Authentikator-Apps mit MFA verwenden

Die Verwendung einer Authentikator-Anwendung für MFA in einer Identitätsdomain in IAM stellt einen zweiten Authentifizierungsfaktor in Form eines zeitbasierten Einmal-Passcodes (OTP) oder einer Push-Benachrichtigung dar und bietet verschiedene Optionen für die Implementierung der App-Schutz- und Compliance-Policy.

Eine Authentikator-App für Mobilgeräte ist ein Softtoken, der auf einem Mobilgerät installiert ist. Eine Authentikator-App verwendet entweder OTP oder Push-Benachrichtigungen, um zu beweisen, dass der Benutzer über das Mobilgerät verfügt. Nur die Authentikator-App für Mobilgeräte, die im Besitz des Secret Keys dem Benutzer ist, kann einen gültigen OTP generieren. Wenn ein Benutzer beim MFA-Registrierung den Quick Response-(QR-)Code scannt oder die Registrierungs-URL verwendet, wird die Authentikator-App automatisch mit dem IAM-Server konfiguriert. Die Authentikator-App ruft einen Secret Key ab, der erforderlich ist, um das OTP zu generieren und Push-Benachrichtigungen in der Authentikator-App zu erhalten. Dieser Secret Key wird dann zwischen Client und IAM-Server ausgetauscht. Wenn der Benutzer sich offline registriert, gibt IAM das Secret über einen QR-Code an den Authentikator weiter. Wenn der Benutzer sich online registriert, gibt IAM das Secret über die Registrierungsbenachrichtigung an den Authentikator weiter.

Ein Benutzer kann die Authentikator-App verwenden, um ein OTP online oder offline zu generieren. Die Registrierung für Push-Benachrichtigungen und die Durchführung von Gerätecomplianceprüfungen (Jailbreak-Erkennung/PIN-Schutz) kann jedoch nur online erfolgen.

• App-Passcode: Verwenden Sie eine Authentikator-App, wie die Oracle Mobile Authenticator-App, um ein OTP zu generieren. Ein neues OTP wird alle 30-60 Sekunden generiert und ist 90-180 Sekunden lang gültig. Nachdem der Benutzer seinen Namen und das Kennwort eingeben hat, wird ein Prompt für den Passcode angezeigt. Nachdem der Passcode mit der Authentikator-App generiert wurde, gibt der Benutzer diesen Code als zweite Verifizierungsmethode ein.

• App-Benachrichtigung: Senden Sie eine Pushbenachrichtigung an die OMA-App, die eine Genehmigungsanforderung enthält, um einen Anmeldeversuch zuzulassen oder abzulehnen. Nachdem der Benutzer seinen Namen und das Kennwort eingegeben hatte, wird eine Anmeldeanforderung an sein Telefon gesendet. Der Benutzer tippt auf Zulassen, um sich zu authentifizieren.

Wenn Sie sowohl den FaktorApp-Passcode als auch die App-Benachrichtigung aktivieren und ein Benutzer bei "App" als zweite Verifizierungsmethode angemeldet ist, wird der Faktor "App-Benachrichtigung" standardmäßig dem Benutzer angezeigt. Benutzer können ändern, welchen Faktor sie verwenden möchten, indem sie entweder beim Anmelden eine andere Backupverifizierungsmethode auswählen oder eine andere Methode als Standardoption auswählen. IAM-Benutzer können die OMA-App oder eine beliebige unterstützte Authentikator-App von Drittanbietern verwenden, um OTPs zu generieren. Benutzer müssen jedoch die OMA-App verwenden, um Push-Benachrichtigungen zu erhalten.

IAM funktioniert mit jeder Drittanbieter-Authentikator-App (wie Google Authenticator), die sich an die Spezifikation des TOTP-Algorithmus für zeitbasierte Einmalkennwörter hält. Für Authentikator-Apps von Drittanbietern sind keine speziellen Konfigurationsschritte für Administratoren erforderlich. Wenn ein Benutzer sich bei MFA registriert und App als Methode auswählte, kann der Benutzer entweder Schlüssel manuell eingeben oder Offline-Modus oder Andere Authentikator-App verwenden auswählen, um Authentikatoren von Drittanbietern einzurichten. Wir empfehlen die Verwendung der OMA-App, da sie Benachrichtigungen und Sicherheitsfeatures wie App-Schutz-Policy, Compliance-Policy und automatische Schlüsselaktualisierung unterstützt.