MFAでのモバイル・オーセンティケータ・アプリケーションの使用

IAMでアイデンティティ・ドメインでMFAにモバイル・認証アプリケーションを使用すると、時間ベースのワンタイム・パスコード(OTP)またはプッシュ通知の形式で2番目の認証ファクタが提供され、アプリケーションの保護およびコンプライアンス・ポリシーを実装するための複数のオプションが提供されます。

モバイル・認証アプリは、モバイル・デバイスにインストールされるソフト・トークンです。モバイル・オーセンティケータ・アプリケーションは、OTPまたはプッシュ通知を使用して、ユーザーがモバイル・デバイスを所有していることを証明します。有効なOTPを生成できるのは、ユーザーの秘密キーを所有するモバイル・認証アプリのみです。MFAの登録時に、ユーザーがクイック・レスポンス(QR)コードをスキャンするか、登録URLを使用すると、モバイル・オーセンティケータ・アプリケーションがIAMサーバーで自動的に構成されます。モバイル・オーセンティケータ・アプリケーションは、OTPの生成やモバイル・オーセンティケータ・アプリケーションでのプッシュ通知の受信に必要な秘密キーを取得します。その後、その秘密キーはクライアントとIAMサーバー間で共有されます。ユーザーがオフラインで登録する場合、IAMは、QRコードを介してそのシークレットをモバイル・オーセンティケータと共有します。ユーザーがオンラインで登録する場合、IAMは、登録通知を介してそのシークレットをモバイル・オーセンティケータと共有します。

ユーザーは、モバイル・オーセンティケータ・アプリケーションを使用して、オンラインまたはオフラインの両方でOTPを生成できます。ただし、プッシュ通知の登録およびデバイス・コンプライアンス・チェックの実行(ジェイルブレーク検出/PIN保護)は、オンライン中にのみ実行できます。

• モバイル・アプリケーション・パスコード: Oracle Mobile Authenticatorアプリケーションなどのモバイル・オーセンティケータ・アプリケーションを使用して、OTPを生成します。新しいOTPは、30から60秒ごとに生成され、90から180秒間有効です。ユーザーがユーザー名およびパスワードを入力すると、パスコード用のプロンプトが表示されます。モバイル・オーセンティケータ・アプリケーションを使用してパスコードを生成した後、ユーザーは2番目の検証方法としてそのコードを入力します。

• モバイル・アプリケーション通知: ログイン試行を許可または拒否するための承認リクエストを含むプッシュ通知をOMAアプリケーションに送信します。ユーザーがユーザー名とパスワードを入力すると、ログイン・リクエストが電話に送信されます。ユーザーは、「許可」をタップして認証します。

OMAアプリケーションは、Android、iOSおよびWindowsオペレーティング・システムで使用できます。

モバイル・アプリケーション・パスコードとモバイル・アプリケーション通知ファクタの両方を有効にし、ユーザーが2番目の検証方法としてモバイル・アプリケーションに登録されている場合、モバイル・アプリケーション通知ファクタがユーザーに提示されるデフォルトです。ユーザーは、サインイン時に別のバックアップ検証方法を選択するか、デフォルト・オプションとして別の方法を選択して、使用する要素を変更できます。IAMユーザーは、OMAアプリケーションか、OTPを生成するためにサポートされている任意のサードパーティ・オーセンティケータ・アプリケーションを使用できます。ただし、ユーザーは、OMAアプリケーションを使用してプッシュ通知を受信する必要があります。

IAMは、TOTP (時間ベースのワンタイム・パスワード)アルゴリズムの仕様に準拠したサードパーティ・オーセンティケータ・アプリケーション(Google Authenticatorなど)と連携します。サードパーティのオーセンティケータ・アプリケーションには、特別な管理者構成ステップは必要ありません。ユーザーがMFAに登録し、方法として「モバイル・アプリ」を選択した場合、ユーザーは、「キーの手動入力」または「オフライン・モード」または「別のオーセンティケータ・アプリケーションの使用」オプションを選択してサードパーティ・オーセンティケータを設定できます。アプリケーション保護ポリシー、コンプライアンス・ポリシー、サイレント・キー・リフレッシュなどの通知およびセキュリティ機能をサポートしているため、OMAアプリケーションを使用することをお薦めします。