マルチ・ファクタ認証の有効化
マルチ・ファクタ認証(MFA)は、ユーザーのアイデンティティを検証するために複数のファクタを使用する必要がある認証メソッドです。
OCI IAMアイデンティティ・ドメインでMFAを有効にすると、ユーザーがアプリケーションにサインインすると、ユーザー名とパスワードの入力を求められます。これは、ユーザーが知っている最初のファクタです。 次に、ユーザーは2番目のタイプの検証を指定する必要があります。 これは、2ステップ検証と呼ばれます。 2つのファクタが連携して、追加情報または2番目のデバイスを使用してユーザーのアイデンティティを検証し、ログイン・プロセスを完了することで、セキュリティのレイヤーを追加します。
ユーザーはますますつながり、どこからでも自分のアカウントやアプリケーションにアクセスするようになっています。 管理者として、従来のユーザー名とパスワードの上にMFAを追加すると、データおよびアプリケーションへのアクセスを保護するのに役立ちます。 これにより、アカウント・パスワードが侵害された場合でもビジネス・アプリケーションを保護するオンライン・アイデンティティ盗難や不正の可能性も軽減されます。
アイデンティティ・サービスをOracle Cloud Infrastructure (OCI) Identity and Access Management (IAM)アイデンティティ・ドメインにアップグレードすると、MFAでOracle Fusion Cloud Applicationsにサインインできるようになります。 Oracle Fusion Cloud Applicationsは、OCI IAMアイデンティティ・ドメイン内で使用可能なMFA機能を利用し、6つの異なるファクタをサポートします。 セキュリティ管理者は、これらの6つのファクタの中から選択して、ユーザーがMFAを設定できるようにします。 ユーザーは、サインイン時にプロビジョニングされたファクタを使用してMFAを設定できます。 MFAは、非フェデレーテッド・シングル・サインオン(SSO)環境でのみサポートされます。 以下の6つのファクタがあります:
- ワンタイムPINオーバーEメール
- SMS経由の一時PIN
- Oracle Mobile Authenticatorのパスコード
- Oracle Mobile Authenticatorからのプッシュ・ベースの通知
- FIDOパス・キー・オーセンティケータ
- バイパス・コード
SMS経由の一時PINファクタでは、作業モバイルが認証の電話番号として使用されます。 電話番号(勤務先モバイル)や電子メール(勤務先電子メール)などのユーザー詳細は、OCI IAMアイデンティティ・ドメインではなく、Oracle Fusion Cloud Applicationsの製品固有のユーザー設定に格納されます。
アイデンティティ・アップグレード後、「複数のユーザーの個人データをLDAPに送信」プロセスを実行して、既存のすべてのユーザーの電話番号(作業モバイル)をOCI IAMアイデンティティ・ドメインにコピーできます。 セキュリティ・コンソールでMFA設定を管理するには、ITセキュリティ・マネージャ・ロールに基づいてカスタム・ロールが割り当てられている必要があります。
ユーザーが使用できる認証ファクタの決定
- セキュリティ・コンソールの「ユーザー・カテゴリ」ページで、ターゲット・ユーザーに関連付けられているユーザー・カテゴリを選択します。
- 「2ファクタ認証」をクリックします。
- 「編集」をクリックします。
- ユーザーに必要なすべての認証オプションを選択
デフォルトでは、電子メール経由のワンタイムPIN、SMS経由のワンタイムPINおよびOracle Mobile Authenticator上のパスコードが選択されていますが、必要に応じて変更できます。
MFAを有効にすると、そのユーザー・カテゴリのユーザーがOracle Fusion Cloud Applicationsにサインインすると、Oracle Cloudコンソール・ページにリダイレクトされ、そのユーザーのセキュアな検証を有効にするように求められます。 「多要素認証メソッドの設定」を参照してください。