Utilisation des applications d'authentification mobiles avec l'authentification multifacteur
L'utilisation d'une application d'authentification mobile pour l'authentification multifacteur dans un domaine d'identité dans IAM fournit un deuxième facteur d'authentification sous la forme d'un code secret à temps unique ou d'un avis poussé, et offre plusieurs options pour mettre en oeuvre la politique de protection de l'application et la politique de conformité.
Une application d'authentification mobile est un jeton logiciel installé sur un appareil mobile. Une application d'authentification mobile utilise soit un code secret à usage unique soit des avis poussés pour prouver que l'utilisateur possède l'appareil mobile. Seule l'application d'authentification mobile qui est en possession de la clé secrète de l'utilisateur peut générer un code secret à usage unique valide. Lors de l'inscription à l'authentification multifacteur, lorsqu'un utilisateur balaie le code de réponse rapide (QR) ou utilise l'URL d'inscription, l'application d'authentification mobile est configurée automatiquement avec le serveur IAM. L'application d'authentification mobile extrait une clé secrète, qui est requise pour générer le code secret à usage unique et pour recevoir des avis poussés sur l'application Mobile Authenticator. Cette clé secrète est ensuite partagée entre le client et le serveur IAM. Si l'utilisateur s'inscrit hors ligne, IAM partage la clé secrète avec l'authentificateur mobile au moyen d'un code QR. Si l'utilisateur s'inscrit en ligne, IAM partage la clé secrète avec l'authentificateur mobile au moyen de l'avis d'inscription.
Un utilisateur peut avoir recours à l'application d'authentification mobile pour générer un code secret à usage unique en ligne ou hors ligne. Toutefois, l'inscription aux avis poussés et l'exécution des vérifications de conformité des appareils (détection de débridage/protection par NIP) ne peuvent être effectuées qu'en ligne.
- Code secret pour application mobile : Utilisez une application d'authentification mobile, telle que l'application Oracle Mobile Authenticator, pour générer un code secret à usage unique. Un nouveau code secret à usage unique est généré toutes les 30 à 60 secondes et sa durée de validité est comprise entre 90 et 180 secondes. Une fois que l'utilisateur a entré son nom d'utilisateur et son mot de passe, il est invité à entrer le code secret. Après avoir généré le code secret à l'aide de l'application d'authentification mobile, l'utilisateur entre ce code comme deuxième méthode de vérification.
- Avis par application mobile : Envoyez un avis poussé à l'application OMA qui contient une demande d'approbation pour autoriser ou refuser une tentative de connexion. Une fois que l'utilisateur a entré son nom d'utilisateur et son mot de passe, une demande de connexion est envoyée à son téléphone. L'utilisateur touche Autoriser pour s'identifier.
- L'application OMA est disponible pour les systèmes d'exploitation Android, iOS et Windows.
- Pour savoir comment configurer les codes secrets et les avis pour appareil mobile, voir Configuration du code secret à usage unique et des avis pour appareil mobile.
- Lors de l'inscription à l'authentification multifacteur, l'utilisateur doit entrer la clé manuellement ou utiliser l'URL d'inscription lorsqu'il utilise l'application OMA sur un appareil Surface Pro ou Windows Desktop. Le scanneur de code QR ne peut pas être utilisé en raison d'une limitation de la caméra. Lorsque l'utilisateur entre cette clé manuellement, l'application OMA prend en charge uniquement l'encodage BASE32.
Lorsque vous activez les facteurs Code secret pour application mobile et Avis par application mobile et qu'un utilisateur est inscrit dans Application mobile comme deuxième méthode de vérification, le facteur Avis par application mobile est présenté par défaut à l'utilisateur. Les utilisateurs peuvent modifier le facteur qu'ils souhaitent utiliser soit en sélectionnant une autre méthode de vérification de secours lors de leur connexion soit en sélectionnant une autre méthode comme option par défaut. Les utilisateurs du service IAM peuvent utiliser l'application OMA ou toute application d'authentification de tierce partie prise en charge qu'ils souhaitent générer des codes secrets à usage unique. Toutefois, ils doivent utiliser l'application OMA pour recevoir des avis poussés.
IAM fonctionne avec n'importe quelle application d'authentification tierce (telle que Google Authenticator) qui respecte la spécification TOTP : Time-Based One-Time Password Algorithm. Aucune étape de configuration spéciale de l'administrateur n'est requise pour les applications d'authentification de tierce partie. Lorsqu'un utilisateur s'inscrit à l'authentification multifacteur et sélectionne la méthode Application mobile, il peut sélectionner l'option Entrer la clé manuellement ou Mode hors ligne ou Utiliser une autre application d'authentification pour configurer les authentificateurs de tierce partie. Nous recommandons d'utiliser l'application OMA, car elle prend en charge les avis et les fonctions de sécurité telles que la politique de protection de l'application et la politique de conformité ainsi que l'actualisation de clé en mode silencieux.