 的 Oracle 應用系統存取權無論是內部部署還是在 OCI 代管的資料庫，Oracle Apps Premium 網域都提供完整的 OCI IAM 功能和功能，可搭配可以在混合雲端環境中部署的 Oracle 目標使用。這是功能完整但僅限於搭配 Oracle 目標使用的低成本服務。
• 外部識別網域：外部識別網域為非員工提供一組完整的 OCI IAM 功能和功能，例如存取零售網站的用戶、允許公民存取的政府，或允許業務夥伴存取的企業。應用程式的目標不受限制。不過，某些企業功能通常在非員工案例中並不有用，例如 App 閘道和佈建橋接器。外部網域包括支援社群登入、自行註冊、使用條款同意以及設定檔 / 密碼管理。
• 進階識別網域：進階識別網域提供一組完整的 OCI IAM 功能和功能，沒有任何應用程式目標限制。進階網域可作為企業 IAM 服務使用，可管理跨雲端和內部部署應用程式的員工或人力存取，進而實現安全驗證、輕鬆管理權益，以及為一般使用者提供無縫接軌的 SSO。

是否可以在單一識別網域混合員工和非員工？

編號 OCI IAM 將這些項目視為個別的使用者群體，供授權之用。不過，您可以使用相同的 OCI IAM 服務來管理兩個或更多可容納員工和非員工的網域 (合作夥伴、關係企業、消費者等)。多個網域可以用來存取相同的應用程式，但非員工的規則與安全性政策通常與套用至員工的規則及安全性政策不同。每個網域都有自己的一組設定值、組態和安全原則，這對使用者群體而言是唯一的。這是為了因應各種不同使用者群體一般需求而設計。

誰可以存取識別網域？

每個 OCI 租用戶都包含一個管理員群組，可提供所有 OCI 資源的完整存取權。請務必瞭解 OCI 管理員群組的所有成員都具備管理 OCI IAM 識別網域的完整存取權。Oracle 建議謹慎使用此群組。管理權限可以透過管理員角色在每個網域內授予，以分隔人員群組之間的職責。請參閱瞭解管理員角色瞭解詳細資訊。

OCI IAM 是否提供高可用性和 (或) 災難復原？

每個 OCI 區域內都有多個可用性網域 (AD) 或容錯域 (FD)，這些網域位於單一 AD 區域中。AD 和 FD 提供類似的功能，但 FD 實際上比 AD 更接近。識別網域會在提供高可用性的每個區域 (兩個跨 AD/FD) 中部署備援安裝。OCI IAM 識別網域也運用高效能資料複寫，透過主動 - 被動方法提供跨區域災害復原 (DR)。這會在整個 OCI 區域無法使用時，為識別網域提供可靠的資料復原。此災害復原是透過單一 URL 提供，讓應用程式通透。

Oracle Identity and Access Management 的關鍵詞語和概念為何？

IAM 的主要概念是：

• 帳戶或租用戶 - 當您註冊 OCI 時，Oracle 會為您的公司建立一個租用戶，這是 OCI 內的獨立分割區，您可以在其中建立、組織及管理雲端資源。這有時稱為 OCI 帳戶。
• 區間 - OCI 帳戶內的 Oracle Cloud 資源邏輯容器。管理員可以在 OCI 帳戶內建立一或多個區間，以組織及管理資源。例如，您可以使用區間在不同類型的管理員 (網路、運算、儲存等) 之間強制實行責任區分。
• 根區間 - OCI 帳戶內的最上層區間。佈建帳戶後，將會自動為您建立根區間。
• 識別網域 - 識別網域代表 OCI 中的使用者群體，以及關聯的組態和安全設定值。每個帳戶都包含一個預設識別網域，讓客戶能夠管理對 OCI 資源的存取。客戶可以根據自己的特定需求選擇建立其他識別網域。識別網域是建立在區間內，而管理網域的存取權則與區間權限有關。您可以撰寫 OCI 存取原則，以允許指定區間 / 網域中的使用者存取其他區間中的資源。
• 使用者 - 可認證的實體。使用者可以是個人或機器帳戶。每一位使用者在您的帳戶中均有唯一名稱和全域的唯一識別碼。使用者可獲取密碼，以存取 Web 主控台和金鑰，以透過 API 存取服務。
• 群組 - 使用者集。群組用於簡化存取管理。例如，您可以將軟體開發人員分為「開發人員」群組成員，允許讀取和 (或) 修改程式碼。單一使用者可以是多個群組的成員。
• 原則 - 指定誰可以存取哪些 OCI 資源及其權限的文件。原則是由使用自然語言語法的原則敘述句組成。

Oracle Cloud Infrastructure 的身分識別和存取管理做法有何獨特之處？

透過 OCI IAM，您可以在所有 Oracle Cloud 和雲端應用程式服務中運用單一模型進行認證和授權。OCI IAM 可讓各種規模的組織輕鬆管理存取，從使用單一專案的個人，到擁有許多群組同時處理許多專案的大型公司，全部都在一個帳戶中。資源管理與授權可以按帳戶等級或區間等級進行，同時允許集中稽核與計費。OCI IAM 是從頭建置的，可讓您強制執行最低權限的安全原則；在預設情況下，新使用者無法對任何資源執行任何動作。管理員可為每一名使用者授予適當的存取權限。

除了管理 OCI 資源之外，OCI IAM 還讓企業級的 IDaaS 解決方案觸手可及。只要按一下按鈕，即可部署強大的 IAM 解決方案，用於解決員工 / 人力、合作夥伴或消費者使用案例的許多 IAM 需求。

Oracle Cloud Infrastructure 如何支援多因素認證？

OCI IAM 提供對多重因素認證 (MFA) 的廣泛支援，其中包括提供推送或一次性密碼選項的行動 MFA 應用程式、支援 FIDO2 認證者，以及支援簡訊、電子郵件、電話等。OCI IAM 也包含內容感知調適型安全性，可降低風險，而不會對一般使用者體驗造成障礙。「調適型安全性」會評估使用者的裝置、網路、位置和過去行為，以建立使用者階段作業的風險分數。管理員可以設定特定應用程式或特定使用者群組可能不同的 MFA 原則。

對於使用者、群組、區間與原則的變更，會基於除錯與稽核的目的進行記錄嗎？

有。為滿足稽核與法規遵循的企業需求，我們會記錄所有變更與這些記錄供您使用，無須額外費用。

如何開始使用 OCI IAM？

OCI IAM 是預設啟用的服務且無須額外付費。您帳戶的預設管理員。所有後續使用者均透過 IAM 服務建立，您可以在這項服務中明確授予使用者與指定雲端資源互動的權限。

您可以使用 Console、Rest API 或 SDK，存取 Oracle IAM。

做為 Oracle Cloud Infrastructure 使用者，我要如何重設密碼？

如要重設 Oracle Cloud Infrastructure 密碼，您必須先確認您的帳戶已經設妥關聯的電子郵件地址。請造訪 Oracle Cloud Infrastructure 帳戶的使用者個人資料頁面，並新增只有您才可存取的電子郵件地址。您將會收到一封電子郵件，要求確認要以該電子郵件地址註冊您的帳號。如果您的租戶管理員未停用該電子郵件地址，那您就可以使用該電子郵件地址重設密碼。

區間

區間旨在解決哪些問題？

區間是帳戶內的一個安全邏輯容器，用於託管基礎架構資源 (如：運算、儲存和網路)，此外還有一組適用於這些資源的存取管理原則。區間讓您能夠有條不紊地整理雲端資源，以便支援各種使用案例。

以下列出區間常見的幾種用法：

• 區隔軟體開發環境，以便簡化管理。例如：您可能會有專門用於開發、測試與生產的個別區間；或者也可以有專門用於支援藍/綠部署個別的區間。
• 簡化權限管理。例如：您可以為網路資源 (VCN、子網路、網際網路閘道等) 建立個別的區間，然後僅允許網路管理員存取該區間。
• 分別計算各事業單位的使用量，以便正確對這些事業單位的雲端資源使用量收費。
• 最小化特定組別使用者可見的資源集。例如：您可能會為財務團隊建立特定員工才可見的個別區間。

區間可包含多個可用性網域的資源嗎？

有。區間是資源的邏輯分組，與可用性網域的實體建構完全不同。每一個區間可包含整個可用性網域的資源。

區間如何用於進行存取控制？

所有原則均會附加至根區間或子區間。每個原則均包含一個或多個遵循此基本語法的原則聲明：

允許群組在區間中

原則聲明可讓您透過區間簡化權限管理；例如：您可以寫入允許 HRAdministrators 群組管理 HRCompartment 區間內所有資源的原則。

我可以刪除區間嗎？

是的，您可以刪除區間。

我可以移動整個區間的樹狀圖和所含的資源嗎？

是的，您可以將整個區間樹狀圖及其所含的資源，移至其他主區間。

我可以將資源 (如：運算實例或區塊磁碟區) 從一個區間移到另一個區間嗎？

是的，您可以將資源從一個區間移到另一個區間。

我可以建立區間的階層嗎？

是的，您可以通過進行巢狀來建立區間的階層。在階層式或巢狀區間情況下，系統管理員可以整理資源，並允許較低層級的管理員執行相同的操作，同時透過原則保持完整的可見度與控制。

可以將區間巢狀化至多少層？

巢狀區間的分層上限為六層。

更高級別的區間原則是否適用於子區間？

是的，更高級別區間的原則會往下傳至子區間。

我可以追蹤區間的費用和使用量嗎？

是的，您可以在「我的服務」追蹤區間的費用和使用量。

什麼是根區間？

Oracle Cloud Infrastructure 會針對每一個帳戶自動建立一個名為根區間的最上層區間。根區間的概念類似於檔案系統的根資料夾，而且除了以下幾個特殊的特性之外，根區間的行為模式和子區間完全一樣：

• 由於權限是階層式權限，因此根區間中的群組權限將套用至所有子區間。例如：如果為 NetworkAdmins 群組授予在根區間中管理虛擬雲端網路 (VCN) 的權限，則該群組將可在所有區間中管理 VCN。
• 目前而言，所有使用者和群組均在根區間內建立。可使用原則受取對特定子區間的存取權限。

注意:您目前只能在根區間中建立額外的區間,無法在其他區間中這麼做。

我什麼時候應該在根區間中建立資源？又該在什麼時候於子區間中建立資源？

一般而言，您應在不是根區間的區間中建立資源。最好能在開始建立區間與資源之前，設計好區間的階層。

使用者

Oracle Cloud Infrastructure 主控台使用者可以做什麼？

使用者是指可成功通過 OCI IAM 驗證的人，並且有權使用或管理您帳戶中的雲端資源。管理員可以在自己帳戶中建立一個或多個使用者，並為其指派群組，以便授予特定區間的資源權限。

誰能夠建立和管理使用者？

您的帳戶佈建完成後,當中會有一個使用者 (預設管理員) 和一個群組 (管理員群組);預設管理員就是這個群組的成員。此群組 (管理員) 具備您帳戶的完整存取權限。此特殊使用者 (預設管理員) 必須建立其他任一使用者或授予其他使用者權限，以便其建立新的使用者。

新的使用者在建立後具備哪些存取權限？

依預設，新的使用者不具備使用您帳戶中任何資源或服務的權限 - 所有權限均必須明示授予。此做法可讓您遵守最低權限的安全性原則，以便針對每一位使用者授予必要的存取權限。您必須明示新增使用者至現有群組或為其建立新的群組，然後透過原則，為該群組指派適當的權限。

我可以啟用和停用使用者存取權限嗎？

管理員可以停用或鎖定使用者，以暫時停用其存取權。他們也可以重設使用者密碼或移除金鑰。

是否可以將密碼設為過期？我要如何輪換憑證？

是，密碼制定原則可讓您設定密碼的到期時間。您也可以透過 REST API 和 SDK 將密碼重設、金鑰變更或編輯自動化至使用者和群組成員。

政策

原則是什麼？

原則是一份說明文件，其中包含了授予使用者群組特定權限之描述性原則聲明。原則是以類似於 SQL 的語法編寫，淺顯易懂。原則可強制執行的操作範例如下：

• 系統管理員可以「終止」或「重新啟動」您的裸機運算實例。
• 網路管理員可以完全管理所有網路相關的基礎架構資源。
• IT 管理員可以建立使用者並編輯群組成員資格。

原則允許群組在特定區間中，使用指定類型資源進行某些操作。原則可包含一個對該原則聲明提出更詳盡限制說明的條件式子句 (「where...」)。原則遵循以下語法：

允許群組在區間 [where]

例如：授予使用運算實例權限的原則聲明如下：

允許開發人員群組在 ProjectA 區間中使用實例

• 「group_name」是獲得權限的群組名稱。
• "verb" 是指要對資源採取的動作,例如:inspect、read、use 或 manage。
• 「resource-type」是獲得權限的雲端資源。resource-type 範例包括:instances、volumes 和 route-tables。
• 「compartment_name」是經過整理的資源區間名稱。
• 「conditions」進一步說明原則聲明的侷限範圍。例如:"where request.user.id=target.user.id" 或 "where target.group_name != Administrators"。

如需更多詳細資訊，請參閱 Oracle Cloud Infrastructure 說明文件的「OCI IAM」小節。

根區間的原則是否會延續至子區間？

有。在根區間中的原則授予權限會自動為所有子區間授予相同權限。例如：以下原則會為「InstanceAdmins」群組的所有使用者授予權限，以便管理根區間和所有子區間中的實例：

允許 InstanceAdmins 群組管理租戶中的實例

原則可以限定於特定區間嗎？

有。每一個原則均會「附加」至區間。您所選擇的附加位置，決定了可對該原則進行修改或刪除操作的人員。若將原則附加至根區間，則任何具備根區間原則管理權限的人員，均可對該原則進行變更或刪除。若將原則附加至某一區間，則任何具備該區間原則管理權限者，均可變更或刪除該原則。實際上，這便於區間管理員 (即具備區間「管理所有資源」權限的群組) 進行存取，以管理其負責區間的原則，不需再授予管理員用於管理帳戶內原則的邊界存取權限。

我可以在哪裡取得更多關於編寫原則聲明的資訊？

如需更多關於原則與原則聲明的資訊，請參閱 Oracle Cloud Infrastructure 說明文件中的《原則快速入門指南》和《常見原則》。

群組

什麼是群組？

群組是一組使用者，並且需要相似的存取權限才能使用或管理您帳戶中的特定資源。使用者可加入多個群組。權限採累計制。例如：如果有一個群組中的成員資格允許某名使用者使用計算實例，而第二個群組中的成員資格允許該使用者管理區塊磁碟區，則該名使用者便可管理實例和區塊磁碟區。

原則由管理員負責編寫，為群組 (而非個人使用者) 指定存取特定區間或帳戶所需的必要權限。之後再將使用者新增至適當的群組。

我可以設有多名管理員嗎？

有。您的帳戶附設一名隸屬於根區間「管理員」群組的預設管理員。此群組具備建立及管理您帳戶內所有 Oracle Cloud Infrastructure 資源的完整權限，其中包括使用者、群組、原則與區間，以及任一區間中的所有其他雲端基礎架構資源。您可以新增其他使用者至此管理員群組。

功能

OCI IAM 如何滿足密碼到期的需求？

密碼制定原則可讓您設定密碼的到期時間。預設的密碼制定原則會將密碼設為 120 天後到期。這是可設定的，且不同的原則可套用至使用者的子集。

如何在不將使用者證明資料內嵌到運算執行處理上執行作業？

使用動態資源群組將一組運算資源指定給群組。然後，您可以透過原則來指派該群組權限。這可讓運算執行處理安全地存取其他 OCI 資源，而不需要將證明資料內嵌到命令檔中。

身分聯合識別

Oracle Cloud Infrastructure 中的身分聯合識別是什麼？

身分聯合識別是一種機制，用於將 Oracle Cloud Infrastructure 租戶的使用者管理，委派給其他稱為身分識別提供者 (或簡稱 IdP) 的實體。此做法不需要再建立和維護新的一組使用者，對於已有既定慣用身分識別系統的公司而言十分實用。聯合識別需要在 Oracle Cloud Infrastructure 和 IdP 之間進行一次性的設定；這樣的操作又稱聯合信任 (Federation Trust)。

身分聯合識別使用者是什麼？

身分聯合識別使用者 (外部身分) 是指您在 Oracle Cloud Infrastructure 以外所管理的使用者 (如：企業目錄)，並且您會對這些使用者授予 Oracle Cloud Infrastructure 帳戶的存取權限。這些使用者有別於您在 Oracle Cloud Infrastructure 帳戶中所建立和維護的 Oracle Cloud Infrastructure 使用者。

身分聯合識別的使用者可以存取 Oracle Cloud Infrastructure Console 嗎？

有。身分聯合識別的使用者可以存取 Oracle Cloud Infrastructure Console。

身分聯合識別使用者可以存取 Oracle Cloud Infrastructure SDK 和 CLI 嗎？

有。身分聯合識別使用者可以存取 Oracle Cloud Infrastructure SDK 和 CLI。

Oracle Cloud Infrastructure 使用者可以在 Console 中執行哪些身分聯合識別使用者所不被允許的操作？

身分聯合識別使用者無法在 Oracle Cloud Infrastructure Console 中變更或重設密碼。

如何控制身分聯合識別使用者在登入主控台後可執行的操作？

您可以沿用管理原有使用者的 Oracle Cloud Infrastructure 原則來管理身分聯合識別使用者。請將身分識別提供者的角色與群組對應至 Oracle Cloud Infrastructure 中的群組。當身分聯合識別使用者登入時，Oracle Cloud Infrastructure Console 便會根據其 Oracle Cloud Infrastructure 的群組成員資格套用原則，就和對原有使用者採取的做法一樣。如需範例，請參閱說明文件。

身分識別提供者中的單一角色或群組可對應至多個 Oracle Cloud Infrastructure 群組。此外，身分識別提供者中的多個角色或群組也可對應至單一的 Oracle Cloud Infrastructure 群組。

我可以授予多少名身分聯合識別使用者存取 Oracle Cloud Infrastructure Console？

關於可授權存取該主控台的身分聯合識別使用者，並無人數限制。

您支援哪些身分識別提供者？

OCI IAM 支援任何符合 SAML 2.0、Open ID Connect 或 OAuth 規範的身分識別提供者，包括熱門解決方案，例如 Oracle Access Manager、Microsoft Active Directory Federation Services (AD FS) 和 Okta。

多因素鑑別

什麼是多重因素認證 (MFA)，為什麼重要？

過去，帳號都使用簡單的使用者名稱與密碼來保護。但是，使用常見的網路攻擊技術 (例如網路竊聽、釣魚及暴力攻擊) 時，密碼可能會難以記住，並相對易於擷取。如果有人竊取您的認證，他們就可以偽裝您並存取您所有的帳號與資源。

多重因素認證 (MFA) 是熱門的安全功能，可加強應用程式使用者所宣稱的身分，以協助降低帳戶接管風險。MFA 要求使用者提供多個認證因子。認證因子有三種類別：您知道的項目 (例如密碼或 PIN)、您擁有的項目 (例如安全記號或行動電話)，以及您的項目 (例如生物識別資料 (例如指紋或臉部掃描)。啟用 MFA 後，即使攻擊者管理取得您的密碼，他們也將無法像您一樣進行認證，同時提供 MFA 所需的其他證據。這有助於防止未經授權的存取，並防止機密資訊被入侵或採取不當的動作。啟用 MFA 也有助於解決法規遵循需求，並遵守產業標準，例如 National Institute of Standards and Technology (NIST) 提供的標準。

誰應該使用 MFA？

Oracle 建議為所有使用者啟用 MFA。您至少應為具有管理權限的使用者 (例如能夠建立及管理 OCI 資源) 啟用 MFA。您也應該要求 MFA 存取代管機密資訊或允許進行高風險動作的任何應用程式。

管理員啟用 MFA 時，一般使用者體驗為何？

管理員第一次啟用 MFA 時，系統會在使用者下次登入時提示使用者註冊 MFA。初次註冊之後，使用者將在每次後續造訪的登入過程中對 MFA 進行挑戰。如果管理員啟用信任裝置，使用者將可選擇選取「信任此裝置」，這樣會移除使用者在相同裝置上傳回的 MFA 需求。

如需詳細資訊，使用者可參考下列指南：

• 管理 OCI 識別和存取管理識別網域中的兩步驟驗證
• 管理 Oracle Identity Cloud Service 中的兩步驟驗證

MFA 在任何情況下是否為必要？

編號在任何情況下，MFA 並非嚴格規定。例如，如果您授予公用網站的存取權，通常不需要任何認證。如果您希望使用者在進行採購時登入，以便瞭解要收取的帳戶以及產品交付位置 (或許使用者名稱和密碼足夠)。但是，如果相同使用者想要變更付款方式或遞送地址，或應用程式允許可能影響您組織的動作，則建議使用 MFA。

Oracle 強烈建議您為所有雲端和應用程式管理員啟用 MFA。最後，您應該根據組織的內部安全原則和風險評估，評估是否強制執行 MFA。但是，從原則開始，MFA 一律是必要的，並且需要任何想要讓 MFA 成為選擇性的應用程式執行核准。

我可以使用哪些 MFA 因素？有成本嗎？

若要完全瞭解可用的因素和成本，請務必先瞭解您擁有的 OCI 租用戶類型。若要判斷您的租用戶是否具有識別網域的 OCI 身分識別與存取管理 (IAM)，或是否具有不含識別網域的 OCI IAM，請檢閱此文件。

• 如果您的租用戶擁有具備識別網域的 OCI IAM ，則所有識別網域類型都支援 MFA，無須額外付費。類型為「可用」的識別網域無法使用簡訊作為認證因子，但有其他因素可供使用。如需完整詳細資訊，請檢閱 OCI IAM 與識別網域 MFA 文件。
• 如果您的租用戶擁有沒有識別網域的 OCI IAM ，則 MFA 有兩個選項：
  • 啟用透過 OCI IAM 服務直接使用者登入的 MFA。此選項提供一組有限的認證因素，無須額外付費。如需完整詳細資訊，請參閱 OCI IAM (不含識別網域 MFA 文件) 。
  • 利用 Oracle Identity Cloud Service (IDCS) 在 OCI 中驗證使用者。此選項提供更多 MFA 功能和認證選項。
• 如果您使用 IDCS 進行認證，有兩種授權類型：
  • IDCS Foundation (免費層) 僅支援 MFA，以免費存取 OCI 主控台，此處說明的認證因素組合有限。為了保護其他應用程式，您需要升級至 IDCS 標準。
  • IDCS 標準針對任何受保護的服務或應用系統支援廣泛的 MFA 選項，無須額外付費。如需完整詳細資訊，請檢閱 Identity Cloud Service (IDCS) MFA 文件。

哪裡可以深入瞭解如何導入 MFA？

導入 MFA 的特定指示會根據您擁有的 OCI 租用戶類型而有所不同。若要判斷您的租用戶是否有具備識別網域的 OCI IAM，或是否有不含識別網域的 OCI IAM，請檢閱此文件。

• 如果您的租用戶有 OCI IAM 與識別網域，請參考保護 OCI IAM 最佳做法。
• 如果您的租用戶擁有沒有識別網域的 OCI IAM ，則 MFA 有兩個選項：
  • 若要在沒有識別網域的情況下透過 OCI IAM 啟用直接使用者登入 MFA，請參考在沒有識別網域的情況下管理 OCI IAM 的 MFA 。
  • 若要對未使用識別網域的 OCI IAM 同盟 IDCS 使用者啟用 MFA，請參考設定 IDCS 的 MFA 。
• 如果您使用 IDCS 對沒有 OCI 租用戶的應用程式進行認證，請參考 Configuring MFA for IDCS 。

如果我不導入 MFA，會發生什麼情況？

如果您不實作 MFA，目標帳戶接管攻擊可能會成功增加風險。但使用 MFA 時，您的租用戶和 (或) 其他認證處理作業將繼續正常運作。