Utilisation d'applications d'authentification mobiles avec l'authentification à plusieurs facteurs
L'utilisation d'une application d'authentification mobile pour l'authentification à plusieurs facteurs dans un domaine d'identité dans IAM fournit un second facteur d'authentification sous la forme d'un code secret à usage unique basé sur le temps ou d'une notification Push, et offre plusieurs options pour implémenter une stratégie de conformité et de protection des applications.
Une application d'authentification mobile est un jeton logiciel installé sur un appareil mobile. Une application d'authentification mobile recourt aux codes secrets à usage unique ou aux notifications Push pour prouver que l'utilisateur est en possession de l'appareil mobile. Seule l'application d'authentificateur mobile qui dispose de la clé secrète de l'utilisateur peut générer un mot de passe à usage unique valide. Lors de l'inscription à l'authentification à plusieurs facteurs, lorsqu'un utilisateur scanne le QR Code ou passe par l'URL d'inscription, l'application d'authentification mobile est automatiquement configurée avec le serveur IAM. L'application d'authentification mobile extrait une clé secrète, requise pour générer le code secret à usage unique et recevoir les notifications Push. Cette clé secrète est ensuite partagée entre le client et le serveur IAM. Si l'utilisateur s'inscrit hors ligne, IAM partage la clé secrète avec l'authentificateur mobile via un QR Code. Si l'utilisateur s'inscrit en ligne, IAM partage la clé secrète avec l'authentificateur mobile via la notification d'inscription.
Un utilisateur peut employer l'application d'authentification mobile pour générer un code secret à usage unique en ligne ou hors ligne. Toutefois, l'inscription pour les notifications Push et l'exécution des vérifications de conformité de l'appareil (détection du débridage/protection par code PIN) peuvent uniquement être effectuées en ligne.
- Code secret d'application mobile : utilisez une application d'authentification mobile, telle que l'application Oracle Mobile Authenticator, pour générer un code secret à usage unique. Un nouveau code secret à usage unique est généré toutes les 30 à 60 secondes, et reste valide pendant 90 à 180 secondes. Une fois que l'utilisateur a entré son nom utilisateur et son mot de passe, une invite apparaît pour demander le code secret. Après avoir généré le code secret à l'aide de l'application d'authentification mobile, l'utilisateur saisit ce code comme seconde méthode de vérification.
- Notification d'application mobile : envoie à l'application OMA une notification Push contenant une demande d'approbation pour autoriser ou refuser une tentative de connexion. Une fois que l'utilisateur a entré son nom utilisateur et son mot de passe, une demande de connexion est envoyée sur son téléphone. L'utilisateur touche Autoriser pour s'authentifier.
L'application OMA est disponible pour les systèmes d'exploitation Android, iOS et Windows.
Lors de l'inscription à l'authentification à plusieurs facteurs, l'utilisateur doit saisir la clé manuellement ou passer par l'URL d'inscription s'il se sert de l'application OMA sur une tablette Surface Pro ou un appareil de bureau Windows. Le QR Code ne peut pas être scanner en raison des limitations de l'appareil photo. Lorsque l'utilisateur saisit la clé manuellement, l'application OMA prend uniquement en charge l'encodage BASE32.
Lorsque vous activez les facteurs Code secret d'application mobile et Notification d'application mobile, et qu'un utilisateur est inscrit à l'application mobile comme seconde méthode de vérification, le facteur Notification d'application mobile est la valeur par défaut présentée à l'utilisateur. Les utilisateurs peuvent modifier le facteur qu'ils veulent utiliser en sélectionnant une autre méthode de vérification de sauvegarde lors de la connexion ou en sélectionnant une autre méthode comme option par défaut. Les utilisateurs IAM peuvent s'appuyer sur l'application OMA ou toute application d'authentification tierce prise en charge de leur choix pour générer des codes secrets à usage unique. Ils doivent toutefois utiliser l'application OMA pour recevoir les notifications Push.
IAM fonctionne avec toutes les applications d'authentification tierces (comme Google Authenticator) qui respectent la spécification d'algorithme TOTP (mot de passe à usage unique basé sur le temps). Aucune étape de configuration spéciale par l'administrateur n'est requise pour les applications d'authentification tierces. Lorsqu'un utilisateur s'inscrit à MFA et sélectionne Application mobile comme méthode, il peut sélectionner l'option Saisir la clé manuellement ou Mode hors ligne ou Utiliser une autre application d'authentification pour configurer les authentificateurs tiers. Nous vous recommandons d'utiliser l'application OMA, car elle prend en charge les notifications et les fonctionnalités de sécurité telles que la stratégie de protection des applications, la stratégie de conformité et l'actualisation automatique des clés.