マルチ・ファクタ認証の有効化
マルチ・ファクタ認証(MFA)は、ユーザーのアイデンティティを検証するために複数のファクタを使用する必要がある認証メソッドです。
OCI IAMアイデンティティ・ドメインでMFAを有効にすると、ユーザーがアプリケーションにサインインすると、最初のファクタであるユーザー名とパスワードの入力を求められます - 彼らが知っているもの。 次に、ユーザーは2番目のタイプの検証を指定する必要があります。 これを2ステップ検証と呼びます。 2つのファクタが連携して、追加情報または2番目のデバイスを使用してユーザーのアイデンティティを検証し、ログイン・プロセスを完了することで、セキュリティの追加レイヤーを追加します。
ユーザーはますますつながり、どこからでもアカウントやアプリケーションにアクセスするようになっています。 管理者として、従来のユーザー名とパスワードの上にMFAを追加すると、データおよびアプリケーションへのアクセスを保護するのに役立ちます。 これにより、アカウント・パスワードが漏洩した場合でもビジネス・アプリケーションを保護するオンライン・アイデンティティの盗難や不正の可能性も低下します。
Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM)アイデンティティ・ドメインにアイデンティティ・サービスをアップグレードすると、Oracle Fusion Cloud ApplicationsにサインインするためにMFAを有効にできます。 Oracle Fusion Cloud Applicationsは、OCI IAMアイデンティティ・ドメイン内で使用可能なMFA機能を利用し、6つの異なるファクタをサポートします。 セキュリティ管理者は、これらの6つのファクタの中から選択して、ユーザーがMFAを設定できるようにします。 ユーザーは、サインイン時にプロビジョニングされたファクタを使用してMFAを設定できます。 MFAは、非フェデレーテッド・シングル・サインオン(SSO)環境でのみサポートされます。 以下の6つのファクタがあります:
- ワンタイムPINオーバーEメール
- SMS経由の一時PIN
- Oracle Mobile Authenticatorのパスコード
- Oracle Mobile Authenticatorからのプッシュ・ベースの通知
- FIDOパス・キー・オーセンティケータ
- バイパス・コード
SMS経由の一時PINファクタでは、作業モバイルが認証の電話番号として使用されます。 電話番号(勤務先モバイル)や電子メール(勤務先電子メール)などのユーザー詳細は、OCI IAMアイデンティティ・ドメインではなく、製品固有のユーザー設定(Oracle Fusion Cloud Applications)に格納されます。
アイデンティティ・アップグレード後、「複数のユーザーの個人データをLDAPに送信」プロセスを実行して、すべての既存ユーザーの電話番号(ワーク・モバイル)をOCI IAMアイデンティティ・ドメインにコピーできます。 セキュリティ・コンソールでMFA設定を管理するには、ITセキュリティ・マネージャ・ロールに基づいてカスタム・ロールが割り当てられている必要があります。
ユーザーが使用できる認証ファクタの決定
- セキュリティ・コンソールの「ユーザー・カテゴリ」ページで、ターゲット・ユーザーに関連付けられているユーザー・カテゴリを選択します。
- 「2ファクタ認証」をクリックします。
- 「編集」をクリックします。
- ユーザーに必要なすべての認証オプションを選択
デフォルトでは、電子メール経由のワンタイムPIN、SMS経由のワンタイムPINおよびOracle Mobile Authenticator上のパスコードが選択されていますが、必要に応じて変更できます。
MFAを有効にすると、そのユーザー・カテゴリのユーザーがOracle Fusion Cloud Applicationsにサインインすると、Oracle Cloudコンソール・ページにリダイレクトされ、そのユーザーのセキュアな検証を有効にするように求められます。 「マルチ・ファクタ認証メソッドの設定」を参照してください。