構成可能なチャレンジを使用したパスワードレス・ログインの構成

構成可能なチャレンジは、Oracle Universal Authenticator (OUA)の機能であり、構成可能な時間枠内でパスワードレス・ログインを可能にします。管理者は、パスワードレス・ログインの使用を許可される第2ファクタ認証の方法および期間をカスタマイズできます。

たとえば、ユーザーがデバイスにログインする場合、OAM資格証明でログインし、その後で第2ファクタを使用した認証を行います。構成可能なチャレンジでは、ユーザーが前回ログインした場合にOAMパスワードの入力をスキップしたり、指定した時間枠内で第2ファクタのみのログインを実行したりできます。

構成可能なチャレンジを構成するために、管理者はOracle Advanced Authentication内で次のパラメータを設定できます。

パラメータ デフォルト値 説明
oua.drss.skipPrimaryAuthDurationWithLastFullAuth 1800秒(30分) 最後の完全OAMログインからの期間を指定します。前回の完全OAMログインがこの期間内である場合、ユーザーはOAMパスワードの入力を求められず、第2ファクタのみを使用して認証できます。期間が経過すると、ユーザーはOAM資格証明全体を入力するように求められ、その後に第2ファクタを求められます。
oua.drss.skipPrimaryAuthDurationWithLastMFAOnlyAuth 600秒(10分) 最後に成功した第2ファクタのみのログイン時刻からの期間を指定します。この期間内にユーザーが第2ファクタのみのログインを実行した場合、ユーザーはOAMパスワードの入力を求められず、第2ファクタのみを使用して認証できます。その期間が経過すると、ユーザーはOAM資格証明の入力を求められ、その後に第2ファクタを求められます。
oua.drss.skipPrimaryAuthFactorTrustLevel 3

パスワードのスキップ・ルール評価の信頼レベル値を指定します。

信頼レベルは、oua.drss.skipPrimaryAuthDurationWithLastFullAuthおよびoua.drss.skipPrimaryAuthDurationWithLastMFAOnlyAuth期間内にパスワードレス・ログインの実行を許可されるファクタを決定します。

デフォルトの信頼レベルは次のとおりです。
  • 信頼レベル1 = SMSチャレンジ
  • 信頼レベル2 = Yubico Yubikey TOTP、OMA TOTP
  • 信頼レベル3 = 電子メール・チャレンジ
  • 信頼レベル4 = プッシュ通知チャレンジ

たとえば、TrustLevel=3の場合は、レベル3以上に割り当てられているすべてのファクタでパスワードレス・ログインを実行できます。

管理者は、次の行に示すbharosa.uio.default.challenge.type.enum.{FACTOR_KEY}.oua.trustLevelパラメータを使用して、個々のファクタの信頼レベルを変更できます。

ノート:

FIDO2およびセキュリティ質問チャレンジは、Oracle Universal Authenticatorでは現在サポートされていません。
bharosa.uio.default.challenge.type.enum.ChallengeSMS.oua.trustLevel 1 SMSチャレンジの信頼レベルを設定します。
bharosa.uio.default.challenge.type.enum.ChallengeOMATOTP.oua.trustLevel 2 OMA TOTPチャレンジの信頼レベルを設定します。
bharosa.uio.default.challenge.type.enum.ChallengeYubicoOTP.oua.trustLevel 2 Yubikey Yubico OTPチャレンジの信頼レベルを設定します。
bharosa.uio.default.challenge.type.enum.ChallengeEmail.oua.trustLevel 3 電子メール・チャレンジの信頼レベルを設定します。
bharosa.uio.default.challenge.type.enum.ChallengeOMAPUSH.oua.trustLevel 4 OMAプッシュ・チャレンジの信頼レベルを設定します。
oua.drss.allowPrimaryAuthDuringMFAOnly true 第2ファクタのみのログイン時に、OAMパスワードを使用してログインするオプションをユーザーに付与するかどうかを決定します。

REST APIを使用してこれらのパラメータを設定する方法の詳細は、「OAAの構成プロパティ」「OUAの構成プロパティ」を参照してください。

次の例は、前述のパラメータのデフォルト値に基づく認証フローを示しています。

例1:

  • ユーザーは、OAM資格証明を使用して午前9時にログインし、電子メール・チャレンジを第2ファクタとして使用して認証します。
  • ユーザーは午前9時15分にマシンをロックします。
  • ユーザーは、午前9時20分にマシンをロック解除し、OAMユーザー名を入力します。
  • ユーザーは、過去10分間(oua.drss.skipPrimaryAuthDurationWithLastMFAOnlyAuth=10)に第2ファクタのみで認証されませんでした。
  • ただしユーザーは、30分間の時間枠(oua.drss.skipPrimaryAuthDurationWithLastFullAuth=30)内である20分前にOAM資格証明を使用して完全ログインを実行しました。
  • したがって、ユーザーは、電子メール・チャレンジ(bharosa.uio.default.challenge.type.enum.ChallengeEmail.oua.trustLevel=3)やプッシュ通知チャレンジ(bharosa.uio.default.challenge.type.enum.ChallengeOMAPUSH.oua.trustLevel=4)など、信頼レベル3以上(oua.drss.skipPrimaryAuthFactorTrustLevel=3)の登録済第2ファクタを使用してパスワードレス・ログインを使用できます。

例2

  • ユーザーは、OAM資格証明を使用して午前9時にログインし、SMSチャレンジを第2ファクタとして使用して認証します。
  • ユーザーは午前9時15分にマシンを再起動します。
  • ユーザーは、午前9時20分にマシンにログインしようとします。
  • ユーザーはOAMユーザー名を入力します。
  • ユーザーは、過去10分間(oua.drss.skipPrimaryAuthDurationWithLastMFAOnlyAuth=10)に第2ファクタのみで認証されませんでした。
  • ただしユーザーは、30分間の時間枠(oua.drss.skipPrimaryAuthDurationWithLastFullAuth=30)内である20分前にOAM資格証明を使用して完全ログインを実行しました。
  • したがって、ユーザーは、電子メール・チャレンジ(bharosa.uio.default.challenge.type.enum.ChallengeEmail.oua.trustLevel=3)やプッシュ通知チャレンジ(bharosa.uio.default.challenge.type.enum.ChallengeOMAPUSH.oua.trustLevel=4)など、信頼レベル3以上(oua.drss.skipPrimaryAuthFactorTrustLevel=3)の登録済第2ファクタを使用してパスワードレス・ログインを使用できます。SMSチャレンジは信頼レベル2 (bharosa.uio.default.challenge.type.enum.ChallengeSMS.oua.trustLevel=2)であるため、ユーザーはSMSチャレンジを再度使用できません。
  • ユーザーが信頼レベル3以上の登録済ファクタを持っていない場合は、パスワードレス・ログインを実行できず、完全なOAM資格証明でログインしてから、登録済の第2ファクタで認証するよう求められます。
例3
  • ユーザーは、OAM資格証明を使用して午前9時にログインし、プッシュ通知チャレンジを第2ファクタとして使用して認証します。
  • ユーザーは午前9時5分にマシンをロックします。
  • ユーザーは、午前9時25分にマシンをロック解除し、OAMユーザー名を入力します。
  • ユーザーは、過去10分間(oua.drss.skipPrimaryAuthDurationWithLastMFAOnlyAuth=10)に第2ファクタのみで認証されていません。
  • ただしユーザーは、30分間の時間枠(oua.drss.skipPrimaryAuthDurationWithLastFullAuth=30)内である25分前にOAM資格証明を使用して完全ログインを実行しました。
  • したがって、ユーザーはパスワードレス・ログインを使用でき、プッシュ通知チャレンジによる認証のみを求められます。
  • ユーザーは午前9時30分に再びマシンをロックします。
  • ユーザーは、午前9時32分にマシンをロック解除し、OAMユーザー名を入力します。
  • ユーザーは、過去10分間(oua.drss.skipPrimaryAuthDurationWithLastMFAOnlyAuth=10)に第2ファクタのみで認証されました
  • したがって、ユーザーは、電子メール・チャレンジ(bharosa.uio.default.challenge.type.enum.ChallengeEmail.oua.trustLevel=3)やプッシュ通知チャレンジ(bharosa.uio.default.challenge.type.enum.ChallengeOMAPUSH.oua.trustLevel=4)など、信頼レベル3以上(oua.drss.skipPrimaryAuthFactorTrustLevel=3)の登録済第2ファクタを使用してパスワードレス・ログインを使用できます。
  • ユーザーはプッシュ通知チャレンジで認証し、午前9時40分に画面を再度ロックします。
  • ユーザーは、午前10時に画面を再度ロック解除し、OAMユーザー名を入力します。
  • ユーザーは過去10分間(oua.drss.skipPrimaryAuthDurationWithLastMFAOnlyAuth=10)に第2ファクタのみを使用して認証せず、過去30分間(oua.drss.skipPrimaryAuthDurationWithLastFullAuth=30)にOAM資格証明を使用した完全ログインも実行しませんでした。
  • したがってユーザーは、完全なOAM資格証明でログインし、登録済の第2ファクタで認証するよう求められます。