Authentikator-Apps mit MFA verwenden

Die Verwendung einer mobilen Authentikatoranwendung für MFA in einer Identitätsdomain in IAM stellt einen zweiten Authentifizierungsfaktor in Form eines zeitbasierten Einmal-Passcodes (OTP) oder einer Pushbenachrichtigung bereit und bietet mehrere Optionen für die Implementierung von App-Schutz- und Compliance-Policys.

Eine Authentikator-App ist ein Softtoken, das auf einem Mobilgerät installiert wird. Eine Authentikator-App verwendet entweder OTP oder Push-Benachrichtigungen, um zu beweisen, dass der Benutzer über das Mobilgerät verfügt. Nur die Authentikator-App, die sich im Besitz des Secret Keys des Benutzers befindet, kann einen gültigen OTP generieren. Wenn ein Benutzer bei der MFA-Registrierung den Quick-Response-(QR-)Code scannt oder die Registrierungs-URL verwendet, wird die Authentikator-App automatisch mit dem IAM-Server konfiguriert. Die Authentikator-App ruft einen Secret Key ab, der erforderlich ist, um das OTP zu generieren und Push-Benachrichtigungen in der Authentikator-App zu erhalten. Dieser Secret Key wird dann zwischen Client und IAM-Server ausgetauscht. Wenn der Benutzer sich offline registriert, gibt IAM das Secret über einen QR-Code an den Authentikator weiter. Wenn der Benutzer sich online registriert, gibt IAM das Secret über die Registrierungsbenachrichtigung an den Authentikator weiter.

Ein Benutzer kann die Authentikator-App verwenden, um ein OTP online oder offline zu generieren. Die Registrierung für Push-Benachrichtigungen und die Durchführung von Gerätecomplianceprüfungen (Jailbreak-Erkennung/PIN-Schutz) kann jedoch nur online erfolgen.

• App-Passcode: Verwenden Sie eine Authentikator-App, wie die Oracle Mobile Authenticator-App, um ein OTP zu generieren. Ein neues OTP wird alle 30-60 Sekunden generiert und ist 90-180 Sekunden lang gültig. Nachdem der Benutzer seinen Benutzernamen und sein Kennwort eingegeben hat, wird ein Prompt für den Passcode angezeigt. Nachdem der Passcode mit der Authentikator-App generiert wurde, gibt der Benutzer diesen Code als zweite Verifizierungsmethode ein.

• App-Benachrichtigung: Senden Sie eine Push-Benachrichtigung mit einer Genehmigungsanforderung an die OMA-App, um einen Anmeldeversuch zuzulassen oder zu verweigern. Nachdem der Benutzer seinen Benutzernamen und sein Kennwort eingegeben hat, wird eine Anmeldeanforderung an sein Telefon gesendet. Der Benutzer tippt auf Zulassen, um sich zu authentifizieren.

Die OMA-App ist für Android-, iOS- und Windows-Betriebssysteme verfügbar.

Wenn Sie sowohl den Faktor App-Passcode als auch App-Benachrichtigung aktivieren und ein Benutzer bei "App" als zweite Verifizierungsmethode registriert ist, wird der Faktor "App-Benachrichtigung" standardmäßig dem Benutzer angezeigt. Benutzer können den zu verwendenden Faktor ändern, indem sie entweder bei der Anmeldung eine andere Backupverifizierungsmethode auswählen oder eine andere Methode als Standardoption festlegen. IAM-Benutzer können die OMA-App oder eine beliebige unterstützte Authentikator-App eines Drittanbieters verwenden, um OTPs zu generieren. Benutzer müssen jedoch die OMA-App verwenden, um Push-Benachrichtigungen zu erhalten.

IAM funktioniert mit jeder Drittanbieter-Authentikator-App (wie Google Authenticator), die der Spezifikation des TOTP-Algorithmus für zeitbasierte Einmalkennwörter entspricht. Für Authentikator-Apps von Drittanbietern sind keine speziellen Administratorkonfigurationsschritte erforderlich. Wenn ein Benutzer sich bei MFA registriert und App als Methode auswählt, kann der Benutzer entweder Schlüssel manuell eingeben oder Offlinemodus oder andere Authentikatoranwendung verwenden auswählen, um Authentikatoren von Drittanbietern einzurichten. Wir empfehlen die Verwendung der OMA-App, da sie Benachrichtigungen und Sicherheitsfeatures wie App-Schutz-Policy, Compliance-Policy und automatische Schlüsselaktualisierung unterstützt.