MFAでのモバイル・オーセンティケータ・アプリケーションの使用

IAMのアイデンティティ・ドメインでMFAにモバイル・認証プロバイダ・アプリケーションを使用すると、時間ベースのワンタイム・パスコード(OTP)またはプッシュ通知の形式で2番目の認証ファクタが提供され、アプリケーション保護およびコンプライアンス・ポリシーを実装するためのいくつかのオプションが提供されます。

モバイル・認証アプリは、モバイル・デバイスにインストールされるソフト・トークンです。モバイル・オーセンティケータ・アプリケーションは、OTPまたはプッシュ通知を使用して、ユーザーがモバイル・デバイスを所有していることを証明します。有効なOTPを生成できるのは、ユーザーの秘密キーを所有するモバイル・認証アプリのみです。MFAの登録時に、ユーザーがクイック・レスポンス(QR)コードをスキャンするか、登録URLを使用すると、モバイル・オーセンティケータ・アプリケーションがIAMサーバーで自動的に構成されます。モバイル・オーセンティケータ・アプリケーションは、OTPの生成やモバイル・オーセンティケータ・アプリケーションでのプッシュ通知の受信に必要な秘密キーを取得します。その後、その秘密キーはクライアントとIAMサーバー間で共有されます。ユーザーがオフラインで登録する場合、IAMは、QRコードを介してそのシークレットをモバイル・オーセンティケータと共有します。ユーザーがオンラインで登録する場合、IAMは、登録通知を介してそのシークレットをモバイル・オーセンティケータと共有します。

ユーザーは、モバイル・オーセンティケータ・アプリケーションを使用して、オンラインまたはオフラインの両方でOTPを生成できます。ただし、プッシュ通知の登録およびデバイス・コンプライアンス・チェックの実行(ジェイルブレーク検出/PIN保護)は、オンライン中にのみ実行できます。

  • モバイル・アプリケーション・パスコード: Oracle Mobile Authenticatorアプリケーションなどのモバイル・オーセンティケータ・アプリケーションを使用して、OTPを生成します。新しいOTPは、30から60秒ごとに生成され、90から180秒間有効です。ユーザがユーザ名とパスワードを入力すると、パスコード用のプロンプトが表示されます。モバイル・オーセンティケータ・アプリケーションを使用してパスコードを生成した後、ユーザーは2番目の検証方法としてそのコードを入力します。
  • モバイル・アプリケーション通知: ログイン試行を許可または拒否するための承認リクエストを含むプッシュ通知をOMAアプリケーションに送信します。ユーザーがユーザー名とパスワードを入力すると、電話にログイン・リクエストが送信されます。ユーザーは、「許可」をタップして認証します。
ノート

  • OMAアプリケーションは、Android、iOSおよびWindowsオペレーティング・システムで使用できます。
  • モバイル・パスコードおよび通知の構成方法を学習するには、「モバイルOTPおよび通知の構成」を参照してください。
  • MFAの登録時に、ユーザーは手動でキーを入力するか、Surface ProまたはWindowsデスクトップ・デバイスでOMAアプリケーションを使用する場合は登録URLを使用する必要があります。カメラの制限のため、QRコード・スキャナは使用できません。ユーザーがキーを手動で入力する場合、OMAアプリケーションでは、BASE32エンコーディングのみがサポートされます。

モバイル・アプリケーション・パスコードモバイル・アプリケーション通知要素の両方を有効にし、ユーザーが2番目の検証方法としてモバイル・アプリケーションに登録されている場合、モバイル・アプリケーション通知要素がユーザーに提示されるデフォルトです。ユーザーは、サインイン時に別のバックアップ検証方法を選択するか、デフォルト・オプションとして別の方法を選択して、使用する要素を変更できます。IAMユーザーは、OMAアプリケーションか、OTPを生成するためにサポートされている任意のサードパーティ・オーセンティケータ・アプリケーションを使用できます。ただし、ユーザーは、OMAアプリケーションを使用してプッシュ通知を受信する必要があります。

IAMは、TOTP (時間ベースのワンタイム・パスワード)アルゴリズムの仕様に準拠したサードパーティ・オーセンティケータ・アプリケーション(Google Authenticatorなど)と連携します。第三者認証プロバイダ・アプリケーションには、特別な管理者構成ステップは必要ありません。ユーザーがMFAに登録し、方法として「モバイル・アプリ」を選択した場合、ユーザーは、「キーを手動で入力」または「オフライン・モードまたは別のオーセンティケータ・アプリケーションの使用」オプションを選択して、サードパーティ・オーセンティケータを設定できます。アプリケーション保護ポリシー、コンプライアンス・ポリシー、サイレント・キー・リフレッシュなどの通知およびセキュリティ機能をサポートしているため、OMAアプリケーションを使用することをお薦めします。