Uso delle applicazioni Mobile Authenticator con MFA

L'utilizzo di un'applicazione di autenticazione mobile per l'autenticazione MFA in un dominio di Identity in IAM fornisce un secondo fattore di autenticazione sotto forma di passcode monouso (OTP) o notifica push basati sul tempo e offre diverse opzioni per l'implementazione dei criteri di protezione e conformità dell'applicazione.

Un'applicazione di autenticazione mobile è un token software installato su un dispositivo mobile. Un'app di autenticazione mobile utilizza notifiche OTP o push per dimostrare che l'utente è in possesso del dispositivo mobile. Solo l'applicazione di autenticazione mobile in possesso della chiave segreta dell'utente può generare un OTP valido. Durante la registrazione MFA, quando un utente esegue la scansione del codice di risposta rapida (QR) o utilizza l'URL di registrazione, l'applicazione di autenticazione mobile viene configurata automaticamente con il server IAM. L'applicazione Mobile Authenticator recupera una chiave segreta, necessaria per generare l'OTP e ricevere notifiche push sull'app Mobile Authenticator. Tale chiave segreta viene quindi condivisa tra il client e il server IAM. Se l'utente si registra offline, IAM condivide il segreto con l'autenticatore mobile tramite un codice QR. Se l'utente si iscrive online, IAM condivide il segreto con l'autenticatore mobile tramite la notifica di iscrizione.

Un utente può utilizzare l'applicazione Mobile Authenticator per generare un OTP sia online che offline. Tuttavia, la registrazione per le notifiche push e l'esecuzione di controlli di conformità del dispositivo (rilevamento jailbreak/protezione PIN) possono essere eseguite solo online.

• Passcode applicazione Mobile: utilizzare un'applicazione di autenticazione Mobile, ad esempio l'applicazione Oracle Mobile Authenticator, per generare un OTP. Un nuovo OTP viene generato ogni 30-60 secondi ed è valido per 90-180 secondi. Dopo che l'utente ha immesso il nome utente e la password, viene visualizzato un prompt per il passcode. Dopo aver generato il passcode utilizzando l'applicazione Mobile Authenticator, l'utente immette tale codice come secondo metodo di verifica.

• Notifica applicazione mobile: inviare una notifica push all'applicazione OMA che contiene una richiesta di approvazione per consentire o negare un tentativo di login. Dopo che l'utente ha immesso il nome utente e la password, viene inviata una richiesta di login al telefono. L'utente tocca Consenti per eseguire l'autenticazione.

Quando si abilitano sia i fattori Passcode applicazione mobile che Notifica applicazione mobile e un utente viene registrato nell'applicazione mobile come secondo metodo di verifica, il fattore Notifica applicazione mobile è l'impostazione predefinita presentata all'utente. Gli utenti possono modificare il fattore che desiderano utilizzare selezionando un metodo di verifica di backup diverso al momento dell'accesso o selezionando un metodo diverso come opzione predefinita. Gli utenti IAM possono utilizzare l'applicazione OMA o qualsiasi applicazione di autenticazione di terze parti supportata che desiderano generare OTP. Tuttavia, gli utenti devono utilizzare l'applicazione OMA per ricevere le notifiche push.

IAM funziona con qualsiasi applicazione di autenticazione di terze parti (come Google Authenticator) che aderisce alla specifica TOTP: Time-Based One-Time Password Algorithm. Non sono necessari passi speciali di configurazione dell'amministratore per le applicazioni di autenticazione di terze parti. Quando un utente si iscrive all'autenticazione MFA e seleziona Applicazione mobile come metodo, l'utente può selezionare le opzioni Inserisci chiave manualmente o Modalità offline o Usa un'altra applicazione di autenticazione per impostare gli autenticatori di terze parti. È consigliabile utilizzare l'applicazione OMA in quanto supporta notifiche e funzioni di sicurezza quali i criteri di protezione delle applicazioni, i criteri di conformità e l'aggiornamento delle chiavi in background.