35 Oracle Mobile Authenticatorの構成

Oracle Mobile Authenticatorは、時間ベースのワンタイム・パスワード(TOTP)を使用し、通知をプッシュして2ファクタ認証スキームでユーザーを認証するモバイル・デバイス・アプリケーションです。Oracle Mobile Authenticatorモバイル・デバイス・アプリケーションは、ワンタイム・パスワード(OTP)の生成に必要な秘密キーを取得するように構成する必要があります。

次の各項では、iOS、AndroidまたはWindowsのモバイル・デバイスでOracle Mobile Authenticatorアプリケーションを使用する場合の構成について詳しく説明します。

• Oracle Mobile Authenticator構成の理解

• Oracle Mobile Authenticatorアプリケーションの使用

• Oracle Mobile Authenticatorアプリケーションの管理

• Google Authenticatorアプリケーションの構成

35.1 Oracle Mobile Authenticator構成の理解

Oracle Mobile Authenticator (OMA)アプリケーションでは、OTPの生成に必要な秘密キーを取得したり、プッシュ通知を受信するためにAccess Managerに登録することができます。

秘密キーのプロビジョニングはオンラインでもオフラインでも実行できますが、プッシュ通知のための登録はオンラインのときのみ実行できます。

ノート:

秘密キーの詳細は、「Oracle Mobile Authenticatorの秘密キーの生成」を参照してください。

• オンライン構成では、「Oracle Mobile Authenticatorの秘密キーの生成」および「秘密キーAPIを有効化するためのOAuthサービスの構成」で説明されているREST WebサービスとモバイルOAuthサービスを使用します。有効になると、OMAアプリケーションではこのサービスを呼び出して秘密キーを取得したり、プッシュ通知を受信するために登録できるようになります。REST Webサービスを呼び出すには、OMAが位置URLを認識している必要があります。この場合、Oracle Access Management管理者はWebページを作成してOMAを構成します。ユーザーがWebページのリンク(電子メールで提供)をタップすると、OMAが起動して位置URLをアプリケーションに渡し、REST Webサービスの場所が構成されます。位置URLの形式は次のとおりです。

  oraclemobileauthenticator://settings?ServiceName::=<name_of_service>
  &ServiceType::=SharedSecret/Notification/Both&
  SharedSecretAuthServerType::=HTTPBasicAuthentication/OAuthAuthentication 
  &LoginURL::=http://<host>:<port>/secretKeyURL
  &NotificationAuthServerType::= HTTPBasicAuthentication
  &PushPreferencesEndpoint::=http://<host>:<port>/preferencesURL
  &ChallengeAnswerEndpoint::=http://<host>:<port>/challengeAnswerURL
  &SenderID::=<senderID>
  &OAuthClientID::=<clientID>
  &OAMOAuthServiceEndpoint::=http://<host>:<port>/oauthserviceURL
  &OAuthScope::=<OAuthScope>
  

  表35-1に、位置URLパラメータの定義を示します。

  表35-1 位置URLパラメータの定義

  パラメータ	説明
  ServiceName	サービスの名前。この名前は、OMA内で一意である必要があります。同じ名前の別の構成を送信した場合は、前のものを上書きするように求められます
  ServiceType	この構成により提供されるサービスのタイプ、つまり、ワンタイム・パスワード、通知、またはワンタイム・パスワードと通知の両方を組み合わせたハイブリッド・サービスです。値は、SharedSecret、Notificationまたは両方にすることができます。
  SharedSecretAuthServerType	共有シークレット・プロビジョニングRESTエンドポイントを保護する認証の種類。値は、HTTPBasicAuthenticationまたはOAuthAuthenticationです。
  LoginURL	ワンタイム・パスワードを生成するための共有シークレットをプロビジョニングするRESTエンドポイント。LoginURL問合せパラメータに指定される値は、Oracle Mobile Authenticator用のOAuth設定に基づいています。
  NotificationAuthServerType	通知登録エンドポイントを保護する認証の種類。現在はHTTP Basic認証のみがサポートされているので、値はHTTPBasicAuthenticationです。
  PushPreferencesEndpoint	プッシュ通知プリファレンスが送信されるRESTエンドポイント。
  ChallengeAnswerEndpoint	プッシュ通知レスポンスが送信されるRESTエンドポイント。
  SenderID	プッシュ通知を送信するためのAndroid送信者ID。SenderIDはAndroidでのみ必須であり、iOSを使用する際には必要ありません。
  OAuthClientID	OAuthのSharedSecretAuthServerTypeが設定されている場合、OAuthクライアントID
  OAMOAuthServiceEndpoint	サーバー上にあるOAuthプロファイルを取得するためのOAM OAuthサービス・エンドポイント。
  OAuthScope	共有シークレットにアクセスするために必要なOAuthスコープ。

  ノート:

  オンライン構成を使用することをお薦めします。

• オンライン構成では、モバイル・デバイスがRESTエンド・ポイントに接続できないユースケースや、OTPの生成に必要なパラメータがデフォルトと異なるユースケースをサポートしています。Access Manager管理者は、ユーザーによる秘密キーの生成や再作成を可能とするWebアプリケーションを設定します。ユーザーはこのWebアプリケーションにログインし、認証されると、秘密キーを表示して、OMAアプリケーションに手動で入力できるようになります。また、管理者がOTP生成パラメータ(タイム・ステップやハッシング・アルゴリズムなど)を変更できるように、オフライン構成URLを使用して秘密キーを提供することもできます。オフライン構成URLの形式は次のとおりです。

  oraclemobileauthenticator://settings?SharedSecretValue::=<secret_key>
  &AccountName::=<username>&SharedSecretEncoding::=Base32/Base64String
  &OTPAlgorithm::=TOTP
  &HashingAlgorithm::=MD5/SHA-1/SHA-224/SHA-256/SHA-384/SHA-512
  &OTPLength::=<lenght_of_OTP>&TimeStep::=<time_in_seconds>
  

  表35-2では、パラメータについて詳しく説明しています。

  表35-2 オフライン構成URLのパラメータ

  パラメータ	説明
  SharedSecretValue	必須値は秘密キーです。
  AcountName	省略した場合、ユーザーに入力が要求されます。
  SharedSecretEncoding	デフォルトはBase32です。
  OTPAlgorithm	デフォルトはTOTPです。
  ハッシュ・アルゴリズム	デフォルトはSHA-1です。
  OTPLength	デフォルト値は6です
  TimeStep	デフォルトは30秒です。

35.2 Oracle Mobile Authenticatorアプリケーションの使用

Oracle Mobile Authenticator (OMA)アプリケーションは、電話に送信されたログイン・リクエスト通知の「許可」をタップするか、アプリケーションが生成する昔のpassocde (OTP)を使用することで、第2の検証方法として使用できるモバイル・デバイス・アプリケーションです。

モバイル・アプリケーションは、OTPかプッシュ通知を使用して、ユーザーがモバイル・デバイスを所有していることを証明します。有効なOTPを生成できるのは、ユーザーの秘密キーを所有するモバイル・アプリケーションのみです。Oracle Mobile Authenticatorアプリケーションは、アプリケーション・ストアからダウンロードできます。

OMAアプリケーションのバージョン	モバイル・プラットフォームのバージョン
バージョン4.0	iOS 7.1+
バージョン8.0	Android 4.1+
バージョン1.0	Windows 8.1+

35.2.1 QRコードのスキャンによるOMAアプリケーションへのアカウント追加

Oracle Mobile Authenticator (OMA)アプリケーションをインストールしたら、QRコードをスキャンしてアカウントにアプリケーションをリンクできます。

オフライン構成の場合は、顧客がWebアプリケーションを開発することが想定され、ユーザーはそのアプリケーションによって認証されます。OMAがスキャンするQRコードには、共有シークレット、共有シークレットのエンコーディング情報、および必要に応じて、OTPの有効期間、TOTPに使用されるハッシュ・アルゴリズムまたはOTPの長さ(5桁/6桁)が含まれている必要があります。

QRコードは、次のいずれかの構成URLから作成する必要があります。

• oraclemobileauthenticator://settings?LoginURL::=http://OAMhost:port/oauth2/rest/resources/secretkey

• oraclemobileauthenticator://settings?AuthServerType::=HTTPBasicAuthentication&&LoginURL::=http://OAMhost:port/oauth2/rest/resources/secretkey&&ServiceName::=MyBank

「Oracle Mobile Authenticator構成の理解」を参照してください

管理者から受け取った構成URLを使用して手動でQRコードを作成し、アカウント作成プロセスを進めます。また、管理者から直接QRコードを受け取って、そのQRコードを「アカウントの追加」ページからスキャンするだけでアカウントを追加することもできます。

OMAアプリケーションにアカウントを追加するには:

1. スマートフォンでOMAアプリケーションを開き、「アカウントの追加」をタップします。

   ノート:

   OMAアプリケーションによって、ユーザー名とパスワードの入力を求めるプロンプトが表示されることがあります。
2. 「QRコードをスキャンしてアカウントを追加」をクリックします。
3. QRコードをスキャンします。
   アカウントがOMAアプリケーションに追加されます。

35.2.2 構成URLを使用したOMAアプリケーションへのアカウントの追加

Oracle Mobile Authenticator (OMA)アプリケーションをインストールしたら、構成URLをタップすることでアカウントにアプリケーションをリンクできます。

ノート:

サポートされたモバイル・ブラウザ(iOSではSafari、AndroidおよびWindowsでは任意のモバイル・ブラウザ)を使用して、モバイル・デバイスからこれらのステップを実行する必要があります。

1. ブラウザで、管理者から受け取った構成URLを開きます。
2. プロンプトが表示されたら、「開く」をクリックしてAuthenticatorのページを表示します。
   アカウントがOMAアプリケーションに追加されます。

35.2.3 キーの手動入力によるアカウントのOMAアプリケーションへの追加

Oracle Mobile Authenticator (OMA)アプリケーションをデバイスにインストールしたら、キーを手動で入力してアカウントにアプリケーションをリンクできます。

1. スマートフォンでOMAアプリケーションを開き、「アカウントの追加」をタップします。
2. 「キーを手動で入力」をタップします。
3. 「アカウントの追加」ページで、適切な情報を入力してから、キーを入力します。
4. 「保存」をタップします。
   アカウントがOMAアプリケーションに追加されます。

35.2.4 認証方法としてのOracle Mobile Authenticatorアプリケーションの使用

Oracle Mobile Authenticator (OMA)アプリケーションを2ステップ検証方法として登録した後で、それを使用して、アプリケーションに安全にログインするための2番目の検証方法を提供します。

1. アダプティブ認証サービスで保護された環境のユーザー名とパスワードを入力します。
2. どの認証方法が表示されるかは、管理者が有効化している方法に応じて異なります。
   1. モバイル・アプリケーションOTP

      ノート:

      デバイスのクロックが同期されていることを確認します。

      • モバイル・デバイスのOMAアプリケーションによって生成されたOTPを入力するよう求められます。

      • デバイスのOMAアプリケーションをタップして起動します。

      • 新しいOTPを生成するアカウントをタップします。アカウントのOTPが表示され、新しいOTPが自動的に生成されるまでのカウントダウンが開始されます。

      • 「OTP」ボックスにOTPを入力するか貼り付けて、「検証」をクリックします。

   2. モバイル・アプリケーション通知

      • モバイル・デバイスのOMAアプリケーションに送信された通知を開いて応答するよう求められます。

      • OMAアプリケーションで通知を開き、「許可」をタップします。

      ノート:

      Windowsでは、通知はサポートされません。Windows Phoneを使用している場合、通知の有効化または無効化はできません。

35.3 Oracle Mobile Authenticatorアプリケーションの管理

Oracle Mobile Authenticator (OMA)アプリケーションを使用すると、アカウントの表示方法のカスタマイズ、PINの管理、および通知の管理が簡単になります。

トピック

• OMAアプリケーションでのグリッド・ビューとリスト・ビューの切替え

• OMAアプリケーションでのアカウントの編集

• OMAアプリケーションでのアカウントの並替え

• OMAアプリケーションでのアカウントの削除

• OMAアプリケーション保護の有効化

• OMAアプリPINの変更

• OMAアプリケーションPIN保護の無効化

• OMAアプリケーションでの通知履歴の管理

35.3.1 グリッド表示とリスト表示の切替え

Oracle Mobile Authenticator (OMA)アプリケーションでアカウントのリストを表示する方法を変更できます。

1. OMAアプリケーションを起動し、左上隅にあるメニュー・アイコンをタップします。
2. 「グリッド・ビュー」または「リスト・ビュー」をタップして、2つのビューを切り替えます。

   ノート:

   Windows Phoneの場合は、右下隅にあるグリッドまたはリスト・アイコンをタップすると、2つのビューがトグルします。

35.3.2 OMAアプリケーションでのアカウントの編集

Oracle Mobile Authenticator (OMA)アプリケーションでアカウントを編集できます。

iOS

1. リスト・ビューでは、編集するアカウント・タイルを左にスワイプします。グリッド・ビューでは、下にスワイプします。

2. 「編集」をタップします。「アカウントの編集」画面が表示されます。

   ノート:

   VoiceOverモードの使用時にアカウントを編集するには、グリッド・ビューである必要があります。VoiceOverモードの使用時には、リスト・ビューに「編集」オプションがありません。

3. 変更を加え、「保存」をタップします。

Android

1. リスト・ビューでは、編集するアカウント・タイルをロング・タップします。グリッド・ビューでは、アカウントをタップし、詳細ビューに表示されたらロング・タップします。

2. 右上隅に表示される鉛筆アイコンをタップします。「アカウントの編集」画面が表示されます。

3. 変更を加え、「保存」をタップします。

Windows

1. 編集するアカウント・タイルをタップしてホールドします。メニューが表示されます。

2. 「編集」をタップします。「アカウントの編集」画面が表示されます。

3. 変更を行い、「保存」をタップします。

35.3.3 OMAアプリケーションでのアカウントの並替え

Oracle Mobile Authenticator (OMA)アプリケーションでアカウントを表示する順序を変更できます。

iOS

• リスト・ビューでは、アカウントをロング・タップして編集モードに入り、右側の並替えアイコンをホールドしてドラッグします。操作の完了後、「完了」をタップします。

• グリッド・ビューでは、アカウント・タイルをロング・タップし、ドラッグします(iOS9以上でサポート)。

Android

• アカウント・タイルをタップしてホールドしたら、ドラッグします。

Windows

• リスト・ビューでは、アカウント・タイルをロング・タップします。表示されるメニューから、「並替え」をタップしてドラッグします。

• グリッド・ビューでは、アカウント・タイルをロング・タップし、ドラッグします。

35.3.4 OMAアプリケーションでのアカウントの削除

Oracle Mobile Authenticator (OMA)アプリケーションでアカウントを削除できます。

iOS

1. リスト・ビューでは、削除するアカウント・タイルを左にスワイプします。グリッド・ビューでは、下にスワイプします。

2. 「削除」をタップします。「アカウントの削除」の確認ウィンドウが表示されます。

   ノート:

   VoiceOverモードの使用時にアカウントを削除するには、グリッド・ビューである必要があります。VoiceOverモードの使用時には、リスト・ビューに「削除」オプションがありません。

3. 「アカウントの削除」をタップします。

Android

1. 削除するアカウント・タイルをタップしてホールドします。

2. 右上隅に表示されるごみ箱のアイコンをタップします。

3. 「アカウントの削除」ウィンドウで、「アカウントの削除」をタップします。

Windows

1. 削除するアカウント・タイルをタップしてホールドします。メニューが表示されます。

2. 「削除」をタップします。「アカウントの削除」の確認ウィンドウが表示されます。

3. 「アカウントの削除」をタップします。

35.3.5 アプリケーション保護の有効化

アプリケーションPINを使用するか、タッチIDやフィンガープリントなどの生体認証を使用して、Oracle Mobile Authenticator (OMA)アプリケーションに別のレベルのセキュリティを追加し、アプリケーションを保護します。

アプリケーションPINによる保護では、ワンタイム・パスコード(OTP)を生成するか通知を承認する前に、PINでOMAアプリケーションをロック解除する必要があります。生体認証による保護では、OTPを生成するか通知を承認する前に、タッチIDまたはフィンガープリントの検証でアプリケーションをロック解除する必要があります。

ノート:

OMAアプリケーションでは、Windowsデバイスを使用した生体認証はサポートされません。

OMAアプリケーションでのタッチIDは、iOSバージョン8以上でのみサポートされます。

1. アプリケーションPINを有効化するには:

   ノート:

   アプリケーションによっては、登録時にPINを設定する必要があります。
   1. OMAアプリケーションを起動し、左上隅にあるメニュー・アイコンをタップします。
   2. 「アプリケーションの保護」をタップします。
   3. スライドして、OMAアプリケーションのPINまたはタッチIDによる保護を有効化します。
   4. プロンプトでPINを入力し、確認のために再入力して、「完了」をタップします。
2. 生体認証を有効化するには:

   ノート:

   最初にタッチIDまたはフィンガープリントを有効化したときに、PINをまだ設定していない場合は設定するよう求められます。PINを設定済の場合、タッチIDまたはフィンガープリントを有効化する前に最初にPINを入力するよう求められます。
   1. プロンプトでPINを入力します。
   2. 確認のためにPINを再入力して、「OK」をタップします。
   次回アプリケーションを開くと、フィンガープリントを使用してOMAアプリケーションにアクセスするよう求められます。

35.3.6 OMAアプリPINの変更

Oracle Mobile Authenticator (OMA)アプリケーションでPINを変更します。

1. OMAアプリケーションを起動し、左上隅にあるメニュー・アイコンをタップします。
2. 「アプリケーションの保護」、「PINの変更」の順にタップします。
3. 現在のPIN、新しいPINを入力し、新しいPINを確認して、「完了」をタップします。

35.3.7 OMAアプリケーションPIN保護の無効化

Oracle Mobile Authenticator (OMA)アプリケーションのPIN保護を無効にできます。

ノート:

アプリケーションによっては、PIN保護を無効にできない場合があります。

1. OMAアプリケーションを起動し、左上隅にあるメニュー・アイコンをタップします。
2. 「アプリケーションの保護」をタップしてスライドすると、OMAアプリケーションのPIN保護が無効になります。
3. PINを入力し、「完了」をタップします。

35.3.8 OMAアプリケーションでの通知履歴の管理

Oracle Mobile Authenticator (OMA)アプリケーションで、通知履歴の詳細にアクセスし、表示できます。

1. OMAアプリケーションを起動し、左上隅にあるメニュー・アイコンをタップします。
2. 「通知」をタップします。「通知履歴」ページには、アカウントのすべての通知が表示されます。

   ノート:

   iOSプラットフォームの場合、現在デバイスの通知センターにある保留中の通知は、OMAアプリケーションを手動で開始した場合、OMAアプリケーションに表示されません。
3. 通知をタップするとログイン・リクエストの詳細が表示されます。

35.4 Google Authenticatorアプリケーションの構成

Google Authenticatorアプリケーションでは、手動構成のみがサポートされています。

Google Authenticatorアプリケーションで構成を開始するには、ユーザーはこのアプリケーションを使用して2ファクタ認証を行うためのアカウントを作成します。アカウント作成後に、ユーザーはリソース所有者から受け取った秘密キーを手動で入力します。(秘密キーの詳細は、「Oracle Mobile Authenticatorの秘密キーの生成」を参照してください。)さらに、Google Authenticatorの画面の一番下でTOTPが有効になっていることを確認します。Google Authenticatorによって、OTPコードがオフラインの切断モードで生成されます(Access Managerとの相互作用はありません)。