Uso de aplicaciones de autenticación móvil con MFA
El uso de una aplicación de autenticador móvil para MFA en un dominio de identidad de IAM proporciona un segundo factor de autenticación en forma de código de entrada de un solo empleo (OTP) basado En tiempo o notificación push, y ofrece diversas opciones para implantar una política del cumplimiento y la protección dela aplicación.
Una aplicación de autenticación móvil es un token de software instalado en un dispositivo móvil. Una aplicación de autenticación móvil utiliza OTP o notificaciones push para comprobar que el usuario tiene la posesión del dispositivo móvil. Solo la aplicación de autenticación móvil con la clave secreta del usuario puede generar un OTP válido. Durante el proceso de inscripción de MFA, cuando un usuario escanea el código de respuesta rápida (QR) o utiliza la URL del proceso de inscripción, la aplicación del autenticador móvil se configura automáticamente con el servidor de IAM. La aplicación de autenticación móvil recupera una clave secreta, que es necesaria para generar el OTP y recibir notificaciones push en la aplicación de autenticación móvil. Esa clave secreta se comparte a continuación entre el cliente y el servidor de IAM. Si el usuario se inscribe fuera de línea, IAM comparte el secreto con el autenticador móvil mediante un código QR. Si el usuario se inscribe en línea, IAM comparte el secreto con el autenticador móvil mediante la notificación de inscripción.
Un usuario puede utilizar la aplicación de autenticación móvil para generar un OTP en línea o fuera de línea. Sin embargo, el registro para las notificaciones push y la realización de comprobaciones de conformidad de dispositivo (detección de jailbreak/protección por PIN) solo se puede realizar mientras está en línea.
- Código de acceso de la app móvil: utilice una aplicación de autenticación móvil, como la aplicación Oracle Mobile Authenticator, para generar un OTP. Se genera un nuevo OTP cada 30-60 segundos que es válido durante 90-180 segundos. Una vez que el usuario introduce su usuario y contraseña, aparece una petición de Datos para el código de acceso. Después de generar el código de acceso mediante la aplicación de autenticación móvil, el usuario introduce ese código como segundo método de verificación.
- Notificaciones de aplicación móvil: envía una notificación push a la aplicación OMA que contiene una solicitud de aprobación para permitir o denegar un intento de conexión. Una vez que el usuario introduce su Nombre de Usuario y Contraseña, se envía una Solicitud de Conexión a su Teléfono. El usuario pulsa Permitir para autenticarse.
- La aplicación OMA está disponible para los sistemas operativos Android, iOS y Windows.
- Para obtener más información sobre cómo configurar códigos de acceso y notificaciones móviles, consulte Configuración de notificaciones y OTP móviles.
- Durante el proceso de inscripción de MFA, el usuario debe introducir la clave manualmente o utilizar la URL de inscripción al usar la aplicación OMA en un dispositivo Surface Pro o Windows Desktop. No se puede usar el escáner del código QR debido a una limitación de cámara. Cuando un usuario introduce esa clave manualmente, la aplicación OMA solo soporta la codificación BASE32.
Cuando activa los factores Código de Acceso de Aplicación Móvil y Notificaciones de Aplicación Móvil, y un usuario está inscrito en Aplicación Móvil como segundo método de verificación, el factor Notificación de aplicación Móvil es el valor por defecto que Se presenta al usuario. Los usuarios pueden cambiar el factor que desean utilizar seleccionando un método de verificación de copia de seguridad diferente al iniciar sesión o seleccionando un método diferente como opción por defecto. Los usuarios de la IAM pueden utilizar la aplicación OMA o cualquier aplicación de autenticación de terceros soportada que deseen generar los OTP. Sin embargo, los usuarios deben utilizar la aplicación OMA para recibir notificaciones push.
IAM funciona con cualquier aplicación de autenticación de terceros (como Google Authenticator) que cumple con la especificación TOTP: algoritmo de contraseña de un solo usuario basado de tiempo. No se requieren pasos especiales de configuración del administrador para aplicaciones de autenticación de terceros. Cuando un usuario se inscribe en MFA y selecciona Aplicación móvil como método, el usuario puede seleccionar las opciones Introducir clave manualmente o Modo fuera de línea o Usar otra aplicación de autenticador para configurar autenticadores de terceros. Recomendamos el uso de la aplicación OMA, ya que soporta notificaciones y funciones de seguridad, como la política de protección de aplicaciones, la política de conformidad y el refrescamiento de claves silencioso.