使用Oracle身份识别云服务进行多因素身份验证

使用Oracle身份识别云服务进行多因素身份验证

介绍

Oracle身份云服务（IDCS）刚刚在2017年5月发布了17.2.2版，并提供了一个很酷的新功能：多因素身份验证，或简称为MFA。

MFA是一种身份验证方法，要求用户在授予访问权限之前，将一个以上证据或一系列的一次性密码，SMS，安全问题等提交给认证机制。

随着用户变得更加联系，从任何地方和不同的设备访问他们的帐户，并且考虑到绝大多数安全漏洞都是由泄密的凭据发生的，实施MFA有助于提高关键系统的安全性。

多因素认证强度是基于未经授权的用户可能无法提供所有必要因素进行认证的思想; 如果其中一个认证组件丢失，系统将无法建立用户身份，并且身份验证将失败。

您可以在这里阅读更多关于MFA及其因素和其他安全选项。

MFA因素

在2017年5月发行（17.2.2），MFA支持五个因素：

在这篇文章中，我们将介绍初始的MFA配置以及如何使用Oracle Mobile Authenticator（OMA）对一次性密码（OTP）进行身份验证。

启用MFA

要启用MFA，IDCS管理员必须执行以下步骤：

1.在Identity Cloud Service控制台中，单击Security选项卡，然后从侧面导航栏中选择MFA。

2.选择要启用MFA的用户：

无 - 默认选择，表示MFA已禁用。

管理员 - 选择此选项以仅为管理员角色启用MFA。

所有用户 - 选择此选项可为管理员和最终用户启用MFA。

3.选择MFA注册是否为用户可选或必需。

如果需要，用户必须先完成其帐户的两步验证过程，然后才能注册和登录。 用户在MFA启用后首次尝试进行身份验证后将开始注册过程，并且在注册完成之前无法跳过注册过程或访问其应用程序。

如果可选，则在启用MFA后，尝试首次登录后，系统将提示用户注册两步验证，但可以跳过该过程并继续访问其应用程序。 用户可以在两步验证选项卡中从IDCS自助服务控制台的MFA注册。

提示：请确保在此时选择“用户的MFA注册是可选”，否则如果您在以下步骤中错过任何详细信息，可能会被锁定在您的云服务中。 在您确定MFA按预期的方式与您选择的因素一起工作后，如果是这样，您可以返回并将其更改为“必需”。

4.选择要为用户启用的因素。 在这篇文章中，我们将显示“移动应用程序OTP”因素，因此请确保已选择。

使用默认值保留其他选项，然后单击“保存”。

配置认证因素

要配置身份验证因子，请单击“安全”选项卡，然后单击侧面导航栏中的“Factors”。

选择要配置的因子。

在这篇文章中，我们将仅详细介绍移动验证器一次性密码系数。

您可以在这里阅读更多关于认证因素。

在“移动应用设置”页面中，管理员可以为移动身份验证器配置各种安全约束，以提供一次性密码或通知因素进行身份验证。

由于我们使用一次性密码（OTP）策略，以下是我们需要设置的参数：

密码长度：设置认证者应用程序生成密码的长度。 4到10位数字。哈希算法：用于生成密码的算法。 推荐使用SHA-2 *或SHA-3 *系列算法。新的OTP生成：认证者生成新OTP之前的秒数。密钥刷新：共享密钥刷新的天数（认证者用于生成OTP密码的密钥）。

还有其他一些管理移动应用保护和合规性策略的设置，但现在的标准就足够了。

安装Oracle Mobile Authenticator

您可以使用Oracle Mobile Authenticator应用程序安全地生成一次性密码，强制执行设备合规性检查（越狱检测/ PIN保护），并接收推送通知。

OMA应用程序适用于Android，iOS和Windows操作系统。

OMA应用程序是安装在移动设备上的软令牌。 当用户在MFA注册期间扫描快速响应（QR）代码或使用注册URL时，OMA应用程序将自动配置Oracle身份云服务服务器。

应用程序检索秘密密钥，生成OTP所需的密钥，并从IDCS服务器接收推送通知。

然后，该密钥在客户端和Identity Cloud Service服务器之间共享。

转到您的移动设备应用商店并搜索“Oracle Mobile Authenticator”。

安装应用程序并在安装完成后将其打开。

提示：确保您已经安装了Oracle Mobile Authenticator V4.0或更高版本，因为这是支持具有IDCS的MFA的版本。

在您可以使用应用程序生成一次性密码之前，您需要向移动验证器注册一个帐户。

最快的方式是在登录到Oracle Cloud Service后，在提示注册两步验证过程时，扫描QR条形码。

转到您的Oracle Cloud服务“我的控制台”URL，如： https：// your_host ui v1 myconsole启动注册过程。

提供凭证后，您应该会看到两步验证注册屏幕。

选择“添加帐户”选项，然后从“Oracle云服务两步验证注册”屏幕扫描条形码。

几秒钟后，您将看到刷新的浏览器页面显示您的注册已完成。

使用移动验证器OTP进行身份验证

在下次尝试登录时，系统将提示用户提供移动验证器一次性密码。

打开Oracle Mobile Authenticator，获取一次性密码，并将其用作IDCS的第二个认证因子进行身份验证。