Utilisation d'applications d'authentification mobiles avec l'authentification à plusieurs facteurs
L'utilisation d'une application d'authentification mobile pour l'authentification à plusieurs éléments dans un domaine d'identité dans IAM fournit un second facteur d'authentification sous la forme d'un code secret à utilisation unique basé sur les temps ou d'une notification Push, et offre différentes options pour implémenter une stratégie d'application de conformité et de protection des applications.
Une appli d'authentification mobile est un jeton logiciel installé sur un appareil mobile. Une application d'authentification mobile recourt aux codes secrets à usage unique ou aux notifications Push pour prouver que l'utilisateur est en possession de l'appareil mobile. Seule l'application d'authentification mobile en possession de la clé secrète d'utilisateur peut générer un code secret d'utilisation valide. Lors de l'inscription à l'authentification à plusieurs éléments, lorsqu'un utilisateur scanne le code QR (QR) ou utilise l'URL d'inscription, l'application d'authentification mobile est automatiquement configurée avec le serveur IAM. L'application d'authentification mobile extrait une clé secrète, requise pour générer le code secret à usage unique et recevoir les notifications Push. Cette clé secrète est ensuite partagée entre le client et le serveur IAM. Si l'utilisateur s'inscrit hors ligne, IAM partage la clé secrète avec l'authentificateur mobile via un QR Code. Si l'utilisateur s'inscrit en ligne, IAM partage la clé secrète avec l'authentificateur mobile via la notification d'inscription.
Un utilisateur peut employer l'application d'authentification mobile pour générer un code secret à usage unique en ligne ou hors ligne. Toutefois, l'inscription pour les notifications Push et l'exécution des vérifications de conformité de l'appareil (détection du débridage/protection par code PIN) peuvent uniquement être effectuées en ligne.
- Code secret d'application mobile : utilisez une application d'authentification mobile, telle que l'application Oracle Mobile Authenticator, pour générer un mot de passe à usage utilisateur. Un nouveau code secret à usage unique est généré toutes les 30 à 60 secondes, et reste valide pendant 90 à 180 secondes. Une fois que l'utilisateur a saisi son nom d'utilisateur et le mot de passe, une invite apparaît pour le code secret. Après avoir généré le code secret à l'aide de l'application d'authentification mobile, l'utilisateur saisit ce code comme seconde méthode de vérification.
- Notification d'application mobile : envoie à l'application OMA une notification Push contenant une demande d'approbation pour autoriser ou refuser une tentative de connexion. Une fois que l'utilisateur a fourni son nom d'utilisateur et mot de passe, une demande d'ouverture de session est envoyée sur son téléphone. L'utilisateur touche Autoriser pour s'authentifier.
- L'application OMA est disponible pour les systèmes d'exploitation Android, iOS et Windows.
- Pour savoir comment configurer des codes secret et des notifications mobiles, reportez-vous à Configuration des mots de passe à usage unique et des notifications.
- Lors de l'enregistrement à l'authentification à plusieurs éléments, l'utilisateur doit saisir la clé manuellement ou passer par l'adresse d'inscription s'il se sert de l'application OMA sur une surface Pro ou sur un appareil de bureau Windows. Le QR Code Scanner ne peut pas être utilisé en raison d'une limitation de l'appareil photo. Lorsque l'utilisateur saisit la clé manuellement, l'application OMA prend uniquement en charge l'encodage BASE32.
Lorsque vous activez les facteurs Code secret d'application mobile et Notification d'application mobile, et qu'un utilisateur est inscrit à l'application Mobile comme seconde méthode de vérification, le facteur Notification d'application mobile est la valeurs par défaut présentée à l'utilisateur. Les utilisateurs peuvent modifier le facteur qu'ils veulent employer en sélectionnant une autre méthode de vérification de sauvegarde lors de la session ou en sélectionnant une autre méthode comme option par défaut. Les utilisateurs IAM peuvent s'appuyer sur l'application OMA ou toute application d'authentificateur tierce prise en charge pour générer des codes secrets à usage unique. Ils doivent toutefois utiliser l'application OMA pour recevoir les notifications Push.
IAM fonctionne avec toutes les applications d'authentification tierces (comme Google Authenticator) qui respectent la spécification d'algorithme TOTP : algorithme de mot de passe à utilisation unique basée sur le temps. Aucune étape spéciale de configuration de l'administrateur n'est requise pour les applications d'authentification tierces. Lorsqu'un utilisateur s'inscrit à l'authentification à plusieurs éléments et sélectionne Application mobile comme méthode, il peut sélectionner l'option Saisir une clé manuellement ou Scanner le mode hors ligne ou Utiliser une autre application d'authentification pour configurer les authentificateurs tiers. Nous vous recommandons d'utiliser l'application OMA, car elle prend en charge les notifications et les fonctionnalités de sécurité telles que la stratégie de protection des applications, la stratégie de conformité et l'actualisation automatique des clés.