MFA

Multi-Factor Authentication é um método de autenticação que requer o uso de mais de um fator para verificar a identidade de um usuário.

Com o MFA ativado, quando um usuário se loga em uma aplicação, é solicitado o nome e a senha que podem ser considerados o primeiro fator (algo que ele saiba). Logo após é solicitado o segundo fator que comumente é algo que ele tenha (como um e-mail ou um dispositivo) ou algo que ele seja (como a impressão digital). Mas basicamente o MFA trabalha com 2 das 3 opções:

·       Algo que você saiba

·       Algo que você tenha

·       Algo que você seja

Como ativar o MFA

Na hora da escrita desse post existiam 3 possibilidades para ativar o MFA dependendo do seu tipo de conta.

1.       Ambientes com Domains

2.       Ambientes sem Domains com usuários do IDCS

3.       Ambientes sem Domains com usuários locais

 

Neste post irei falar especificamente sobre ambientes com Domains

Para ativar o MFA no novo modelo de Domains, são necessários apenas 2 passos:

1.       Configurar o método de autenticação

2.       Configurar ao menos uma política de Sign in

 

Configurar o método de autenticação

Para acessar a página, vá para o menu hambúrguer e Identity & Security -> Domains -> [Selecione um Dominio] -> Security -> MFA.

Agora é necessário configurar o método de autenticação e outras configurações como criptografia, número de caracteres etc.

Muitos clientes param nesta etapa acreditando que já habilitaram o MFA, mas tudo que foi feito, foi somente habilitar as possibilidades de escolha dos métodos de autenticação. Isto não habilitou o MFA.

habilitar as opções de multi fator desejadas clicando nos boxes. Mais de uma opção pode ser selecionada

Habilitando o MFA

Para isso, precisamos criar ou editar uma Sign On Policy e explicitamente habilitar o MFA.

Para acessar a página vá para Identity & Security -> Domains -> [ Selecione um Dominio ] -> Security -> Sign-on policies. Aqui você encontrará uma ou mais políticas de Sign On. Caso você tenha somente a Default, é recomendado criar uma política separada para o MFA ou pelo menos uma regra separada.

Entre na política e na regra desejada, e no canto direito, clique em edit.

Uma na tela de edição, selecione Prompt for an additional factor e configure o MFA. Assim que salvar, o MFA será solicitado para todos os usuários que tentarem fazer login e caso eles já não tenha cadastrado, eles poderão cadastrar na hora.

 

clicar no botão de prompt for additional factor e configurar a opção desejada

 

Tenha em mente que o ideal é ativar o MFA como optional, cadastrá-lo para os administradores e ter certeza que estão funcionando, e só após isso, colocar como obrigatório para todos os usuários.