MFAでのモバイル・オーセンティケータ・アプリケーションの使用

IAMのアイデンティティ・ドメインでMFAにモバイル・オーセンティケータ・アプリケーションを使用すると、時間ベースのワンタイム・パスコード(OTP)またはプッシュ通知の形式で2番目の認証ファクタが提供され、アプリケーション保護およびコンプライアンス・ポリシーを実装するためのいくつかのオプションが提供されています。

モバイル・オーセンティケータ・アプリケーションは、モバイル・デバイスにインストールされているソフト・トークンである。モバイル・オーセンティケータ・アプリケーションは、OTPまたはプッシュ通知を使用して、ユーザーがモバイル・デバイスを所有していることを証明します。有効なOTPを生成できるのは、ユーザーの秘密キーを所有しているモバイル・オーセンティケータ・アプリケーションだけです。MFAの登録時に、ユーザーがクイック・レスポンス(QR)コードをスキャンするか、登録URLを使用して、モバイル・オーセンティケータ・アプリがIAMサーバーで自動的に構成されます。モバイル・オーセンティケータ・アプリケーションは、OTPの生成やモバイル・オーセンティケータ・アプリケーションでのプッシュ通知の受信に必要な秘密キーを取得します。その後、その秘密キーはクライアントとIAMサーバー間で共有されます。ユーザーがオフラインで登録する場合、IAMは、QRコードを介してそのシークレットをモバイル・オーセンティケータと共有します。ユーザーがオンラインで登録する場合、IAMは、登録通知を介してそのシークレットをモバイル・オーセンティケータと共有します。

ユーザーは、モバイル・オーセンティケータ・アプリケーションを使用して、オンラインまたはオフラインの両方でOTPを生成できます。ただし、プッシュ通知の登録およびデバイス・コンプライアンス・チェックの実行(ジェイルブレーク検出/PIN保護)は、オンライン中にのみ実行できます。

• モバイル・アプリケーション・パスコード: Oracle Mobile Authenticatorアプリケーションなどの移動式オーセンティケータ・アプリケーションを使用して、OTPを生成します。新しいOTPは、30から60秒ごとに生成され、90から180秒間有効です。ユーザーがユーザー名とパスワードを入力すると、パスコード用のプロンプトが表示されます。モバイル・オーセンティケータ・アプリケーションを使用してパスコードを生成した後、ユーザーは2番目の検証方法としてそのコードを入力します。

• モバイル・アプリケーション通知: ログイン試行を許可または拒否するための承認リクエストを含むプッシュ通知をOMMアプリケーションに送信します。ユーザーがユーザー名とパスワードを入力すると、ログイン・リクエストが電話に送信されます。ユーザーは、「許可」をタップして認証します。

モバイル・アプリケーション・パスコードとモバイル・アプリケーション通知の両方の要素を有効にし、ユーザーが2番目の検証方法としてモバイル・アプリケーションに登録されている場合、モバイル・アプリケーション通知の要素 がユーザーに表示されるデフォルトになります。ユーザーは、サインイン時に別のバックアップ検証方法を選択するか、デフォルト・オプションとして別の方法を選択することで、使用するファクタを変更できます。IAMユーザーは、OMAアプリケーションか、OTPを生成するためにサポートされている任意のサードパーティ・オーセンティケータ・アプリケーションを使用できます。ただし、ユーザーは、OMAアプリケーションを使用してプッシュ通知を受信する必要があります。

IAMは、TOTP: 時間ベースのワンタイム・パスワード・アルゴリズム仕様に準拠したサード・パーティ・オーセンティケータ・アプリケーション(Google Authenticatorなど)と連携します。サード・パーティ・オーセンティケータ・アプリケーションには特別な管理者構成ステップはありません。When a user enrolls in MFA and selects Mobile App as the method, the user can either select the Enter Key Manually or Offline Mode or Use Another Authenticator App options to set up third-party authenticators. アプリケーション保護ポリシー、コンプライアンス・ポリシー、サイレント・キー・リフレッシュなどの通知およびセキュリティ機能をサポートしているため、OMAアプリケーションを使用することをお薦めします。