はじめに
Identity Domainsが使えるアカウントを触る機会があったので、いろいろと試しています。
今回は、MFA(多要素認証)を試します。
従来のように、IDCSとOCI IAMが分離している場合は、IDCS側のMFAは無償では使えなかったので、OCI側でMFAを有効にするパターンも多かったのではないかと思います。
Identity Domainsになって、IDCSとOCI IAMが統合したことにより、IDCSの高機能なMFAを無償で使えるようになりました。
(SMS認証のみ無償のFreeタイプでは利用できません)
IAM Identity Domain Typesのマニュアルより
※赤枠がFreeで利用可能な機能。緑枠がMFA
結果
高機能になった分、従来のOCI IAMの設定とはかなり変わったように思います。
今回、OCI IAMのようにMobile Authenticatorアプリ(Oracle Mobile Authenticatorを利用しました) を利用して試しました。
OCI IAMはパスコードのみ対応していたと思いますが、プッシュ通知に対応しているため、「許可」ボタンを押すだけでいいのは楽でいいです。またデバイスを複数登録できるのも便利になったなと思います。
さわってみる
追加ドメインで、MFAを有効化する
ドメイン管理者でOCIにログインして、ドメインの設定画面に移動
「セキュリティ」リンクを選択
「MFA」リンクを選択して、「モバイル・アプリケーション・パスコード」と「モバイル・アプリケーション通信」のチェックを付けて、「変更の保存」ボタンを押下
ログオン時にMFAを要求するように設定
ドメインの設定画面から、「セキュリティ」リンクを選択
「サインオン・ポリシー」のリンクを選択。Default-Sign-On Policyを押下
「Default Sign-On Rule」を編集します
「追加ファクタの要求」にチェックし、「指定されたファクタのみ」を選択して「モバイル・アプリケーション・パスコード」と「モバイル・アプリケーション通知」を選択します
登録は、「必須」で設定してみます
ユーザによるMFAの設定
MFAを有効化後に、MFA設定していないユーザを使用してドメインにログインします。
登録を「必須」にしたため、MFAデバイスを登録していない場合、MFAの登録画面に遷移します。
スマホにインストールしたAuthenticatorを使ってQRコードを読み取ります
正常に登録されたら、「完了」を押下します
一度ログアウトして、再度ログインしてみます。
ログイン後、以下の画面になります
登録したスマホからAuthenticator (Oracle Mobile Autheticatorを使いました)を起動すると、プッシュ通知が届くので、「許可」ボタンを押すと、OCIにログインできます。
↓は、スマホのAuthenticatorアプリの画面です
モバイルアプリケーションの追加
登録するデバイスが1つだけだと、紛失時に困ったことになってしまうので、もう一つデバイスを追加してみます。
再度、「マイ・プロファイル」画面に遷移します
「セキュリティ」ボタンを押します
「モバイル・アプリケーションの追加」を押下します
別のスマホ端末から、Auhtenticatorを起動してQRコードを読み込みます。
追加されました。
もう一度ログインしてみます。
ログイン後、最初に登録したデフォルトの端末にプッシュ通知が送信されます。「変わりのログイン方法を表示」を開いて、
追加で登録したデバイスへのプッシュ通知を選択します
追加登録したデバイスにプッシュ通知が届くので、「許可」ボタンを押してログインできることを確認します。
できました!