Usando Aplicativos Autenticadores Móveis com MFA

A utilização de um aplicativo autenticador móvel para MFA em um domínio de identidades no serviço IAM fornece um segundo fator de autenticação na forma de um código de acesso ocasional (OTP) baseado em tempo ou notificação push e oferece diversas opções para implementar a proteção e a política da conformidade do aplicativo.

Um app autenticador móvel é um token temporário que está instalado em um dispositivo móvel. Um aplicativo autenticador móvel usa notificações por push ou OTP para provar que o usuário tem a posse do dispositivo móvel. Somente o app autenticador móvel que estiver na posse da chave secreta do usuário poderá gerar um OTP válido. Durante o registro de MFA, quando um usuário verifica o código de Resposta Rápida (QR) ou usa o URL do registro, o aplicativo autenticador móvel é configurado automaticamente com o servidor do IAM. O aplicativo autenticador móvel recupera uma chave secreta, que é necessária para gerar o OTP e receber notificações por push no aplicativo autenticador móvel. Essa chave secreta é então compartilhada entre o cliente e o servidor IAM. Se o usuário estiver se inscrevendo off-line, o IAM compartilhará o segredo com o Autenticador Móvel por meio de um Código QR. Se o usuário estiver se inscrevendo on-line, o IAM compartilhará o segredo com o Autenticador Móvel por meio da notificação de inscrição.

Um usuário pode usar o aplicativo autenticador móvel para gerar um OTP on-line ou off-line. No entanto, o registro para notificações por push e a execução de verificações de conformidade do dispositivo (detecção de quebra de arquivo/proteção PIN) só podem ser feitos on-line.

• Código de Aprovação do Aplicativo Celular: Use um aplicativo autenticador móvel, como o aplicativo do Oracle Mobile Authenticator, para gerar um OTP. Um novo OTP é gerado a cada 30-60 segundos e é válido por 90-180 segundos. Depois que o usuário digita seu nome de utilizador e senha, um prompt aparece para o código de acesso. Depois de gerar o código de acesso usando o aplicativo autenticador móvel, o usuário digita esse código como segundo método de verificação.

• Notificação de Aplicativo Móvel: Envie uma notificação por push para o aplicativo OMA que contenha uma solicitação de aprovação para permitir ou negar uma tentativa. Depois que o usuário digita seu nome do usuário e senha, uma solicitação do login é enviada para seu telefone. O usuário toca em Permitir para autenticar.

Quando você ativa os fatores Código de Aprovação de Aplicativo Móvel e Notificação de Aplicativo Móvel e um usuário é inscrito no Aplicativo Móvel como segundo método de verificação, o fator de Notificação de Aplicativo Móvel é o padrão apresentado ao usuário. Os usuários podem alterar qual fator desejam usar selecionando outro método de verificação de backup ao acessar ou selecionando outro método como opção padrão. Os usuários do IAM podem usar o aplicativo OMA ou qualquer aplicativo autenticador de terceiros suportado que eles queiram gerar OTPs. No entanto, os usuários devem utilizar o aplicativo OMA para receber notificações por push.

O IAM funciona com qualquer aplicativo autenticador de terceiros (como o Google Authenticator) que adira à especificação TOTP: Algoritmo de Senha Única Baseada em Tempo. Nenhuma etapa especial de configuração do administrador para aplicativos autenticadores de terceiros é necessária. Quando um usuário se inscreve na MFA e seleciona Aplicativo Móvel como método, ele pode selecionar a opção Inserir Chave Manualmente ou Modo Off-line ou Usar Outro Aplicativo Autenticador para configurar autenticadores de terceiros. Recomendamos o uso do aplicativo OMA porque ele suporta notificações e recursos de segurança, como política de proteção de aplicativo, política de conformidade e atualização de chave silenciosa.