Oracle Cloud Infrastructure - Dokumentation

App-OTP und -Benachrichtigungen konfigurieren

Konfigurieren Sie eine Policy als Identitätsdomain in IAM für den zeitbasierten Einmal-Passcode (OTP) sowie Schutz- und Compliance-Policys für die Oracle Mobile Authenticator-(OMA-)App.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identitätssicherheit. Klicken Sie unter Identität auf Domains.
  2. Klicken Sie auf den Namen der Identitätsdomain, in der Sie arbeiten möchten. Möglicherweise müssen Sie das Compartment ändern, um die gewünschte Domain zu finden.
  3. Klicken Sie auf der Seite mit den Domaindetails auf Sicherheit.
  4. Klicken Sie auf der Seite Sicherheit auf Zwei-Faktor-Authentifizierung.
  5. Klicken Sie auf die Registerkarte App.
  6. Nehmen Sie unter Kennwort-Policy alle erforderlichen Änderungen vor. Die Standardwerte sind die branchenüblichen Einstellungen.
    • Der Wert im Feld Passcode-Generierungsintervall (Sekunden) gibt an, nach wie vielen Sekunden ein neuer Passcode generiert werden muss. Um eine Clock Skew zu vermeiden (einen Zeitunterschied zwischen Server und Gerät), müssen Benutzer sicherstellen, dass die Geräteuhr synchronisiert ist. Der maximal zulässige Zeitunterschied zwischen Server und Gerät beträgt 90 Sekunden..
    • Der Wert im Feld Secret-Key-Aktualisierungsintervall (Tage) gibt an, nach wie vielen Tagen Sie das Shared Secret aktualisieren müssen. Jedes Mal, wenn ein Benutzer ein Mobilgerät registriert, wird ein Secret Key auf das Gerät übertragen und sicher gespeichert, wenn der Quick-Response-(QR-)Code gescannt wird oder der Benutzer den Schlüssel manuell eingibt. Dieser Schlüssel ist die Eingabe für den OTP-Algorithmus, mit dem das OTP generiert wird. Der Schlüssel wird automatisch aktualisiert, sodass keine Benutzeraktion erforderlich ist.
  7. Wählen Sie unter Benachrichtigungs-Policy die Option Pull-Benachrichtigungen aktivieren aus, damit die OMA-App ausstehende Benachrichtigungsanforderungen vom Server abrufen kann.
    Pull-Benachrichtigungen sind Aktualisierungen, die an ein Mobilgerät oder an einen Rechner übermittelt werden, wenn ein Benutzer manuell (per Pull) auf Benachrichtigungen über Anmeldeanforderungen prüft.

    Pull-Benachrichtigungen sind in Szenarios nützlich, in denen der GCM-Service (Android), APNS-Service (iPhone) oder WNS-Service (Windows) nicht funktioniert. Beispiel: China blockiert den GCM-Service, sodass Benutzer keine Benachrichtigungen erhalten, die per Push an ihr Gerät übertragen werden. Wenn jedoch Pull-Benachrichtigungen verfügbar sind, kann der Benutzer mit der OMA-App Benachrichtigungen manuell von einem Server abrufen. Außerdem sind Pull-Benachrichtigungen in Situationen nützlich, in denen Push-Benachrichtigungen nicht zu 100% zuverlässig sind.

  8. Konfigurieren Sie die App-Schutz-Policy für die OMA-App.
    • Keine: Die App ist nicht geschützt.
    • App-PIN: Für den Zugriff auf die App ist eine PIN erforderlich.
    • Fingerprint: Für den Zugriff auf die App wird ein Fingerprint verwendet.
  9. Konfigurieren Sie die Compliance-Policy für die OMA-App. Compliance-Policy-Prüfungen werden bei jedem Öffnen der OMA-App durchgeführt
    1. Versionsprüfung der Authentikator-App: Um zu verhindern, dass Benutzer eine veraltete App verwenden, wählen Sie Neueste Updates erforderlich aus.
    2. Mindestversionsprüfung des Betriebssystems: Um zu verhindern, dass Benutzer die App auf einem Gerät mit veraltetem Betriebssystem verwenden, wählen Sie Zugriff von Geräten mit veralteten BS-Versionen einschränken aus.
      Benutzer erhalten keine Pushbenachrichtigungsanforderungen und können keine Passcodes generieren.
    3. Prüfung auf gerootete Geräte (nur iOS und Android): Um zu verhindern, dass Benutzer die App auf einem Gerät mit Root oder unbekanntem Root-Status verwenden können, wählen Sie Zugriff von gerooteten Geräten einschränken, Zugriff von Geräten mit unbekanntem Root-Status einschränken oder beides.
      Benutzer erhalten keine Pushbenachrichtigungsanforderungen und können keine Passcodes generieren.
    4. Bildschirmsperre für Gerät prüfen: Um zu verhindern, dass Benutzer die App auf einem Gerät verwenden, das keine Bildschirmsperre hat oder dessen Bildschirmsperrstatus unbekannt ist, wählen Sie Zugriff von Geräten ohne Bildschirmsperre einschränken, Zugriff von Geräten mit unbekanntem Bildschirmsperrstatus einschränken oder beide.
      Benutzer erhalten keine Pushbenachrichtigungsanforderungen und können keine Passcodes generieren.
  10. Klicken Sie auf Änderungen speichern.
  11. Bestätigen Sie die Änderungen, wenn Sie aufgefordert werden.