2ステップ検証の管理
2ステップ検証は、アイデンティティを複数の方法で検証し、アカウントのセキュリティを2層にする認証方法です。
ノート
この項のタスクは、管理者が構成したオプションを使用してアイデンティティ・ドメインにサインインするための2ステップ検証を設定するためにユーザーが実行するためのものです。アイデンティティ・ドメインのMFAを設定する必要がある管理者の場合は、「多要素認証の管理」を参照してください。
この項のタスクは、管理者が構成したオプションを使用してアイデンティティ・ドメインにサインインするための2ステップ検証を設定するためにユーザーが実行するためのものです。アイデンティティ・ドメインのMFAを設定する必要がある管理者の場合は、「多要素認証の管理」を参照してください。
アイデンティティ・ドメインにサイン・インすると、最初の要素であるユーザー名とパスワードのプロンプトが表示されます。次に、ユーザーは、2番目のタイプの検証を提供するよう要求されることがあります。2番目のタイプの検証を提供することは、2ステップ検証と呼ばれます。追加情報または2番目のデバイスを使用してアイデンティティを検証し、サインイン・プロセスを完了することで、2つの要素が連携してセキュリティの追加レイヤーを追加します。
2ステップ検証の登録
ログイン・ページでユーザー名とパスワードを入力した後、またはセルフサービスの「マイ・プロファイル」コンソールから「2ステップ検証」ページを使用して、サインイン中にアカウントに2ステップ検証に登録します。また、「2ステップ検証」ページを使用して、2ステップ検証の有効化と無効化、認証ファクタの設定、デバイスの信頼、バイパス・コードの生成などのタスクを実行します。
サポートされている2ステップ検証ファクタ
設定可能な2ステップ検証ファクタは、アイデンティティ・ドメイン管理者またはセキュリティ管理者がアイデンティティ・ドメインの2ファクタ検証を設定したときに選択した内容によって異なります。たとえば、管理者が2要素検証ファクタとして電子メールを無効にした場合、電子メールを使用できません。有効になっていない2ステップ検証ファクタは、「自分のプロファイル」コンソールの「セキュリティ」タブに表示されません。
次の2ステップ検証ファクタがサポートされています:
- セキュリティ質問: セキュリティ質問に回答してアイデンティティを確認します。ユーザー名とパスワードを入力した後、2番目の検証ファクタとして、定義された数のセキュリティ質問に回答する必要があります。
- 電子メール: 2番目の検証ファクタとして使用するために、電子メールのワンタイム・パスコードをプライマリ電子メール・アドレスに送信します。
- Duoセキュリティ: Duoアプリケーションまたはその他のDuoファクタを使用して認証します。
- Fast ID Online (FIDO): YubiKeyなどの外部認証デバイス、またはWindows HelloやMac Touch IDなどの内部デバイスを使用して、アイデンティティ・ドメインに対して認証します。
- モバイル・アプリケーション・パスコード: Oracle Mobile Authenticator (OMA)アプリケーションなどのオーセンティケータ・アプリケーションを使用して、OTPを生成します。OTPは、デバイスがオフラインの場合でも生成できます。ユーザー名とパスワードを入力すると、パスコードのプロンプトが表示されます。生成されたパスコードをアプリケーションから取得し、2番目の検証ファクタとしてコードを入力します。IAMは、TOTP (時間ベースのワンタイム・パスワード)アルゴリズムの仕様に準拠したサードパーティ認証アプリケーション(Google Authenticatorなど)とも連携します。
- モバイル・アプリケーション通知: ログイン試行を許可または拒否する承認リクエストを含むプッシュ通知を受信します。プッシュ通知は、認証のための簡単で迅速な方法です。ユーザー名とパスワードを入力すると、ログイン要求が電話のアプリに送信されます。「許可」をタップして認証します。
- バイパス・コード: IAMセルフサービス・コンソールを使用して、バイパス・コードを生成します。バイパス・コードを生成する機能は、2ステップ検証に登録した後で使用できます。バイパス・コードを生成し、それらを保存して後で使用できます。ユーザー生成のバイパス・コードは、期限切れになることはありませんが、使用できるのは1回のみです。管理者に連絡してアクセス用のバイパス・コードを取得するオプションもあります。
このセクションでは、次のタスクについて説明します。