Usando Aplicativos Autenticadores Móveis com MFA

O uso de um aplicativo autenticador móvel para MFA em um domínio de identidades no serviço IAM fornece um segundo fator de autenticação na forma de um código de acesso temporário (OTP) baseado no tempo ou notificação por push e oferece várias opções para implementar política de conformidade e proteção de aplicativos.

Um aplicativo autenticador móvel é um token temporário instalado em um dispositivo móvel. Um aplicativo autenticador móvel usa notificações por push ou OTP para provar que o usuário tem a posse do dispositivo móvel. Somente o aplicativo autenticador móvel que está na posse da chave secreta do usuário pode gerar um OTP válido. Durante a inscrição do MFA, quando um usuário verifica o código de Resposta Rápida (QR) ou usa o URL de inscrição, o aplicativo autenticador móvel é configurado automaticamente com o servidor IAM. O aplicativo autenticador móvel recupera uma chave secreta, que é necessária para gerar o OTP e receber notificações por push no aplicativo autenticador móvel. Essa chave secreta é então compartilhada entre o cliente e o servidor IAM. Se o usuário estiver se inscrevendo off-line, o serviço IAM compartilhará o segredo com o Autenticador Móvel por meio de um Código QR. Se o usuário estiver se inscrevendo on-line, o serviço IAM compartilhará o segredo com o Autenticador Móvel por meio da notificação de inscrição.

Um usuário pode usar o aplicativo autenticador móvel para gerar um OTP on-line ou off-line. No entanto, o registro para notificações por push e a execução de verificações de conformidade do dispositivo (detecção de quebra de arquivo/proteção PIN) só podem ser feitos on-line.

• Código de Acesso do Aplicativo Móvel: Use um aplicativo autenticador móvel, como o aplicativo Oracle Mobile Authenticator, para gerar um OTP. Um novo OTP é gerado a cada 30-60 segundos e é válido por 90-180 segundos. Depois que o usuário digita o nome de usuário e a senha, aparece um prompt solicitando o código de acesso. Depois de gerar o código de acesso usando o aplicativo autenticador móvel, o usuário digita esse código como segundo método de verificação.

• Notificação de Aplicativo Móvel: Envie uma notificação por push ao aplicativo OMA que contenha uma solicitação de aprovação para permitir ou negar uma tentativa de log-in. Depois que o usuário digita seu nome de usuário e sua senha, uma solicitação de log-in é enviada para o telefone dele. O usuário toca em Permitir para autenticação.

O aplicativo OMA está disponível para sistemas operacionais Android, iOS e Windows.

Quando você ativa os fatores Código de Acesso do Aplicativo Móvel e Notificação do Aplicativo Móvel e um usuário é inscrito no Aplicativo Móvel como segundo método de verificação, o fator Notificação do Aplicativo Móvel é o padrão apresentado ao usuário. Os usuários podem alterar o fator que desejam usar selecionando outro método de verificação de backup ao acessar ou selecionando outro método como opção padrão. Os usuários do serviço IAM podem usar o aplicativo OMA ou qualquer aplicativo autenticador de terceiros suportado que eles desejam para gerar OTPs. No entanto, os usuários devem utilizar o aplicativo OMA para receber notificações por push.

O serviço IAM funciona com qualquer aplicativo autenticador de terceiros (como Google Authenticator) que siga a especificação TOTP: Algoritmo de Código de Acesso Temporário Baseado em Tempo. Não são necessárias etapas especiais de configuração do administrador para aplicativos autenticadores de terceiros. Quando um usuário se inscrever no MFA e selecionar Aplicativo Móvel como método, o usuário poderá selecionar as opções Informar Chave Manualmente ou Modo Off-line ou Usar Outro Aplicativo Autenticador para configurar autenticadores de terceiros. Recomendamos o uso do aplicativo OMA porque ele suporta notificações e recursos de segurança, como política de proteção de aplicativo, política de conformidade e atualização de chave silenciosa.