IBM Cloud Docs
Autenticación de multifactores de IBM Cloud

Autenticación de multifactores de IBM Cloud

La autenticación multifactor (MFA) añade una capa de seguridad a su cuenta al exigir a todos los usuarios que se autentiquen utilizando otro factor de autenticación además de un ID y una contraseña. La MFA también se conoce comúnmente como autenticación de dos factores ( 2FA ).

IBM Cloud está asociado con el ID de cada usuario y los autentica en todas las cuentas de las que son miembros, por lo que se autentican una sola vez.

IBM Cloud MFA se aplica a todos los recursos de cualquier tipo de cuenta. Cuando se habilita MFA, se solicita a un usuario que proporcione un identificador exclusivo (como un nombre de usuario o un correo electrónico) y una contraseña única (OTP) generada por una aplicación de autenticador o una señal de hardware. Después de especificar la OTP correcta, se otorga acceso al recurso solicitado. Este tipo de MFA es mucho más seguro que la MFA basada en cuentas porque no se limita a los recursos de la infraestructura clásica y se aplica a todos los recursos de la cuenta. También reduce el riesgo de una infracción debido a una contraseña débil o al uso de la misma contraseña en varias cuentas.

Opciones de MFA

Como administrador en el IAM Identity Service o en todos los servicios de gestión de cuentas de IAM, puede habilitar MFA para la cuenta o para un usuario específico, y se aplica a todos los recursos de la cuenta.

  • Puede actualizar el valor de MFA para su cuenta yendo a Gestionar > Acceso (IAM) > Valores > Autenticación en la consola de IBM Cloud®. Para obtener más información, consulte Habilitación de MFA para una cuenta.
  • Puede actualizar el valor de MFA para un usuario específico en su cuenta yendo a Gestionar > Acceso (IAM) > Usuarios y pulsando el usuario cuya MFA desea actualizar. Si es un usuario nuevo, utilice la opción de MFA basada en ID para garantizar que su inicio de sesión sea seguro. Para obtener más información, consulte Habilitación de MFA para un usuario individual.

MFA para usuarios con un IBMid

Los usuarios se autentican mediante un IBMid, una contraseña y un código de acceso único basado en el tiempo (TOTP). Puede habilitar esta opción para todos los usuarios o solo para los usuarios no federados.

MFA para todos los usuarios ( IBMid y IdPs compatibles )

Los usuarios se autentican utilizando uno de los siguientes factores de MFA. Esta opción se aplica a todos los usuarios, incluidos los usuarios que utilizan un IBMid o un proveedor de identidad externo (IdP), como App ID.

  • MFA basada en correo electrónico: Los usuarios se autentican mediante un código de seguridad que se envía por correo electrónico.
  • MFA TOTP: los usuarios se autentican utilizando un TOTP.
  • U2F MFA: Los usuarios se autentican utilizando una clave de seguridad física basada en hardware. Este factor, basado en el estándar FIDO U2F, ofrece el nivel de seguridad más alto.

Ninguna

Todos los usuarios inician sesión utilizando sólo un ID estándar y una contraseña, lo que ofrece el nivel más bajo de seguridad. Para aumentar el nivel de seguridad de esta opción, puede inhabilitar el inicio de sesión en la CLI sólo con un nombre de usuario y una contraseña. De esta forma, necesita una clave de API para iniciar sesión en la CLI o los usuarios pueden iniciar sesión con --sso.

A partir del 3 de mayo de 2023, de forma predeterminada, los inicios de sesión de CLI con solo un nombre de usuario y una contraseña están inhabilitados para todos los usuarios que tienen MFA establecido en Ninguno. Esto se aplica a los usuarios en cuentas nuevas y existentes. Los administradores pueden cancelar la participación antes de esa fecha en la consola de IBM Cloud. Para obtener más información, consulte Desactivar los inicios de sesión de CLI con solo una contraseña.