モバイルOTPおよび通知の構成
IAMで、時間ベースのワンタイム・パスコード(OTP)のアイデンティティ・ドメインと、Oracle Mobile Authenticator (OMA)アプリケーションの保護およびコンプライアンス・ポリシーを構成します。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
- 作業するアイデンティティ・ドメインの名前をクリックします。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。
- ドメインの詳細ページで、「セキュリティ」をクリックします。
- 「セキュリティ」ページで、「2要素認証」をクリックします。
- 「モバイル・アプリ」タブをクリックします。
-
「パスコード・ポリシー」で、必要な変更を行います。デフォルト値は業界推奨設定です
- 「パスコード生成間隔(秒)」ボックスの値は、新しいパスコードを生成するまでの秒数を示します。クロック・スキュー(サーバーとデバイス間の時間差)を避けるため、ユーザーは、デバイス・クロックが同期していることを確認する必要があります。サーバーとデバイス間の最大許容時間差は、90秒です。
- 「秘密キーのリフレッシュ間隔(日数)」ボックスの値は、共有シークレットをリフレッシュするまでの日数を示します。ユーザーがモバイル・デバイスを登録するたびに、スキャンされたクイック・レスポンス(QR)コードを使用するか、ユーザーがキーを手動で入力することで、秘密キーがプッシュされ、セキュアに格納されます。このキーは、OTPの生成に使用されるOTPアルゴリズムに対する入力です。キーはサイレントにリフレッシュされるため、ユーザー・アクションは必要ありません。
-
「通知ポリシー」で、「プル通知の有効化」を選択してOMAアプリケーションがサーバーから保留中の通知リクエストをプルできるようにします。
プル通知は、ログイン・リクエスト通知を手動でチェック(プル)するユーザーに応答して、モバイル・デバイスまたはコンピュータに配信される更新です。
プル通知は、GCMサービス(Android)、APNSサービス(iPhone)またはWNSサービス(Windows)が動作しないシナリオで役立ちます。たとえば、中国ではGCMサービスがブロックされるため、ユーザーはデバイスにプッシュされた通知を受信しません。ただし、プル通知が使用可能な場合、ユーザーは、OMAアプリケーションを使用してサーバーから通知を手動でプルできます。また、プル通知は、プッシュ通知が100%信頼できない場合にも便利です。
-
OMAアプリケーションのアプリケーション保護ポリシーを構成します。
- なし:アプリケーションは保護されていません。
- アプリケーションPIN:アプリケーションにアクセスするにはPINが必要です。
- フィンガープリント:フィンガープリントは、アプリケーションへのアクセスに使用されます。
-
OMAアプリケーションのコンプライアンス・ポリシーを構成します。コンプライアンス・ポリシー・チェックは、OMAアプリケーションが開かれるたびに実行されます
- モバイル・オーセンティケータ・アプリケーションのバージョン・チェック:ユーザーが古いアプリケーションを使用できないようにするには、「最新の更新が必要」を選択します。
-
最小OSバージョン・チェック:古いオペレーティング・システムがあるデバイスでユーザーがアプリケーションを使用できないようにするには、「古いOSバージョンを持つデバイスからのアクセスの制限」を選択します。
ユーザーはプッシュ通知要求を受信せず、パスコードを生成できません。
-
root化デバイスのチェック(iOSおよびAndroidのみ): root化されているデバイスまたはroot化ステータスが不明なデバイスでユーザーがアプリケーションを使用できないようにするには、「root化デバイスからのアクセスの制限」、「root化ステータスが不明なデバイスからのアクセスの制限」、またはその両方を選択します。
ユーザーはプッシュ通知要求を受信せず、パスコードを生成できません。
-
デバイス画面ロック・チェック:画面ロックがない、または画面ロック・ステータスが不明なデバイスでユーザーがアプリケーションを使用できないようにするには、「画面ロックのないデバイスからのアクセスの制限」、「画面ロック・ステータスが不明なデバイスからのアクセスの制限」、またはその両方を選択します。
ユーザーはプッシュ通知要求を受信せず、パスコードを生成できません。
- 「変更の保存」をクリックします。
- 要求されたら、変更を確認します。