1. ERPの保護
  2. マルチ・ファクタ認証の有効化
機械翻訳について

マルチ・ファクタ認証の有効化

マルチ・ファクタ認証(MFA)は、ユーザーのアイデンティティを検証するために複数のファクタを使用する必要がある認証メソッドです。

OCI IAMアイデンティティ・ドメインでMFAを有効にすると、ユーザーがアプリケーションにサインインすると、最初のファクタであるユーザー名とパスワードの入力を求められます - 彼らが知っているもの。 次に、ユーザーは2番目のタイプの検証を指定する必要があります。 これを2ステップ検証と呼びます。 2つのファクタが連携して、追加情報または2番目のデバイスを使用してユーザーのアイデンティティを検証し、ログイン・プロセスを完了することで、セキュリティの追加レイヤーを追加します。

ユーザーはますますつながり、どこからでもアカウントやアプリケーションにアクセスするようになっています。 管理者として、従来のユーザー名とパスワードの上にMFAを追加すると、データおよびアプリケーションへのアクセスを保護するのに役立ちます。 これにより、アカウント・パスワードが漏洩した場合でもビジネス・アプリケーションを保護するオンライン・アイデンティティの盗難や不正の可能性も低下します。

Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM)アイデンティティ・ドメインにアイデンティティ・サービスをアップグレードすると、Oracle Fusion Cloud ApplicationsにサインインするためにMFAを有効にできます。 Oracle Fusion Cloud Applicationsは、OCI IAMアイデンティティ・ドメイン内で使用可能なMFA機能を利用し、6つの異なるファクタをサポートします。 セキュリティ管理者は、これらの6つのファクタの中から選択して、ユーザーがMFAを設定できるようにします。 ユーザーは、サインイン時にプロビジョニングされたファクタを使用してMFAを設定できます。 MFAは、非フェデレーテッド・シングル・サインオン(SSO)環境でのみサポートされます。 以下の6つのファクタがあります:

  • ワンタイムPINオーバーEメール
  • SMS経由の一時PIN
  • パスコード: Oracle Mobile Authenticator
  • Oracle Mobile Authenticatorからのプッシュ・ベースの通知
  • FIDOパス・キー認証
  • バイパス・コード

SMS経由の一時PINファクタでは、作業モバイルが認証の電話番号として使用されます。 電話番号(勤務先モバイル)や電子メール(勤務先電子メール)などのユーザー詳細は、OCI IAMアイデンティティ・ドメインではなく、製品固有のユーザー設定(Oracle Fusion Cloud Applications)に格納されます。

アイデンティティ・アップグレード後、「複数のユーザーの個人データをLDAPに送信」プロセスを実行して、すべての既存ユーザーの電話番号(ワーク・モバイル)をOCI IAMアイデンティティ・ドメインにコピーできます。 セキュリティ・コンソールでMFA設定を管理するには、ITセキュリティ・マネージャ・ロールに基づいてカスタム・ロールが割り当てられている必要があります。

ユーザーが使用できる認証ファクタの決定

セキュリティ管理者は、認証要件を評価し、有効にするファクタの数を決定できます。
  1. セキュリティ・コンソールの「ユーザー・カテゴリ」ページで、ターゲット・ユーザーに関連付けられているユーザー・カテゴリを選択します。
  2. 「2ファクタ認証」をクリックします。
  3. 「編集」をクリックします。
  4. ユーザーに必要なすべての認証オプションを選択

    デフォルトでは、電子メール経由のワンタイムPIN、SMS経由のワンタイムPINおよびOracle Mobile Authenticator上のパスコードが選択されていますが、必要に応じて変更できます。

MFAを有効にすると、そのユーザー・カテゴリのユーザーがOracle Fusion Cloud Applicationsにサインインすると、Oracle Cloudコンソール・ページにリダイレクトされ、そのユーザーのセキュアな検証を有効にするように求められます。 「マルチ・ファクタ認証メソッドの設定」を参照してください。

パスワード・レス認証の有効化

パスワード・レス認証では、ユーザーは毎回ユーザー名とパスワードを入力せずにサインインできます。

ユーザーが初めてサインインするときには、標準のサインイン・ページにユーザー名とパスワードを入力します。 次回、および将来、ユーザーはサインイン時に2ページ表示されます。 最初のページで、ユーザーがユーザー名を入力し、「Sign in」をクリックします。 OCI IAMアイデンティティ・ドメインは、Oracle Fusion Cloud Applicationsへのサインインに使用できる認証ファクタ(電子メール、モバイル・アプリケーション通知、モバイル・アプリケーション・パスコードなど)を評価します。 認証ファクタは、2番目のサインイン・ページに表示されます。 ユーザーは、いずれかの認証ファクタを使用してOracle Fusion Cloud Applicationsにアクセスします。

パスワード・レス認証は、多要素認証(MFA)と混同されることがあります。 MFA認証とパスワードなし認証では、多種多様な認証ファクタが使用されますが、MFAは、通常のパスワード・ベースの認証に加えて、追加のセキュリティ・レイヤーとして使用されることがよくあります。 パスワード・レス認証では、記憶されたシークレットは不要ですが、通常は1つのセキュアなファクタを使用してアイデンティティを認証するため、ユーザーにとってより迅速かつシンプルになります。

後でパスワードなしの認証をオフにすることを選択した場合、ユーザーは、サインイン・ページで資格証明(ユーザー名とパスワード)を指定するか、SAMLまたはアイデンティティ・プロバイダを使用してOracle Fusion Cloud Applicationsに対して認証できます。

パスワードなし認証を定義するには、ITセキュリティ・マネージャ・ロールが割り当てられている必要があります。

パスワード・レス認証を有効にするための前提条件

パスワードなし認証を有効にする前に、すべてのユーザーに少なくとも1つのMFAファクタが有効になっていることを確認してください。
ノート: パスワード・レス認証を有効にすると、すべてのユーザーに適用されます。

パスワード・レス認証の構成

パスワードなし認証が有効な場合、ユーザーはサインイン・ページで自分の電話番号または電子メールをユーザー名として使用できます。 有効にすると、初めてサインインするときに、サインイン・ページにユーザー名のみが表示され、パスワードを入力するオプションはありません。 サインイン・ページでユーザー名を入力すると、管理者が構成したMFAオプションがユーザーに求められます。

  1. Oracle Cloudコンソールでナビゲーション・ドロワーを展開し、「設定」を選択し、「セッション設定」をクリックします。
  2. 「セッション設定」ページで、「最初にユーザー名を使用可能」を選択します。
  3. 「保存」をクリックします。

ユーザー・サインイン・エクスペリエンス

ユーザーのパスワードなし認証を構成すると、そのユーザーのサインイン操作が変更されます。
  1. サインイン・ページにはユーザー名フィールドのみがあります。 パスワード・フィールドがありません。
  2. ユーザーはユーザー名を入力し、「サイン・イン」を選択します。
  3. 2ページ目が表示され、選択した認証ファクタで必要な検証(電子メールのパスコードなど)を入力します。
  4. パスワードなしの認証ファクタが複数ある場合、ユーザーは「代替ログイン・メソッドを表示」を選択して別の認証ファクタを選択できます。