構成可能なチャレンジを使用したパスワードレス・ログインの構成
構成可能なチャレンジは、Oracle Universal Authenticator (OUA)の機能であり、構成可能な時間枠内でパスワードレス・ログインを可能にします。管理者は、パスワードレス・ログインの使用を許可される第2ファクタ認証の方法および期間をカスタマイズできます。
たとえば、ユーザーがデバイスにログインする場合、OAM資格証明でログインし、その後で第2ファクタを使用した認証を行います。構成可能なチャレンジでは、ユーザーが前回ログインした場合にOAMパスワードの入力をスキップしたり、指定した時間枠内で第2ファクタのみのログインを実行したりできます。
構成可能なチャレンジを構成するために、管理者はOracle Advanced Authentication内で次のパラメータを設定できます。
パラメータ | デフォルト値 | 説明 |
---|---|---|
oua.drss.skipPrimaryAuthDurationWithLastFullAuth |
1800秒(30分) | 最後の完全OAMログインからの期間を指定します。前回の完全OAMログインがこの期間内である場合、ユーザーはOAMパスワードの入力を求められず、第2ファクタのみを使用して認証できます。期間が経過すると、ユーザーはOAM資格証明全体を入力するように求められ、その後に第2ファクタを求められます。 |
oua.drss.skipPrimaryAuthDurationWithLastMFAOnlyAuth |
600秒(10分) | 最後に成功した第2ファクタのみのログイン時刻からの期間を指定します。この期間内にユーザーが第2ファクタのみのログインを実行した場合、ユーザーはOAMパスワードの入力を求められず、第2ファクタのみを使用して認証できます。その期間が経過すると、ユーザーはOAM資格証明の入力を求められ、その後に第2ファクタを求められます。 |
oua.drss.skipPrimaryAuthFactorTrustLevel |
3 |
パスワードのスキップ・ルール評価の信頼レベル値を指定します。 信頼レベルは、 デフォルトの信頼レベルは次のとおりです。
たとえば、TrustLevel=3の場合は、レベル3以上に割り当てられているすべてのファクタでパスワードレス・ログインを実行できます。 管理者は、次の行に示す
bharosa.uio.default.challenge.type.enum.{FACTOR_KEY}.oua.trustLevel パラメータを使用して、個々のファクタの信頼レベルを変更できます。
ノート: FIDO2およびセキュリティ質問チャレンジは、Oracle Universal Authenticatorでは現在サポートされていません。 |
bharosa.uio.default.challenge.type.enum.ChallengeSMS.oua.trustLevel |
1 | SMSチャレンジの信頼レベルを設定します。 |
bharosa.uio.default.challenge.type.enum.ChallengeOMATOTP.oua.trustLevel |
2 | OMA TOTPチャレンジの信頼レベルを設定します。 |
bharosa.uio.default.challenge.type.enum.ChallengeYubicoOTP.oua.trustLevel |
2 | Yubikey Yubico OTPチャレンジの信頼レベルを設定します。 |
bharosa.uio.default.challenge.type.enum.ChallengeEmail.oua.trustLevel |
3 | 電子メール・チャレンジの信頼レベルを設定します。 |
bharosa.uio.default.challenge.type.enum.ChallengeOMAPUSH.oua.trustLevel |
4 | OMAプッシュ・チャレンジの信頼レベルを設定します。 |
oua.drss.allowPrimaryAuthDuringMFAOnly |
true | 第2ファクタのみのログイン時に、OAMパスワードを使用してログインするオプションをユーザーに付与するかどうかを決定します。 |
REST APIを使用してこれらのパラメータを設定する方法の詳細は、「OAAの構成プロパティ」の「OUAの構成プロパティ」を参照してください。
次の例は、前述のパラメータのデフォルト値に基づく認証フローを示しています。
例1:
- ユーザーは、OAM資格証明を使用して午前9時にログインし、電子メール・チャレンジを第2ファクタとして使用して認証します。
- ユーザーは午前9時15分にマシンをロックします。
- ユーザーは、午前9時20分にマシンをロック解除し、OAMユーザー名を入力します。
- ユーザーは、過去10分間(
oua.drss.skipPrimaryAuthDurationWithLastMFAOnlyAuth=10
)に第2ファクタのみで認証されませんでした。 - ただしユーザーは、30分間の時間枠(
oua.drss.skipPrimaryAuthDurationWithLastFullAuth=30
)内である20分前にOAM資格証明を使用して完全ログインを実行しました。 - したがって、ユーザーは、電子メール・チャレンジ(
bharosa.uio.default.challenge.type.enum.ChallengeEmail.oua.trustLevel=3
)やプッシュ通知チャレンジ(bharosa.uio.default.challenge.type.enum.ChallengeOMAPUSH.oua.trustLevel=4
)など、信頼レベル3以上(oua.drss.skipPrimaryAuthFactorTrustLevel=3
)の登録済第2ファクタを使用してパスワードレス・ログインを使用できます。
例2
- ユーザーは、OAM資格証明を使用して午前9時にログインし、SMSチャレンジを第2ファクタとして使用して認証します。
- ユーザーは午前9時15分にマシンを再起動します。
- ユーザーは、午前9時20分にマシンにログインしようとします。
- ユーザーはOAMユーザー名を入力します。
- ユーザーは、過去10分間(
oua.drss.skipPrimaryAuthDurationWithLastMFAOnlyAuth=10
)に第2ファクタのみで認証されませんでした。 - ただしユーザーは、30分間の時間枠(
oua.drss.skipPrimaryAuthDurationWithLastFullAuth=30
)内である20分前にOAM資格証明を使用して完全ログインを実行しました。 - したがって、ユーザーは、電子メール・チャレンジ(
bharosa.uio.default.challenge.type.enum.ChallengeEmail.oua.trustLevel=3
)やプッシュ通知チャレンジ(bharosa.uio.default.challenge.type.enum.ChallengeOMAPUSH.oua.trustLevel=4
)など、信頼レベル3以上(oua.drss.skipPrimaryAuthFactorTrustLevel=3
)の登録済第2ファクタを使用してパスワードレス・ログインを使用できます。SMSチャレンジは信頼レベル2 (bharosa.uio.default.challenge.type.enum.ChallengeSMS.oua.trustLevel=2
)であるため、ユーザーはSMSチャレンジを再度使用できません。 - ユーザーが信頼レベル3以上の登録済ファクタを持っていない場合は、パスワードレス・ログインを実行できず、完全なOAM資格証明でログインしてから、登録済の第2ファクタで認証するよう求められます。
- ユーザーは、OAM資格証明を使用して午前9時にログインし、プッシュ通知チャレンジを第2ファクタとして使用して認証します。
- ユーザーは午前9時5分にマシンをロックします。
- ユーザーは、午前9時25分にマシンをロック解除し、OAMユーザー名を入力します。
- ユーザーは、過去10分間(
oua.drss.skipPrimaryAuthDurationWithLastMFAOnlyAuth=10
)に第2ファクタのみで認証されていません。 - ただしユーザーは、30分間の時間枠(
oua.drss.skipPrimaryAuthDurationWithLastFullAuth=30
)内である25分前にOAM資格証明を使用して完全ログインを実行しました。 - したがって、ユーザーはパスワードレス・ログインを使用でき、プッシュ通知チャレンジによる認証のみを求められます。
- ユーザーは午前9時30分に再びマシンをロックします。
- ユーザーは、午前9時32分にマシンをロック解除し、OAMユーザー名を入力します。
- ユーザーは、過去10分間(
oua.drss.skipPrimaryAuthDurationWithLastMFAOnlyAuth=10
)に第2ファクタのみで認証されました - したがって、ユーザーは、電子メール・チャレンジ(
bharosa.uio.default.challenge.type.enum.ChallengeEmail.oua.trustLevel=3
)やプッシュ通知チャレンジ(bharosa.uio.default.challenge.type.enum.ChallengeOMAPUSH.oua.trustLevel=4
)など、信頼レベル3以上(oua.drss.skipPrimaryAuthFactorTrustLevel=3
)の登録済第2ファクタを使用してパスワードレス・ログインを使用できます。 - ユーザーはプッシュ通知チャレンジで認証し、午前9時40分に画面を再度ロックします。
- ユーザーは、午前10時に画面を再度ロック解除し、OAMユーザー名を入力します。
- ユーザーは過去10分間(
oua.drss.skipPrimaryAuthDurationWithLastMFAOnlyAuth=10
)に第2ファクタのみを使用して認証せず、過去30分間(oua.drss.skipPrimaryAuthDurationWithLastFullAuth=30
)にOAM資格証明を使用した完全ログインも実行しませんでした。 - したがってユーザーは、完全なOAM資格証明でログインし、登録済の第2ファクタで認証するよう求められます。