Utilisation des applications d'authentification mobiles avec l'authentification multifacteur
L'utilisation d'une application d'authentification mobile pour l'authentification multifacteur dans un domaine d'identité dans IAM fournit un deuxième facteur d'authentification sous la forme d'un code secret à usage unique basé sur le temps ou d'un avis poussé, et offre plusieurs options pour mettre en oeuvre la politique de protection de l'application et la politique de conformité.
Une application d'authentification mobile est un jeton logiciel installé sur un appareil mobile. Une application d'authentification mobile utilise soit un code secret à usage unique soit des avis poussés pour prouver que l'utilisateur possède l'appareil mobile. Seule l'application d'authentification mobile qui possède la clé secrète de l'utilisateur peut générer un code secret à usage unique valide. Lors de l'inscription à l'authentification multifacteur, lorsqu'un utilisateur balaie le code de réponse rapide (QR) ou utilise l'URL d'inscription, l'application d'authentification mobile est automatiquement configurée avec le serveur GIA. L'application d'authentification mobile extrait une clé secrète, qui est requise pour générer le code secret à usage unique et pour recevoir des avis poussés sur l'application Mobile Authenticator. Cette clé secrète est ensuite partagée entre le client et le serveur GIA. Si l'utilisateur s'inscrit hors ligne, le service GIA partage la clé secrète avec l'application d'authentification mobile au moyen d'un code QR. Si l'utilisateur s'inscrit en ligne, le service GIA partage la clé secrète avec l'application d'authentification mobile au moyen de l'avis d'inscription.
Un utilisateur peut avoir recours à l'application d'authentification mobile pour générer un code secret à usage unique en ligne ou hors ligne. Toutefois, l'inscription aux avis poussés et l'exécution des vérifications de conformité des appareils (détection de débridage/protection par NIP) ne peuvent être effectuées qu'en ligne.
- Code secret pour application mobile : Utilisez une application d'authentification mobile, telle que l'application Oracle Mobile Authenticator, pour générer un code secret à usage unique. Un nouveau code secret à usage unique est généré toutes les 30 à 60 secondes et sa durée de validité est comprise entre 90 et 180 secondes. Une fois que l'utilisateur a entré son nom d'utilisateur et mot de passe, il est invité à entrer le code secret. Après avoir généré le code secret à l'aide de l'application d'authentification mobile, l'utilisateur entre ce code comme deuxième méthode de vérification.
- Avis par application mobile : Envoyez un avis poussé à l'application OMA qui contient une demande d'approbation pour autoriser ou refuser une tentative de connexion. Une fois que l'utilisateur a entré son nom d'utilisateur et son mot de passe, une demande de connexion est envoyée à son téléphone. L'utilisateur touche Autoriser pour s'authentifier.
L'application OMA est disponible pour les systèmes d'exploitation Android, iOS et Windows.
Lors de l'inscription à l'authentification multifacteur, l'utilisateur doit entrer la clé manuellement ou utiliser l'URL d'inscription lorsqu'il utilise l'application OMA sur un appareil Surface Pro ou un ordinateur de bureau Windows. Le scanner de code QR ne peut pas être utilisé en raison d'une limitation de la caméra. Lorsque l'utilisateur entre cette clé manuellement, l'application OMA prend en charge uniquement l'encodage BASE32.
Lorsque vous activez les facteurs Code secret pour application mobile et avis par application mobile et qu'un utilisateur est inscrit avec Application mobile comme deuxième méthode de vérification, le facteur Avis par application mobile est présenté par défaut à l'utilisateur. Les utilisateurs peuvent modifier le facteur qu'ils souhaitent utiliser soit en sélectionnant une autre méthode de vérification de sauvegarde lors de leur connexion, soit en sélectionnant une autre méthode comme option par défaut. Les utilisateurs GIA peuvent utiliser l'application OMA ou n'importe quelle application d'authentification de tierce partie prise en charge de leur choix pour générer des codes secrets à usage unique. Toutefois, ils doivent utiliser l'application OMA pour recevoir des avis poussés.
Le service GIA fonctionne avec toute application d'authentification de tierce partie (telle que Google Authenticator) qui adhère à la spécification TOPT (algorithme de mot de passe à usage unique basé sur le temps). Aucune étape de configuration d'administrateur spéciale n'est requise pour les applications d'authentification de tierce partie. Lorsqu'un utilisateur s'inscrit à l'AMF et sélectionne la méthode Application mobile, il peut sélectionner l'option Entrer la clé manuellement ou Mode hors ligne ou Utiliser une autre application d'authentification pour configurer les authentificateurs de tierce partie. Nous recommandons d'utiliser l'application OMA, car elle prend en charge les avis et les fonctions de sécurité telles que la politique de protection de l'application et la politique de conformité ainsi que l'actualisation de clé en mode silencieux.