モバイルOTPおよび通知の構成
時間ベースのワンタイム・パスコード(OTP)のIAMのアイデンティティ・ドメインと、Oracle Mobile Authenticator (OMA)アプリケーションの保護およびコンプライアンス・ポリシーを構成します。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
- 作業するアイデンティティ・ドメインの名前をクリックします。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。
- ドメインの詳細ページで、「セキュリティ」をクリックします。
- 「セキュリティ」ページで、「2要素認証」をクリックします。
- 「モバイル・アプリケーション」タブをクリックします。
-
「パスコード・ポリシー」で、必要な変更を行います。デフォルト値は業界推奨設定です
- 「パスコード生成間隔(秒)」ボックスの値は、新しいパスコードを生成するまでの秒数を示します。クロック・スキュー(サーバーとデバイス間の時間差)を避けるため、ユーザーは、デバイス・クロックが同期していることを確認する必要があります。サーバーとデバイス間の最大許容時間差は、90秒です。
- 「秘密キーのリフレッシュ間隔(日数)」ボックスの値は、共有シークレットをリフレッシュするまでの日数を示します。ユーザーがモバイル・デバイスを登録するたびに、スキャンされたクイック・レスポンス(QR)コードを使用するか、ユーザーがキーを手動で入力することで、秘密キーがプッシュされ、セキュアに格納されます。このキーは、OTPの生成に使用されるOTPアルゴリズムに対する入力です。キーはサイレントにリフレッシュされるため、ユーザー・アクションは必要ありません。
-
「通知ポリシー」で、「プル通知の有効化」を選択してOMAアプリケーションがサーバーから保留中の通知リクエストをプルできるようにします。
プル通知は、ログイン・リクエスト通知を手動でチェック(プル)しているユーザーに応答して、モバイル・デバイスやコンピュータに配信される更新のことです。
プル通知は、GCMサービス(Android)、APNSサービス(iPhone)またはWNSサービス(Windows)が動作しないシナリオに役立ちます。たとえば、中国ではGCMサービスがブロックされるため、ユーザーはデバイスにプッシュされた通知を受信しません。ただし、プル通知が使用可能な場合、ユーザーは、OMAアプリケーションを使用してサーバーから通知を手動でプルできます。また、プル通知は、プッシュ通知が100%信頼できない場合にも便利です。
-
OMAアプリケーションのアプリケーション保護ポリシーを構成します。
- なし:アプリは保護されていません。
- アプリケーションPIN:アプリケーションにアクセスするには、PINが必要です。
- フィンガープリント:フィンガープリントを使用してアプリケーションにアクセスします。
-
OMAアプリケーションのコンプライアンス・ポリシーを構成します。コンプライアンス・ポリシー・チェックは、OMAアプリケーションが開かれるたびに実行されます
- モバイル・オーセンティケータ・アプリケーションのバージョン・チェック:古いアプリケーションの使用をブロックするには、「最新の更新が必要」を選択します。
-
OSバージョンの最小チェック:古いオペレーティング・システムがあるデバイスでユーザーがアプリケーションを使用できないようにブロックするには、「OSバージョンが古いデバイスからのアクセスを制限」を選択します。
ユーザーはプッシュ通知要求を受信せず、パスコードを生成できません。
-
ルート・デバイス・チェック(iOSおよびAndroidのみ): root化されているデバイスまたはroot化ステータスが不明なデバイスでユーザーがアプリケーションを使用することをブロックするには、「ルート・デバイスからのアクセスの制限」、「root化ステータスが不明なデバイスからのアクセスの制限」またはその両方を選択します。
ユーザーはプッシュ通知要求を受信せず、パスコードを生成できません。
-
デバイス・スクリーン・ロック・チェック:スクリーン・ロックがない、またはスクリーン・ロック・ステータスが不明なデバイスでユーザーがアプリケーションを使用できないようにブロックするには、「スクリーン・ロックのないデバイスからのアクセスの制限」、「スクリーン・ロック・ステータスが不明なデバイスからのアクセスの制限」またはその両方を選択します。
ユーザーはプッシュ通知要求を受信せず、パスコードを生成できません。
- 「変更の保存」をクリックします。
- 要求されたら、変更を確認します。