Uso delle app Mobile Authenticator con MFA

L'utilizzo di un'applicazione di autenticazione mobile per l'autenticazione MFA in un dominio di Identity in IAM fornisce un secondo fattore di autenticazione sotto forma di passcode monouso (OTP) o notifica push basato sul tempo e offre diverse opzioni per l'implementazione della protezione dell'applicazione e dei criteri di conformità.

Un'app di autenticazione mobile è un soft token installato su un dispositivo mobile. Un'app di autenticazione mobile utilizza notifiche OTP o push per dimostrare che l'utente è in possesso del dispositivo mobile. Solo l'app di autenticazione mobile in possesso della chiave segreta dell'utente può generare un OTP valido. Durante la registrazione dell'autenticazione MFA, quando un utente esegue la scansione del codice di risposta rapida (QR) o utilizza l'URL di registrazione, l'applicazione di autenticazione mobile viene configurata automaticamente con il server IAM. L'app di autenticazione mobile recupera una chiave segreta, necessaria per generare l'OTP e per ricevere notifiche push sull'app di autenticazione mobile. La chiave segreta viene quindi condivisa tra il client e il server IAM. Se l'utente si sta iscrivendo offline, IAM condivide il segreto con l'autenticatore mobile tramite un codice QR. Se l'utente si sta iscrivendo online, IAM condivide il segreto con l'autenticatore mobile tramite la notifica di iscrizione.

Un utente può utilizzare l'app di autenticazione mobile per generare un OTP sia online che offline. Tuttavia, la registrazione per le notifiche push e l'esecuzione di controlli di conformità dei dispositivi (rilevamento del jailbreak/protezione PIN) possono essere effettuati solo online.

• Passcode applicazione Mobile: utilizzare un'applicazione di autenticazione Mobile, ad esempio l'applicazione Oracle Mobile Authenticator, per generare un OTP. Un nuovo OTP viene generato ogni 30-60 secondi ed è valido per 90-180 secondi. Dopo che l'utente ha immesso il nome utente e la password, viene visualizzato un prompt per il passcode. Dopo aver generato il passcode utilizzando l'app di autenticazione mobile, l'utente immette tale codice come secondo metodo di verifica.

• Notifica applicazione mobile: inviare una notifica push all'applicazione OMA contenente una richiesta di approvazione per consentire o negare un tentativo di login. Dopo che l'utente ha immesso il nome utente e la password, viene inviata una richiesta di login al telefono. L'utente tocca Consenti di eseguire l'autenticazione.

Quando si abilitano i fattori Passcode applicazione Mobile e Notifica applicazione Mobile e un utente viene registrato nell'applicazione Mobile come secondo metodo di verifica, il fattore Notifica applicazione Mobile è l'impostazione predefinita presentata all'utente. Gli utenti possono modificare il fattore che desiderano utilizzare selezionando un metodo di verifica del backup diverso al momento dell'accesso o selezionando un metodo diverso come opzione predefinita. Gli utenti IAM possono utilizzare l'applicazione OMA o qualsiasi applicazione di autenticazione di terze parti supportata che desiderano generare OTP. Tuttavia, gli utenti devono utilizzare l'app OMA per ricevere notifiche push.

IAM funziona con qualsiasi app di autenticazione di terze parti (ad esempio Google Authenticator) che aderisce alla specifica TOTP: Time-Based One-Time Password Algorithm. Non sono necessari passi di configurazione speciali dell'amministratore per le applicazioni di autenticazione di terze parti. Quando un utente si iscrive a MFA e seleziona Applicazione mobile come metodo, può selezionare le opzioni Immetti chiave manualmente o Modalità offline o Usa un'altra applicazione autenticatore per impostare gli autenticatori di terze parti. Consigliamo l'uso dell'applicazione OMA in quanto supporta notifiche e funzioni di sicurezza come i criteri di protezione dell'applicazione, i criteri di conformità e l'aggiornamento silenzioso delle chiavi.