Uso de aplicaciones de autenticación móvil con MFA
El uso de una aplicación de autenticación móvil para MFA en un dominio de identidad de IAM proporciona un segundo factor de autenticación en forma de código de acceso de un solo uso (OTP) basado en tiempo o notificación push, y ofrece varias opciones para implantar la política de conformidad y protección de la aplicación.
Una aplicación de autenticación móvil es un token de software instalado en un dispositivo móvil. Una aplicación de autenticación móvil utiliza OTP o notificaciones push para comprobar que el usuario tiene la posesión del dispositivo móvil. Solo la aplicación de autenticación móvil que tiene la clave secreta del usuario puede generar un OTP válido. Durante la inscripción de MFA, cuando un usuario escanea el código de respuesta rápida (QR) o utiliza la URL de inscripción, la aplicación de autenticación móvil se configura automáticamente con el servidor de IAM. La aplicación de autenticación móvil recupera una clave secreta, que es necesaria para generar el OTP y recibir notificaciones push en la aplicación de autenticación móvil. Esa clave secreta se comparte a continuación entre el cliente y el servidor de IAM. Si el usuario se inscribe fuera de línea, IAM comparte el secreto con el autenticador móvil mediante un código QR. Si el usuario se inscribe en línea, IAM comparte el secreto con el autenticador móvil mediante la notificación de inscripción.
Un usuario puede utilizar la aplicación de autenticación móvil para generar un OTP en línea o fuera de línea. Sin embargo, el registro para las notificaciones push y la realización de comprobaciones de conformidad de dispositivo (detección de jailbreak/protección por PIN) solo se puede realizar mientras está en línea.
- Código de acceso de la aplicación móvil: utilice una aplicación de autenticación móvil, como la aplicación Oracle Mobile Authenticator, para generar un OTP. Se genera un nuevo OTP cada 30-60 segundos que es válido durante 90-180 segundos. Una vez que el usuario introduce su nombre de usuario y contraseña, aparece una petición de datos para el código de acceso. Después de generar el código de acceso mediante la aplicación de autenticación móvil, el usuario introduce ese código como segundo método de verificación.
- Notificación de aplicación móvil: envía una notificación push a la aplicación OMA que contiene una solicitud de aprobación para permitir o denegar un intento de conexión. Una vez que el usuario introduce su nombre de usuario y contraseña, se envía una solicitud de conexión a su teléfono. El usuario pulsa Permitir para autenticarse.
- La aplicación OMA está disponible para los sistemas operativos Android, iOS y Windows.
- Para obtener más información sobre cómo configurar códigos de acceso y notificaciones móviles, consulte Configuring Mobile OTP and Notifications.
- Durante la inscripción de MFA, el usuario debe introducir la clave manualmente o utilizar la URL de inscripción al utilizar la aplicación OMA en un dispositivo Surface Pro o Windows Desktop. El escáner de código QR no se puede usar debido a una limitación de cámara. Cuando un usuario introduce esa clave manualmente, la aplicación OMA solo soporta la codificación BASE32.
Cuando activa los factores Código de acceso de la aplicación móvil y Notificación de aplicación móvil, y un usuario está inscrito en Aplicación móvil como segundo método de verificación, el factor Notificación de aplicación móvil es el valor por defecto que se presenta al usuario. Los usuarios pueden cambiar el factor que desean utilizar seleccionando un método de verificación de copia de seguridad diferente al conectarse o seleccionando un método diferente como opción por defecto. Los usuarios de IAM pueden utilizar la aplicación OMA o cualquier aplicación de autenticación de terceros soportada que deseen para generar los OTP. Sin embargo, los usuarios deben utilizar la aplicación OMA para recibir notificaciones push.
IAM funciona con cualquier aplicación de autenticación de terceros (como Google Authenticator) que cumpla con la especificación TOTP: algoritmo de contraseña de un solo uso basado en tiempo. No se necesitan pasos especiales de configuración del administrador para las aplicaciones de autenticación de terceros. Cuando un usuario se inscribe en MFA y selecciona Aplicación móvil como método, el usuario puede seleccionar las opciones Introducir clave manualmente o Modo fuera de línea o Usar otra aplicación de autenticador para configurar autenticadores de terceros. Recomendamos el uso de la aplicación OMA, ya que soporta notificaciones y funciones de seguridad, como la política de protección de aplicaciones, la política de conformidad y el refrescamiento de claves silencioso.